Gemeentewebsites delen data met Google zonder toestemming (Onderzoek 2026)

Q: Hoe kun je controleren of een website privacy-proof is?

Dat kan door een technische privacy-audit uit te voeren. Daarbij wordt gecontroleerd welke externe domeinen, trackers en cookies actief zijn wanneer een website wordt geladen. Zo wordt zichtbaar of er data wordt gedeeld voordat een bezoeker toestemming geeft.

Written by: Marcel van Rijn
March 16, 2026

Nixon Digital heeft alle 342 gemeentewebsites in Nederland gescand op privacycompliance. De resultaten zijn verontrustend: 207 gemeentes (61%) laden diensten van Amerikaanse Big Tech-bedrijven nog voordat de bezoeker toestemming heeft gegeven. In bijna alle gevallen gaat het om Google.

Kerncijfers

207 van 339 succesvol gescande gemeentes (61,1%) laden Big Tech voor consent
206 van die 207 (99,5%) betreffen Google-diensten (inclusief YouTube)
97 gemeentes laden Google Fonts, waardoor bij elk paginabezoek data naar Google gaat
114 gemeentes hebben YouTube-video’s ingebed die Google-trackers activeren
70 gemeentes laden Google Analytics voor toestemming
Slechts 31 gemeentes (9%) gebruiken een professioneel cookiebannerplatform

Dit betekent dat miljoenen Nederlanders die hun gemeentewebsite bezoeken voor publieke dienstverlening, ongemerkt data delen met Amerikaanse techbedrijven. Zonder dat ze daarvoor toestemming hebben gegeven. En zonder dat de meeste gemeentes zich hiervan bewust lijken te zijn.

Achtergrond en aanleiding

Gemeentewebsites zijn geen gewone websites. Het zijn digitale loketten waar burgers terecht moeten voor paspoorten, vergunningen, belastingzaken en WMO-aanvragen. Burgers hebben geen keuze: ze zijn aangewezen op de website van hun eigen gemeente. Daarmee rust er op gemeentes een bijzondere verantwoordelijkheid als het gaat om de privacy van hun inwoners.

Toch is er tot op heden geen grootschalig, geautomatiseerd onderzoek geweest naar hoe Nederlandse gemeentewebsites omgaan met de privacy van hun bezoekers. Individuele gemeentes zijn wel eens bekeken, maar een compleet overzicht van alle 342 gemeentes ontbrak.

Nixon Digital heeft dat overzicht nu gemaakt. Met behulp van de Nixon Pro privacy audit tool hebben we alle 342 gemeentewebsites systematisch gescand op vier kernpunten: third-party cookies, trackers, externe domeinen en lettertypes die geladen worden nog voordat een bezoeker toestemming heeft gegeven via een cookiebanner.

Wat hebben we gemeten?

Bij elke gemeentewebsite hebben we maximaal 100 pagina’s gescand. De scan meet wat er gebeurt op het moment dat een bezoeker de website opent, zonder enige interactie met een eventuele cookiebanner. Dit simuleert het gedrag van een gemiddelde bezoeker die gewoon de website bezoekt.

We hebben vier zaken in kaart gebracht:

Third-party cookies voor consent – Worden er cookies van externe partijen geplaatst nog voordat de bezoeker toestemming geeft?
Third-party trackers voor consent – Worden er trackingscripts geladen die het gedrag van de bezoeker kunnen volgen?
Third-party domeinen voor consent – Met hoeveel externe servers maakt de browser van de bezoeker verbinding?
Third-party fonts voor consent – Worden lettertypes geladen van externe servers (zoals Google Fonts)?

Deze vier meetpunten zijn met elkaar verbonden. Een cookie wordt geplaatst via een script, dat script wordt geladen via een extern domein. Door op domeinniveau te kijken, krijgen we het meest complete beeld van welke derde partijen data ontvangen bij een bezoek aan een gemeentewebsite.

