Welke webshops zijn onderzocht?
Hoe hebben we het onderzoek uitgevoerd?
Met Nixon Pro brachten we in kaart welke cookiebanner actief is, welke third-party trackers, cookies, fonts en domeinen worden geladen en welke daarvan al vóór toestemming actief zijn. Op die manier konden we vaststellen wat er technisch gebeurt zodra iemand de website opent, nog voordat er ook maar één knop in de cookiebanner is aangeklikt.
De cijfers: hoe vaak gaat het mis?
Dit is wat we zagen op de homepagina van de webshops:
| Resultaat | Aantal | Percentage |
|---|---|---|
| Geen duidelijk privacy-issue op de homepagina | 7 | 23% |
| Minstens één duidelijk issue op de homepagina | 23 | 77% |
Bij 23 van de 30 grote webshops gaat er op de homepagina en/of op de Black Friday landingspagina dus al iets mis met de privacy van bezoekers. In de meeste gevallen wordt data gedeeld met derde partijen, terwijl er nog geen toestemming is gegeven. Daarbovenop:
- 28 van de 30 websites gebruiken een cookiebanner of CMP
- maar slechts 5 van die 28 lijken op de homepagina echt netjes te werken
De meeste issues gaan over onzichtbare datastromen naar advertentie en trackingpartijen. Die stromen starten al voordat iemand op “Akkoord” klikt. Op de 30 webshops zagen we onder andere:
| Type dienst actief vóór toestemming | Aantal sites | Percentage |
|---|---|---|
| Google ads of YouTube | 15 | 50% |
| Microsoft Advertising / Bing | 7 | 23% |
| Analytics en monitoring | 8 | 27% |
| Externe fonts en vergelijkbare bronnen | 5 | 17% |
| Social tracking | 3 | 10% |
Dit zijn alleen de scripts die we al op de homepagina zagen. De rest van de website is niet eens meegenomen. De werkelijke impact is dus waarschijnlijk nog groter. Black Friday is wat dat betreft dus ook een zwarte dag voor bezoekersdata.
Veelvoorkomende domeinen uit onze scans: wat betekenen ze eigenlijk?
pagead2.googlesyndication.com
- het laden van advertentiecomponenten
- het meten van advertentieprestaties
- het koppelen van bezoekgedrag aan advertentiedoelgroepen
bing.com en Microsoft Advertising
Aanvragen naar Bing of Microsoft Advertising worden vaak gebruikt voor:
- advertentie-attributie
- metingen voor campagnes
- koppelingen met remarketingdoelgroepen
fonts.googleapis.com en fonts.gstatic.com
Analytics en monitoring tools
In de scans zagen we ook domeinen van tools zoals:
- Cloudflare Insights
- Hotjar
- Maze
- Google Analytics
Waarom dit juist rond Black Friday extra spannend is
Black Friday is een stresstest voor je techniek en voor je privacy. Er gebeurt namelijk drie dingen tegelijk.
- Het volume explodeert. Een fout in een rustig weekend raakt misschien een paar duizend bezoekers. Tijdens Black Friday kan precies dezelfde fout opeens miljoenen mensen raken. Het risico op onrechtmatige verwerking groeit dan net zo hard mee.
- Profielen worden razendsnel verrijkt. Elke nieuwe sessie voegt iets toe aan bestaande profielen bij advertentieplatforms. Als jouw website al data deelt voordat iemand toestemming geeft, voed je die profielen actief. Dat maakt de impact veel groter dan alleen die ene sessie.
- Vertrouwen komt extra onder druk te staan. Bezoekers klikken vaak snel door, omdat ze jouw Black Friday aanbieding willen scoren. Als later blijkt dat hun data al gedeeld werd vóór hun keuze, voelt dat al snel als misleiding. En vertrouwen verlies je sneller dan je het opbouwt.
Daar komt bij dat de Autoriteit Persoonsgegevens juist op dit soort thema’s actief handhaaft. Denk aan misleidende cookiebanners en datadeling met derde partijen. Het zou ons eerlijk gezegd niet verbazen als een deel van de webshops in dit onderzoek al een brief heeft ontvangen of die binnenkort kan verwachten.
Aan de voorkant lijkt alles vaak keurig geregeld. Je ziet een nette cookiebanner, duidelijke knoppen en een link naar een uitgebreid cookiebeleid. Toch verandert het beeld volledig zodra je kijkt naar wat er achter de schermen gebeurt.
