Artikel · 27 mei 2026

Pels Rijcken sprak van slordigheden. De archieven tonen elf jaar onafgebroken tracking op vijf domeinen, met 399-dagen cookies vóór toestemming.

Addendum bij: Reactie op publieke verklaring Pels Rijcken (22 mei 2026).

Tijdlijn op basis van de Internet Archive Wayback Machine: elf jaar onafgebroken, geen weken.

Tijdlijn op basis van de Internet Archive Wayback Machine: elf jaar onafgebroken op het oudste domein.

Pels Rijcken sprak op 22 mei publiekelijk over slordigheden met YouTube-embeds, opgelost via een verhoging van de Cookiebot-scanfrequentie van maandelijks naar dagelijks. Een meting van 27 mei toont een bredere werkelijkheid: onafgebroken Google Analytics tot elf jaar tien maanden op vijf domeinen die Pels Rijcken zelf onder zijn privacyverklaring schaart, vandaag nog actief op drie ervan. Op twee daarvan blokkeert de cookiebanner de tracking niet en blijven cookies 399 dagen per bezoeker leven. En wie zich aanmeldt voor de nieuwsbrief loopt via Vuture, een Amerikaans marketing-CRM op AWS dat naam, functie en juridische interesses per persoon profileert.

De claims van Pels Rijcken, getoetst

Pels Rijcken zegt Wat de metingen tonen
“Hotjar voldoet aan AVG, want servers staan in de EU.” De serverlocatie is niet het verwijt. Hotjar (session recording) vuurde op pelsrijcken.nl vóór toestemming en ontbrak bijna twee jaar in de privacyverklaring; waar de servers staan, verandert dat niet.
“Het ging om enkele slordigheden met YouTube-embeds.” Naast YouTube zijn Google Tag Manager, Google Ads en Universal Analytics op meerdere domeinen aangetroffen, en Hotjar session-recording op het hoofddomein pelsrijcken.nl, jarenlang actief.
“Wij verwerken geen persoonsgegevens via de website.” (uit oude privacyverklaring) IP-adressen, user-agents, cookie-ID’s, session-recording en (op de Vuture-landingspagina) NAW + interesseprofielen worden of werden verwerkt en doorgegeven aan derden.

Elke rij in deze tabel is in dit addendum gedocumenteerd met snapshots, HAR-bestanden en geverifieerde metingen. De claims links zijn afkomstig uit de publieke verklaring van Pels Rijcken (22 mei 2026) en uit hun gepubliceerde privacyverklaring.

Het kernresultaat

Op de vijf domeinen die Pels Rijcken zelf onder zijn privacyverklaring schaart, toont de meting van 27 mei het volgende:

Op cassatieblog.nl zijn nog eerdere Google Analytics-sporen aangetroffen uit oktober 2011 tot januari 2012, met een gat in 2013 voordat de huidige tracking-property vanaf mei 2014 ononderbroken werd ingezet. Voor de cijfers in dit addendum hanteer ik de strikt onafgebroken duur, met 76 opeenvolgende snapshots als ondergrens.

Geen dagen. Geen weken. Op één domein ruim elf jaar onafgebroken.

Domein Onafgebroken in archieven
cassatieblog.nl 11 jaar 10 maanden
pgawb.nl 10 jaar 9 maanden
werkenbijpelsrijcken.nl 8 jaar 10 maanden
pgwoo.nl 3 jaar 5 maanden
pelsrijcken.nl 3 jaar 3 maanden

De tracking-infrastructuur per domein

Vijf domeinen, vijf trackingsporen, één gedeeld Google Analytics-account voor drie ervan.

  1. cassatieblog.nl: UA-18970241-9 onafgebroken in 76 snapshots van mei 2014 tot maart 2026.
  2. pgawb.nl: UA-18970241-6 onafgebroken van december 2013 tot september 2024, opgevolgd door GA4 G-RTMT1BGGHG vanaf januari 2025.
  3. werkenbijpelsrijcken.nl: UA-18970241-19 vanaf mei 2017, GTM-T72GQFT vanaf juli 2021, GA4 G-SC7Y3KDYDT als opvolger vanaf augustus 2025.
  4. pgwoo.nl: GA4 G-M0EYEXG6PF onafgebroken vanaf oktober 2022, zonder dat in de raw HTML een Cookiebot- of vergelijkbare consent-vendor zichtbaar is.
  5. pelsrijcken.nl: GTM-PMFWLS7 vanaf december 2022, Hotjar 4942343 vanaf april 2024.

