Er is een hele bedrijfstak die voor de kost beoordeelt of anderen zich aan de privacyregels houden. Certificeerders geven keurmerken uit, juridische adviseurs schrijven de compliance-rapporten, en privacy-organisaties houden de rest een spiegel voor. In de Nationale Privacy Index van juni 2026 richtte ik die spiegel een keer op henzelf. Ik legde negen van die websites langs precies dezelfde meetlat als alle andere, en het beeld is ongemakkelijk: uitgerekend de twee grootste certificeerders lekken het hardst.
De gedachte is simpel. Als er één sector zou moeten kloppen op het gebied van privacy, dan is het de sector die privacy verkoopt. Een bedrijf dat jou een keurmerk verstrekt omdat jouw site netjes met bezoekersgegevens omgaat, mag op zijn eigen site geen trackers laten afgaan voordat je toestemming hebt gegeven. Een adviseur die anderen factureert voor AVG-naleving, hoort de weigerknop op zijn eigen cookiebanner te laten werken. Dat is geen hoge lat. Dat is de lat die ze zelf aanleggen.
“Ze preken water en drinken zelf wijn.” Het gezegde dat deze meting helaas bevestigt.
De korte versie
- Van de negen gemeten organisaties in de sector keurmerken en juridisch advies staan er drie op Privacy Lek: Kiwa, DNV en ICTRecht.
- De twee grootste, internationaal opererende certificeerders, Kiwa en DNV, scoren allebei het laagste dat kan: 1 ster. Bij beide werkt de weigerknop niet: na “weigeren” blijven trackers gewoon doorlopen.
- Kiwa laadt vier tracking-cookies voordat er een banner is, met onder andere een Facebook/Meta Pixel en Google AdSense erbij.
- DNV zet zelfs een nieuwe trackingcookie nadat je op weigeren hebt geklikt, en verbergt een tracker achter zijn eigen domein (CNAME-cloaking).
- Eén partij doet het vlekkeloos: Privacy First (5 sterren, Beste Keuze). Geen tracking, niets te weigeren. Practice what you preach.
- Wat dit betekent: een keurmerk of een adviesfactuur zegt niets over hoe de uitgever zelf met jouw bezoek omgaat. Je kunt het, zoals ik hieronder laat zien, gewoon zelf nameten.
De ranglijst
De Nationale Privacy Index drukt elke site uit in zes dimensies (zie verderop wat ze betekenen) en vat die samen in een eindscore van 1 tot 5 sterren plus een keurmerk-label. Voor de sector keurmerken en juridisch advies ziet de juni-meting er zo uit.
| Organisatie | Score | Label | Kern van de meting |
|---|---|---|---|
| privacyfirst.nl | 5 sterren | Beste Keuze | Geen tracking, geen externe partijen voor consent |
| tuv-nederland.nl | 4 sterren | Acceptabel | Schoon, alleen een ontbrekende beveiligingsheader |
| considerati.com | 3 sterren | (geen) | Matomo en Google Tag Manager voor consent |
| bitsoffreedom.nl | 3 sterren | (geen) | Eigen-gehoste Piwik voor consent, verder schoon |
| privacycompany.eu | 2 sterren | Risico | Matomo voor consent |
| privacyverified.nl | 2 sterren | Risico | Piwik PRO voor consent, geen weigerknop gevonden |
| ictrecht.nl | 2 sterren | Privacy Lek | Acht trackers voor consent, zestien blijven na weigeren |
| dnv.com | 1 ster | Privacy Lek | Nieuwe cookie na weigeren, CNAME-cloaking |
| kiwa.com | 1 ster | Privacy Lek | Trackers voor consent zonder banner, weigeren werkt niet |
De lekken
Kiwa · de certificeerder die zelf geen banner heeft
Kiwa geeft wereldwijd keurmerken en certificaten uit. Op de eigen homepage scoorde Kiwa het slechtste resultaat van de hele sector: 1 ster, Privacy Lek, met de meeste bevindingen van alle negen.
Het begint al voordat je iets kunt kiezen. Ik trof in de “niets doen”-stand vier tracking-cookies aan die gezet worden zonder dat er een cookiebanner verschijnt, plus vier bekende externe trackers die meteen bij het laden afgaan: Google Tag Manager, een Facebook/Meta Pixel, Google AdSense en een Facebook-tracking-pixel in de HTML. Dat is precies het patroon dat een keurmerk-audit bij een klant zou afkeuren.
