De partijen die privacy keuren, zakken zelf voor de toets

Certificeerders, keurmerk-uitgevers en privacy-adviseurs toetsen of anderen zich aan de privacyregels houden. In de Nationale Privacy Index van juni 2026 legde ik hun eigen websites langs dezelfde meetlat. Van de negen gemeten organisaties staan er drie op Privacy Lek, waaronder de twee grote internationale certificeerders Kiwa en DNV. Bij allebei werkt de weigerknop aantoonbaar niet. Eén partij scoort vlekkeloos: Privacy First.

Illustratie: een man met een vergrootglas bekijkt negen websitekaarten met sterbeoordelingen onder de kop 'Sector Privacy-keurmerk/advies'. privacyfirst.nl vijf sterren, kiwa.com en dnv.com elk een ster, met een donkere wolk erboven. Tekening door Mick Beer

Er is een hele bedrijfstak die voor de kost beoordeelt of anderen zich aan de privacyregels houden. Certificeerders geven keurmerken uit, juridische adviseurs schrijven de compliance-rapporten, en privacy-organisaties houden de rest een spiegel voor. In de Nationale Privacy Index van juni 2026 richtte ik die spiegel een keer op henzelf. Ik legde negen van die websites langs precies dezelfde meetlat als alle andere, en het beeld is ongemakkelijk: uitgerekend de twee grootste certificeerders lekken het hardst.

De gedachte is simpel. Als er één sector zou moeten kloppen op het gebied van privacy, dan is het de sector die privacy verkoopt. Een bedrijf dat jou een keurmerk verstrekt omdat jouw site netjes met bezoekersgegevens omgaat, mag op zijn eigen site geen trackers laten afgaan voordat je toestemming hebt gegeven. Een adviseur die anderen factureert voor AVG-naleving, hoort de weigerknop op zijn eigen cookiebanner te laten werken. Dat is geen hoge lat. Dat is de lat die ze zelf aanleggen.

“Ze preken water en drinken zelf wijn.” Het gezegde dat deze meting helaas bevestigt.

De korte versie

De ranglijst

De Nationale Privacy Index drukt elke site uit in zes dimensies (zie verderop wat ze betekenen) en vat die samen in een eindscore van 1 tot 5 sterren plus een keurmerk-label. Voor de sector keurmerken en juridisch advies ziet de juni-meting er zo uit.

Sector "Privacy keurmerken en juridisch advies", Nationale Privacy Index juni 2026
OrganisatieScoreLabelKern van de meting
privacyfirst.nl5 sterrenBeste KeuzeGeen tracking, geen externe partijen voor consent
tuv-nederland.nl4 sterrenAcceptabelSchoon, alleen een ontbrekende beveiligingsheader
considerati.com3 sterren(geen)Matomo en Google Tag Manager voor consent
bitsoffreedom.nl3 sterren(geen)Eigen-gehoste Piwik voor consent, verder schoon
privacycompany.eu2 sterrenRisicoMatomo voor consent
privacyverified.nl2 sterrenRisicoPiwik PRO voor consent, geen weigerknop gevonden
ictrecht.nl2 sterrenPrivacy LekAcht trackers voor consent, zestien blijven na weigeren
dnv.com1 sterPrivacy LekNieuwe cookie na weigeren, CNAME-cloaking
kiwa.com1 sterPrivacy LekTrackers voor consent zonder banner, weigeren werkt niet

De lekken

Kiwa · de certificeerder die zelf geen banner heeft

Kiwa geeft wereldwijd keurmerken en certificaten uit. Op de eigen homepage scoorde Kiwa het slechtste resultaat van de hele sector: 1 ster, Privacy Lek, met de meeste bevindingen van alle negen.

Het begint al voordat je iets kunt kiezen. Ik trof in de “niets doen”-stand vier tracking-cookies aan die gezet worden zonder dat er een cookiebanner verschijnt, plus vier bekende externe trackers die meteen bij het laden afgaan: Google Tag Manager, een Facebook/Meta Pixel, Google AdSense en een Facebook-tracking-pixel in de HTML. Dat is precies het patroon dat een keurmerk-audit bij een klant zou afkeuren.

En weigeren helpt niet. Nadat ik op de weiger-optie klikte, bleven drie tracking-cookies staan en dertien bekende trackers gewoon actief, waaronder Facebook, Cookiebot, Google Tag Manager en Microsoft Azure-monitoring. In de gesimuleerde gebruikerssessie zette YouTube er nog zes third-party cookies bovenop.