Het GTM-versiebeheer (Container Versions) en het Google Analytics-account 18970241 zijn beide door Pels Rijcken zelf in beheer. Beide bieden, op verzoek of via een AVG-toetsingsproces, een sluitend overzicht van welke tags op welk moment actief zijn geweest. De vraag die openstaat: is Pels Rijcken bereid dat overzicht ter verificatie te verstrekken?

Eén centraal beheerd Google-account

De property-ID’s UA-18970241-19 (werkenbij), UA-18970241-9 (cassatieblog) en UA-18970241-6 (pgawb) vallen alle drie onder hetzelfde Google Analytics-account 18970241. Dat is geen toeval. Het is een centraal, jarenlang beheerde meetopzet over meerdere Pels Rijcken-domeinen heen, met gedeelde governance, gedeelde toegang en gedeelde rapportagemogelijkheden.

Dit is niet de configuratie van losse, kortstondige experimentjes per site. Dit is de configuratie van een geïntegreerde meetoperatie die over de jaren heen onderdeel is gebleven van hoe Pels Rijcken zijn webpresence beheert.

GTM als orchestrator, als regisseur

Google Tag Manager is geen tracker maar een container die andere tags inlaadt. Eenmaal geïmplementeerd kunnen nieuwe tags worden toegevoegd via een Google-dashboard, zonder dat de raw HTML van de website wijzigt.

Dat verklaart waarom GA4-property G-T7N46JF3XT na november 2023 uit de raw HTML van pelsrijcken.nl verdwijnt terwijl de GTM-container PMFWLS7 onafgebroken aanwezig blijft. De property bleef vuren, alleen niet meer hardgecodeerd maar via de container. De meting van 18 mei 2026 bevestigt dit: GA4 en Google Ads worden in de HAR-data aangetroffen terwijl beide ID’s nergens in de raw HTML staan.

De afwezigheid van een tracker-ID in de raw HTML na een bepaalde datum is dus geen bewijs dat de tracking stopte. De continue GTM-container is de robuuste indicator van de continue Google-datastroom.

De tracking vuurt vandaag nog: live meting 27 mei 2026

Naast de Wayback-data is op 27 mei 2026 een runtime-meting uitgevoerd op cassatieblog.nl, pgwoo.nl en pgawb.nl, in drie toestemmingsmodi (geen actie, weigeren, accepteren). De resultaten bevestigen dat de jarenlange infrastructuur uit de Wayback-data niet alleen historisch is, maar nu actief data verzamelt. Op twee domeinen vuurt die tracking los van de aanwezige cookiebanner.

pgwoo.nl en pgawb.nl: een cookiebanner die de tracking niet blokkeert

pgwoo.nl pgawb.nl
Cookiebanner cookie-notice, niet-blokkerend cookie-notice, niet-blokkerend
GA4 vóór consent ja (G-M0EYEXG6PF) ja (G-RTMT1BGGHG)
Cookie-bewaartermijn 399 dagen 399 dagen
Weigeren mogelijk nee nee
POST naar third-party ja ja
Fingerprinting tijdzone tijdzone
HSTS-header ontbreekt ontbreekt

Beide sites draaien op dezelfde Pels Rijcken-WordPress-omgeving (pelsrijcken.wpengine.com) en gedragen zich identiek:

De GA4-stream-ID’s komen exact overeen met de Wayback-vondst: G-M0EYEXG6PF op pgwoo sinds oktober 2022, G-RTMT1BGGHG op pgawb sinds januari 2025. Wat in de Wayback-broncode staat, vuurt vandaag daadwerkelijk.

