Honderden Nederlandse gemeenten hebben zonder toestemming gegevens van websitebezoekers gedeeld met Amerikaanse techbedrijven. Het gaat om data die via cookies, pixels en ingesloten diensten worden verzonden. De praktijken spelen op gemeentelijke websites in heel Nederland en kwamen recent aan het licht. Dit raakt ook Europese digitalisering en gevolgen bedrijfsleven, omdat dezelfde privacyregels gelden voor alle websites.
Gemeenten schenden privacyregels
Op diverse gemeentelijke websites worden meet- en advertentietools automatisch geladen. Daardoor gaan gegevens al naar derden vóórdat bezoekers een keuze hebben gemaakt in de cookiebanner. Dat is problematisch, omdat voor niet-noodzakelijke cookies altijd vooraf toestemming nodig is. Ook publieke diensten moeten zich hieraan houden.
De betrokken data zijn vaak het IP-adres, apparaatkenmerken en bezochte pagina’s. Soms komen daar zoektermen of formulierdetails bij, bijvoorbeeld via een analytics-script of een pixel. Zulke gegevens gelden als persoonsgegevens onder de AVG. De verwerking zonder geldige grondslag kan onrechtmatig zijn.
De ontvangers zijn veelal grote Amerikaanse platforms en cloudleveranciers. Denk aan advertentie- en analysetools van Google en Meta, of sessie-opnames via Microsoft Clarity. Ook ingesloten video’s of kaarten sturen al data bij het laden. Gemeenten hebben daardoor minder controle over wat er met de gegevens gebeurt.
Data gedeeld via trackers
Trackers zijn kleine stukjes code die het gedrag van bezoekers vastleggen. Ze worden gebruikt voor statistiek, A/B‑testen of gerichte advertenties. Een pixel of script plaatst cookies of leest gegevens uit de browser. Daarna worden die gegevens naar servers van de leverancier verstuurd.
Bij overheidssites is dat riskant als de scripts al actief zijn voordat toestemming is gegeven. Dan komt informatie direct bij externe partijen terecht. Zelfs “functionele” integraties, zoals ingesloten YouTube‑video’s of kaartdiensten, plaatsen soms trackingcookies. Zonder technische maatregelen is dat niet toegestaan.
De risico’s nemen toe op gevoelige pagina’s, zoals jeugdzorg, schuldhulp of Wmo. Alleen het bezoek aan zo’n pagina kan al iets zeggen over iemands situatie. In combinatie met IP‑adres en tijdstip ontstaat snel een profiel. Dat is niet te verenigen met dataminimalisatie en doelbinding uit de AVG.
Europese regels vereisen toestemming
In Nederland geldt de Telecommunicatiewet (cookiewet) naast de AVG. Niet-noodzakelijke cookies of vergelijkbare technieken mogen pas na expliciete toestemming worden geplaatst. De banner moet een duidelijke “Weiger”-optie bieden en mag niet sturen of misleiden. Loggen van keuzes en het kunnen intrekken hoort daarbij.
Trackingcookies op overheidssites vereisen voorafgaande toestemming en een duidelijke keuze om te weigeren.
Bij doorgifte van data naar de VS spelen extra eisen. Sinds het EU‑US Data Privacy Framework (op het moment van schrijven van kracht) is doorgifte mogelijk naar gecertificeerde aanbieders. Toch blijft een rechtmatige grondslag nodig, en moet de verwerking proportioneel zijn. Voor tracking en profilering is toestemming in de regel vereist.
De Autoriteit Persoonsgegevens wijst publieke organisaties al langer op zorgvuldigheid bij analytics. Een DPIA (data protection impact assessment) is vaak nodig om risico’s te bepalen. Ook moeten verwerkersovereenkomsten en bewaartermijnen op orde zijn. Zonder goede instellingen kan zelfs een analysetool privacy-onvriendelijk uitpakken.
Gevolgen voor burgers en bestuur
Voor burgers betekent dit minder grip op hun gegevens. Profielen kunnen leiden tot ongewenste advertenties of datadeling buiten hun zicht. Bezoekers van gemeentelijke sites verwachten juist neutraliteit en veiligheid. Schendingen tasten het vertrouwen in digitale dienstverlening aan.
Voor gemeenten dreigen handhaving en herstelkosten. Onrechtmatige cookies moeten worden uitgezet en datastromen gestopt. Logfiles en contracten moeten opnieuw worden beoordeeld. Boetes en dwangsom zijn mogelijk als de naleving uitblijft.
Het bestuur krijgt daarnaast te maken met politieke en juridische vragen. Waarom zijn deze keuzes gemaakt, en wie is verantwoordelijk? Leveranciers en implementatiepartners spelen hierin een grote rol. Publieke inkoop en contractbeheer moeten beter letten op privacy-eisen.
Stappenplan voor naleving
Begin met een volledige cookiemonitoring en code-audit. Zet alle niet-noodzakelijke scripts uit totdat er geldige toestemming is. Zorg dat de banner “Weiger alles” even duidelijk toont als “Accepteer”. Laat scripts pas na keuze laden en log dit in het consentmanagement-systeem.
Kies waar mogelijk privacyvriendelijke alternatieven. Zelfgehoste statistiek (bijvoorbeeld Matomo on‑premises) kan vaak voldoen zonder trackingcookies. Gebruik een proxy voor ingesloten diensten of bied een klik‑om‑te‑laden optie. Beperk gegevens tot wat strikt nodig is en stel korte bewaartermijnen in.
Controleer internationale datastromen en juridische basis. Werk alleen met EU‑hosting of met DPF‑gecertificeerde aanbieders en passende contracten. Voer een DPIA uit voor risicovolle onderdelen en leg beslissingen vast. Train webredactie en leveranciers zodat nieuwe functies niet opnieuw tot datalekken leiden.