Nixon Digital

Nixon Digital is a part of Hypersolid logo

Log in

Scan Your Website

‘Grove privacyschending’: Tracking zonder toestemming bij tiental grote Nederlandse websites

’Grove privacyschending’ door tiental websites: Tracking zonder toestemming

Table of Contents

De Telegraaf publiceerde vandaag een onderzoek naar tracking zonder toestemming bij een tiental grote Nederlandse webshops en banken. De strekking: bezoekers zouden gevolgd kunnen worden zonder dat zij daar expliciet toestemming voor geven.

Als je verantwoordelijk bent voor privacy, security of marketing, dan raakt dit direct aan jouw werk. Niet omdat “fingerprinting” een spannend buzzword is, maar omdat het teruggaat naar een simpele compliancevraag:
Wat doet jouw website technisch op het moment dat iemand binnenkomt, nog vóórdat die persoon een keuze kan maken?
Dat is precies waar het vaak misgaat. En dat is ook precies waarom dit soort onderwerpen ineens groot worden in de media.

Wat is browser fingerprinting eigenlijk?

Browser fingerprinting is een techniek waarbij een website meerdere technische kenmerken van een browser en apparaat combineert om een bezoeker herkenbaar te maken. Zonder dat daar traditionele cookies voor nodig zijn.
Denk aan:
  • browser en versie
  • besturingssysteem
  • schermresolutie
  • taalinstellingen
  • lettertypen en device-kenmerken
Het resultaat is dat een bezoeker in sommige gevallen herkenbaar blijft, ook als cookies zijn geblokkeerd of gewist. Dat maakt het een gevoelig onderwerp, omdat het voor gebruikers minder zichtbaar is en lastiger te blokkeren.
Belangrijk: fingerprinting is niet automatisch verboden. Net als cookies niet automatisch verboden zijn. Onder de AVG draait het om doel, grondslag, timing en transparantie.

Tracking zonder toestemming zagen wij al vóórdat het in de krant stond

Voor wie dit nieuws nu leest en denkt “hoe kan dit”, is het goed om te weten dat dit patroon al langer zichtbaar is.

In november 2025 deden wij bij Nixon Digital een onderzoek naar de 30 grootste Nederlandse webshops rondom Black Friday. We analyseerden wat er technisch gebeurt zodra iemand de homepage opent, dus vóór toestemming en vóórdat een cookiebanner echt grip heeft op scripts.

De uitkomst was helder:

  • 77% deelde data vóór toestemming
  • advertentie- en trackingdiensten laadden direct bij page load
  • een cookiebanner was vaak zichtbaar, maar technisch niet altijd leidend
Opvallend genoeg gaat het om dezelfde categorie spelers die nu in de media terugkomen. Het label is nu “browser fingerprinting”, maar het onderliggende risico is breder: datastromen die starten vóórdat iemand een geïnformeerde keuze heeft gemaakt.

Wanneer wordt tracking zonder toestemming een AVG-probleem?

In de praktijk komen de meeste compliance-issues terug op drie vragen. Dit geldt voor fingerprinting, maar net zo goed voor pixels, analytics en third-party scripts.

1. Waarom wordt het gebruikt?

Wordt een techniek ingezet voor beveiliging of fraudepreventie, dan kan een beroep op gerechtvaardigd belang soms passen, mits je dit goed onderbouwt en beperkt houdt.
Wordt het gebruikt voor marketing, profilering of advertentiedoeleinden, dan is voorafgaande toestemming in de meeste gevallen noodzakelijk.

2. Wanneer start het?

Hier zit het vaak mis, ook zonder kwade wil. Veel websites triggeren third-party requests al bij het openen van een pagina, door bijvoorbeeld:
  • tag managers met oude of dubbele tags
  • embedded content zoals video’s, maps of social widgets
  • plugins die automatisch scripts injecteren
  • standaardinstellingen van advertentieplatforms
  • scripts die “buiten” de CMP om zijn geplaatst

Dan vind er dus tracking zonder toestemming plaats, want data kan al worden gedeeld voordat een bezoeker überhaupt een keuze heeft gemaakt. Een cookiebanner op zichzelf voorkomt dat niet.