Waarom is dit een probleem?

Op het moment dat een gemeentewebsite een extern domein laadt, maakt de browser van de bezoeker verbinding met die externe server. Daarbij worden automatisch gegevens gedeeld:

Het IP-adres van de bezoeker (persoonsgegevens onder de AVG)
Device-informatie zoals browsertype, besturingssysteem en schermresolutie
De bezochte URL inclusief eventuele parameters
Tijdstip van het bezoek

Deze combinatie van gegevens vormt een digitale vingerafdruk waarmee bezoekers herkenbaar en volgbaar worden. Vooral wanneer deze data terechtkomt bij bedrijven die al over grote databases beschikken (zoals Google, dat via Gmail, Android, YouTube en Chrome al profielen heeft van miljarden gebruikers), kan deze informatie worden gekoppeld aan bestaande profielen.

Het juridisch kader: AVG en Schrems II

De Algemene Verordening Gegevensbescherming (AVG, internationaal bekend als GDPR) is helder: persoonsgegevens mogen niet verwerkt worden zonder geldige rechtsgrond. Voor het plaatsen van tracking cookies en het delen van data met derde partijen voor niet-strikt-noodzakelijke doeleinden is toestemming vereist. Die toestemming moet voorafgaand, expliciet en geïnformeerd zijn.

Daarnaast speelt het Schrems II-arrest van het Europees Hof van Justitie (2020) een belangrijke rol. Dit arrest stelt dat persoonsgegevens niet zomaar naar de Verenigde Staten mogen worden overgedragen, omdat de Amerikaanse overheid onder wetgeving zoals de CLOUD Act en FISA Section 702 toegang kan eisen tot data die bij Amerikaanse bedrijven is opgeslagen. Google, Meta en Microsoft zijn als Amerikaanse bedrijven onderworpen aan deze wetgeving.

Dit betekent dat het laden van Google Analytics, Google Fonts of YouTube-embeds op een gemeentewebsite, zonder expliciete voorafgaande toestemming, niet alleen in strijd kan zijn met de AVG-vereisten voor toestemming, maar ook met de regels voor internationale datatransfers.

Resultaten

Overzicht

Van de 342 Nederlandse gemeentes hebben we er 339 succesvol gescand. Drie scans zijn mislukt door technische problemen aan de kant van de gemeentewebsite. Van de 339 succesvol gescande gemeentes delen 207 (61,1%) data met minstens een Big Tech-partij voor consent.

Meting	Resultaat
Totaal gemeentes in Nederland	342
Succesvol gescand	339
Mislukte scans	3
Minstens 1 Big Tech-dienst voor consent	207 (61,1%)
Geen Big Tech voor consent	132 (38,9%)
Gemiddeld aantal third-party domeinen per site	8,1
Totaal third-party domeinen gevonden	2.732
Totaal trackers gevonden voor consent	538

Google domineert

Het meest opvallende resultaat is de overweldigende dominantie van Google. Van de 207 gemeentes die Big Tech laden voor consent, doen 206 dat met een dienst uit het Google-ecosysteem (Google zelf of YouTube). Slechts een enkele gemeente (Wageningen) laadt uitsluitend Facebook zonder Google.

Big Tech-partij	Aantal	Percentage
Google (incl. YouTube)	206	99,5%
Waarvan alleen Google	93	44,9%
Waarvan alleen YouTube	50	24,2%
Waarvan beide	63	30,4%
Facebook	2	0,6%
LinkedIn	2	0,6%
Google Syndication (ads)	2	0,6%

Dit betekent dat wanneer we spreken over ‘Big Tech op gemeentewebsites’, we in de praktijk vrijwel uitsluitend over Google spreken.

Welke Google-diensten worden geladen?

