Op wie heb jij gestemd? En heb je daarmee ook op privacy gestemd?
Dat zijn niet altijd dezelfde keuzes. Op 18 mei 2026 heb ik zestien Nederlandse politieke-partijwebsites gemeten met dezelfde forensische methode die ik eerder toepaste op nieuwssites, ziekenhuizen, advocaten en hulpverleningsorganisaties. Drie scans per site: één zonder klik op de cookiebanner, één na alles weigeren, één na alles toestaan. Eén extra HAR-capture per site die de echte gebruikersflow nabootst — scrollen, klikken, formulieren openen. Wat overblijft is een meting die niemand op mijn woord hoeft aan te nemen: de raw scan-data en HAR-bestanden zijn beschikbaar, de scoring-logica is open-source, de drempels staan in code.
De uitkomst valt grofweg in drie groepen. Eén partij haalt de hoogste score in de gehele Nationale Privacy Index van 177 organisaties. Eén partij eindigt onderaan. Daartussen zit een grijs midden, en twee partijen die hun tracking-infrastructuur op eigen subdomeinen draaien — wat de adresbalk geruststellender maakt dan de werkelijkheid.
Vier verhalen springen eruit.
1. DENK — vijf sterren, met een caveat
DENK is de enige partij die vijf sterren scoort. Sterker: DENK is op de hele Nationale Privacy Index van 177 Nederlandse organisaties de enige vijf-sterren-meting tot nu toe.
Dat is geen vanzelfsprekendheid. Twee weken eerder, op 10 mei, droeg denk.nl (die doorverwijst naar www.bewegingdenk.nl) nog een Hotjar-installatie. Hotjar is een session-replay tool: het neemt muisbewegingen, scrollen en in veel gevallen formulier-input op, en speelt die af voor analyse-doeleinden. Voor een bezoeker van een politieke partij die iets typt en weer wist, is dat een direct privacy-relevant ingrediënt.
Tussen 10 en 17 mei stond Hotjar in elke meting nog actief — onder accept-modus laadde static.hotjar.com en script.hotjar.com mee. Op 18 mei niet meer. In geen enkele consent-conditie (noop, refuse, accept). Ook niet in een aanvullende headed-stealth meting met realistische gebruikersinteractie: cold visit, scroll, menu-hover, navigatie naar /contact/ en /vacatures-stages/, formulier-focus, idle-fase met geforceerde mouse-events. In 257 HAR-entries: nul requests naar Hotjar, nul WebSocket-verbindingen, nul Beacon-API-aanroepen, nul third-party POSTs.
Tegelijk is er een caveat die hier hoort. De Hotjar-snippet zelf — met hjid: 2154737 — staat nog steeds in de HTML van homepage, /contact/ en /vacatures-stages/. Het script wordt geblokkeerd door de GDPR-Cookie-Consent-plugin via twee mechanismen: het type="text/plain"-attribuut voorkomt browser-uitvoering, en data-cli-block="true" houdt de plugin het script geblokkeerd onder de geteste consent-condities. Het werkt — geen Hotjar-uitstuur — maar de aanwezigheid van de snippet betekent dat een plugin-update of een misclassificatie de blokkade kan ongedaan maken.
Het verschil tussen 10 mei en 18 mei is dus echt. Tegenspraak werkt. De vijf sterren gelden zolang de blokkade-configuratie staat. De aanbeveling — die ik aan DENK heb gemeld — is om de snippet uit de HTML te halen, niet alleen te blokkeren. Een tracker die er niet meer is, kan ook niet per ongeluk weer aanstaan.
De volledige verificatie staat in DENK_5STAR_VERIFICATIE.md, met HAR-bestand (22 MB) en netwerk-log als bewijsstukken.
2. PVV — vier sterren door de achterdeur
PVV op vier sterren. Onder de partij die het minst om internationale samenwerking vraagt, blijken ook de minste internationale dataverbindingen te bestaan. Geen trackers, geen externe domeinen, geen analytics. Een Joomla-sessiecookie, een lokaal-gehoste consent-plugin. Dat is het.
Toch geen vijf sterren. Reden: één van de zes sub-categorieën meet transport-beveiliging en HTTP-headers (HSTS, CSP, Referrer-Policy, cookie-flags). PVV heeft geen HSTS, geen CSP, en de sessiecookie staat zonder Secure-vlag. Dat trekt de gemiddelde score terug. De partij verzamelt geen data — maar beveiligt de minimale data die zij wél verwerken niet stevig genoeg om de top-score te halen.