Toon wie, wat en waarheen bij kiwa.com
Tracker of cookieWat het is en verstuurtWaarheen / jurisdictie
De vier tracking-cookies voor toestemming
_fbpFacebook-browser-ID (op .kiwa.com, 2 maanden). Koppelt je bezoek aan je Facebook-profiel.Meta, Verenigde Staten
VISITOR_INFO1_LIVEYouTube-bezoeker-ID (5 maanden). Kijk- en apparaatgedrag.Google, Verenigde Staten
YSCYouTube-sessie-ID. Koppelt acties aan je YouTube/Google-sessie.Google, Verenigde Staten
VISITOR_PRIVACY_METADATAYouTube privacy/consent-status (5 maanden).Google, Verenigde Staten
De externe trackers die voor toestemming afgaan
Facebook/Meta Pixel (id 798048319601290)Stuurt een PageView met paginatitel, je _fbp-ID en je vorige URL naar Meta. Via connect.facebook.net en facebook.com/tr, plus een 1x1-pixel in de HTML.Meta, Verenigde Staten
Google Tag Manager (GTM-KHRDHF8)Laadt en dirigeert de hele trackingketen, plus Google Analytics 4 (G-NEFSC0Q3EZ) en Google Ads (AW-16781365530).Google, Verenigde Staten
Google AdSenseStuurt een page_view-conversie-event naar pagead2.googlesyndication.com.Google, Verenigde Staten
Blijft draaien na "weigeren" (selectie uit dertien)
Facebook/Meta PixelBlijft laden en pixelen nadat je hebt geweigerd.Meta, Verenigde Staten
Google Tag Manager + GA4 + AdsBlijven actief na weigeren.Google, Verenigde Staten
CookiebotHet consent-platform zelf (consent.cookiebot.com), dat al vóór je keuze laadt.Cybot, Denemarken (EU)
Microsoft Azure Application InsightsTelemetrie en sessiedata (js.monitor.azure.com, ingest in North Europe).Microsoft, Verenigde Staten
In de gebruikerssessie
YouTube (Set-Cookie)Zet zes third-party cookies (o.a. VISITOR_INFO1_LIVE, YSC) tijdens de normale flow.Google, Verenigde Staten
Fingerprinting (7 bestanden)Canvas, navigator en timezone. Identificeert je ook zonder cookies.vooral Verenigde Staten
42 tracker-ID'sGTM- en GA4-property-ID's teruggevonden in de code.Google, Verenigde Staten

Voor toestemming: 4 tracking-cookies zonder banner (Tw art. 11.7a), 4 externe trackers (AVG art. 28). Weigeren werkt niet (AVG art. 7:3). Uit de meting van kiwa.com, 1 juni 2026, methodiek 2026-06.2. Scoredimensies: A=1 B=1 C=1 D=4 E=3 F=2.

DNV is de andere grote internationale certificeerder in de lijst, en eindigt op dezelfde plek: 1 ster, Privacy Lek. De ernstigste bevinding is hier juridisch het scherpst. Ik zag dat DNV een nieuwe trackingcookie zet nadat er op weigeren is geklikt. Dat is geen grijs gebied: een nieuwe trackingcookie plaatsen na een uitdrukkelijke weigering is een verwerking zonder grondslag.

Daarbovenop verbergt DNV een tracker achter het eigen domein. Ik detecteerde CNAME-cloaking: sgtm.dnv.com ziet eruit als eigen infrastructuur, maar is een server-side Google Tag Manager. Die constructie omzeilt browser-bescherming en adblockers, juist omdat hij op de domeinnaam van het bedrijf zelf staat. Na weigeren bleven nog zes bekende trackers actief (OneTrust, Google Tag Manager, Azure-monitoring, Brightcove), en in de bestanden vond ik fingerprinting en een geobfusceerd script.