En weigeren helpt niet. Nadat ik op de weiger-optie klikte, bleven drie tracking-cookies staan en dertien bekende trackers gewoon actief, waaronder Facebook, Cookiebot, Google Tag Manager en Microsoft Azure-monitoring. In de gesimuleerde gebruikerssessie zette YouTube er nog zes third-party cookies bovenop.
Toon wie, wat en waarheen bij kiwa.com
| Tracker of cookie | Wat het is en verstuurt | Waarheen / jurisdictie |
|---|---|---|
| De vier tracking-cookies voor toestemming | ||
| _fbp | Facebook-browser-ID (op .kiwa.com, 2 maanden). Koppelt je bezoek aan je Facebook-profiel. | Meta, Verenigde Staten |
| VISITOR_INFO1_LIVE | YouTube-bezoeker-ID (5 maanden). Kijk- en apparaatgedrag. | Google, Verenigde Staten |
| YSC | YouTube-sessie-ID. Koppelt acties aan je YouTube/Google-sessie. | Google, Verenigde Staten |
| VISITOR_PRIVACY_METADATA | YouTube privacy/consent-status (5 maanden). | Google, Verenigde Staten |
| De externe trackers die voor toestemming afgaan | ||
| Facebook/Meta Pixel (id 798048319601290) | Stuurt een PageView met paginatitel, je _fbp-ID en je vorige URL naar Meta. Via connect.facebook.net en facebook.com/tr, plus een 1x1-pixel in de HTML. | Meta, Verenigde Staten |
| Google Tag Manager (GTM-KHRDHF8) | Laadt en dirigeert de hele trackingketen, plus Google Analytics 4 (G-NEFSC0Q3EZ) en Google Ads (AW-16781365530). | Google, Verenigde Staten |
| Google AdSense | Stuurt een page_view-conversie-event naar pagead2.googlesyndication.com. | Google, Verenigde Staten |
| Blijft draaien na "weigeren" (selectie uit dertien) | ||
| Facebook/Meta Pixel | Blijft laden en pixelen nadat je hebt geweigerd. | Meta, Verenigde Staten |
| Google Tag Manager + GA4 + Ads | Blijven actief na weigeren. | Google, Verenigde Staten |
| Cookiebot | Het consent-platform zelf (consent.cookiebot.com), dat al vóór je keuze laadt. | Cybot, Denemarken (EU) |
| Microsoft Azure Application Insights | Telemetrie en sessiedata (js.monitor.azure.com, ingest in North Europe). | Microsoft, Verenigde Staten |
| In de gebruikerssessie | ||
| YouTube (Set-Cookie) | Zet zes third-party cookies (o.a. VISITOR_INFO1_LIVE, YSC) tijdens de normale flow. | Google, Verenigde Staten |
| Fingerprinting (7 bestanden) | Canvas, navigator en timezone. Identificeert je ook zonder cookies. | vooral Verenigde Staten |
| 42 tracker-ID's | GTM- en GA4-property-ID's teruggevonden in de code. | Google, Verenigde Staten |
Voor toestemming: 4 tracking-cookies zonder banner (Tw art. 11.7a), 4 externe trackers (AVG art. 28). Weigeren werkt niet (AVG art. 7:3). Uit de meting van kiwa.com, 1 juni 2026, methodiek 2026-06.2. Scoredimensies: A=1 B=1 C=1 D=4 E=3 F=2.
DNV · een nieuwe cookie nadat je nee zegt
DNV is de andere grote internationale certificeerder in de lijst, en eindigt op dezelfde plek: 1 ster, Privacy Lek. De ernstigste bevinding is hier juridisch het scherpst. Ik zag dat DNV een nieuwe trackingcookie zet nadat er op weigeren is geklikt. Dat is geen grijs gebied: een nieuwe trackingcookie plaatsen na een uitdrukkelijke weigering is een verwerking zonder grondslag.