Twee bevindingen per site classificeren als kritiek: tracking-cookies vóór toestemming (Telecommunicatiewet art. 11.7a) en een cookiebanner die de tracking niet stopt (AVG art. 7 lid 3). Op een Pels Rijcken-domein over de Wet open overheid is dat een bijzondere tegenstelling tussen vorm en inhoud.

cassatieblog.nl: Cookiebot aanwezig, maar lekt

Cassatieblog heeft als enige van de drie wél een Cookiebot-implementatie. Toch:

De aanwezigheid van Cookiebot voorkomt cookie-plaatsing vóór toestemming, maar voorkomt GTM-loading niet en honoreert weigeren niet volledig. Het verdedigingsargument dat Cookiebot het regelt, is op het enige domein waar Cookiebot in deze meting aanwezig was, aantoonbaar onvolledig in zijn werking.

Wat de meetdata samenvat

De infrastructuur en cookie-bewaartermijnen, samengevat:

De infrastructuur: NL-hosting beschermt de opslag, niet de datastromen

Datastroom-analyse van de Pels Rijcken-domeinfamilie: waar de sites staan versus naar welke partijen het bezoekersverkeer loopt.

De vijf domeinen draaien op twee omgevingen. cassatieblog.nl, pgwoo.nl en pgawb.nl zijn WordPress-sites die via WP Engine worden gehost, alle drie op één gedeeld IP-adres (35.189.124.151) dat toebehoort aan Google LLC. pelsrijcken.nl en werkenbijpelsrijcken.nl draaien op Craft CMS bij Rootnet / BIT BV in Nederland.

Voor de drie WordPress-domeinen stapelt de Amerikaanse jurisdictie zich op nog vóór er een tracker vuurt. WP Engine, Inc. (Texas) is de hostingprovider; die draait op Google Cloud (Google LLC); en het meetverkeer gaat naar Google Analytics en Google Tag Manager (eveneens Google LLC). De CLOUD Act verplicht Amerikaanse aanbieders data te overleggen, ongeacht of die fysiek in de EU staat. De EU-datacenterlocatie waar Northwave op wees, weerlegt die blootstelling dus niet; de exploitant is Amerikaans.

Ook de Nederlands gehoste domeinen raken de CLOUD Act, niet via de opslag maar via de componenten die de pagina inlaadt. werkenbijpelsrijcken.nl laadt jQuery rechtstreeks van Google (ajax.googleapis.com) onafgebroken sinds september 2012, ruim dertien jaar en vandaag nog (121 van 121 Wayback-snapshots), en gebruikt Google Fonts; bij elke paginaweergave gaat het IP-adres van de bezoeker naar Google in de Verenigde Staten. Dat is hetzelfde mechanisme als in het Google Fonts-arrest van de rechtbank München (2022): het hotlinken van een Google-resource is een doorgifte van persoonsgegevens naar de VS.

De hardste, direct toetsbare doorgifte is die van werkenbijpelsrijcken.nl naar Google: die loopt onafgebroken sinds 2012 en vereist geen toestemming om vast te stellen.

Op pelsrijcken.nl staat een knop ‘Houd mij op de hoogte’ die linkt naar een aanmeldformulier op sites-pelsrijcken.vuturevx.com. Dat is een dedicated subdomein gehost door Vuture, een marketing-CRM specifiek voor advocatenkantoren, sinds 2021 onderdeel van Intapp Inc. (VS, Nasdaq-genoteerd).

Wat een meting op 27 mei 2026 op die landingspagina aantoont, zonder dat het formulier wordt ingevuld:

Dit is geen aggregaat-analytics. Dit is een marketing-CRM-funnel die individuele bezoekers profileert op basis van naam, functie en juridische interesses. De data-infrastructuur is volledig Amerikaans. Vuture’s eigen documentatie beschrijft identity-stitching tussen e-mail-engagement en site-bezoeken; die koppeling is niet zelf gemeten in dit onderzoek, maar is Vuture’s gedocumenteerde businessmodel.

Voor een kantoor dat de Nederlandse Staat juridisch adviseert, raakt deze stack een vraag voorbij privacy: wie wordt geprofileerd, en in welke rol bewaakt het kantoor de scheiding tussen die profilering en zijn rol als adviseur van de Staat?

