101 Advertentiepartners: Het Probleem Met "Informed Consent" op Nederlandse Nieuwssites

101 Advertentiepartners: Het Probleem Met “Informed Consent” op Nederlandse Nieuwssites

Een diepgaand onderzoek naar cookie compliance bij NU.nl, NOS.nl en de illusie van privacy op het Nederlandse internet

door Mick Beer | 22 maart 2026

Je opent NU.nl. Een cookie banner verschijnt:

“We gebruiken cookies… Onze 104 advertentiepartners gebruiken cookies voor gepersonaliseerde advertenties.”

Je klikt “Akkoord” — zoals 95% van alle Nederlanders doet.

Maar weet je met wie je je data zojuist hebt gedeeld?

Pop quiz: Ken je deze bedrijven? - Aarki, Inc. - AdDefend GmbH - Adelaide Metrics Inc. - Adform A/S - Adhese - Adnami Aps

Nee? Ik ook niet. En dat is exact het probleem.

Het Experiment

Ik ben security architect en werkzaam als onderzoeker aan een wetenschappelijk thesis over privacy compliance. Gedurende twee weken heb ik vijf grote Nederlandse nieuwssites getest op naleving van de Algemene Verordening Gegevensbescherming (AVG/GDPR) en de ePrivacy Richtlijn.

Test setup: - Fresh Fedora Linux installatie (geen cookies, geen geschiedenis) - Firefox 124.0 met standaard instellingen (geen extensions) - DevTools Storage Inspector + Network tab - Tijdsperiode: 15–22 maart 2026

Geteste sites: 1. NU.nl (DPG Media) — Commercieel, 12M unieke bezoekers/maand 2. NOS.nl (Nederlandse Omroep Stichting) — Publiek, 7,5M unieke bezoekers/maand 3. Bol.com — E-commerce benchmark (beste praktijk)

De resultaten waren schokkend.

Bevinding 1: De 101 Onbekende Bedrijven

NU.nl’s cookie banner claimt:

“104 advertentiepartners”

In de privacy-instellingen (na 5 kliks diep graven) vind je een lijst:

“101 partner(s)”

IAB TCF Advertentiepartners (101):

Aarki Inc., AdDefend GmbH, Adelaide Metrics Inc, Adform A/S, Adhese, Adnami Aps, Adobe Advertising Cloud, Adobe Audience Manager, Adpone SL, adsquare GmbH, Adswizz INC, Affle Iberia SL, Amazon Ads, Bannerflow AB, BeeswaxIO Corporation, BIDSWITCH GmbH, BidTheatre AB, Blis Global Limited, Blockthrough Inc., Brand Metrics Sweden AB, Captify Technologies Limited, Cavai AS, Celtra Inc., Comcast International France SAS/FreeWheel Media, Comscore B.V., Criteo SA, Dailymotion Video Player, Delta Projects AB, Dentsu A/S, digitalAudience B.V., DoubleVerify Inc., Dynata LLC, emetriq GmbH, Epsilon (Lotame), Experian LTD, Eyeota Pte Ltd, Flashtalking, Gamned, Genius Sports UK Limited, GfK GmbH, Google Advertising Products, GumGum Inc., illuma technology limited, Index Exchange Inc., Integral Ad Science, Jivox Corporation, LinkedIn Ireland Unlimited Company, Localsensor B.V., Microsoft Advertising, MiQ Digital Ltd, Newsroom AI Ltd, Nielsen International SA, Nielsen Media Research Ltd., On Device Research Limited, OneTag Limited, OpenX, Opt Out Advertising B.V., OS Data Solutions GmbH, Otto GmbH & Co. KGaA, Permutive Limited, Pexi B.V., Piano Software Inc., Publicis Media GmbH, PulsePoint Inc., Quantcast, Readpeak Oy, Relay42 Netherlands B.V., RTB House S.A., Semasio GmbH, SMADEX S.L.U., smartclip Europe GmbH, Ströer SSP GmbH, The Kantar Group Limited, The Neuron Holdings INC, The UK Trade Desk Ltd, travel audience GmbH, Triton Digital Canada Inc., Vistar Media EMEA BV, Weborama, WPP Media, Xandr Inc., xpln.ai SAS, Yieldlab (Virtual Minds GmbH).