Daarbovenop verbergt DNV een tracker achter het eigen domein. Ik detecteerde CNAME-cloaking: sgtm.dnv.com ziet eruit als eigen infrastructuur, maar is een server-side Google Tag Manager. Die constructie omzeilt browser-bescherming en adblockers, juist omdat hij op de domeinnaam van het bedrijf zelf staat. Na weigeren bleven nog zes bekende trackers actief (OneTrust, Google Tag Manager, Azure-monitoring, Brightcove), en in de bestanden vond ik fingerprinting en een geobfusceerd script.
Toon wie, wat en waarheen bij dnv.com
| Tracker of cookie | Wat het is en verstuurt | Waarheen / jurisdictie |
|---|---|---|
| Voor toestemming | ||
| Google Tag Manager | Laadt de trackingketen, via googletagmanager.com. | Google, Verenigde Staten |
| sgtm.dnv.com (GTM-P8LHPK) | Een server-side Google Tag Manager, vermomd als eigen infrastructuur (CNAME-cloaking). Omzeilt adblockers en browser-bescherming doordat het op het domein van DNV zelf staat. | Google, Verenigde Staten (via eigen domein) |
| Na "weigeren" | ||
| Nieuwe tracking-cookie | DNV zet een nieuwe trackingcookie nadat je op weigeren klikt. Verwerking zonder grondslag. | - |
| OneTrust | Consent-platform (cdn.cookielaw.org, geolocation.onetrust.com), blijft actief na weigeren. | OneTrust, Verenigde Staten |
| Google Tag Manager | Blijft draaien na weigeren. | Google, Verenigde Staten |
| Microsoft Azure Application Insights | Stuurt een telemetrie-POST naar northeurope ...applicationinsights.azure.com/v2/track. | Microsoft, Verenigde Staten |
| Brightcove | Video-tracking (players.brightcove.net). | Brightcove, Verenigde Staten |
| In de bestanden en na scroll | ||
| Optimizely | Verschijnt pas na scroll/interactie (login.optimizely.com). A/B-test en gedrag. | Optimizely, Verenigde Staten |
| Fingerprinting (2 bestanden) | Navigator en timezone, in het GTM- en cookielaw-bestand. | Verenigde Staten |
| Obfuscatie | Eén bestand voert code uit vanuit base64-decoded strings (atob plus eval). Ondoorzichtig voor controle. | Google (GTM), Verenigde Staten |
| 31 tracker-ID's | Google Analytics 4 plus veel Google Ads-conversie-ID's, teruggevonden in de code. | Google, Verenigde Staten |
De scherpste bevinding (nieuwe cookie na weigeren) raakt AVG art. 6; de cloaking AVG art. 5(1)(a) en 13. Uit de meting van dnv.com, 1 juni 2026, methodiek 2026-06.2. Scoredimensies: A=1 B=1 C=1 D=4 E=2 F=2.
ICTRecht · het juridisch advies dat zelf zestien trackers laat staan
ICTRecht verkoopt juridisch privacy-advies. De homepage staat op 2 sterren, Privacy Lek. Ik trof acht bekende trackers aan voordat er toestemming was: Google Tag Manager, de hele HubSpot-suite en Google AdSense, plus een eigen-gehoste Google Analytics 4 op sst.ictrecht.nl. Na weigeren bleven er zestien trackers actief, het hoogste aantal van de sector. In de gebruikerssessie kwamen daar twaalf third-party cookies bij.