Wat is opgeruimd

Pels Rijcken heeft op 22 mei publiek erkend dat twee bevindingen juist waren. Een herhaalde meting op 21 mei 2026 bevestigt dat tussen 18 en 21 mei van de homepages is verwijderd:

Een precisering die ertoe doet: Hotjar (site 4942343) is uitsluitend op het hoofddomein pelsrijcken.nl aangetroffen en in geen enkele meting op werkenbijpelsrijcken.nl (0 van 121 Wayback-snapshots). Ook de container GTM-PMFWLS7 draaide alleen op pelsrijcken.nl; werkenbij gebruikte een eigen container, GTM-T72GQFT. Wie Hotjar op werkenbij verdedigt, weerlegt een bevinding die nooit is gedaan.

Die remediation, de verbetering, valt buiten het bereik van de Wayback-data, want Wayback’s laatste capture (9 maart 2026) ligt vóór de opruimactie. Voor de remediation wordt verwezen naar de OTS-gestempelde rescans van 21 mei 2026.

Drie dagen waren nodig om te verwijderen wat jaren op die twee websites had gestaan. Niet proactief maar reactief, en niet uit eigen beweging maar na een extern signaal. Op de drie aanvullende domeinen (cassatieblog.nl, pgwoo.nl en pgawb.nl) zijn van een vergelijkbare opruiming op het moment van publicatie geen sporen aangetroffen.

De eigen gedragscode van Pels Rijcken

Artikel 02 uit de gedragscode van Pels Rijcken: "We leven alle wet- en regelgeving na".

Op de website van Pels Rijcken is een gedragscode publiek beschikbaar. Drie artikelen zijn rechtstreeks relevant.

Artikel 2 (Compliance):

“We kennen en houden ons aan alle wet- en regelgeving. We handelen niet tuchtrechtelijk verwijtbaar.”

Pels Rijcken heeft zelf twee overtredingen erkend en gecorrigeerd op het hoofddomein. Die erkenning staat op gespannen voet met de stelling dat alle wet- en regelgeving werd nageleefd. Op pgwoo.nl en pgawb.nl meten kritieke AVG- en Telecommunicatiewet-overtredingen vandaag nog door.

Artikel 1 (Integriteit):

“We zijn eerlijk en transparant. Afspraken en toezeggingen komen we na; we zijn betrouwbaar.”

De privacyverklaring stelde dat er geen persoonsgegevens werden verwerkt en dat ontvangers zich binnen de Europese Economische Ruimte bevonden. Beide stellingen waren aantoonbaar onjuist op het moment dat ze op de website stonden. Diezelfde privacyverklaring is van toepassing op alle vijf domeinen, waarvan er drie een toestemmingsmechanisme tonen dat de tracking niet tegenhoudt: cassatieblog.nl met een lekkende Cookiebot, pgwoo.nl en pgawb.nl met een cookie-notice-banner die de GA4-tag niet blokkeert.

Artikel 9 (Voorbeeldfunctie):

“We bedienen ons niet van listen of trucs. We zoeken niet bewust de grenzen van het toelaatbare op.”

Pels Rijcken heeft Northwave ingehuurd om een CNAME-claim te weerleggen die niet in het onderzoeksdossier of in de BNR-publicatie voorkomt. Of Northwave in goed vertrouwen is ingeschakeld voor een bredere technische verificatie dan de gepubliceerde bevindingen bestreken, is niet bekend. Wat wel vaststaat is dat de specifieke claim die Northwave weerlegt, nergens in het onderzoeksdossier of in de BNR-publicatie stond. Of de inzet van een extern bureau voor een niet-bestaande claim in de categorie valt die de gedragscode beschrijft, laat ik aan de lezer.

De gedragscode bevat ook een zelfreflectievraag die Pels Rijcken zichzelf stelt als interne toets: “Zou ik me schamen als dit in het nieuws kwam?” Het kwam in het nieuws, en de archieven laten zien hoe lang het al bestond.

Slot

Op de vijf domeinen die Pels Rijcken zelf onder zijn privacyverklaring schaart, bestaat de tracking-infrastructuur al jaren. Op het oudste domein, cassatieblog.nl, ruim elf jaar onafgebroken, met sporen die teruggaan tot 2011. Onder een gedeeld Google Analytics-account dat over drie van de vijf domeinen loopt. Op twee daarvan met een cookiebanner die de tracking niet blokkeert, en cookies van 399 dagen per bezoeker.