Plus 17 niet-IAB partners: Adcombi, Akamai, Alion, AppLovin Corp., AppsFlyer, Bannerwise, BDSK Handels GmbH, Booking.com, Cloudflare, ebuilders, GroupM, IBM, Kinesso, Meta, Netflix, TrustArc, Vodafone GmbH.

Plus 3 “functionele” partners (niet uitschakelbaar): Adjust Digital A/S, Polar Mobile Group Inc., Seenthis AB.

Plus 4 mediapartners: Google, Meta, Microsoft, TikTok.

Plus 13 externe media partners: Dutch Selection, Google Maps, Knight Lab, Meta, Omny, Snap Inc., Soundcloud, Spotify AB, Streamable, TikTok, Truth Social, X Corp., YouTube.

Totaal: 138 partijen krijgen toegang tot jouw data.

Het Probleem Met “Informed Consent”

De AVG (GDPR) Artikel 4.11 definieert toestemming als:

“elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting”

Let op dat woord: geïnformeerd.

Volgens de European Data Protection Board (EDPB) Guidelines 05/2020 betekent “geïnformeerd”:

“Being ‘informed’ relates to the controller’s duty to provide certain minimum information to enable individuals to make informed decisions.”

Hier is de kritieke vraag:

Kun jij een “informed decision” maken over bedrijven die je niet kent?

Van de 138 partijen, hoeveel ken je?

Gemiddelde gebruiker kent (~10–15): - Google - Meta/Facebook - Microsoft - Amazon - LinkedIn - TikTok - Spotify - YouTube - X/Twitter - Snapchat

Gemiddelde gebruiker kent NIET (~123–128): - Aarki, Inc. — Mobile ad-tech platform (Singapore) - AdDefend GmbH — Anti-adblocking technologie (Duitsland) - Adelaide Metrics Inc. — Attention measurement platform (VS) - Adform A/S — DSP/SSP programmatic advertising (Denemarken) - Adhese — Belgian ad server - Adnami Aps — High-impact ad formats (Denemarken) - … + 117 meer

Ratio: ~8% bekend, 92% onbekend.

Wat Doen Deze Bedrijven Eigenlijk?

Laten we drie willekeurige partners analyseren:

Aarki, Inc.

• Activiteit: Mobile advertising platform voor in-app ads
• Locatie: Singapore
• Data: Device IDs, app usage, location, behavioral data
• Privacy policy: 12 pagina’s juridisch Engels
• Opt-out: Via NAI/DAA mechanisme (VS-systeem)

AdDefend GmbH

• Activiteit: Anti-adblocking technologie
• Locatie: Duitsland
• Strategie: Detecteert adblockers, toont anti-adblock boodschappen
• Ironie: Je geeft toestemming aan bedrijf dat je toestemming wil omzeilen

Adelaide Metrics Inc.

• Activiteit: “Attention measurement” — meet hoe lang je naar ads kijkt
• Data: Eye-tracking proxies, scroll depth, dwell time
• Techniek: Analyse viewport position, mouse movements, page visibility

Niemand kent deze bedrijven. Niemand begrijpt wat ze doen. Toch geeft 95% van Nederland ze toestemming.

Dit is geen “informed consent”;

Dit is misinformed consent.

Bevinding 2: Het Dark Pattern (8:1 Obstruction Ratio)

GDPR Artikel 7.4 stelt:

“Bij de beoordeling of de toestemming vrij is gegeven, wordt in de grootst mogelijke mate rekening gehouden met […]”

Het Hof van Justitie EU besliste in Planet49 (C-673/17, r.o. 62):

“Het moet even gemakkelijk zijn om toestemming in te trekken als om deze te geven”

NU.nl faalt deze test spectaculair.