Toon wie, wat en waarheen bij ictrecht.nl
| Tracker of cookie | Wat het is en verstuurt | Waarheen / jurisdictie |
|---|---|---|
| De acht trackers voor toestemming | ||
| sst.ictrecht.nl (GA4, G-NKMF265PYH) | Een eigen-gehoste Google Analytics 4, vermomd als eigen domein. Stuurt een page_view met de paginatitel, je regio (NL-GE) en je client-ID door naar Google. | Google, Verenigde Staten (via eigen domein) |
| Google Tag Manager (GTM-NRV4M24) | Laadt de trackingketen. | Google, Verenigde Staten |
| HubSpot Analytics | Bezoek- en gedragsanalyse (js-eu1.hs-analytics.net). | HubSpot, Verenigde Staten (EU-hosting) |
| HubSpot Banner | Marketing-banner (js-eu1.hs-banner.com). | HubSpot, Verenigde Staten (EU-hosting) |
| HubSpot (suite) | Lead-tracking en CTA's via app-eu1, cta-eu1, track-eu1.hubspot.com. | HubSpot, Verenigde Staten (EU-hosting) |
| Google AdSense | Advertentie- en conversie-event (pagead2.googlesyndication.com). | Google, Verenigde Staten |
| Na "weigeren" | ||
| 16 trackers blijven actief | De hele HubSpot-suite, GTM en Cloudflare blijven draaien. Het hoogste aantal van de sector. | vooral Verenigde Staten |
| __cf_bm (12x) | Twaalf third-party cookies via Set-Cookie in de gebruikerssessie, door HubSpot- en Cloudflare-hosts. | HubSpot / Cloudflare, Verenigde Staten |
| In de bestanden | ||
| Fingerprinting (3 bestanden) | Audio, canvas, webgl, webrtc, screen en timezone, in GTM en HubSpot Analytics. | Google / HubSpot, Verenigde Staten |
| 3 tracker-ID's | GTM-NRV4M24, GA4 G-NKMF265PYH en een oude Universal Analytics UA-5850898-1. | Google, Verenigde Staten |
Acht trackers voor toestemming (AVG art. 28 + Tw 11.7a), een eigen-domein-GA4 (AVG art. 5), zestien blijven na weigeren (AVG art. 7:3). Uit de meting van ictrecht.nl, 1 juni 2026, methodiek 2026-06.2. Scoredimensies: A=1 B=1 C=2 D=5 E=3 F=3.
De middenmode
Vier organisaties zitten in het midden, met 2 of 3 sterren. Het patroon is hier milder maar consistent: een analyse-tracker die afgaat voordat je toestemming hebt gegeven.
- Considerati (3 sterren) laadt Matomo en Google Tag Manager voor consent, en in de bestanden zaten fingerprinting en obfuscatie.
- Bits of Freedom (3 sterren) is een bijzonder geval. De enige bevinding is formeel kritiek (een eigen-gehoste Piwik op
stats.bitsoffreedom.nldie voor consent afgaat), maar het gaat om privacyvriendelijke, zelf-gehoste statistiek zonder externe partijen. Verder is de site schoon. De dimensies laten dat zien: alleen toestemming en transparantie drukken de score, de rest staat hoog. - Privacy Company (2 sterren, Risico) laadt Matomo Cloud voordat je kiest. Hierover hoort een eerlijke kanttekening (zie hieronder), want juist deze meting legde een fout in mijn eigen meetmethode bloot.
- Privacy Verified (2 sterren, Risico) laadt Piwik PRO voor consent, en ik kon op de site geen weigerknop vinden.
De goede voorbeelden
Het kan dus wel, en twee partijen laten zien hoe.
Privacy First scoort als enige in de sector 5 sterren, Beste Keuze, met een vlekkeloze rij dimensies (A tot en met E op het maximum). Ik vond geen tracking en geen externe partijen die voor consent afgaan. De enige twee kanttekeningen zijn mild: een Referrer-Policy-instelling en één timezone-detectie in Simple Analytics, een privacyvriendelijke analyse-dienst. Bij Privacy First is weigeren niet eens nodig, want er valt niets te weigeren.
TÜV Nederland komt op 4 sterren, Acceptabel. De enige bevinding is een ontbrekende beveiligingsheader (HSTS), verder is de site schoon. Dat is het bewijs dat een certificeerder wel degelijk een nette eigen site kan hebben.
Hoe de Nationale Privacy Index dit meet
De score is geen mening. Elke site wordt langs zes dimensies gelegd, elk van 0 (slecht) tot 5 (goed), met een eigen weging.
Toon de zes dimensies
| Dimensie | De vraag | Weging |
|---|---|---|
| A · Toestemming | Kun je trackers weigeren? | 25% |
| B · Verspreiding | Met hoeveel partijen wordt je bezoek gedeeld? | 20% |
| C · Data-uitstuur | Wordt je data daadwerkelijk doorgestuurd? | 20% |
| D · Bewaartermijn | Hoe lang bewaren ze het? | 10% |
| E · Jurisdictie | Onder welk recht valt de organisatie? | 15% |
| F · Transparantie en beveiliging | Hoe transparant en veilig is de techniek? | 10% |
Het zwaarst weegt of je trackers kunt weigeren (A, 25%). Precies op die dimensie scoren Kiwa, DNV en ICTRecht een 1.