Toon wie, wat en waarheen bij dnv.com
Tracker of cookieWat het is en verstuurtWaarheen / jurisdictie
Voor toestemming
Google Tag ManagerLaadt de trackingketen, via googletagmanager.com.Google, Verenigde Staten
sgtm.dnv.com (GTM-P8LHPK)Een server-side Google Tag Manager, vermomd als eigen infrastructuur (CNAME-cloaking). Omzeilt adblockers en browser-bescherming doordat het op het domein van DNV zelf staat.Google, Verenigde Staten (via eigen domein)
Na "weigeren"
Nieuwe tracking-cookieDNV zet een nieuwe trackingcookie nadat je op weigeren klikt. Verwerking zonder grondslag.-
OneTrustConsent-platform (cdn.cookielaw.org, geolocation.onetrust.com), blijft actief na weigeren.OneTrust, Verenigde Staten
Google Tag ManagerBlijft draaien na weigeren.Google, Verenigde Staten
Microsoft Azure Application InsightsStuurt een telemetrie-POST naar northeurope ...applicationinsights.azure.com/v2/track.Microsoft, Verenigde Staten
BrightcoveVideo-tracking (players.brightcove.net).Brightcove, Verenigde Staten
In de bestanden en na scroll
OptimizelyVerschijnt pas na scroll/interactie (login.optimizely.com). A/B-test en gedrag.Optimizely, Verenigde Staten
Fingerprinting (2 bestanden)Navigator en timezone, in het GTM- en cookielaw-bestand.Verenigde Staten
ObfuscatieEén bestand voert code uit vanuit base64-decoded strings (atob plus eval). Ondoorzichtig voor controle.Google (GTM), Verenigde Staten
31 tracker-ID'sGoogle Analytics 4 plus veel Google Ads-conversie-ID's, teruggevonden in de code.Google, Verenigde Staten

De scherpste bevinding (nieuwe cookie na weigeren) raakt AVG art. 6; de cloaking AVG art. 5(1)(a) en 13. Uit de meting van dnv.com, 1 juni 2026, methodiek 2026-06.2. Scoredimensies: A=1 B=1 C=1 D=4 E=2 F=2.

ICTRecht · het juridisch advies dat zelf zestien trackers laat staan

ICTRecht verkoopt juridisch privacy-advies. De homepage staat op 2 sterren, Privacy Lek. Ik trof acht bekende trackers aan voordat er toestemming was: Google Tag Manager, de hele HubSpot-suite en Google AdSense, plus een eigen-gehoste Google Analytics 4 op sst.ictrecht.nl. Na weigeren bleven er zestien trackers actief, het hoogste aantal van de sector. In de gebruikerssessie kwamen daar twaalf third-party cookies bij.

Toon wie, wat en waarheen bij ictrecht.nl
Tracker of cookieWat het is en verstuurtWaarheen / jurisdictie
De acht trackers voor toestemming
sst.ictrecht.nl (GA4, G-NKMF265PYH)Een eigen-gehoste Google Analytics 4, vermomd als eigen domein. Stuurt een page_view met de paginatitel, je regio (NL-GE) en je client-ID door naar Google.Google, Verenigde Staten (via eigen domein)
Google Tag Manager (GTM-NRV4M24)Laadt de trackingketen.Google, Verenigde Staten
HubSpot AnalyticsBezoek- en gedragsanalyse (js-eu1.hs-analytics.net).HubSpot, Verenigde Staten (EU-hosting)
HubSpot BannerMarketing-banner (js-eu1.hs-banner.com).HubSpot, Verenigde Staten (EU-hosting)
HubSpot (suite)Lead-tracking en CTA's via app-eu1, cta-eu1, track-eu1.hubspot.com.HubSpot, Verenigde Staten (EU-hosting)
Google AdSenseAdvertentie- en conversie-event (pagead2.googlesyndication.com).Google, Verenigde Staten
Na "weigeren"
16 trackers blijven actiefDe hele HubSpot-suite, GTM en Cloudflare blijven draaien. Het hoogste aantal van de sector.vooral Verenigde Staten
__cf_bm (12x)Twaalf third-party cookies via Set-Cookie in de gebruikerssessie, door HubSpot- en Cloudflare-hosts.HubSpot / Cloudflare, Verenigde Staten
In de bestanden
Fingerprinting (3 bestanden)Audio, canvas, webgl, webrtc, screen en timezone, in GTM en HubSpot Analytics.Google / HubSpot, Verenigde Staten
3 tracker-ID'sGTM-NRV4M24, GA4 G-NKMF265PYH en een oude Universal Analytics UA-5850898-1.Google, Verenigde Staten

Acht trackers voor toestemming (AVG art. 28 + Tw 11.7a), een eigen-domein-GA4 (AVG art. 5), zestien blijven na weigeren (AVG art. 7:3). Uit de meting van ictrecht.nl, 1 juni 2026, methodiek 2026-06.2. Scoredimensies: A=1 B=1 C=2 D=5 E=3 F=3.