Google is niet een enkele dienst, maar een ecosysteem van tientallen producten. We hebben onderzocht welke specifieke Google-diensten gemeentewebsites laden voor consent:

Google-dienst	Aantal gemeentes
YouTube-embeds (video's)	114
Google Fonts (lettertypes)	97
Google Analytics (statistieken)	70
Google Maps (kaarten)	31
Google Translate (vertaling)	15
Google Ads (advertenties)	7

YouTube-embeds: de verborgen tracker

114 gemeentes hebben YouTube-video’s direct ingebed op hun website. Dit lijkt onschuldig, maar bij het laden van een YouTube-embed maakt de browser van de bezoeker verbinding met meerdere Google-servers. Daarbij worden cookies geplaatst en tracking-scripts geladen, ook als de bezoeker de video niet afspeelt. Veel gemeentes zijn zich hier waarschijnlijk niet van bewust.
Er bestaan privacyvriendelijke alternatieven. YouTube biedt zelf een ‘privacy-enhanced mode’ (youtube-nocookie.com), en gemeentes kunnen video’s ook hosten via Europese diensten als Vimeo (met de juiste instellingen) of eigen videoservers.

Google Fonts: een onnodig privacyrisico

97 gemeentes laden lettertypes via fonts.googleapis.com. Bij elk paginabezoek stuurt de browser van de bezoeker daarbij een verzoek naar Google-servers, inclusief het IP-adres. Dit terwijl Google Fonts eenvoudig lokaal gehost kunnen worden (self-hosting) of vervangen kunnen worden door Bunny Fonts, een Europees alternatief dat identiek werkt maar data binnen de EU houdt.
In Duitsland heeft het Landgericht München in januari 2022 al geoordeeld dat het gebruik van Google Fonts via de Google-servers in strijd is met de AVG, omdat daarbij IP-adressen zonder toestemming aan Google worden doorgegeven. Nederlandse gemeentes die Google Fonts laden, lopen dus een concreet juridisch risico.

Google Analytics: bewust gekozen, maar problematisch

70 gemeentes laden Google Analytics voor consent. Anders dan Google Fonts (dat vaak via een template meekomt) is Google Analytics doorgaans bewust geïnstalleerd. Dit maakt het des te opvallender dat het actief is voor toestemming: de cookiebanner zou het laden van Google Analytics moeten blokkeren totdat de bezoeker akkoord gaat. Europese alternatieven voor webstatistieken zijn ruim voorhanden: Matomo (open source, EU-hosting beschikbaar), Piwik Pro (gevestigd in de EU), Siteimprove (Deens) en SIM Analytics (Nederlands) zijn allemaal oplossingen die data binnen Europa houden.

Google Maps en Translate

31 gemeentes laden Google Maps en 15 laden Google Translate voor consent. Voor Google Maps bestaan alternatieven op basis van OpenStreetMap. Voor vertalingen kan de gemeente eigen vertaalde pagina’s aanbieden of een Europese vertaaldienst gebruiken.

Google Ads

7 gemeentes laden Google Ads-scripts voor consent. Dit is bijzonder: het betekent dat deze gemeentewebsites advertentiescripts draaien die data delen met het advertentienetwerk van Google. Of dit bewust is of het gevolg van een verkeerd geconfigureerd template, is op basis van de scan niet vast te stellen.

Cookiebanners: schijnveiligheid?

Een veelgehoord verweer is: ‘We hebben een cookiebanner, dus we zijn compliant.’ Ons onderzoek laat zien dat dit niet klopt.

Van de 339 succesvol gescande gemeentes heeft het overgrote deel (220, oftewel 65%) helemaal geen cookiebanner. Van de overige gemeentes hebben er 88 een zelfgebouwde of niet-herkenbare banner, en slechts 31 gebruiken een professioneel Consent Management Platform (CMP): 27 gebruiken CookieYes en 4 gebruiken Cookiebot.