De Accept Flow (toestemming geven)

Stap 1: Cookie banner verschijnt
Stap 2: Klik grote oranje "AKKOORD" knop (180×50px, high-contrast)
Stap 3: Klaar

Totaal: 1 klik, 2 seconden

De Reject Flow (toestemming weigeren)

Stap 1: Cookie banner verschijnt
Stap 2: Zoek kleine grijze "Instellen" knop (120×40px, low-contrast)
Stap 3: Klik "Instellen"
Stap 4: Complex modal opent met 6 tabs
Stap 5: Klik tab "Doeleinden"
Stap 6: Lees technische jargon ("Targeted Advertising", "Precise Geolocation")
Stap 7: Klik tab "Partners"
Stap 8: Scroll door 101-partner lijst
Stap 9: Klik "Alles weigeren" (onderaan lijst)
Stap 10: Klik "Voorkeuren opslaan"
Stap 11: Klaar

Totaal: 8–10 kliks, 45–60 seconden

Obstruction ratio: 8:1

Weigeren is acht keer moeilijker dan accepteren.

Waarom Dit Illegaal Is

De Autoriteit Persoonsgegevens (AP) heeft in 2025–2026 een actieve cookie banner campagne gevoerd. Tussen april en november 2025 werden 200+ waarschuwingen uitgegeven aan Nederlandse websites voor exact dit probleem.

AP richtlijnen (2025): “Cookie banners MOETEN een directe ‘Alles weigeren’ knop bevatten op het eerste niveau, gelijkwaardig aan de ‘Akkoord’ knop.”

NU.nl heeft deze waarschuwingen genegeerd. 75% van gewaarschuwde sites paste hun banners aan. NU.nl behoort tot de resterende 25% die nu in de handhavingsfase zitten.

EDPB Guidelines 05/2020, para 38–41: “Consent interfaces must not give more prominence to the option to accept than to the option to refuse.”

NU.nl’s banner geeft 8× meer prominence aan accept.

Dit is geen grijs gebied. Dit is een duidelijke overtreding.

Bevinding 3: NOS.nl Tracking Vóór Consent (Pre-Consent Tracking)

NOS.nl — de Nederlandse publieke omroep, gefinancierd met belastinggeld — schendt de ePrivacy Richtlijn op de meest fundamentele manier.

De Timeline

Ik opende nos.nl met Firefox DevTools actief. Zonder te klikken op de cookie banner observeerde ik het volgende:

T = 0s: Browser laadt nos.nl
T = 2s: COOKIES VERSCHIJNEN
 • _sotmpid (Smartocto analytics)
 • _sotmsid (Smartocto session)
 • CCM_ID (Cookie Consent Manager)
 • nos_npo_tag_session (NOS JWT token, 373 bytes)
T = 4s: TRACKING REQUESTS STARTEN
 POST https://ingestion.contentinsights.com/beacon
 Status: 204
 Payload: {
 "pageView": true,
 "userId": "…",
 "sessionId": "…"
 }
T = 5s: COOKIE BANNER VERSCHIJNT
 "NOS gebruikt cookies…"

Volgorde: van NOS

Cookies → Tracking → Banner

Volgorde: hoe het hoort:

Banner → Consent → Cookies → Tracking

Waarom Dit Illegaal Is

ePrivacy Richtlijn 2002/58/EG Artikel 5.3:

“Het opslaan van informatie […] in de randapparatuur […] is alleen toegestaan […] mits de betrokken […] gebruiker […] toestemming heeft gegeven”

Let op: “mits” = voorwaarde. Toestemming is VEREIST VOORDAT cookies worden geplaatst.

Telecommunicatiewet Art. 11.7a lid 3 (Nederlandse implementatie):

“Het is verboden […] informatie op te slaan of toegang te verkrijgen tot informatie die reeds is opgeslagen […] tenzij […] toestemming heeft verleend”

Het Hof van Justitie EU besliste in Planet49 (C-673/17, r.o. 63):

“Analytics cookies zijn NIET ‘strictly necessary’ en vereisen voorafgaande toestemming“

NOS.nl plaatst analytics cookies (Smartocto, ContentInsights) zonder voorafgaande toestemming.

