Artikel · 22 mei 2026

Reactie op de publieke verklaring van Pels Rijcken

Pels Rijcken citeert het cybersecurity-bedrijf Northwave om twee bevindingen te weerleggen. Het CNAME-punt was al vóór publicatie gecorrigeerd en stond niet in het BNR-artikel; het jurisdictie-punt mist de CLOUD Act-laag die het hele Schrems II-debat definieert. Het overgrote deel van de bevindingen blijft onweerlegd, en is door Pels Rijcken zelf erkend en geremedieerd.

Het kantoorpand van Pels Rijcken met de naam op de gevel, bij een reactie op hun publieke verklaring over het cookiebeleid. — Reactie op de publieke verklaring van Pels Rijcken over de berichtgeving van BNR Nieuwsradio.

Op 22 mei 2026 publiceerde Pels Rijcken een reactie op de berichtgeving van BNR Nieuwsradio over hun cookiebeleid. Daarin citeren zij conclusies van het cybersecurity-bedrijf Northwave die mijn bevindingen “in de gepresenteerde vorm technisch onjuist en misleidend” zouden noemen. Hieronder de feitelijke stand van zaken.

De twee punten die Pels Rijcken aanvoert

Pels Rijcken citeert Northwave op twee specifieke conclusies:

De term “CNAME-cloaking” zou onjuist zijn toegepast.
De bewering dat data onder Amerikaanse jurisdictie valt, zou “niet onderbouwd en vermoedelijk onjuist” zijn.

Beide punten verdienen een feitelijk antwoord.

Het CNAME-cloaking-punt betreft een interpretatie die niet in de gepubliceerde berichtgeving voorkomt

Tijdens de wederhoor circuleerde in een vroege uitwisseling met BNR een interpretatie waarin DNS-aliasing van Hotjar werd beschreven als “CNAME-cloaking”. Bij nadere analyse bleek dat het Hotjar’s eigen interne CDN-keten betrof (static.hotjar.com naar static-cdn.hotjar.com), niet een subdomein van pelsrijcken.nl dat een tracker camoufleerde.

Dit punt is door mij gecorrigeerd voordat het BNR-artikel werd gepubliceerd. Het artikel van 22 mei bevat de CNAME-cloaking-claim niet. Mijn definitieve dossier (versie 1.1, cryptografisch tijdgestempeld op 20 mei 2026, in handen van Pels Rijcken sinds die datum) bevat de claim evenmin in deze vorm.

Northwave’s analyse betreft dus een interpretatie die op het moment van publicatie geen onderdeel meer was van de gepubliceerde berichtgeving of van het definitieve dossier. Het is mij niet bekend op welke versie van de bevindingen Northwave’s analyse is uitgevoerd. Het volledige Northwave-rapport is mij niet ter beschikking gesteld; Pels Rijcken citeert er publiek één alinea uit.

Northwave is een gerespecteerd Nederlands cybersecurity-bedrijf. Deze constatering is geen kritiek op hun werk, wel op de presentatie ervan als weerlegging van een claim die in de gepubliceerde berichtgeving niet voorkomt.

De Amerikaanse-jurisdictie-vraag: serverlocatie versus juridisch bereik

Pels Rijcken stelt dat Hotjar-data binnen de EU wordt verwerkt en dat de Amerikaanse-jurisdictie-claim daarmee onjuist is. Hier is juridische nuance van belang.

Wat klopt: Hotjar’s primaire dataopslag is volgens hun eigen Data Processing Addendum gevestigd in Ierland (AWS eu-west-1). De fysieke servers staan dus in de EU. Pels Rijcken heeft op dit punt gelijk dat de servers niet in Amerika staan, maar zo staat dat ook nergens in het BNR-artikel. De berichtgeving claimt niet dat de servers fysiek in de Verenigde Staten staan; de claim gaat over jurisdictie, niet over geografie. Daarmee weerlegt Northwave een stelling die niet is gedaan.