Type cookiebanner	Aantal gemeentes
Geen banner	220 (65%)
Onbekende/zelfgebouwde banner	88 (26%)
CookieYes (professioneel CMP)	27 (8%)
Cookiebot (professioneel CMP)	4 (1%)

De cookiebanner-paradox

Het interessantste inzicht uit ons onderzoek is wat wij de ‘cookiebanner-paradox’ noemen: gemeentes met een professioneel cookiebannerplatform scoren slechter op Big Tech dan gemeentes zonder banner.

Type banner	Big Tech %	Aantal
Cookiebot	100%	4 van 4
CookieYes	96%	26 van 27
Geen banner	65%	144 van 220
Onbekende banner	37%	32 van 88

De verklaring is logisch: gemeentes installeren juist een CMP omdat ze weten dat ze veel externe diensten laden. De banner is bedoeld om toestemming te vragen voor die diensten. Maar de scan laat zien dat de banner het laden van Big Tech-diensten in de meeste gevallen niet daadwerkelijk blokkeert. De diensten worden geladen voor consent, ongeacht de cookiebanner.

Dit wijst op een veelvoorkomend probleem: een cookiebanner wordt geïnstalleerd als ‘afvinklijst-compliance’, zonder dat de technische implementatie daadwerkelijk klopt. De banner toont een venster, de bezoeker klikt op ‘accepteren’ of ‘weigeren’, maar achter de schermen worden scripts al geladen voordat die keuze is gemaakt.

Het kan ook anders: gemeentes die het goed doen

Tegenover de 207 gemeentes die Big Tech laden, staan er ook die bewust kiezen voor privacyvriendelijke alternatieven. Ruim 70 gemeentes laden uitsluitend diensten die in de EU of Nederland gehost worden en delen geen data met Amerikaanse techbedrijven.

Deze gemeentes laten zien dat een goed functionerende gemeentewebsite prima mogelijk is zonder data te delen met Amerikaanse techbedrijven. Ze gebruiken Europese alternatieven voor analytics (Matomo, Siteimprove, Piwik Pro, SIM Analytics), Nederlandse voorleesfunctionaliteit (ReadSpeaker) en Europese fonts (Bunny Fonts).

Dit is geen compromis op functionaliteit. Deze websites bieden dezelfde dienstverlening, maar respecteren de privacy van hun inwoners.

Technische achtergrond: hoe werkt de scan?

Om de resultaten goed te interpreteren is het belangrijk te begrijpen wat de Nixon Pro scan precies meet en hoe.

Het scanproces

De Nixon Pro audit tool bezoekt een website zoals een gewone browser dat doet, maar dan geautomatiseerd en op schaal. Per gemeente worden maximaal 100 pagina’s gescand. De tool registreert alle netwerkverzoeken die de browser uitvoert bij het laden van elke pagina, specifiek de verzoeken die plaatsvinden voor enige interactie met een cookiebanner.

Dit is een bewuste keuze: we meten wat er gebeurt bij het eerste bezoek, zonder dat de bezoeker actie onderneemt. Dit simuleert het gedrag van het overgrote deel van de bezoekers, die een cookiebanner vaak negeren, wegklikken, of niet begrijpen.

Wat zijn third-party domeinen?

Wanneer je een website bezoekt, laadt je browser niet alleen bestanden van de website zelf (het ‘first-party domein’), maar vaak ook bestanden van andere servers. Die andere servers zijn ‘third-party domeinen’. Elk extern domein dat geladen wordt, ontvangt automatisch informatie van de browser van de bezoeker, waaronder het IP-adres.

Voorbeelden: als een gemeente Google Fonts gebruikt, laadt de browser lettertypes van fonts.googleapis.com. Als er een YouTube-video op de pagina staat, maakt de browser verbinding met youtube.com, i.ytimg.com, en mogelijk yt3.ggpht.com. Elk van deze verbindingen stuurt data naar Google-servers.

Wat is een digitale vingerafdruk?