De Ironie

NOS.nl is gefinancierd met Nederlands belastinggeld. We betalen collectief ~€800 miljoen per jaar aan de publieke omroep.

De burger betaalt dus tweemaal: 1. Belasting — NPO funding via Rijksbegroting 2. Privacy — Illegale tracking door NOS.nl

Een publieke instelling die zich presenteert als “onafhankelijk, betrouwbaar, voor iedereen” schendt actief de privacy van haar gebruikers.

AP Precedent

De Autoriteit Persoonsgegevens heeft Coolblue in 2023 een boete van €40.000 opgelegd voor exact dezelfde schending: pre-consent tracking.

NOS.nl doet hetzelfde, maar op grotere schaal: - Coolblue: ~5M unieke bezoekers/maand - NOS.nl: ~7,5M unieke bezoekers/maand - NOS.nl impact: ~90 miljoen illegale tracking events per jaar

Als Coolblue €40k krijgt voor 60M events/jaar, zou NOS.nl logischerwijs €60k-€300k moeten krijgen.

Bevinding 4: De “Functionele” Cookie Wall

NU.nl’s privacy-instellingen bevatten een verborgen categorie:

“Overige advertentiepartners”

Deze advertentiepartners verwerken slechts een beperkte set gegevens voor functionele doeleinden. Je kan deze partners daarom niet uitschakelen.

3 partner(s): - Adjust Digital A/S - Polar Mobile Group Inc. - Seenthis AB

Dit roept twee vragen op:

1. Zijn dit werkelijk “functionele” partners?
2. Is “niet uitschakelen” legaal?

Analyse: Adjust Digital A/S

Officiële beschrijving: “Mobile attribution tracking platform“

Wat doen ze echt: - Track app downloads via cookies - Cross-device attribution (welke ad leidde tot welke app install) - Retargeting campagnes - Fraud detection (legitiem)

Vraag: Is attribution tracking “functioneel”?

ePrivacy definitie “strictly necessary”: Cookies die technisch noodzakelijk zijn voor de functionaliteit die de gebruiker expliciet vraagt.

Voorbeelden strictly necessary: - Sessie cookies (ingelogd blijven) - Winkelwagen cookies (e-commerce) - Beveiligings-tokens (CSRF protection)

Adjust attribution tracking: - Niet nodig om nieuws te lezen - Niet nodig voor site functionaliteit - Enkel nodig voor DPG’s marketing attribution

Conclusie: NIET strictly necessary.

Analyse: Polar Mobile Group Inc.

Officiële beschrijving: “Mobile engagement platform”

Wat doen ze echt: - Push notifications - In-app messaging - User analytics - A/B testing

Vraag: Zijn push notifications “functioneel”?

Alleen als de gebruiker expliciet om notificaties vraagt. MAAR Polar draait VOORDAT de gebruiker die keuze maakt.

Conclusie: NIET strictly necessary.

De Cookie Wall In Vermomming

AP precedent: Kruidvat €600.000 boete (2020) voor cookie wall.

Definitie cookie wall:

Toegang tot website afhankelijk maken van toestemming voor niet-noodzakelijke cookies.

Kruidvat’s wall: “Accept cookies of verlaat de site”

NU.nl’s wall: “Deze partners zijn niet uitschakelbaar“

Het verschil is subtiel maar belangrijk: - Kruidvat: Expliciete blokkade - NU.nl: Impliciete verplichting

Juridisch effect: Hetzelfde. Geen vrije keuze.

GDPR Art. 7.4: “Bij de beoordeling of de toestemming vrij is gegeven, wordt […] rekening gehouden met de vraag of […] de uitvoering van een overeenkomst […] afhankelijk is gesteld van toestemming”

Als “advertentiepartners” niet uitschakelbaar zijn, is toestemming niet vrij gegeven.

Contrast: Bol.com Best Practice

Niet alle Nederlandse websites falen.

