Cookieplaatsing zonder toestemming kost American Express 1,5 miljoen euro boete

De Franse privacytoezichthouder CNIL legt American Express een boete van 1,5 miljoen euro op voor het schenden van cookieregels. De Amerikaanse creditcardfirma plaatste cookies zonder dat gebruikers toestemming gaven en las cookies uit nadat gebruikers hun toestemming introkken.

De boete, die de CNIL op 27 november oplegde en gisteren meldde, is het resultaat van onderzoek dat al in januari 2023 begon. De Franse privacytoezichthouder komt uit op dit boetebedrag omdat American Express diverse regels schond. Zo plaatste het bedrijf cookies terwijl gebruikers geen toestemming gaven of terwijl ze toestemming weigerden. Daarnaast las de creditcardmaatschappij eerder geplaatste cookies nog uit nadat gebruikers hun toestemming hadden ingetrokken.

De CNIL neemt bij het opleggen van de boete mee dat de regels voor cookieplaatsing en -toestemming algemeen bekend zijn. De Franse toezichthouder stelt dat die regels al lang bestaan en dat de CNIL er uitgebreid over informeert. Verder speelt mee dat American Express eerder wél voldeed aan de cookieregels in Frankrijk. Dat was voordat de CNIL het onderzoek begon, bijna drie jaar geleden.

Door Jasper Bakker

Nieuwsredacteur

Feedback • 04-12-2025 10:22
86 • submitter: Chocoball

04-12-2025 • 10:22

86

Submitter: Chocoball

Lees meer

'Zeven Nederlandse politieke partijen plaatsten cookies zonder toestemming'
'Zeven Nederlandse politieke partijen plaatsten cookies zonder toestemming' Nieuws van 20 oktober 2025
Politico: Europese Unie wil cookiewet aanpassen vanwege overvloed cookiebanners
Politico: Europese Unie wil cookiewet aanpassen vanwege overvloed cookiebanners Nieuws van 22 september 2025
Franse waakhond legt AVG-boetes van 325 en 150 miljoen op aan Google en Shein
Franse waakhond legt AVG-boetes van 325 en 150 miljoen op aan Google en Shein Nieuws van 4 september 2025
AP verlaagt Kruidvat-boete voor trackingcookies van 600.000 naar 50.000 euro
AP verlaagt Kruidvat-boete voor trackingcookies van 600.000 naar 50.000 euro Nieuws van 13 juni 2025
Meer producten en artikelen
Bedrijfsnieuws Marktontwikkelingen E-commerce Websites en community's Politiek en recht Privacy Boete CNIL Consument Cookie Frankrijk privacy schending

Reacties (86)

-Moderatie-faq
86
84
53
10
1
26
Wijzig sortering

Sorteer op:

Weergave:
Skinnyice 4 december 2025 10:31
Ahh, cookies.

Hier mag echt veel meer aandacht aan worden besteed, gelukkig is de EU hier al mee bezig:

nieuws: Politico: Europese Unie wil cookiewet aanpassen vanwege overvloed cookiebanners

Te beginnen met een uniforme layout van zo'n banner. Het is echt bizar wat sommige websites doen om jou te overtuigen alle cookies te accepteren. Bij het merendeel is "alles weigeren" niet eens een van de opties, die zit ver verborgen in de menu's of bestaat helemaal niet. Alles accepteren is dan neon groen en zo groot als je monitor en weigeren is font size 2,5 in lichtgrijs. Ongekend dat bedrijven hiermee weg kunnen komen.
Woodsnaps @Skinnyice4 december 2025 11:09
Ironische is dat Tweakers.net hierover weet te berichten, maar dat die van henzelf (DPG Media) dus precies schuldig aan dit soort praktijken is.. 8)7
TV_NERD @Woodsnaps4 december 2025 11:26
Aan de andere kant laat dat volgens mij juist goed zien dat Tweakers prima onafhankelijk binnen DPG kan opereren :) Ondanks het cookiebeleid van DPG (waar Tweakers geen directe invloed op heeft) schrijven ze toch kritisch over dit soort praktijken. Dikke prima.
TomONeill @TV_NERD4 december 2025 11:41
Ik zie niet hoe je dit nou aan elkaar kunt relateren. Er wordt helemaal geen standpunt genomen vanuit Tweakers in dit artikel. Er wordt niet kritisch geschreven; er wordt enkel het feit "bedrijf x beboet bedrijf y want z" gerapporteerd.
Voutloos @TomONeill4 december 2025 12:11
Dat klopt op zich.