De combinatie van IP-adres, browsertype, besturingssysteem, schermresolutie, taalinstellingen, geïnstalleerde plugins en andere technische kenmerken vormt een unieke ‘digitale vingerafdruk’. Net als een echte vingerafdruk is deze combinatie in de meeste gevallen uniek per persoon.

Op zichzelf is een digitale vingerafdruk niet direct herleidbaar tot een naam. Maar een bedrijf als Google beschikt over enorme databases met gebruikersprofielen (via Gmail, Android, YouTube, Chrome). Op het moment dat een digitale vingerafdruk gekoppeld kan worden aan een bestaand profiel bijvoorbeeld omdat de gebruiker ergens is ingelogd wordt de anonieme vingerafdruk ineens een herkenbaar individu.

Dit is precies waarom het delen van data met Big Tech-partijen problematisch is: zij hebben als enige de schaal om digitale vingerafdrukken te koppelen aan echte identiteiten.

Wat zijn trackers?

Trackers zijn scripts die specifiek ontworpen zijn om het gedrag van bezoekers te volgen, vaak over meerdere websites heen. Bekende voorbeelden zijn Google Analytics, Facebook Pixel en LinkedIn Insight Tag. Trackers gaan verder dan het simpelweg laden van een extern domein: ze zijn ontworpen om profielen op te bouwen van individuele gebruikers.

In ons onderzoek hebben we 538 trackers gevonden die actief zijn voor consent op gemeentewebsites. Gemiddeld laadt elke gemeentewebsite 1,6 trackers voor toestemming.

Methodologie

Scope en dataverzameling

Het onderzoek omvat alle 342 gemeentes in Nederland per maart 2026. De lijst van gemeentewebsites is samengesteld op basis van publiek beschikbare gegevens. Per gemeente is de primaire .nl-website gescand.

Scans zijn uitgevoerd met de Nixon Pro audit tool in de eerste week van maart 2026. Per website zijn maximaal 100 pagina’s gescand. De tool simuleert een browserbezoek zonder interactie met een eventuele cookiebanner, om te meten wat er standaard geladen wordt bij een eerste bezoek.

Definitie Big Tech

Voor dit onderzoek hanteren we de volgende definitie van Big Tech: externe domeinen die behoren tot Google (inclusief YouTube, googleapis.com, gstatic.com, doubleclick.net), Meta (facebook.com, facebook.net), LinkedIn (linkedin.com) en Google Syndication (advertentienetwerk van Google). Een gemeente wordt als ‘Big Tech-ladend’ geclassificeerd als minstens een van deze domeinen wordt geladen voor consent.

Beperkingen

Ons onderzoek kent enkele beperkingen die bij de interpretatie van de resultaten in acht genomen moeten worden:

De scan meet het laden van externe domeinen, niet de daadwerkelijke data die wordt overgedragen. Het laden van een Google-domein betekent dat er een verbinding wordt gemaakt waarbij minstens een IP-adres wordt gedeeld, maar we kunnen niet vaststellen welke aanvullende data wordt verwerkt.
De scan is een momentopname. Websites veranderen regelmatig. De resultaten reflecteren de situatie op het moment van scannen.
We hebben maximaal 100 pagina’s per website gemeten. Het is mogelijk dat op niet-gescande pagina’s aanvullende diensten worden geladen. De werkelijke situatie kan dus slechter zijn dan wat wij meten.
De scan meet wat er geladen wordt voordat een bezoeker interactie heeft met een cookiebanner. Het is mogelijk dat sommige diensten na het weigeren van cookies wel worden geblokkeerd. Dit verandert echter niets aan het feit dat ze voor consent al geladen worden.

Conclusie

De resultaten van dit onderzoek zijn helder: een meerderheid van de Nederlandse gemeentewebsites deelt bezoekersdata met Amerikaanse Big Tech-bedrijven zonder toestemming. In bijna alle gevallen gaat het om Google-diensten. Dit gaat over miljoenen Nederlanders die voor hun dagelijkse publieke dienstverlening aangewezen zijn op hun gemeentewebsite.