Bol.com — de grootste e-commerce site van Nederland — laat zien dat compliance WEL mogelijk is:

Bol.com’s aanpak: - 13 partners (vs NU.nl’s 138) - Direct “Weigeren” knop (gelijkwaardig aan “Accepteren”) - Transparante uitleg per partner: - Google Analytics: “Voor het analyseren van websiteverkeer” - Meta Pixel: “Voor het meten van advertentie-effectiviteit” - Microsoft Bing: “Voor het tonen van relevante advertenties” - + Link naar privacy policy per partner - Geen pre-consent tracking - Geen “functionele” advertentiepartners

Resultaat: - GDPR compliant - Transparant - Gebruiksvriendelijk - Bewijs dat compliance MOGELIJK is

NU.nl en NOS.nl hebben geen excuus. Bol.com bewijst dat het kan.

Juridische Impact & AP Handhaving

De Autoriteit Persoonsgegevens heeft in de afgelopen jaren meerdere precedenten gecreëerd:

Recente AP Boetes (Privacy/Cookies)

Experian Nederland — €2.700.000 (oktober 2025) - Overtreding: Vendor non-disclosure, data delen zonder consent - Schaal: Miljoenen Nederlandse consumenten - Aggraverende factor: Data broker (commercieel gewin)

Kruidvat — €600.000 (2020) - Overtreding: Cookie wall - Schaal: Landelijke winkelketen - Les: “Niet uitschakelbaar” = geen vrije toestemming

Coolblue — €40.000 (2023) - Overtreding: Pre-consent tracking - Schaal: 5M unique visitors/maand - Les: ePrivacy timing vereisten strikt

Fine Risk Assessment: NU.nl & NOS.nl

Op basis van bovenstaande precedenten:

NOS.nl (pre-consent tracking): - Vergelijkbaar met Coolblue (€40k) - Grotere schaal: 7,5M vs 5M visitors - Aggraverende factor: Publieke sector (belastinggeld) - Geschat risico: €60.000 — €300.000

NU.nl (dark pattern + uninformed consent + functionele wall): - Dark pattern: Vergelijkbaar met AP campagne (200+ warnings) - Uninformed consent: Vergelijkbaar met Experian (vendor non-disclosure) - Schaal: 12M unique visitors/maand, 144M pageviews/jaar - DPG Media: Eerder AP-contact (€525k→€300k boete 2022) - Geschat risico: €450.000 — €1.200.000

Totaal geschat risico: €510.000 — €1.500.000

Dit zijn conservatieve schattingen. De AP heeft de discretie om hoger te gaan bij systematische, hardnekkige overtredingen.

Systematisch Patroon in de Industrie

Dit is geen toevallig probleem. Dit is design-level non-compliance.

Patroon: - Commercieel (NU.nl): Maximale data extractie, dark patterns - Publiek (NOS.nl): Pre-consent tracking, gebrek aan technische compliance - Best practice (Bol.com): Transparantie, gebruiksvriendelijk

Conclusie:

Compliance is MOGELIJK (Bol.com bewijst dit), maar de nieuwsindustrie kiest bewust voor non-compliance.

Wat Kun Je Doen?

Je hebt wettelijke rechten onder de AVG (GDPR). Hier is hoe je ze uitoefent:

1. Gebruik Je GDPR Rechten

Art. 21 AVG — Recht van bezwaar: Je hebt het recht bezwaar te maken tegen verwerking van je persoonsgegevens

Art. 17 AVG — Recht op verwijdering (“recht om vergeten te worden”): Je hebt het recht te vragen om verwijdering van je persoonsgegevens

Art. 15 AVG — Recht van inzage: Je hebt het recht te vragen welke gegevens een bedrijf over je heeft

2. De Tool: NL Data Opt-Out

Ik heb een gratis tool gebouwd die je helpt deze rechten uit te oefenen voor alle (bekende) 101+ Nederlandse data brokers:

https://apolloccrypt.github.io/nl-data-optout/

Wat doet de tool: - Genereert gepersonaliseerde bezwaar-emails (Art. 21) - Genereert verwijder-verzoeken (Art. 17) - Genereert inzage-verzoeken (Art. 15) - Voor ALLE 138 partners van NU.nl + extra Nederlandse data brokers - 100% gratis, open source, geen data collectie