Pels Rijcken heeft tussen 18 en 21 mei 2026 een deel van de tracking op de hoofddomeinen opgeruimd. Dat blijft staan en is verdienstelijk. Maar de scope is breder dan de publieke 22-mei-verklaring adresseerde: vijf domeinen, tot elf jaar onafgebroken, op drie ervan vuurt de tracking vandaag nog. Een dagelijkse Cookiebot-scan op het hoofddomein adresseert niet de structurele situatie op pgwoo.nl en pgawb.nl, waar de cookiebanner de tracking niet blokkeert en cookies 399 dagen per bezoeker leven.

Bij het schrijven van dit addendum had Pels Rijcken nog niet publiek gereageerd op de bevindingen over pgwoo.nl, pgawb.nl, cassatieblog.nl, de Google-jQuery op werkenbijpelsrijcken.nl, of de Vuture-CRM-funnel. Dit addendum staat open voor publieke reactie van Pels Rijcken op deze punten.

Technische bewijslast

De bevindingen per domein

cassatieblog.nl

Tracker Eerste Laatste Duur
UA-25445501-1 (vroege opzet) okt 2011 2012 start meetopzet
UA-18970241-9 mei 2014 mrt 2026 11 jr 10 mnd
GA4 2025 mrt 2026 < 1 jr

De strikt onafgebroken meetperiode is mei 2014 tot maart 2026: 11 jaar 10 maanden over 76 opeenvolgende snapshots. De bovenste rij betreft een eerdere property uit 2011 tot 2012; in 2013 is geen Google Analytics aangetroffen, daarom telt die periode niet mee in de onafgebroken duur.

pgawb.nl

Tracker Eerste Laatste Duur
UA-18970241-6 dec 2013 sep 2024 10 jr 9 mnd
GA4 G-RTMT1BGGHG jan 2025 mrt 2026 1 jr 2 mnd

De UA-property is onafgebroken aanwezig van december 2013 tot september 2024. Tussen oktober 2024 en januari 2025 ligt een migratie-gap van circa vier maanden voordat de GA4-opvolger werd geactiveerd. Dat is een UA-naar-GA4-naad, geen verdwijning van de tracking-opzet.

werkenbijpelsrijcken.nl

Tracker Eerste Laatste Duur
UA-18970241-19 mei 2017 jun 2025 8 jr 1 mnd
GTM-T72GQFT jul 2021 jun 2025 3 jr 11 mnd
GA4 G-SC7Y3KDYDT aug 2025 mrt 2026 7 mnd

pgwoo.nl

Tracker Eerste Laatste Duur
GA4 G-M0EYEXG6PF okt 2022 mrt 2026 3 jr 5 mnd

pelsrijcken.nl

Tracker Eerste Laatste Hits Duur
GTM-PMFWLS7 10 dec 2022 9 mrt 2026 38 van 40 3 jr 3 mnd
GA4 G-T7N46JF3XT (hardgecodeerd) 4 okt 2023 3 nov 2023 2 1 mnd
Hotjar 4942343 17 apr 2024 9 mrt 2026 22 van 22 1 jr 11 mnd
Google Ads AW-943360873 niet in raw HTML n.v.t. 0 via GTM client-side

Eerste GTM-snapshot pelsrijcken.nl · Laatste GTM-snapshot pelsrijcken.nl · Eerste Hotjar-snapshot · Eerste GTM-snapshot werkenbij · Laatste GTM-snapshot werkenbij

De Wayback-snapshots van de eerste vermelding op de drie aanvullende domeinen zijn direct opvraagbaar: cassatieblog.nl, 5 oktober 2011, pgawb.nl, 5 december 2013 en pgwoo.nl, 21 oktober 2022. De volledige eerste/laatste-index per tracker staat in de meegeleverde dataset (id_first_last.json).