Het probleem is niet dat gemeentes bewust kiezen voor privacy-schendende technologie. Het probleem is een gebrek aan bewustzijn en technische kennis. Google Fonts wordt meegleverd met templates, YouTube-video’s worden ingebed zonder na te denken over de privacygevolgen, en cookiebanners worden geïnstalleerd zonder te controleren of ze daadwerkelijk werken.

De oplossing is niet ingewikkeld. Europese alternatieven bestaan, zijn volwassen, en zijn vaak gratis. Gemeentes als Baarle-Nassau, Heemskerk en Nieuwegein laten zien dat het kan. Het vereist alleen de bewuste keuze om de privacy van inwoners serieus te nemen.

Zeker weten dat uw website wél compliant is?

Is your cookie banner actually enforcing consent?

Controleer uw website op schendingen van de AVG. Krijg inzicht in gedrag van third-party cookies, trackers, domains en fonts.

Veelgestelde vragen (FAQ’s)

Is Google Analytics toegestaan volgens de AVG?

Google Analytics is niet automatisch verboden, maar het gebruik ervan moet voldoen aan de AVG. Dat betekent onder andere dat bezoekers eerst toestemming moeten geven voordat tracking plaatsvindt. Als Google Analytics al actief is voordat een bezoeker cookies accepteert, kan dat in strijd zijn met de privacywetgeving.

Delen gemeentewebsites persoonsgegevens met Google?

Dat kan gebeuren wanneer diensten van Google op een website worden geladen. Zodra een pagina bijvoorbeeld Google Fonts, YouTube of Google Analytics gebruikt, maakt de browser van de bezoeker verbinding met Google-servers. Daarbij worden gegevens zoals het IP-adres automatisch gedeeld. Onder de AVG wordt een IP-adres gezien als een persoonsgegeven.

Waarom zijn Google Fonts een privacyprobleem?

Wanneer Google Fonts via Google-servers worden geladen, stuurt de browser van de bezoeker automatisch een verzoek naar Google. Daarbij wordt onder andere het IP-adres doorgestuurd. Omdat dit zonder toestemming kan gebeuren, kan dit volgens privacyjuristen in strijd zijn met de AVG.

Zijn cookiebanners verplicht op websites?

In veel gevallen wel. Wanneer een website tracking cookies of externe diensten gebruikt die persoonsgegevens verwerken, moet eerst toestemming worden gevraagd. Een cookiebanner moet bovendien technisch correct werken en trackers blokkeren totdat een bezoeker toestemming geeft.

Hoe kun je controleren of een website privacy-proof is?

Dat kan door een technische privacy-audit uit te voeren. Daarbij wordt gecontroleerd welke externe domeinen, trackers en cookies actief zijn wanneer een website wordt geladen. Zo wordt zichtbaar of er data wordt gedeeld voordat een bezoeker toestemming geeft.

Over dit onderzoek

Dit onderzoek is uitgevoerd door Nixon Digital, een Nederlands bedrijf gespecialiseerd in website privacy en compliance. Het onderzoek is gepubliceerd in samenwerking met De Telegraaf.

Voor vragen over dit onderzoek of over Nixon Pro, de privacy audit tool waarmee dit onderzoek is uitgevoerd, neem contact op via info@nixon.nl.

Check your website’s privacy status for free

Audit your website on 4 important GDPR categories and get a clear report in minutes.

Marcel van Rijn

March 16, 2026
16:30

Marcel van Rijn

Marcel van Rijn is the founder of Nixon Digital and an expert in website privacy and compliance. With decades of experience in the digital space, he specializes in helping organizations gain control over their online presence, centralize digital assets, and meet privacy regulations such as the GDPR. His work focuses on delivering lasting oversight and practical solutions that reduce compliance risks.

Author Archive