3. Kun je het uitleggen en aantonen?

Dit is waar veel teams vastlopen. Niet omdat ze privacy niet belangrijk vinden, maar omdat ze geen volledig zicht hebben op wat er technisch gebeurt.
Veel organisaties kunnen niet met zekerheid zeggen:
  • welke derde partijen data ontvangen
  • welke domeinen worden aangeroepen
  • wat er vóór en ná consent gebeurt
  • of er internationale datastromen ontstaan
  • of de bannerbelofte matcht met de praktijk
En als je het niet kunt aantonen, blijft compliance een verhaal in plaats van een feit.

De echte verschuiving: van “banner” naar “gedrag”

Jarenlang ging het debat over de banner zelf. Knoppen, kleuren, teksten en of weigeren net zo makkelijk is als accepteren.
Dat blijft belangrijk, maar het zwaartepunt verschuift. Steeds vaker draait het om een hardere vraag:

Komt het technische gedrag van de website overeen met wat je aan de voorkant belooft?

Dat is precies waarom browser fingerprinting nu zoveel aandacht krijgt. Het maakt zichtbaar dat “een cookiebanner hebben” niet hetzelfde is als “controle hebben” en dat tracking zonder toestemming nog steeds voor kan komen.

Van aannames naar aantoonbaarheid

Bij Nixon Digital kijken we niet alleen naar beleid of bannerteksten. We analyseren echte browsersessies, zodat je kunt zien wat er daadwerkelijk gebeurt.

Met Nixon Pro brengen we in kaart:

  • welke third-party domeinen worden geladen
  • welke trackers en scripts vóór en ná toestemming actief zijn
  • waar mogelijke AVG-risico’s ontstaan
  • welke issues terugkomen door tag managers, embedded content en plugins
Dat maakt het gesprek intern ook direct scherper. Niet meer “ik denk dat het goed zit”, maar “dit is wat de browser laat zien”.

De Telegraaf zette browser fingerprinting op de kaart. Ons Black Friday onderzoek liet in 2025 al zien hoe vaak tracking zonder toestemming voorkomt. Het onderwerp verandert van naam, maar de compliancevraag blijft hetzelfde.

Weet jij wat jouw website technisch doet vóór toestemming? Als je daar niet honderd procent zeker van bent, is dit het moment om het inzichtelijk te maken.

Zeker weten dat uw website wél compliant is?

Zeker weten dat jouw website wél compliant is?

Controleer uw website op schendingen van de AVG. Krijg inzicht in gedrag van third-party cookies, trackers, domains en fonts.

  • Binnen 1 minuut
  • Gebouwd voor AVG
  • Weet of je compliant bent
Nixon Pro: Website privacy audit tool. Check for third-party cookies, trackers, fonts and domains.

Veelgestelde vragen over browser fingerprinting en de AVG

Wat is het verschil tussen browser fingerprinting en cookies?
Cookies worden opgeslagen op het apparaat en kunnen worden verwijderd of geblokkeerd. Fingerprinting combineert kenmerken van browser en device om herkenning mogelijk te maken zonder iets op te slaan. Als het wordt gebruikt voor tracking of profilering, valt het onder dezelfde AVG-logica.
Nee. Het hangt af van doel en grondslag. Voor beveiliging en fraudepreventie kan gerechtvaardigd belang soms passen. Voor marketing en profilering is voorafgaande toestemming meestal nodig.
Omdat tracking- en advertentiediensten dan al data delen terwijl de bezoeker nog geen keuze heeft gemaakt. Een banner helpt niet als scripts technisch niet door consent worden aangestuurd.
Dat is vaak niet zichtbaar via alleen broncode of tag manager. Je hebt een analyse van een echte browsersessie nodig die laat zien welke scripts en domeinen actief worden, en wanneer.

Stop met aannames en meet het. Breng eerst de technische werkelijkheid in kaart. Daarna kun je bepalen welke aanpassingen nodig zijn en welke grondslag past. Je kan een website privacy quick scan doen met Nixon Pro.

Check your website’s privacy status for free

Audit your website on 4 important GDPR categories and get a clear report in minutes.

Picture of Bryan Bakker
Bryan Bakker
Bryan Bakker is a marketer and website privacy compliance expert at Nixon Digital. He writes about website privacy compliance and helps organizations identify risks, improve compliance, and build trust with their visitors. His goal is to provide businesses with practical insights to quickly and effectively meet privacy regulations such as the GDPR.
Author Archive

Gain insights on everything website privacy related: