Grote webwinkels als Bol, Zalando en Wehkamp blijken bezoekers te volgen zonder geldige toestemming. Het gaat om een tiental populaire shops die actief zijn in Nederland en de EU. Zij registreren klikgedrag en productinteresse, ook na een keuze om tracking te weigeren. Dit kwam deze week aan het licht en raakt direct aan Europese digitalisering en de gevolgen voor het bedrijfsleven.
Webshops volgen zonder toestemming
Bij het openen van de sites krijgen bezoekers een cookiebanner. Wie tracking weigert, zou alleen noodzakelijke cookies mogen krijgen. Toch draaien op de achtergrond nog meetpixels en scripts die gedrag vastleggen. Daarmee is de keuze van de gebruiker niet gerespecteerd.
Het gaat om technieken die paginaweergaven, kliks en bekeken producten registreren. Soms worden deze gegevens gekoppeld aan een pseudoniem of advertentie-ID. In enkele gevallen draait ook sessie-opnamesoftware, die muisbewegingen en scrollen opslaat. Dit levert een gedetailleerd beeld op van het winkelgedrag.
De betrokken webwinkels opereren in meerdere EU‑landen, waaronder Nederland. De mogelijke privacyschending is daarom geen lokaal probleem. Het raakt Europese regels en toezicht dat over de grenzen samenwerkt. Consumenten lopen risico op ongewenste profilering en gerichte advertenties.
Overtreding van AVG en cookiewet
De Algemene Verordening Gegevensbescherming (AVG) eist voorafgaande, vrije en specifieke toestemming voor het plaatsen van niet‑noodzakelijke cookies. Ook de Nederlandse Telecommunicatiewet, vaak de cookiewet genoemd, vereist dit. Zonder geldige ‘opt‑in’ mogen trackingcookies en vergelijkbare technieken niet worden gebruikt. Een banner mag weigeren niet moeilijker maken dan accepteren.
Toestemming is alleen geldig als die vrij, specifiek, geïnformeerd en ondubbelzinnig is (AVG, artikelen 4 en 7).
Wordt toch gemeten na een weigering, dan is er sprake van onrechtmatige verwerking. Dat gaat ook in tegen het AVG‑principe van dataminimalisatie. Bovendien moet een site altijd transparant zijn over welke partijen data ontvangen. Gebruikers moeten hun keuze eenvoudig kunnen aanpassen of intrekken.
De Autoriteit Persoonsgegevens (AP) kan handhaven met waarschuwingen en boetes. Bij grensoverschrijdende verwerking werken toezichthouders via het Europese Comité voor Gegevensbescherming (EDPB) samen. Boetes kunnen oplopen tot 4% van de wereldwijde jaaromzet. Op het moment van schrijven is nog onduidelijk of er formele onderzoeken starten.
Welke tools verzamelen data
Webwinkels gebruiken vaak trackingpixels voor advertenties en analytics‑scripts voor statistieken. Denk aan meetcodes die elke paginaweergave registreren. Sommige sites gebruiken sessie-opnamesoftware, een tool die muisbewegingen en kliks als een ‘video’ opslaat. Deze technieken maken het mogelijk het volledige winkelpad te reconstrueren.
De gegevens omvatten meestal bekeken producten, tijd op pagina en klikvolgorde. Soms wordt ook een IP‑adres of apparaatkenmerk bewaard. Ook kunnen identificerende elementen als een klantnummer meelopen, bijvoorbeeld na inloggen. Daarmee ontstaat een profiel dat aan een persoon te koppelen is.
Als externe partijen de scripts leveren, kunnen gegevens de EU verlaten. Overdracht naar landen zonder passend beschermingsniveau kent extra eisen sinds het Schrems II‑arrest. Bedrijven moeten dan waarborgen treffen, zoals Standard Contractual Clauses en aanvullende maatregelen. Zonder die waarborgen is doorgifte onrechtmatig.
Risico’s voor klanten en markt
Voor consumenten betekent ongevraagde tracking verlies van controle over hun data. Hun online gedrag kan worden gebruikt voor gerichte advertenties of prijsoptimalisatie. Dit kan leiden tot ongelijke behandeling, bijvoorbeeld bij dynamische prijzen. Ook vergroot het de kans op datalekken.
Gebruikers hebben rechten: inzage, correctie en verwijdering van persoonsgegevens. Zij kunnen een klacht indienen bij de AP als hun keuze niet wordt gerespecteerd. Browsers en privacy‑extensies blokkeren een deel van de trackers. Maar dat ontslaat bedrijven niet van hun wettelijke plicht om toestemming te vragen.
Voor de markt zorgt dit voor een ongelijk speelveld. Webshops die regels naleven, missen mogelijk marketingdata ten opzichte van concurrenten die dat niet doen. Heldere handhaving vergroot daarom de voorspelbaarheid. Dat is belangrijk voor innovatie en eerlijke concurrentie in Europese digitalisering.
Mogelijke acties van toezichthouders
De AP kan gericht onderzoek doen naar cookiebanners en feitelijk meetgedrag. Ook kan de toezichthouder bindende aanwijzingen geven om systemen aan te passen. Bij structurele overtredingen volgen sancties. Cross‑border zaken worden gecoördineerd als bedrijven in meerdere EU‑landen actief zijn.
Daarnaast kan de Autoriteit Consument & Markt (ACM) optreden tegen misleidende interfaces. Denk aan dark patterns die weigeren lastiger maken dan accepteren. De Digital Services Act (DSA) verbiedt bovendien gepersonaliseerde advertenties op basis van gevoelige data en richting minderjarigen. Webshops moeten kunnen aantonen hoe zij dat borgen.
Sectorsamenwerking kan helpen om standaarden te verbeteren. Bijvoorbeeld door uniforme, begrijpelijke toestemming‑schermen te gebruiken. En door periodieke audits op scripts en tag‑managers. Zo wordt naleving aantoonbaar en herleidbaar.
Wat bedrijven nu moeten doen
Bedrijven moeten direct controleren of metingen stoppen na een weigering. Een privacy‑by‑design aanpak in de tag‑manager is daarbij cruciaal. Schakel alle niet‑noodzakelijke scripts standaard uit, en activeer ze pas na expliciete opt‑in. Documenteer keuzes en leg deze vast in het verwerkingsregister.
Beperk dataverzameling tot wat echt nodig is en pas retentieperioden aan. Verwijder identificerende velden uit event‑data en pseudonimiseer waar mogelijk. Evalueer leveranciers op juridische waarborgen en datalokaties. Werk DPIA’s (gegevensbeschermingseffectbeoordelingen) bij als risico’s wijzigen.
Tot slot helpt heldere communicatie aan gebruikers. Gebruik eenvoudige taal in de banner en geef controle met één klik. Bied een privacycentrum voor instellingen en uitleg. Dit verkleint klachten en versterkt vertrouwen, terwijl het voldoet aan de AVG en de cookiewet.