Onverwacht voor een lezer die alleen op ideologie afgaat: deze meting bekijkt geen partijprogramma. Een privacy-meting kijkt naar wat een server feitelijk doet — wie er resources van ophaalt, welke cookies er worden gezet, wat er na een refuse-klik nog laadt. Niet naar wat partijleden over privacy zeggen of vinden. PVV zit op vier sterren omdat hun website technisch geen tracking heeft, niet omdat hun publieke standpunten over digitale rechten daarop wijzen.
3. Partij voor de Dieren — tracking onder eigen merknaam, infrastructuur in de VS
Partij voor de Dieren staat op twee sterren met het keurmerk Privacy Lek. Twee bevindingen vormen samen het verhaal.
De eerste: https://analytics.partijvoordedieren.nl/piwik.js laadt zodra een bezoeker de homepage opent. Vóór consent. De naam suggereert eigen infrastructuur — analytics.partijvoordedieren.nl is technisch een subdomein van de partij, en dus first-party in de adresbalk en first-party voor browsers die third-party-cookies blokkeren. Functioneel is het een Piwik/Matomo-tracker.
De tweede bevinding is wat het verhaal kantelt. De DNS-resolutie van dat subdomein wijst naar 52.174.88.89. Een whois-lookup brengt het toe aan Microsoft Corporation, AS8075, NetName MSFT. Het is een Microsoft Azure-IP-adres, gelokaliseerd in de Verenigde Staten.
Voor een bezoeker is dat onzichtbaar. Voor het AVG- en het Cloud Act-regime is het beslissend. Microsoft kan onder de Amerikaanse Cloud Act en FISA-702 worden verplicht om data af te staan aan Amerikaanse autoriteiten, ongeacht waar de data fysiek is opgeslagen, en zonder dat de Europese betrokkene of de Nederlandse organisatie daarvan op de hoogte hoeft te zijn. De “eigen analytics” van een Nederlandse politieke partij draait op infrastructuur die onder Amerikaans recht valt.
Dit is geen geïsoleerde casus. Het is het derde voorbeeld in een korte reeks dossiers op deze site die hetzelfde patroon laten zien: de Belastingdienst die Adobe-trackers inzet, de Mijn Toeslagen-app die naar een Azure-backend in de VS communiceert, en nu een politieke partij die haar bezoekersanalyse via dezelfde jurisdictie laat lopen. Het hoofddossier Het Nederlandse privacy-stelsel plaatst dit in de bredere context.
Daarnaast verzendt de site drie POST-requests met body-data naar sentry.yournext.agency. Sentry is een fouten-rapportagedienst die in principe persoonsgegevens kan bevatten (URL-paden, IP, user-agent, gebruikersacties als breadcrumbs). DNS-controle laat zien: deze host staat op Hetzner Duitsland — EU-jurisdictie, geen Cloud Act-issue. Wel een verwerker die in de privacyverklaring benoemd hoort te zijn.
De eerste bevinding wordt in de meet-methodiek geclassificeerd als KRITIEK (een tracker vóór consent op een eigen subdomein is normatief altijd een 2★-floor), de tweede als ERNSTIG. Daarmee komt PvdD op twee sterren.
4. NSC — geen meetbare site
nsc.nu doet sinds ten minste 16 mei 2026 een HTTP 302-redirect naar https://nordby.se — een Zweeds winkelcentrum. Bij elke meting (16, 17, 18 mei) was het patroon hetzelfde:
$ curl -sI https://nsc.nu/
HTTP/1.1 302 Moved Temporarily
Location: https://nordby.se
De scanner volgt de redirect en meet daar wat er gebeurt. Het resultaat — 78 first-party requests naar nordby.se, een Facebook Pixel met domain=nordby.se, Google Tag Manager, GA4, DoubleClick — is daardoor het gedrag van een Zweeds winkelcentrum, niet van Nieuw Sociaal Contract. Er bestaat op moment van publicatie geen NSC-meting die toerekenbaar is aan de partij zelf. nieuwsociaalcontract.nl blijkt een lege placeholder-pagina (zwart scherm, geen content).
In de Nationale Privacy Index staat bij NSC daarom een methodologische opmerking: geen meting beschikbaar zolang het officiële domein onbekend is. De partij is om opheldering gevraagd; bij identificatie van een feitelijk domein volgt een aparte meting.
Dit is in de eerste plaats geen privacy-feit maar een bestuurlijk feit. Een politieke partij waarvan het meest-getypte domeinnaam-adres ergens anders heen wijst — en die geen evident actieve eigen website-aanwezigheid heeft op het tweede voor de hand liggende adres — heeft een communicatie-probleem dat boven de scope van een privacy-meting uitstijgt.
Wat veranderde tussen 13 en 18 mei
Drie dingen.