Advertentietrackers blijken al actief te zijn, meerdere externe partijen ontvangen gegevens en verschillende scripts draaien buiten de CMP om. Daardoor ontstaat een verschil tussen wat de banner belooft en wat er technisch gebeurt.
Veel organisaties gaan er oprecht vanuit dat het goed zit, omdat er nu eenmaal een cookiebanner is geïmplementeerd. In de praktijk ontstaan de meeste problemen echter door heel herkenbare oorzaken. Oude scripts zijn nooit opgeruimd, tags in de tag manager vuren standaard en widgets of tools zijn er ooit even snel bij geplaatst zonder verdere controle. Hierdoor raakt het scriptlandschap snel vervuild, zonder dat iemand het doorheeft.
- misleidende of sturende ontwerpen (dark patterns)
- pre-checked boxes
- het wel in één klik accepteren, maar niet in één klik weigeren
- onduidelijke knoppen of kleuren
Black Friday: Wat staat er op het spel?
- Handhavingsrisico: Toezichthouders, waaronder de Autoriteit Persoonsgegevens, focussen steeds meer op cookies, dark patterns en datadeling met derde partijen. Een zichtbaar verschil tussen wat je banner belooft en wat je site doet, is een uitnodiging tot aandacht.
- Onnodige datadeling: Data komt bij meer partijen terecht dan nodig. Dat maakt je verwerkingsregister complexer, je afspraken met verwerkers lastiger en je risicoanalyse zwaarder.
- Schade aan vertrouwen: Bezoekers accepteren dat je data nodig hebt om een webshop te laten werken. Wat ze niet accepteren, is dat er al van alles draait voordat zij een echte keuze hebben gehad.
Wat kan je nu nog voor Black Friday doen?
- Krijg eerst zicht op de werkelijkheid. Laat je website scannen, net zoals in dit onderzoek. Niet alleen het beleid, maar vooral de praktijk in de browser. Welke domeinen worden geladen, welke cookies worden gezet, wanneer gebeurt dat?
- Zet de CMP echt aan het stuur. Zorg dat alle marketing, analytics en tracking scripts via de CMP lopen. Geen losse scripts die alvast vuren voordat iemand een keuze heeft gemaakt.
- Ruim op in tools en tags. Ga samen met marketing en development door alle tools heen. Wat gebruik je echt. Wat is ooit getest en nooit uitgezet. Hoe minder losse partijen, hoe beter voor performance én privacy.
- Blijf monitoren. Nieuwe campagnes, nieuwe pixels, nieuwe landingspagina’s: alles kan weer oude fouten binnenbrengen. Zonder periodieke checks glipt het er zo weer in.
Bij Nixon Digital helpen we organisaties hier dagelijks mee. Met Nixon Pro scannen we websites op third-party cookies, trackers en domeinen. Zo zie je waar het misgaat, hoe groot de impact is en wat je stap voor stap kunt verbeteren.
Als je dit leest en je denkt: “Zou onze website dit ook doen?” Dan is het antwoord vaak simpel: je kunt het maar beter zeker weten.
Ben je benieuwd hoe jouw website scoort of twijfel je of je cookie banner doet wat hij belooft? Neem dan contact met ons op. We kijken vrijblijvend met je mee en geven een helder beeld van de situatie.
Vrijblijvende website privacy check
Frequently Asked Questions
Waarom worden de namen van de onderzochte webshops niet genoemd?
Wat betekent het dat een website al data deelt “vóór toestemming”?
Is het altijd verboden als een domein zoals Google Ads of Bing al vóór toestemming actief is?
Kijkt dit onderzoek ook naar dark patterns in cookiebanners?
Nee. In dit onderzoek hebben we alleen gekeken naar de technische realiteit: welke scripts en diensten actief zijn voordat iemand iets met de banner kan. We keken dus niet naar dark patterns zoals:
- geen “weigeren”-knop
- pre-checked boxes
- sturende kleuren
- misleidende knoppen
Daarmee is dit waarschijnlijk nog een voorzichtige weergave van de totale problemen.
Hoe weet ik of mijn eigen website dit stiekem ook doet?
Veel organisaties weten niet wat hun website technisch allemaal laadt. Datafouten ontstaan vaak door oude scripts, tag managers die standaard vuren en tooling die ooit “even snel” is toegevoegd. Wil je zeker weten of jouw website ook data deelt vóór toestemming, dan kunnen we dat binnen enkele seconden zien met een scan. Neem gerust vrijblijvend contact op of doe een website privacy audit scan met Nixon Pro.