Maar ze hadden zonder enkel probleem dit item kunnen skippen en dan waren deze kritische reacties er ook niet geweest. :)
Ryunoru @TV_NERD4 december 2025 13:31
Zo onafhankelijk is het dus niet als het cookiebeleid van DPG direct van toepassing is op tweakers.net. Dat Tweakers hier geen zeggenschap over heeft en de cookies dus moet blijven 'serveren', spreekt boekdelen. Andersom geldt, als Tweakers wèl de keuze heeft om die cookies al of niet te plaatsen, ondanks de duidelijke onethische aspecten ervan, maakt dat de situatie een stukje erger, daar Tweakers dan doelbewust meedoet aan dit soort praktijken. In beide gevallen zeker niet onafhankelijk.
Floort
@Woodsnaps4 december 2025 11:32
Volgens mij gaat het hier om cookie-gebruik zonder toestemming. DPG is echt niet perfect, maar doet het best netjes m.b.t. dit specifieke issue. De laatste keer dat ik hier een issue mee had opgemerkt bij DPG was 12 juli 2024 en je kan in de forumposts zien dat dit goed is opgepakt en zelfs de functionaris gegevensbescherming heeft daarover gereageerd in het Tweakers-forum.

Als je ziet dat DPG zonder toestemming cookies gebruikt waar er wel toestemming voor moet zijn gegeven kan ik je aanraden om even contact op te nemen met de FG.
Jau2 @Floort4 december 2025 17:33
FG?
Floort
@Jau24 december 2025 18:01
De Functionaris Gegevensbescherming die ik vlak daarvoor noem.
Floort
@Woodsnaps4 december 2025 20:25
Dat was niet bijdehand bedoeld. Ik snap dat het zo over kwam. Maar als je wilt discussiëren of de zin ervoor wel of niet vlak ervoor is heeft verdere discussie niet echt zin denk ik.
Blokker_1999
@Woodsnaps4 december 2025 11:29
Hoewel de banner van DPG niet voldoet aan de wetgeving daar je niet onmiddelijk kunt weigeren vanop het eerste scherm, vraag ik me af of er cookies worden geplaatst of uitgelezen voor tracking zonder toestemming. Want het is niet omdat je geen cookies wenst, dat er helemaal geen cookies mogen staan. Een cookie om je cookie voorkeuren te bewaren mag bijvoorbeeld wel geplaatst worden.
WillySis
@Blokker_19994 december 2025 12:08
De sites van DPG plaatsen wel cookies voordat er om toestemming gevraagd wordt. Ik kan het niet van alle cookies met zekerheid zeggen, maar zover ik kan nagaan zijn dat allemaal cookies die ook zonder toestemming geplaatst mogen worden.

DPG vraagt uiteindelijk wel om toestemming en daarna worden er aanzienlijk meer cookies geplaatst. Bij Tweakers.net is het aantal extra cookies beperkt. Of DPG aan de cookie wet voldoet is meer afhankelijk van hoe je de tekst van de wet interpreteert.

De sites van DGP zullen niet altijd om toestemming voor het plaatsen van cookies vragen, want ze plaatsen een cookie met het antwoord op de vraag, wat overigens is toegestaan. Heb jij toestemming geven om cookies te plaatsen, dan zullen ze dat een bepaalde periode blijven doen. Voor een aantal sites doen ze dat ook wanneer je de cookies hebt geweigerd.

Een betere regulering van het vragen voor cookie-toestemming is wel nodig. Soms zie je hele lijsten en moet je op je telefoon drie pagina's door scrollen voordat je kunt opslaan. Dan staan er steeds vaker "vertrouwde leveranciers" bij waarbij de toestemming standaard is aangevinkt en dat kan niet eens altijd uitgeschakeld worden. Voor de cookie wet bestaat die categorie niet en deze praktijk is niet toegestaan.

Eigenlijk moet weigeren net zo gemakkelijk zijn als accepteren, maar daar voldoen maar heel weinig sites aan.
Aaargh! @Blokker_19994 december 2025 12:29
Want het is niet omdat je geen cookies wenst, dat er helemaal geen cookies mogen staan.
Sterker nog: de wet heeft het helemaal niet over cookies. De wet heeft het alleen over tracking, hoe je dit technisch doet is niet relevant.
iew @Blokker_19994 december 2025 13:37
Misschien moet je eens kijken naar Consent-O-Matic (Automatic handling of GDPR consent forms) dat maakt veel met die cookies etc makkelijker, ik gebruik het zelf al een tijd.
Consent-O-Matic (Automatic handling of GDPR consent forms) Cookie pop-ups are designed to be confusing and make you 'agree' to be tracked. This add-on automatically answers consent pop-ups for you, so you can't be manipulated. Set your preferences once, and let the technology do the rest!
NoTechSupport @Skinnyice4 december 2025 12:11
Helemaal mee eens, technisch gezien is er wel een extensie die redelijk werkt, genaamd Consent-O-Matic. Het is maar een plakker op de wonde en lost het achterliggend probleem niet op. Hopelijk wordt het wetsontwerp waar nu aan gewerkt wordt snel wet.

