"Alles weigeren" werkt niet: deel 2 — Volkskrant en Telegraaf

Onderzoek naar AVG-compliance bij Nederlandse nieuwssites

Dit artikel documenteert technische tests van twee Nederlandse nieuwssites op naleving van privacyregels rond cookie-toestemming. De auteur onderzocht De Volkskrant (DPG Media) en De Telegraaf (Mediahuis) met dezelfde methodologie als eerder onderzoek naar NOS.nl en NU.nl.

Testmethodologie

Voor beide sites voerde de auteur uit:

• Wissen van alle cookies via Firefox
• Laden in schoon browserprofiel
• Opnemen van HAR-bestanden (volledig netwerkverkeer)
• Exporteren van cookiestore na “Alles weigeren”
• Inspectie van opslag via DevTools

De Volkskrant: bevindingen

De Volkskrant gebruikt hetzelfde consent-platform als NU.nl: myprivacy.dpgmedia.nl. Het consent-scherm vertoont:

• Primaire “Akkoord”-knop (geel, groot)
• “Instellen”-knop (grijs, vergt extra klik voor weigeropties)
• Aankondiging van 106 partners, maar slechts 103 daadwerkelijk in de lijst (−3 verschil)

Na “Alles weigeren” bleven 16 cookies aanwezig, waaronder:

• TID_ID: Tracking identifier zonder gedocumenteerd doel, aanwezig ondanks weigering
• _ain_uid: Advertising Intelligence user ID, aanwezig ondanks weigering
• _vwo_uuid_v2: A/B-test cookie van Wingify, aanwezig uitsluitend in weiger-dump (suggereert pre-consent plaatsing)

HAR-analyse toonde 40 verzoeken naar AppNexus’ non-personalized variant (adnxs-simple.com) na weigering, zonder transparantie hierover in het consent-scherm.

De Telegraaf: bevindingen

De Telegraaf (Mediahuis) gebruikt Didomi-platform en vertoont gelijkaardige problemen:

• 130 partners aangekondigd, maar slechts 127 unieke entries (duplicaten: GumGum, Instagram, Youtube)
• Ook hier −3 discrepantie
• Geen directe weigerknop op eerste laag

Cookies aanwezig na weigering:

• _mhtc_cId: Mediahuis tracking ID
• cs_fpid: ContentSquare fingerprint ID met 34-jaar looptijd
• ab-test-bc-357-variant: A/B-test cookie uitsluitend in weiger-dump

Google Analytics cookies werden correct verwijderd na weigering, wat aantoont dat het systeem selectief cookies kan blokkeren.

Breder patroon

Dezelfde −3 partner-discrepantie verscheen bij alle drie commerciële sites (NU.nl: 104→101, Volkskrant: 106→103, Telegraaf: 130→127). Dit patroon over meerdere eigenaren en platforms suggereert een gedeelde praktijk in de industrie.

Alle vier geteste sites (NOS.nl, NU.nl, Volkskrant, Telegraaf) missen directe weigerknop op eerste laag. Gezamenlijk bereik: 2,6 miljard bezoeken per jaar.

Juridische schendingen

Geïdentificeerde overtredingen:

• AVG artikel 4 lid 11 (toestemming): Drie-klik UX voor weigeren ondermijnt vrijwilligheid
• AVG artikel 5 lid 1 sub a (transparantie): Partner-discrepanties en niet-opengevallen overschakeling naar contextual advertising
• AVG artikel 25 lid 2 (privacy by default): Cookies geplaatst vóór consent-keuze
• Richtlijn 2002/58/EG artikel 5 lid 3: Vereist ondubbelzinnige toestemming voordat cookies worden geplaatst

Boete-risico’s

Op basis van traffic volume en ernst van schendingen werden geschatte boete-ranges gegeven:

• NOS.nl: €800k–€2M
• NU.nl: €800k–€2M
• Volkskrant: €400k–€1M
• Telegraaf: €600k–€1.5M

DPG Media ontving eerder een boete van €525k (later €300k in hoger beroep) voor gelijkaardige schendingen bij NU.nl, wat recidive-risico verhoogt.

Aanbevelingen aan Autoriteit Persoonsgegevens

De auteur adviseert:

• Verplichten van gelijkwaardige UX (één klik accepteren = één klik weigeren)
• Verplichte transparantie over advertentieverzoeken na weigering
• Onderzoek naar partner-lijsten en pre-consent plaatsing
• Sector-breed audit van Nederlandse nieuwssites
• Noodprocedure voor systematische DPG-schendingen gegeven recidive

Reproduceerbaarheid

Alle bevindingen zijn reproduceerbaar met Firefox, DevTools, Cookie Editor-extensie en HAR-export. Testbestanden beschikbaar op aanvraag voor peer review.

De auteur kondigde aan verdere tests uit te voeren op AD.nl en andere sites, en meldde bevindingen op 25 maart aan de AP met referentie 7cb0–9871.