Er zijn van die regels die geen interpretatie nodig hebben.
Op de site van De Kiesraad — de onafhankelijke commissie die de organisatie en uitslagen van de Nederlandse verkiezingen bewaakt — laadt de tracking-infrastructuur met deze configuratie:
"respectVisitorsPrivacy": false,
Niet eens een retorische vraag. Geen abstracte tracker-flow. Eén veld in een config, expliciet ingesteld op false.
Wat de scan vond
Bij elk bezoek aan kiesraad.nl, vóór enige toestemming, zonder cookiebanner:
5 tracking-cookies geplaatst:
stg_traffic_source_prioritystg_last_interactionstg_returning_visitor_pk_id.75718efd-…_pk_ses.75718efd-…
Tracker geladen: statistiek.rijksoverheid.nl → Piwik PRO.
Maar statistiek.rijksoverheid.nl is geen Rijksoverheid-server. Via DNS:
statistiek.rijksoverheid.nl → rijksoverheid.piwik.pro
Klassieke CNAME-cloaking: het subdomein lijkt first-party (rijksoverheid.nl), maar resolved naar een externe Piwik-tenant. De browser ziet een first-party cookie; tracker-blokkers herkennen geen Piwik-domein. Identiek aan wat de Belastingdienst doet met Adobe.
Daarbij: 6 POST-requests met body naar statistiek.rijksoverheid.nl (Piwik-ingest) tijdens een gewone pagina-load. Data wordt actief verzonden, niet alleen geladen.
Waarom dit ertoe doet
De Kiesraad is geen commerciële uitgever. Het is het orgaan dat:
- de uitslagen van Tweede Kamer-, Eerste Kamer- en Europese verkiezingen vaststelt
- adviseert over de organisatie van het kiesproces
- de onafhankelijkheid van het stemproces moet uitstralen
Wie het verkiezingsproces wil snappen, of wie wil weten waar ze moeten stemmen, gaat naar kiesraad.nl. Dat bezoek wordt nu zonder toestemming gelogd en met persistente identifier doorgegeven aan een tracking-platform.
Beleidscontext
- Telecommunicatiewet art. 11.7a — vereist toestemming vóór het plaatsen van cookies. Kiesraad: 5 cookies, geen banner.
- AVG art. 5(1)(a) — transparantie + art. 13 — CNAME-cloaking verbergt actief wie de verwerker is. Bezoekers kunnen niet wéten wat er gebeurt als het ontwerp dit voor hen verbergt.
- AVG art. 6 — grondslag —
respectVisitorsPrivacy: falseis geen rechtsgrondslag. - Kamerbrief Van Huffelen + Adriaansens, 5 september 2023 (Kamerstuk 32 761-286) — “geen third-party cookies of andere tracking op overheidssites, ongeacht het verkrijgen van toestemming”.
Twintig maanden later staat de truc nog steeds aan op de Kiesraad-site. Met letterlijk respectVisitorsPrivacy: false als configuratie-waarde.
Wat er moet gebeuren
- Trekker uit. Geen Piwik PRO op kiesraad.nl tot er een geldige rechtsgrondslag en een functionele consent-flow is.
- CNAME-cloaking weg uit het Rijksoverheid-DNS-bestand. Een
*.rijksoverheid.nl-subdomein dat extern resolved is een misleiding van de bezoeker. - Documenteer per overheidssite welke trackers actief zijn, naar welke partij ze versturen, en onder welke rechtsgrondslag. Publiek leesbaar, met datum.
- Honor de Kamerbrief. De toezegging “geen tracking ongeacht toestemming” is van september 2023. Het is mei 2026.
De volledige scan-output (BeforeYouMick v3.8, gemeten 14 mei 2026) is op aanvraag beschikbaar.