[Reactie gewijzigd door NoTechSupport op 4 december 2025 12:13]

bapemania @Skinnyice4 december 2025 12:13
3 duidelijke opties geen cookies, alleen functioneel of alle cookies, desnoods een vierde optie om het naar smaak in te stellen, lijkt me niet moeilijk dat te eisen op een cockiemuuur.
itdinges @Skinnyice4 december 2025 12:44
Ja verweg het meest voldoet niet echt aan de GDPR.

Artk. 25 steld dat de meest privacy beschermede instellingen de default moeten zijn. Zodat de gebruikers bewust minder bescherming moeten selecteren.

"1The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed"

En bij de meeste coockies is de default selectie niet het minimale dat nodig is.

https://gdpr-info.eu/art-25-gdpr/
Jacco011 @Skinnyice4 december 2025 12:46
Om maar niet te zwijgen over de functie "decline" maar deze optie wel de "Legitimate interest" toestaat.
Om ook de "Legitimate interest" te kunnen weigeren moet je soms 100x klikken.
Ryunoru @Jacco0114 december 2025 13:36
En dat zijn dan de sites die het überhaupt toestaan om "Legitimate Interest" cookies te weigeren... dat hele concept van "Legitimate Interest" is zonder twijfel het resultaat van sterk gelobby door de advertentieboeren om alsnog met een slap excuus al je data binnen te harken.
Aaargh! @Skinnyice4 december 2025 12:46
Te beginnen met een uniforme layout van zo'n banner.
Hier zie ik het nut niet van in. Het hele doel van zo'n cookie banner is om door middel van dark patterns mensen zo ver te krijgen om toch te accepteren. Je maakt mij niet wijs dat er echt mensen zijn die er voor kiezen om zich vrijwillig te laten bespioneren door Facebook en andere shady bedrijven.

Als je dan komt met een uniforme layout waardoor mensen makkelijk kunnen weigeren, dan gaat echt niemand meer tracking cookies accepteren. Dan kan je toch net zo goed tracking helemaal verbieden, dan is die banner ook niet meer nodig.
_NooT_ @Aaargh!4 december 2025 12:59
Dat is naar mening ook precies waar het foutgegaan is met de regelgeving. Tracking had gewoon gelijk verboden moeten worden. Het is gewoon te gek voor woorden dat het belang van adverteerders en dataverwerkings bedrijven voor dat van de consument gaat.
HansvDr @_NooT_4 december 2025 13:22
Dan moeten ze gewoon de browserbouwers aanpakken, te beginnen met Chrome. Dan heb je 80% al klaar.
Honytawk @ferdinand4 december 2025 14:07
Die cookie wet zegt alleen dat er toestemming gevraagd moet worden als websites de gebruiker willen tracken. Er staat niet bij hoe dit moet.

Die websites zouden even goed van de wet uw browser instellingen kunnen naleven, maar dat doen ze niet want dan zouden ze niemand nog mogen tracken.

Do Not Track bestaat al lang. Nog nooit een website tegengekomen die dat naleefde, zelfs voor de cookie wet.

Dus het is niet de wet dat het probleem is, maar de websites die malicieus compliance doen.

[Reactie gewijzigd door Honytawk op 4 december 2025 14:07]

ferdinand @Honytawk4 december 2025 21:29
Die websites zouden even goed van de wet uw browser instellingen kunnen naleven, maar dat doen ze niet want dan zouden ze niemand nog mogen tracken.
De cookie wet zegt alleen dat er toestemming gevraagd moet worden. De naleving hiervan is niet te controleren. Of er nu toestemming is gevraagd of niet. Je kan niet weten of je getracked word. Je kan bijv. ook niet wettelijk vastleggen dat een verbinding met een website niet afgeluisterd mag worden. Maar je kan wel een SSL verbinding opzetten met een certificaat.
Oftewel. Het is een technisch probleem. Je hebt een technische oplossing nodig. De wet zit alleen maar in de weg.
AtrumVesica @ferdinand4 december 2025 13:44
Jij stelt de browser zo in dat hij cookies accepteert of weigert per website.

Ik noem me een redelijk gevorderde computergebruiker en ik zou niet zo 1-2-3 weten hoe je dat doet, laat staan oma truus met dr 7 jaar oude tablet.

Daarnaast betaal je meer voor de website of krijg je mindere service omdat internationale bedrijven geld moeten stoppen in de cookie wetgeving.

