Onafhankelijk onderzoek kost tijd. 12+ uur per site-analyse, zonder paywall of advertenties. 🛡️
Ik werk zonder subsidies of commerciële agenda.
Waarom? Om belangenverstrengeling te voorkomen en 100% transparant te blijven. Dat betekent wel dat ik volledig afhankelijk ben van donaties.
Draag bij aan betere cybersec/privacy-wetgeving:
☕ https://buymeacoffee.com/mickbeer
#GDPR #privacy
Mick Beer
Steun onafhankelijk privacy-onderzoek in Nederland ☕Hoi, ik ben Mick Beer — security architect en onafhankelijk onderzoeker.Ik doe technisch onderzoek naar datalekken, cookie-compliance en structurele
Toot 7 / 7
Volledig artikel + HAR-analyses + cookie-dumps + juridische onderbouwing op Medium:
https://medium.com/@mick.ronan.beer/alles-weigeren-werkt-niet-deel-2-volkskrant-en-telegraaf-775ac178cd80Reproduceerbaar met:
→ Firefox + Cookie Editor extensie
→ DevTools → Network tab (Save As HAR)
→ Storage tab voor cache/local/session inspection
Doe-het-zelf. Verifieer. Meld aan de AP als je soortgelijke schendingen vindt.
Deze bevindingen zijn op 24 maart 2026 gemeld bij de Autoriteit Persoonsgegevens (ref 7cb0-9871).
#GDPR #AVG #Privacy #DarkPatterns #DPGMedia #Mediahuis
“Alles weigeren” werkt niet: deel 2 — Volkskrant en Telegraaf
“Alles weigeren” werkt niet: deel 2 — Volkskrant en Telegraaf
Toot 6 / 7
Geschonden wetgeving (kort):
Art. 4.11 AVG — toestemming niet "vrijelijk gegeven" (dark pattern)
Art. 5.1.a AVG — transparantie (partner discrepantie, niet-vermelde ad serving)
Art. 5.1.c AVG — dataminimalisatie (cookies na weigering)
Art. 25.2 AVG — privacy by default (pre-consent placement)
Art. 5.3 ePrivacy — toestemming vereist vóór plaatsing
AP boete-risico: €1.15M–€2.3M sector-breed.
Toot 5 / 7
Het systematische patroon over 4 sites:
❌ Alle 4: GEEN directe weigerknop
❌ NU, Volkskrant, Telegraaf: EXACT ZELFDE −3 partner discrepantie (104→101, 106→103, 130→127)
❌ 3 eigenaren, 3 platforms, maar allemaal: post-rejection tracking
❌ NOS + Volkskrant + Telegraaf: pre-consent cookies
2.6 miljard bezoeken/jaar. Dit is industrie-standaard.
Toot 4 / 7
Telegraaf (Mediahuis), na "Alles weigeren":
Partner discrepantie: 130 claim → 127 unieke (−3, exact zoals NU en Volkskrant!)
🔴 _mhtc_cId — Mediahuis tracking ID, 31 maanden, blijft staan
🔴 cs_fpid — ContentSquare fingerprint, 34 JAAR (!), blijft staan
🔴 ab-test-bc-357-variant — verschijnt ALLEEN in weiger-dump (pre-consent tracking!)
HAR: 305 requests → 150 (−51%)
Toot 3 / 7
Volkskrant gebruikt EXACT hetzelfde consent-platform als NU.nl: myprivacy.dpgmedia.nl
Identieke bevindingen:
→ Partner discrepantie: banner zegt 106, lijst toont 103 (−3)
→ Dark pattern: 1 klik accepteren, 3 kliks weigeren
→ AppNexus Simple: 40 verzoeken na weigeren (non-personalized ads, maar niet vermeld in consent-scherm)
Dit is systematisch DPG-design.
Toot 2 / 7
Volkskrant (DPG Media), na "Alles weigeren":
🔴 TID_ID — tracking ID, 399 dagen, aanwezig ongeacht je keuze
🔴 _ain_uid — "Advertising Intelligence" user ID, 179 dagen, idem
🔴 _vwo_uuid_v2 — VWO A/B-test tracker, 365 dagen — verschijnt ALLEEN in weiger-dump, niet na accepteren
Dit laatste wijst op plaatsing vóór de consent-keuze (pre-consent tracking), exact zoals bij NOS.nl.
Totaal: 16 cookies na weigeren.
Toot 1 / 7
Ik heb twee nieuwe Nederlandse nieuwssites gemeten op wat er gebeurt als je op "Alles weigeren" klikt: Volkskrant en Telegraaf.
Methode: HAR-bestanden (volledig netwerkverkeer), cookie-dumps als JSON, DevTools Storage.
Totaal bereik van de 4 nu geteste sites (NOS, NU, Volkskrant, Telegraaf): 2.6 miljard bezoeken/jaar.
Resultaten 🧵
@Mickbeer ik ben groot voorstander van doen wat je deelt. 😉
Zo maar eens heel rustig denken over een goeie volgende...
RE: https://mastodon.social/@Mickbeer/116278045804592708
Zoo als eerste maar eens naar Google een mailtje gestuurd. Met mn Android foon lekt er wel heel erg veel data...
🇪🇺 Paul Schoonhoven 🍋🍉