Vuture / Intapp (marketing-CRM op pelsrijcken.nl)

Onderdeel Bevinding
Platform Vuture (vuturevx.com), marketing-CRM voor de advocatuur, sinds 2021 onderdeel van Intapp Inc. (VS)
Hosting AWS eu-west-2 (Amazon, VS) achter Cloudflare (VS)
Cookies vóór toestemming VxSessionId en ASPSESSIONIDSGDARRTB, gezet bij paginalaad, zonder consent-laag
Externe doorgifte Google Fonts (fonts.gstatic.com, Google LLC, VS)
Verzamelde persoonsgegevens voornaam, achternaam, bedrijf, functietitel, e-mail en een interesseprofiel per praktijkgebied en sector; verzonden via POST naar /API/Form/Process
Bron live runtime-meting 27 mei 2026

Anders dan de analytics-tags is dit geen aggregaatmeting maar een CRM-funnel die individuele bezoekers identificeert en profileert. De volledige data-infrastructuur is Amerikaans.

Methodologie Wayback (23 mei + 27 mei 2026)

CDX-API van de Internet Archive geraadpleegd voor alle vijf domeinen. Voor elke beschikbare maand ten minste één geslaagde snapshot (HTTP 200) opgehaald via https://web.archive.org/web/<timestamp>id_/<url>, een endpoint dat raw HTML levert zonder Wayback-rewriting. De HTML is doorzocht op de exacte tracker-ID’s uit de directe meting van 18 mei 2026 en op een uitgebreide markerset (alle bekende Google Analytics-, GTM-, Hotjar-, Facebook-Pixel-, en Cookiebot-patronen). Rate limit 1,2 seconden per request, User-Agent MickBeer-Privacy-Research/1.0. Totaal 390 snapshots geanalyseerd, verdeeld over een eerste run van 23 mei (pelsrijcken.nl en werkenbijpelsrijcken.nl, 160 snapshots) en een uitbreidende run van 27 mei (alle vijf domeinen, 390 snapshots inclusief de oorspronkelijke).

Methodologie runtime-meting (27 mei 2026)

BeforeYouMick-scan v3.8 (headed browser, stealth-modus, drie toestemmingsmodi: geen actie, weigeren, accepteren) uitgevoerd op cassatieblog.nl, pgwoo.nl en pgawb.nl. Per modus zijn de HTTP-requests, gezette cookies, geladen scripts en uitgaande POST-requests vastgelegd in een HAR-bestand. Resultaten per site beschikbaar als JSON, Markdown en HAR.

Beperkingen

CDX dekt alleen homepage-captures met status 200. Subpagina’s konden additionele tags dragen; dit onderzoek is daarmee een ondergrens. Wayback’s laatste capture voor pelsrijcken.nl is 9 maart 2026 en voor werkenbijpelsrijcken.nl 14 maart 2026; deze liggen vóór de remediation in mei 2026. Voor die remediation wordt verwezen naar OTS-gestempelde rescans van 21 mei 2026.

Dataset

Wayback-bundel 23 mei 2026 (pelsrijcken.nl en werkenbijpelsrijcken.nl): - Bestand: pelsrijcken-wayback-rawdata-20260523.zip (9,5 MB, 183 bestanden) - SHA-256: aeeb081d0a72c4602382a5b75f4ec23b6d022fe983365d227007ea06ef8c9ad2

Forensische familie-bundel 27 mei 2026 (alle vijf domeinen, OpenTimestamps-gestempeld): - Bestand: pelsrijcken-familie-rawdata-20260527.zip - SHA-256: c98e0bc516e1d5240faac0bef492677333adb1b8a70107db9c72f841b6a2e6af - Inhoud: de Wayback-history van alle vijf domeinen (390 raw HTML-snapshots, timeline.csv, timeline.json, id_first_last.json, het scraper-script en run.log), de runtime-meting van 27 mei (BeforeYouMick v3.8: JSON, Markdown en HAR per site voor cassatieblog.nl, pgwoo.nl en pgawb.nl) en de analyse-documenten. Met MANIFEST.sha256 over 490 bestanden.

Alle bundels op verzoek beschikbaar via mickbeer.com.

De Wayback-snapshot-URL’s in dit stuk zijn klikbaar en immutable. Iedereen kan de exacte HTML van een aangehaalde datum bekijken via web.archive.org.

Eerder verschenen in dit dossier: Reactie op publieke verklaring Pels Rijcken (22 mei 2026)

mr. Vincent Mans

Geschreven met legal governance van mr. Vincent Mans.

← terug naar artikelen