Ik noem me geen gevorderde website builder maar zelfs ik zou het binnen een paar uur kunnen implementeren vanaf 0 code, laat staan als ik een template had. Alle snel-website-opzet-software heeft dit, laat staan de bedrijven die professioneel websites maken aanbieden. En als het uniform eruit moet zien kan the EU er ook voor beslissen om een template aan te bieden.
ferdinand @AtrumVesica4 december 2025 21:34
Ik noem me een redelijk gevorderde computergebruiker en ik zou niet zo 1-2-3 weten hoe je dat doet, laat staan oma truus met dr 7 jaar oude tablet.
Oma truus heeft niets ingesteld op haar apparaat. En toch maakt ze gebruik van een veilig OS, SSL certificaten, een virusscanner, een firewall, een spamfilter, een bank app, digid app etc.
Goede technische instellingen komen van de experts. Niet van mensen in de politiek.
locke960 @Skinnyice4 december 2025 13:19
Of gewoon één regel aan de huidige wet toevoegen: Een Do-Not-Track HTTP header moet zonder verdere interactie met de gebruiker geaccepteerd worden als de keuze "Weiger alle niet essentiële cookies".
edit:
Do Not track is zo goed als dood, maar als de wet het verplicht dan kan het heel snel herrijzen. En anders is er het nieuwe Global Privacy Control dat op dezelfde manier gebruikt worden. GPC bied websites weliswaar de optie om te weigeren, maar dat kun je dus bij wet verbieden.

[Reactie gewijzigd door locke960 op 4 december 2025 13:26]

Blockchain @Skinnyice4 december 2025 14:14
Te beginnen met een uniforme layout van zo'n banner.
Jammer dat ze toch weer uitgaan van een client-side interface om de cookies te accepteren. Effectief is het de webserver (website) die al onder water vraagt aan de browser om de cookies op te slaan en de browser die de cookies vervolgens opslaat. Laat dan ook de keuze voor cookies aan de browser over. Dan heb je onder andere:
  • Altijd dezelfde interface, die qua layout ook nog eens past bij jouw browser en besturingssysteem (bijvoorbeeld Android, Apple).
  • De browser kan je keuze per website onthouden en eventueel ook standaard toepassen op andere websites.
  • Uitbreidbaar met browser extensions (er zijn nu ook extensions, maar dat zijn vooral webscrapers).
  • Browsers kunnen eventueel onwenselijke cookies actief verwijderen na het sluiten van een sessie.
  • Browsers kunnen jouw voorkeuren syncen over meerdere apparaten.
smoove 4 december 2025 11:53
cookies achterhaald nu, ze kunnen nu tracken zonder cookies met fingerprinting.
Aaargh! @smoove4 december 2025 12:30
De wet heeft het niet over cookies maar over tracking. Hoe dat gebeurt is niet relevant. Alle vormen van tracking zijn alleen toegestaan na expliciete toestemming van de gebruiker.
smoove @Aaargh!4 december 2025 13:01
tracking zonder cookies kunnen ze moeilijk bewijzen, zonder toegang tot de server sourcecode.
Aaargh! @smoove4 december 2025 13:03
Dat het moeilijk te bewijzen is maakt het niet legaal. Gewoon enorme boetes aan koppelen i.c.m. een goede klokkenluiders regeling.
Ryunoru @smoove4 december 2025 13:38
Er zijn genoeg client-sided bewijzen voor fingerprinting. Denk bijvoorbeeld aan scripts die het een en ander van je hardware of browser meten en doorsturen. Dat kan allemaal relatief eenvoudig ontdekt worden. Wat zo moeilijk is aan deze vorm van tracking is dat je het zeer moeilijk tegen kan gaan als individu, en als je dat doet, je ironisch genoeg juist de kans vergroot dat jij er tussen uit springt in plaats van opgaat in de menigte.
Olaf van der Spek 4 december 2025 10:24
Geldt de boete alleen voor Frankrijk of voor de hele EU?
Floort
@Olaf van der Spek4 december 2025 10:34
Ingewikkelde vraag. Letterlijk: het maakt niet zoveel uit vanuit welke rekening de boete wordt betaal maar hij moet wel in Frankrijk worden betaald. Dat is waarschijnlijk niet wat je bedoeld.

De overtreding is gebaseerd op twee wetten: artikel 5 van de AVG, die overtreding moet in de hele EU worden beeindigd. Maar een deel van de overtreding is gebaseerd op het Franse equivalent van wat hier in Nederland artikel 11.7a Tw zou zijn (de "cookiewet"). Dat is gebaseerd op Europese regels, maar is een Franse wet. Ga er maar vanuit dat wat ze in Frankrijk niet mogen doen ook in de rest van de EU niet mag, maar formeel is dat deel van de overtreding alleen in Frankrijk vastgesteld.
himlims_ 4 december 2025 10:25
fuck heel die cookie meldingen :X :+ onderaan de streep heb de indruk dat het vooral irritant is, ipv functioneel ook echt iets toevoegt; zie dat praktisch iedereen maar op ok klikt zodat de inhoud van de pagina getoond wordt. bijna net zo leuk als de plastic-dopjes innovatie
PolarBear @himlims_4 december 2025 10:42
Maar als je af en toe ziet hoeveel 'partners' er zijn die een website gebruikt en cookies vereist wat dan in de tientallen tot zelf honderden loopt vraag je je toch ook af of dat nu echt nodig is.
FrankHe @PolarBear4 december 2025 11:01
De gemiddelde website heeft zo'n 1800 partners die allemaal uw privacy zeer serieus nemen.