Een. De scoring-logica is bijgesteld. Een KRITIEK-bevinding (een tracker vóór consent — een harde Telecommunicatiewet-overtreding) capt de eindscore nu hard op twee sterren, ongeacht hoe de andere sub-categorieën uitvallen. Eerder was die cap er niet, met het gevolg dat 51 sites met een KRITIEK-bevinding desondanks op drie sterren stonden. Onder die 51 zaten ook Partij voor de Dieren en SGP. De cap-fix staat in code op tools/build_ranking_hackedemia.py:1740-1748 en raakt naast de twee partijen ook 49 andere organisaties — advocaten, hulpverlening, energie, media, retail, ziekenhuizen, zorg-IT. De partij-update is een onderdeel van een bredere correctie, niet een op zichzelf staande aanval op specifieke partijen.
Twee. DENK ging omhoog na een melding. De Hotjar-installatie die op 10 en 17 mei nog actief was, was op 18 mei verdwenen — naar aanleiding van een melding over de bevinding. Die ene casus is reden om deze methode überhaupt te doen: meting → tegenspraak → correctie → reproduceerbare verificatie. Niet alle organisaties reageren zo. 113 Zelfmoordpreventie deed het eerder ook (dossier hier). DENK is een tweede voorbeeld dat dit type respons feitelijk mogelijk is.
Drie. NSC bleek geen meting te ondersteunen. De oorspronkelijke meting op 16 mei werd toen toegerekend aan NSC; bij nadere DNS-controle op 18 mei bleek de redirect-keten. De Index is gecorrigeerd met een methodologische opmerking; de mailcorrespondentie met NSC is geherformuleerd tot een verzoek om opheldering, niet een beschuldiging.
Vijf partijen op twee sterren — drie patronen
De vijf partijen die op twee sterren staan, doen niet allemaal hetzelfde. Drie patronen:
Refuse-bypass — D66, ChristenUnie, NSC. De “alles weigeren”-knop op de cookiebanner laadt de tracker-set niet daadwerkelijk uit. Bij D66 blijven na een weiger-klik zeven trackers (YouTube-resources, Google) actief; bij ChristenUnie blijft Google Tag Manager en GA4 lopen; bij NSC (in de meting van de redirect-doelsite) springt het cookie-aantal van nul naar zeven na klik op weigeren. Onder de Telecommunicatiewet artikel 11.7a en AVG artikel 7(3) moet toestemming net zo eenvoudig in te trekken zijn als te geven. Een knop die de trackers niet stopt voldoet daar niet aan.
First-party hosted tracking — Partij voor de Dieren, SGP. Tracking-scripts worden geserveerd vanaf een eigen subdomein. Bij PvdD: analytics.partijvoordedieren.nl (Piwik). Bij SGP: ywt.sgp.nl (Google Analytics 4 en Google Tag Manager). DNS-controle bij SGP: ywt.sgp.nl resolved naar 31.14.97.74, een TransIP NL-IP — dus géén CNAME naar Google, maar een eigen reverse-proxy op Nederlandse infrastructuur die Google-scripts doorserveert onder de sgp.nl-domeinnaam. Of er via die proxy onderliggend third-party tracking-verkeer naar Google stroomt is technisch mogelijk, maar uit DNS alleen niet aan te tonen — dat zou een diepere meting vragen. Wat wel vaststaat: een tracker-script wordt vóór consent geladen en is voor browsers/blockers niet als zodanig herkenbaar omdat het van het eigen domein komt. Onder AVG artikel 5(1)(a) — transparantie — is dat de relevante bevinding.
CDA staat op één ster, om een andere reden. Niet door de cap-fix, niet door een specifieke KRITIEK-bevinding, maar door optelsom: negen externe hosts (CookieYes-CMP, Google Tag Manager, fonts, ReadSpeaker, een Cloudflare-distributiehost), fingerprinting-API’s in scripts, en third-party POST-requests met body. De score is een gemiddelde van zes sub-categorieën; bij CDA staan meerdere sub-scores laag tegelijk.
JA21 op twee sterren — geen cookiebanner. Bij JA21 mat de scanner één KRITIEK, zeven ERNSTIG en twee LET OP-bevindingen. Specifiek opvallend: er werd geen cookiebanner gedetecteerd, terwijl er wel tracking-cookies werden gezet voordat een bezoeker enige interactie kon hebben. Dat is direct in strijd met de Telecommunicatiewet artikel 11.7a.
Juridisch kader
Drie wettelijke kaders zijn hier relevant.