Hoe werkt het: 1. Vul je naam en email in (wordt NIET opgeslagen) 2. Kies je rechten (bezwaar, verwijdering, inzage) 3. Download zip met emails (of copy-paste de enkel email) 4. Verstuur via je eigen email client 5. Klaar (1–5 minuten totaal)

3. De Impact Van Massa-Verzoeken

Als 1.000 mensen deze tool gebruiken:

• 1.000 verzoeken × 138 bedrijven = 138.000 GDPR verzoeken
• Elk verzoek kost ~€3-€5 administratieve tijd
• Totale overhead: €414.000 — €690.000

Als 10.000 mensen deze tool gebruiken:

• 10.000 × 138 = 1.380.000 verzoeken
• Overhead: €4.140.000 — €6.900.000

Bij deze volumes wordt non-compliance economisch onhoudbaar.

De industrie zal gedwongen worden om: 1. Aantal partners drastisch te reduceren 2. Transparantie te verbeteren 3. Dark patterns te verwijderen 4. Compliance serieus te nemen

Dit is economische druk die werkt.

4. Melding Bij De AP

Je kunt ook zelf een melding maken bij de Autoriteit Persoonsgegevens:

https://www.autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/klacht-indienen

Wat te melden: - Welke site (NU.nl, NOS.nl, andere) - Welke overtreding (dark pattern, pre-consent, uninformed consent) - Evidence (screenshots van cookie banner)

De AP neemt klachten serieus, vooral als er meerdere meldingen zijn over hetzelfde bedrijf.

Evidence & Reproduceerbaarheid

Dit onderzoek is volledig reproduceerbaar. Alle tests kunnen herhaald worden in 30 minuten totaal.

Test NOS.nl Pre-Consent (15 minuten)

Benodigdheden: - Firefox browser - Schone browser state (private mode of cache leegmaken)

Stappen: 1. Open Firefox DevTools (F12) 2. Open “Storage” tab 3. Open “Network” tab 4. Navigate naar nos.nl 5. DON’T CLICK op cookie banner 6. Observe: Cookies verschijnen AL in Storage tab 7. Observe: Network requests naar ContentInsights 8. Screenshot + timestamp

Verwacht resultaat: Cookies + tracking vóór consent

Test NU.nl Dark Pattern (15 minuten)

Stappen: 1. Navigate naar nu.nl 2. Count clicks voor accept flow 3. Count clicks voor reject flow 4. Screenshot banner (geen directe “Weigeren”) 5. Screenshot privacy-instellingen (101 partners)

Verwacht resultaat: 8:1 accept/reject ratio

Evidence Package

Voor volledige transparantie heb ik alle evidence beschikbaar:

• Screenshots (Cookie banners, privacy settings, DevTools)
• HAR files (Network traffic logs)
• JSON exports (Cookie data voor/na weigering)
• Reproductie-instructies (Stap-voor-stap)

Beschikbaar enkel voor NOS/NU.nl en AP.

De Diepere Vraag: Wat Is “Informed Consent” Eigenlijk?

Dit onderzoek stelt een fundamentele vraag:

Als je niet weet wat een bedrijf doet, kun je dan toestemming geven voor wat ze met je data doen?

De wet zegt: Nee. Toestemming moet “geïnformeerd” zijn (GDPR Art. 4.11).

Maar de realiteit is complexer:

Scenario 1: Technische Compliance - NU.nl toont 101 partnernamen - Voldoet letterlijk aan GDPR Art. 13.1.e (disclosure van ontvangers)

Scenario 2: Praktische Realiteit - 92% van partners is onbekend bij gemiddelde gebruiker - Geen uitleg wat partners doen - Geen context, geen links, geen informatie

Vraag: Is dit “informed consent”?

Juridisch antwoord: Grijs gebied. GDPR vereist disclosure, maar de kwaliteit van die disclosure is debatabel.

Praktisch antwoord: Nee. Informed consent vereist begrip, niet alleen disclosure.