Ondertussen worden mensen massaal getracked en geprofileerd door al die bedrijven. Dat profileren kan overigens prima zonder gebruik te maken van die enigszins verouderde cookies. Ze vragen niet om toestemming voor gebruik van local storage hoewel dat net zo goed tracking en profiling is.
CAPSLOCK2000
@FrankHe4 december 2025 11:33
Ondertussen worden mensen massaal getracked en geprofileerd door al die bedrijven. Dat profileren kan overigens prima zonder gebruik te maken van die enigszins verouderde cookies. Ze vragen niet om toestemming voor gebruik van local storage hoewel dat net zo goed tracking en profiling is.
Dat mag ook niet.

De 'cookiewet' bestaat eigenlijk niet, het is een wet tegen 'tracking' en het bij houden van (persoonlijke) informatie, niet tegen cookies. Het doet er niet toe welke technische middelen gebruikt worden, het gaat om het doel en het effect.

Helaas zijn veel andere methodes haast niet te detecteren omdat ze op de server worden afgehandeld en ze minder universeel zijn dan cookies. Cookies zijn het laaghangende fruit. Mede daarom vind ik dat we véél harder tegen cookie-misbruik moeten optreden zodat er daarna ruimte komt om te kijken naar andere vormen van tracking. Nu voelt het als dwijlen met de kraan open. Ik zie wel vooruitgang (steeds meer sites hebben een nette 'alles weigeren' knop) maar er zijn nog veel te veel die dat niet doen. Toch begint het effect te hebben, ik besluit steeds vaker om een site maar niet te bezoeken als de cookies te opdringerig zijn.
FrankHe @CAPSLOCK20004 december 2025 11:48
Dat laatste inderdaad, wanneer er geen eenvoudige methode wordt geboden om alle tracking uit te schakelen dan verlaat ik tegenwoordig heel snel een website en ga opzoek naar een alternatief. Ik vind het werkelijk bizar om te zien dat de gemiddelde site 1500 tot 2000 'partners' heeft die je dus allemaal tracken en profileren wanneer je wel akkoord zou gaan. Dat is toch niet normaal?
baseoa @CAPSLOCK20005 december 2025 09:37
Welke ondetecteerbare server-side trackingmethoden bedoel je zoal?

Naar mijn idee heb je best controle over wat je stuurt, zoals user agent string en lijst van talen die je spreekt (accept-language). TCP/TLS-stack fingerprinting zou veel lastiger zijn, maar zoveel zijn er daar niet van dus je gaat op in de massa als je niet met curl browset. IP-adres is dan nog het specifiekste van alles, maar daar zijn mensen zich wel bewust van en kun je met welbekende anonimiseringsmethoden omheen werken

Als server-side tracking zo'n ding was, zouden Tor-gebruikers niet triviaal te ontmaskeren zijn moeten? Of in ieder geval hun verkeer uit elkaar houden
baseoa @FrankHe4 december 2025 11:28
Ze vragen niet om toestemming voor gebruik van local storage hoewel dat net zo goed tracking en profiling is.
Merk op dat wat in de volksmond cookiewet, cookiewall, "gaat u akkoord met cookies", enz. heet, onder water natuurlijk óók over localStorage, indexedDB, eTag-tracking, canvas-fingerprinting, enz. gaat. Je moet het woord cookie hier lezen als placeholder voor alles wat een individu kan volgen. De wet gaat niet over cookies (ik meen dat het niet eens als voorbeeld genoemd wordt). Hoe het bijvoorbeeld geformuleerd wordt in de telecommunicatiewet:
het via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker
https://wetten.overheid.n...z=2025-09-01&g=2025-09-01