Hoe hard is elke laag?
| Bevinding | Hardheid | Bron |
|---|---|---|
| Kiwa, DNV en ICTRecht op Privacy Lek (juni 2026) | hard | eigen NPI-scan, run 1 juni 2026 |
| Kiwa: trackers voor consent zonder banner | hard | scan-stand “niets doen” |
| Kiwa en DNV: weigeren werkt niet | hard | scan-stand “weigeren”, delta-meting |
| DNV: nieuwe cookie na weigeren | hard | scan-delta na weiger-klik |
| DNV: CNAME-cloaking op sgtm.dnv.com | hard | DNS-resolve tegen 1.1.1.1 |
| Privacy First 5 sterren, schoon | hard | eigen NPI-scan |
| Aantal tracker-ID’s (42 bij Kiwa, 31 bij DNV) | hard, controleer | parsing tracker-bestanden |
| “Sector scoort slechter dan gemiddeld” | redenering | vergelijking met de bredere index |
| Gedrag op echte klantsites van de certificeerders | open | NPI meet de eigen homepage, niet hun audits |
Wat dit voor jou betekent
- Een keurmerk op een site van een derde zegt niets over hoe de uitgever van dat keurmerk zelf met jouw bezoek omgaat. Dat zijn twee losse dingen.
- Je kunt het zelf controleren. Open de site, weiger de cookies, en kijk in de ontwikkelaarsconsole van je browser (tabblad Netwerk) of er daarna nog verzoeken naar Google, Facebook of analytics-domeinen vertrekken. Als dat zo is, werkt de weigerknop niet.
- Voor de organisaties zelf is de fix bekend en goedkoop: laad niets voordat er toestemming is, en zorg dat weigeren ook echt alles stopt. Privacy First en TÜV Nederland laten zien dat het kan.
Methode
De meting komt uit de Nationale Privacy Index van 1 juni 2026, methodiek-versie 2026-06.2. Ik laad elke site in een schone browsersessie (geen cache, geen cookies, geen opslag) in drie standen: niets doen, alles weigeren, alles accepteren. Per stand leg ik cookies, netwerkverzoeken, opslag en HTML vast. Daarna volgt een gesimuleerde gebruikerssessie (banner accepteren, scrollen) waarvan ik de volledige netwerk-trace bewaar, en haal ik de geladen tracker-bestanden op om ze te ontleden op tracker-ID’s, fingerprinting-API’s en obfuscatie. CNAME-cloaking stel ik vast via DNS-resolves tegen 1.1.1.1. De zes dimensies en de eindscore volgen uit die meetwaarden, niet uit een handmatig oordeel. De bevindingen zijn patroonherkenning en een startpunt voor handmatig onderzoek, geen juridisch eindoordeel.
Wat nog open staat
- De klantsites van de certificeerders. De NPI meet de eigen homepage van Kiwa en DNV, niet de sites die zij certificeren. Of hun keurmerk-klanten het beter of slechter doen, is een aparte meting.
- Een herhaalmeting. Dit is één momentopname uit juni. Een tweede meting laat zien of de gevonden lekken structureel zijn of dat er sinds de publicatie iets is gerepareerd.
Bronnen en verantwoording
- De meting. Nationale Privacy Index, sector “Privacy keurmerken en juridisch advies”, 1 juni 2026, methodiek-versie 2026-06.2. Negen organisaties met een vastgestelde eindscore. De ruwe meetdata, scoredimensies en bevindingen zijn gehasht bewaard en reproduceerbaar.
- De meetcorrectie. De audit van 17 juni 2026 op de “vendor niet benoemd”-bevinding (aanleiding: tegenspraak van Privacy Company) is gedocumenteerd en op de bestaande scan-data herberekend, zonder nieuwe scan.
- Standaarden. De bevindingen verwijzen naar de Telecommunicatiewet (artikel 11.7a, toestemming voor cookies en trackers) en de AVG (onder meer artikel 6 grondslag, artikel 7(3) intrekken van toestemming, artikel 28 verwerker en artikel 13 informatieplicht).
De technische bevindingen zijn eigen metingen uit juni 2026. Een score is een momentopname van de gemeten homepage en geen volledig oordeel over de organisatie.