Analogie:

Stel je voor dat een arts je een medicijn voorschrijft:

Scenario A (NU.nl’s aanpak):

“Dit medicijn bevat 101 chemische stoffen: Acetaminophen, Benzocaine, Chlorpheniramine, Dextromethorphan, … [97 meer]. Hier is de volledige lijst. Akkoord?”

Scenario B (Informed consent):

“Dit is een pijnstiller met paracetamol. Het werkt door … Bijwerkingen kunnen zijn … Alternatieven zijn … Begrijpt u dit? Heeft u vragen?”

NU.nl doet Scenario A. Informed consent vereist Scenario B.

Call To Action: Pak Je Data Terug

Dit is niet alleen een theoretisch probleem. Dit raakt 20+ miljoen Nederlandse internetgebruikers dagelijks.

Jouw data wordt gedeeld met bedrijven die je niet kent, voor doeleinden die je niet begrijpt, met consequenties die je niet overziet.

Maar je hebt macht. De AVG (GDPR) geeft je wettelijke rechten. Gebruik ze.

Wat Je NU Kan Doen

Stap 1: Bewustwording - Deel dit artikel (LinkedIn, Twitter, email) - Informeer familie en vrienden - Praat erover

Stap 2: Actie - Gebruik de opt-out tool: https://apolloccrypt.github.io/nl-data-optout/ - Oefen je GDPR rechten uit (Art. 21, 17, 15) - Verstuur de gegenereerde emails

Stap 3: Druk - Meld bij AP als je niet-compliance ziet - Review nieuwssites op Trustpilot/Google - Stem met je aandacht (kies sites die privacy respecteren)

Stap 4: Politiek - Contact je Tweede Kamer lid - Ondersteun privacy-wetgeving - Vraag om strengere handhaving

De Economische Realiteit

1.000 mensen × 138 bedrijven = 138.000 GDPR verzoeken = €414k-€690k overhead

Bij deze volumes wordt non-compliance economisch onhoudbaar. De industrie zal MOETEN veranderen.

Dit is niet alleen een privacy-kwestie. Dit is economische druk die werkt.

Conclusie

We leven in een tijd waarin “Akkoord” klikken je data deelt met 138 bedrijven die je niet kent.

We leven in een tijd waarin publieke omroepen gefinancierd met belastinggeld actief je privacy schenden.

We leven in een tijd waarin dark patterns je 8× moeilijker maken om je privacy te beschermen dan om het weg te geven.

Maar we leven ook in een tijd waarin de wet aan onze kant staat.

GDPR Art. 21, 17, 15 geven je macht. Gebruik die macht.

Als genoeg mensen hun rechten uitoefenen, zal de industrie gedwongen worden te veranderen.

Pak je data terug.

Bronnen & Verder Lezen

Wetgeving: - GDPR Volledige Tekst (https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32016R0679) - ePrivacy Richtlijn (https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32002L0058) - Telecommunicatiewet (https://wetten.overheid.nl/BWBR0009950)

Jurisprudentie: - HvJ EU Planet49 (C-673/17) (https://curia.europa.eu/juris/document/document.jsf?docid=218462) - EDPB Guidelines 05/2020 on Consent (https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en)

AP Resources: - AP Cookie Richtsnoeren (https://autoriteitpersoonsgegevens.nl/themas/internet-telefoon-post/cookies) - AP Boetes Database (https://autoriteitpersoonsgegevens.nl/nl/zaken) - Klacht Indienen (https://www.autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/klacht-indienen)

Tools: - NL Data Opt-Out Tool (https://apolloccrypt.github.io/nl-data-optout/) - GitHub Repository (https://github.com/Apolloccrypt/nl-data-optout)

Over de auteur:

Mick Beer is security architect en onderzoeker met focus op privacy compliance. Dit artikel is onderdeel van een wetenschappelijk thesis over cookie compliance op Nederlandse websites. Alle bevindingen zijn gebaseerd op reproduceerbaar technisch onderzoek.

Disclaimer:

Dit artikel is geen juridisch advies. Voor juridische vragen over GDPR/AVG compliance, raadpleeg een privacy-advocaat of de Autoriteit Persoonsgegevens.