[Reactie gewijzigd door baseoa op 4 december 2025 11:29]

lilmonkey @FrankHe4 december 2025 11:29
Ze vragen niet om toestemming voor gebruik van local storage hoewel dat net zo goed tracking en profiling is.
Dat doen ze wel, want dat valt onder 'cookies' in de 'cookiewet'. De technische implementatie maakt niet uit, het valt er allemaal onder.
divvid @PolarBear4 december 2025 11:13
precies. Voor tweakers.net alleen al 124. Niemand weet met wie die bedrijven hun jouw data weer verder delen:
  1. Aarki, Inc.
  2. Adcombi
  3. AdDefend GmbH
  4. Adelaide Metrics Inc
  5. Adform A/S
  6. Adhese
  7. Adjust Digital A/S
  8. Adnami Aps
  9. Adobe Advertising Cloud
  10. Adobe Audience Manager, Adobe Experience Platform
  11. Adpone SL
  12. adsquare GmbH
  13. Adswizz INC
  14. Affle Iberia SL
  15. Akamai
  16. Alion
  17. Amazon Ads
  18. AppLovin Corp.
  19. AppsFlyer
  20. Bannerflow AB
  21. Bannerwise
  22. BDSK Handels GmbH & Co. KG
  23. BeeswaxIO Corporation
  24. BIDSWITCH GmbH
  25. BidTheatre AB
  26. Bing
  27. Blis Global Limited
  28. Blockthrough, Inc.
  29. Booking.com
  30. Brand Metrics Sweden AB
  31. Captify Technologies Limited
  32. Cavai AS
  33. Celtra Inc.
  34. Cloudflare
  35. Comcast International France SAS/FreeWheel Media
  36. Comscore B.V.
  37. Contentsquare
  38. Criteo SA
  39. Dailymotion Video Player and Ad Products
  40. Delta Projects AB
  41. Dentsu A/S
  42. Dentsu Product & Services GmbH
  43. digitalAudience B.V.
  44. DoubleVerify Inc.
  45. Dutch Selection
  46. Dynata LLC
  47. ebuilders
  48. emetriq GmbH
  49. Epsilon (Lotame)
  50. Experian LTD
  51. Eyeota Pte Ltd
  52. Flashtalking
  53. Gamned
  54. Genius Sports UK Limited
  55. GfK GmbH
  56. Google Advertising Products
  57. Google Analytics
  58. Google Forms
  59. Google Maps
  60. Google Optimize
  61. Google Optimize
  62. GroupM
  63. GumGum, Inc.
  64. IBM
  65. Index Exchange Inc.
  66. Integral Ad Science (incorporating ADmantX)
  67. Jivox Corporation
  68. Kinesso
  69. Knight Lab
  70. LinkedIn Ireland Unlimited Company
  71. Localsensor B.V.
  72. Meta
  73. Microsoft Advertising
  74. MiQ Digital Ltd
  75. Netflix
  76. Newsroom AI Ltd
  77. Nielsen International SA
  78. Nielsen Media Research Ltd.
  79. Omny
  80. On Device Research Limited
  81. OneTag Limited
  82. OpenX
  83. Opt Out Advertising B.V.
  84. OptinMonster
  85. OS Data Solutions GmbH
  86. Otto GmbH & Co. KGaA
  87. Permutive Limited
  88. Pexi B.V.
  89. Piano Software Inc.
  90. Polar Mobile Group Inc.
  91. Publicis Media GmbH
  92. PulsePoint, Inc.
  93. Quantcast
  94. Readpeak Oy
  95. Relay42 Netherlands B.V.
  96. RTB House S.A.
  97. Seenthis AB
  98. Semasio GmbH
  99. SMADEX, S.L.U.
  100. smartclip Europe GmbH
  101. Snap, Inc.
  102. snowplow
  103. Soundcloud
  104. Spotify AB
  105. Streamable
  106. Ströer SSP GmbH (SSP)
  107. The Kantar Group Limited
  108. The Neuron Holdings INC
  109. The UK Trade Desk Ltd
  110. TikTok
  111. travel audience GmbH
  112. Triton Digital Canada Inc.
  113. TrustArc
  114. Truth Social
  115. Usabilla B.V.
  116. Vistar Media EMEA BV
  117. Vodafone GmbH
  118. Weborama
  119. WPP Media
  120. X Corp.
  121. Xandr, Inc.
  122. xpln.ai SAS
  123. Yieldlab (Virtual Minds GmbH)
  124. YouTube
R_Zwart @divvid4 december 2025 12:26
Truth social????
Jacco011 @divvid4 december 2025 12:48
Valt nog mee :+ , 9gag heeft er bijvoorbeeld 900+. Om maar te zwijgen over websites met "Legitimate interest" partners, waarbij deze één-voor-één uitte schakelen zijn.
bwerg @himlims_4 december 2025 10:28
Ik klik anders standaard op "alleen noodzakelijke cookies", wat tegenwoordig bijna altijd een optie met één klik is. Als dat geen optie is denk ik eerst 2 seconde "huh?" en ga ik me even afvragen of ik eigenlijk wel op die website wil zijn.
The Zep Man
@bwerg4 december 2025 10:39
Als je altijd dezelfde keuze maakt, dan kan je je keuze vaak automatiseren.
memphis @bwerg4 december 2025 11:42
Moet die optie er wel zijn. Bij de meeste sites om cookies te weigeren wordt daar erg moeilijk over gedaan. Of het zit meerdere kliks diep verborgen of je krijgt een lijst waar je moet aanvinken wat wel en niet mag met gelukkig dan wel vaak een button alles weigeren maar die button is er te vaak ook niet.
Remzi1993 @himlims_4 december 2025 10:28
Precies, en erger nog bij de meeste websites kan je ze niet eens weigeren of blijft een balk onderaan of bovenaan zitten totdat je het accepteert. Complete onzin dus.
Floort
@Remzi19934 december 2025 10:44
Goed om te weten is dat vrijwel alle frustraties over cookie-banner die ik hoor/lees gaan over non-compliant cookie-banners. Er is strakke handhaving nodig op o.a artikel 7(3) AVG om die irritante pushy toestemmingsvragen in te perken.
bantoo @Floort4 december 2025 10:59
Niemand gaat die handhaving doen, het is gigantisch veel werk voor een vrij klein vergrijp. Dit is typisch een wet die enkel op papier bestaat. Ik zie het niet gebeuren.
Mathijs Kok @bantoo4 december 2025 11:06
Niemand gaat die handhaving doen, het is gigantisch veel werk voor een vrij klein vergrijp. Dit is typisch een wet die enkel op papier bestaat. Ik zie het niet gebeuren.
De Franse overheid deed dat dus wel.