Wat ontbreekt in deze analyse: AWS (Amazon Web Services) is een dochter van Amazon.com Inc., een in de Verenigde Staten geïncorporeerd bedrijf. Onder de Amerikaanse CLOUD Act van 2018 zijn Amerikaanse bedrijven verplicht om data te overhandigen aan Amerikaanse autoriteiten ongeacht waar die data fysiek wordt opgeslagen. Het Schrems II-arrest van het Europees Hof van Justitie (zaak C-311/18, juli 2020) heeft expliciet vastgesteld dat onder deze constellatie aanvullende waarborgen vereist zijn. Standard Contractual Clauses alleen volstaan niet.

Het EDPB heeft in haar Recommendations 01/2020 vastgesteld dat de enige effectieve aanvullende waarborg in deze gevallen customer-managed encryption is met sleutels onder Europees beheer. Zonder zulke maatregelen blijft de Schrems II-zorg bestaan, ook bij EU-serverlokaties op Amerikaanse cloud-infrastructuur.

Voor Hotjar specifiek geldt deze CLOUD Act-blootstelling. Voor Google Analytics en Google Ads, de hoofdas van het verhaal in het BNR-artikel, gaat de data bovendien daadwerkelijk naar Google LLC in Mountain View, Californië. De Oostenrijkse DSB (zaak D155.027 van december 2021), de Franse CNIL (februari 2022) en de Italiaanse Garante (juni 2022) hebben dit feitenpatroon eerder onrechtmatig verklaard. Pels Rijcken’s publieke reactie weerlegt deze hoofdbevinding niet.

Wat Pels Rijcken zelf erkent

In hun publicatie van 22 mei stelt Pels Rijcken expliciet: “Twee andere bevindingen, zijn wel juist en door ons onmiddellijk opgelost.” De punten die zij erkennen en hebben geremedieerd vormen het grootste deel van de oorspronkelijke bevindingen:

Pre-consent loading van tracking-scripts op werkenbijpelsrijcken.nl
Cookies van derde partijen die niet correct in de cookieverklaring vermeld stonden
De aanpassing van hun monitoring-werkwijze van maandelijkse naar dagelijkse scans

Daarmee staat het overgrote deel van de bevindingen, inclusief de Schrems II-relevante doorgifte aan Google LLC, onweerlegd.

De staande bevindingen op basis van metingen van 13, 15 en 18 mei 2026

Pre-consent loading: Google Tag Manager, Google Fonts en jQuery werden geladen voordat bezoekers van werkenbijpelsrijcken.nl konden kiezen. Telecommunicatiewet artikel 11.7a.
Weigeren-knop niet effectief: vijf hosts bleven actief op werkenbijpelsrijcken.nl na klikken op “Weigeren”. AVG artikel 7 lid 3.
Doorgifte aan Google LLC: persistente client-identifiers (399 dagen geldig) en device-profielen naar Google in Californië, onder CLOUD Act-jurisdictie. AVG artikelen 44 tot en met 49, Schrems II.
Privacyverklaring onvolledig: vendors zoals Google Analytics, Google Ads en Hotjar werden 0 keer benoemd in 24.161 tekens van de verklaring. AVG artikel 13 lid 1 sub e en sub f.
Hotjar session-recording zonder publieke DPIA: vereist onder AP-richtsnoeren over session-replay van mei 2023.

De ruwe meetdata, HAR-bestanden en OpenTimestamps-stempels zijn beschikbaar voor verificatie door derden.

Slot

Pels Rijcken geeft in hun publieke reactie aan dat zij privacy serieus nemen en hun werkwijze hebben aangepast. Dat verdient erkenning. De wederhoor heeft aantoonbaar gewerkt: tussen 18 en 21 mei zijn de zwaarste schendingen op de homepage daadwerkelijk verwijderd. Dat is precies de bedoeling van forensische metingen gevolgd door publicatie.

Een publieke weerlegging is sterker wanneer zij is gericht op wat feitelijk is gepubliceerd. Het Northwave-citaat in Pels Rijcken’s reactie betreft een interpretatie die in het BNR-artikel niet voorkomt, en mist op het tweede punt de CLOUD Act-laag die het hele Schrems II-debat juist definieert.

De Nationale Privacy Index op mickbeer.com bevat 177 Nederlandse organisaties, waaronder Pels Rijcken. De methodologie is openbaar. Alle metingen zijn reproduceerbaar met standaard web-inspectie en publiek beschikbare tools.

Vragen, verificatie of opvragen ruwe data: contact via mickbeer.com.

← terug naar artikelen