Telecommunicatiewet artikel 11.7a. Cookies en vergelijkbare technieken die geen “strikt noodzakelijke” functie vervullen mogen pas worden geplaatst nadat de gebruiker daarover is geïnformeerd en daarvoor toestemming heeft gegeven. Een knop om die toestemming te weigeren moet werken. Op de gemeten partijwebsites is aan ten minste één van deze voorwaarden niet voldaan bij ChristenUnie, D66, JA21, NSC-meting (op de redirect-doelsite), SGP, Partij voor de Dieren, CDA en VVD.
AVG artikel 5(1)(a) — transparantie. Persoonsgegevens moeten “rechtmatig, behoorlijk en transparant” worden verwerkt. First-party-hosting van extern-tracker-software op een eigen subdomein zonder dat in de privacyverklaring de feitelijke verwerker (Google, Matomo, Sentry, Microsoft) wordt benoemd, schuurt met de transparantie-eis. PvdD en SGP raken deze norm.
Cloud Act en FISA-702 (VS-recht, met EU-doorwerking). Persoonsgegevens die bij een Amerikaanse cloud-provider terechtkomen kunnen onder Amerikaans recht worden gevorderd, ongeacht waar het datacenter staat. Het Schrems II-arrest van het Hof van Justitie EU (2020) beperkt overdracht naar zulke jurisdicties scherp. Bij PvdD’s analytics.partijvoordedieren.nl (Microsoft Azure US) raakt deze norm direct. Het hoofddossier Het Nederlandse privacy-stelsel plaatst deze categorie in een breder verband.
Dit is geen juridisch advies. Het is een aanduiding van de normen waar de bevindingen tegenaan staan; een Autoriteit Persoonsgegevens-melding of een advocatenbrief zou de feiten zelfstandig moeten beoordelen.
Methodiek en reproduceerbaarheid
De zestien sites zijn gescand op 18 mei 2026 met BeforeYouMick versie 3.8 — een eigen, open-source meetinstrument. Per site drie modes (noop, refuse, accept), één HAR-capture-fase met realistische gebruikersinteractie, plus content-analyse van gedownloade tracker-bestanden. Stealth-modus aan (anti-bot-detectie), browser headed waar nodig.
De raw scan-data per partij staat in runs/2026-05-18_politieke-partijen_v3.8/ — per partij een JSON-bestand, een markdown-rapport en een HAR-bestand. De DENK-verificatie heeft een eigen aanvullende headed-stealth meting met HAR-bestand (22 MB) en netwerk-log; volledig beschreven in DENK_5STAR_VERIFICATIE.md.
De scoring-logica — sub-stars per categorie, KRITIEK/ERNSTIG/HOOG-caps, sterren-aggregatie — staat in tools/build_ranking_hackedemia.py. De audit-controle die de samenhang van meting, sub-scores, eindscore en gerenderde HTML verifieert staat in tools/audit_ranking.py en draait clean (0 issues, 177 sites) op de huidige Index-versie.
Iemand die deze meting wil reproduceren kan dat. De drempels staan in code, de scans zijn opgeslagen, de HARs zijn vastgelegd. Wie bij een partij een andere uitkomst meet, is uitgenodigd om dat met methode en data te onderbouwen — dat is hoe deze meting blijvend correct kan worden gemaakt.
Op wie heb je gestemd?
Een privacy-meting beoordeelt niet welk programma het beste is, welke fractie het meest representatief is, of welke ideologie het overtuigendst spreekt. Dat is jouw werk.
Een privacy-meting beoordeelt wel hoe de digitale infrastructuur van een partij zich gedraagt tegenover een bezoeker die nog niets gezegd heeft. Vóór de klik op “akkoord”, vóór de keuze om iets in te tikken. Of de partij vóór jouw consent al een tracker laadt. Of er een knop is waarmee je dat kunt stoppen. Of die knop werkt. Of de “eigen” infrastructuur ergens anders staat dan de naam doet vermoeden.
Dat is wat dit onderzoek meet. Niet wat ze zeggen. Wat ze doen.
Op wie heb jij gestemd? En had je dezelfde partij gekozen als je dit had geweten?
De volledige zestien-partij-meting met per-partij forensische analyse staat op mickbeer.com/nationale-privacy-index/ (klik op een partij voor het case-file). Het bredere verband — waarom Nederlandse organisaties zo systematisch op US-cloud-infrastructuur uitkomen, en wat dat betekent voor digitale soevereiniteit — staat in het hoofddossier Het Nederlandse privacy-stelsel.
Vragen, tegenspraak, of een interview-aanvraag: via mickbeer.com/contact/. De vijf partijen die in deze meting van drie naar twee sterren zakken zijn vooraf gemaild over de specifieke bevindingen, met een 48-uurs venster voor feitelijke reactie of aankondiging van een fix; reacties worden bij ontvangst in deze publicatie verwerkt.