Het is overigens niet zoveel werk als je zou denken. In Frankijk kan je als consument dit heel makkelijk 'aangeven' en de handhavers weten dus al waar ze moeten kijken. Dan schrijf je de firma aan, vraagt om gegevens en bied je een transactie aan.
bantoo @Mathijs Kok4 december 2025 11:08
1 op de 100000 bedrijven. Dat is geen handhaving maar arbitrair iemand er uit pakken om als afschrikking te gebruiken.
Alex3 @bantoo4 december 2025 11:22
Het is niet arbitrair. Het is het beste met de grootste bedrijven te beginnen.
_Thanatos_ @bantoo4 december 2025 13:35
Niet afschrikking, maar voorbeeld. Grote bedrijven worden letterlijk als voorbeeld gebruikt voor allerlei zaken, door kleinere bedrijven. Als American Express iets niet mag, dan weet Bakker Bruine Bol het ook wel te laten.
baseoa @bantoo4 december 2025 11:14
Daar kan natuurlijk wat aan gedaan worden. Denk aan verkeersboetes:
Aangezien verkeersovertredingen als te hard rijden, dubbel parkeren, kleven, door rood rijden, geen voorrang verlenen etc. erg vaak voorkomen, leidde dit tot overbelastingsgevaar voor het OM. De zaak rekken door niet te betalen kon lonen, en van uitstel kwam misschien wel afstel. In 1989 is daarom besloten deze overtredingen administratiefrechtelijk af te handelen. Dit betekent dat niet meer het Wetboek van Strafrecht en Wetboek van Strafvordering van toepassing zijn.
Het OM kon altijd al een schikkingsvoorstel doen, maar dan moest het nog langs de rechter voor een veroordeling voordat ze ook deurwaarders konden sturen. Met deze wetswijziging wordt het direct uitvoerbaar.

Dat zou je ook kunnen doen voor bepaalde overtredingen van de AVG (waarbij de Autoriteit Persoongegevens de bevoegdheid krijgt). Bijvoorbeeld die pop-ups die zogenaamd om vrijelijke toestemming voor tracking vragen maar geen, of een verstopte, weigerknop hebben. In die gevallen hoef je al niet te onderzoeken hoe persoonsgegevens daadwerkelijk behandeld worden, immers zegt de partij zelf mensen te willen volgen want anders hadden ze de toestemming (en dus die pop-up) niet nodig en kun je dus handhaven op de niet-aanwezigheid van een makkelijke weigermethode in plaats van detailonderzoek

Natuurlijk zul je altijd óók onderzoek moeten blijven doen of partijen niet al cookies plaatsen zonder toestemming af te wachten, maar dan ben je een grote stap vooruit qua dagelijkse irritatiefactor en houdt de toezichthouder meer tijd over voor zulke verdere taken

[Reactie gewijzigd door baseoa op 4 december 2025 11:21]

nLHCbVe5 @Floort4 december 2025 11:17
Maar uit 7(3) AVG volgt niet per se dat weigeren even makkelijk moet zijn als toestemmen. Daarnaast is de vraag of 7(3) AVG überhaupt doorwerkt naar ePrivacy verplichtingen. Des te prangender na de Inteligo Media uitspraak.
Floort
@nLHCbVe54 december 2025 11:25
Artikel 7(3) AVG zegt:
The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw as to give consent.
En ik heb het ook heel bewust over het intrekken en niet over het weigeren. Als het intrekken net zo makkelijk moet zijn als het weigeren beperkt dat hoe opdringerig je toestemming kan vragen. Een toestemmingsvraag waar je niet omheen kan moet daarna worden opgevolgd met een net zo pushy toestemmings-intrek vraag als je het net zo makkelijk wilt maken. Om effectief 7(3) na te leven kan je eigenlijk niet heel opdringerig zijn met je toestemmingsvraag.