De middenmode

Vier organisaties zitten in het midden, met 2 of 3 sterren. Het patroon is hier milder maar consistent: een analyse-tracker die afgaat voordat je toestemming hebt gegeven.

De goede voorbeelden

Het kan dus wel, en twee partijen laten zien hoe.

Privacy First scoort als enige in de sector 5 sterren, Beste Keuze, met een vlekkeloze rij dimensies (A tot en met E op het maximum). Ik vond geen tracking en geen externe partijen die voor consent afgaan. De enige twee kanttekeningen zijn mild: een Referrer-Policy-instelling en één timezone-detectie in Simple Analytics, een privacyvriendelijke analyse-dienst. Bij Privacy First is weigeren niet eens nodig, want er valt niets te weigeren.

TÜV Nederland komt op 4 sterren, Acceptabel. De enige bevinding is een ontbrekende beveiligingsheader (HSTS), verder is de site schoon. Dat is het bewijs dat een certificeerder wel degelijk een nette eigen site kan hebben.

Hoe de Nationale Privacy Index dit meet

De score is geen mening. Elke site wordt langs zes dimensies gelegd, elk van 0 (slecht) tot 5 (goed), met een eigen weging.

Toon de zes dimensies
DimensieDe vraagWeging
A · ToestemmingKun je trackers weigeren?25%
B · VerspreidingMet hoeveel partijen wordt je bezoek gedeeld?20%
C · Data-uitstuurWordt je data daadwerkelijk doorgestuurd?20%
D · BewaartermijnHoe lang bewaren ze het?10%
E · JurisdictieOnder welk recht valt de organisatie?15%
F · Transparantie en beveiligingHoe transparant en veilig is de techniek?10%

Het zwaarst weegt of je trackers kunt weigeren (A, 25%). Precies op die dimensie scoren Kiwa, DNV en ICTRecht een 1.

Hoe hard is elke laag?

Bevinding Hardheid Bron
Kiwa, DNV en ICTRecht op Privacy Lek (juni 2026) hard eigen NPI-scan, run 1 juni 2026
Kiwa: trackers voor consent zonder banner hard scan-stand “niets doen”
Kiwa en DNV: weigeren werkt niet hard scan-stand “weigeren”, delta-meting
DNV: nieuwe cookie na weigeren hard scan-delta na weiger-klik
DNV: CNAME-cloaking op sgtm.dnv.com hard DNS-resolve tegen 1.1.1.1
Privacy First 5 sterren, schoon hard eigen NPI-scan
Aantal tracker-ID’s (42 bij Kiwa, 31 bij DNV) hard, controleer parsing tracker-bestanden
“Sector scoort slechter dan gemiddeld” redenering vergelijking met de bredere index
Gedrag op echte klantsites van de certificeerders open NPI meet de eigen homepage, niet hun audits

Wat dit voor jou betekent

Methode

De meting komt uit de Nationale Privacy Index van 1 juni 2026, methodiek-versie 2026-06.2. Ik laad elke site in een schone browsersessie (geen cache, geen cookies, geen opslag) in drie standen: niets doen, alles weigeren, alles accepteren. Per stand leg ik cookies, netwerkverzoeken, opslag en HTML vast. Daarna volgt een gesimuleerde gebruikerssessie (banner accepteren, scrollen) waarvan ik de volledige netwerk-trace bewaar, en haal ik de geladen tracker-bestanden op om ze te ontleden op tracker-ID’s, fingerprinting-API’s en obfuscatie. CNAME-cloaking stel ik vast via DNS-resolves tegen 1.1.1.1. De zes dimensies en de eindscore volgen uit die meetwaarden, niet uit een handmatig oordeel. De bevindingen zijn patroonherkenning en een startpunt voor handmatig onderzoek, geen juridisch eindoordeel.

Wat nog open staat

Bronnen en verantwoording

De technische bevindingen zijn eigen metingen uit juni 2026. Een score is een momentopname van de gemeten homepage en geen volledig oordeel over de organisatie.

← terug naar artikelen