De focus op het net zo makkelijk kunnen weigeren van toestemming is een uitvloeisel van een juridische discussie over vrijheid van toestemming. Ook relevant, maar volgens mij een minder duidelijke norm en een minder grote beperking voor irritante banners. Beiden belangrijk, maar weet dat ik het in ieder geval heb over het intrekken en niet het weigeren van toestemming.
nLHCbVe5 @Floort4 december 2025 12:05
En daarmee sluit de wet aan bij de modaliteiten gedachte die we in consumentenwetgeving zien, namelijk dat als je online ergens voor aan kunt melden, je ook online moet kunnen afmelden in plaats van moeten bellen.

Ik ken geen enkele partij die jouw lezing aanhoudt dat toestemming "daarna [moet] worden opgevolgd met een net zo pushy toestemmings-intrek vraag". Zelfs de toezichthouders hebben die interpretatie niet, blijkt uit de EDPB guidelines.
Floort
@nLHCbVe54 december 2025 12:18
Wat ik zie is dat toezichthouders de laatste zin van 7(3) een beetje hebben vermeden en alle aandacht aan het weigeren van toestemming hebben gegeven. Juridisch ook veel interessantere vraag omdat die norm minder expliciet is en je kan lang discussieren over vrijheid van toestemmign.

De AP is wel behoorrlijk helder in de communicatie de laatste tijd over 7(3) (bron) :
Zorg dat bezoekers cookies kunnen weigeren, zonder dat dit nadelige gevolgen heeft voor hen. Het moet net zo makkelijk zijn om cookies te weigeren als om ze te accepteren. 
Maar ook de EDPB in Guidelines 05/2020 on consent under Regulation 2016/679 (randnummer 113 en 114) is volgens mij vrij helder:
113. Article 7(3) of the GDPR prescribes that the controller must ensure that consent can be withdrawn by the data subject as easy as giving consent and at any given time. The GDPR does not say that giving and withdrawing consent must always be done through the same action.

114. However, when consent is obtained via electronic means through only one mouse-click, swipe, or keystroke, data subjects must, in practice, be able to withdraw that consent equally as easily. Where consent is obtained through use of a service-specific user interface (for example, via a website, an app, a log-on account, the interface of an IoT device or by e-mail), there is no doubt a data subject must be able to withdraw consent via the same electronic interface, as switching to another interface for the sole reason of withdrawing consent would require undue effort. Furthermore, the data subject should be able to withdraw his/her consent without detriment. This means, inter alia, that a controller must make withdrawal of consent possible free of charge or without lowering service levels.
Beiden gebruiken niet letterlijk mijn voorbeeld. Maar neem een objectieve meetwijze (clicks tellen, proefpersonen die de interface niet kennen vragen toestemming te geven, daarna in te trekken en beiden de tijd meten, etc.) en praktische voorbeelden van die pushy consent banners of zelfs cookie-muren en je komt vanzelf tot dezelfde conclusie.
R_Zwart @Floort4 december 2025 12:18
Hoeveel mensen zou je willen inzetten op de handhaving van alle regels die we hebben (dus niet alleen de cookieregelgeving). Op alle gebieden wordt geroepen om meer handhaving. Als we dat echt allemaal actief gaan handhaven heb je op iedere werknemer 1 handhaver....
Floort
@R_Zwart4 december 2025 12:20
Ik heb geen verstand van andere handhavingsgebieden. Ik heb wel verstand van (en ervaring met) handhaving op 11.7a Tw en de AVG. En ik ben er van overtuigd dat de capaciteit die nu wordt ingezet in ieder geval effectiever kan worden ingezet. Ja, er is ook meer capaciteit nodig, maar dat is een andere discussie.
bantoo @himlims_4 december 2025 10:28
Ik erger me er ook gigantisch aan. Ergste is nog als je een full page refresh krijgt na het wegklikken. Doei invoer data.
debroervanhenk @bantoo4 december 2025 11:23
Allerergste is nog Amazon, die gooit je terug naar de startpagina van Amazon in plaats van het product waar je naar wilde kijken.
watercoolertje
@debroervanhenk4 december 2025 11:31
Even terug klikken en die pagina vernieuwen en je bent er weer.

En ja als je je browser opdracht geeft je cookies na elke sessie weg te gooien moet je dat elke keer doen dat je in een nieuwe sessie op de site komt. Anders doe je dat 1 keer en daarna een jaar niet. Ik zie het probleem dan ook niet wat je zegt al kom ik gelukkig zelden bij amazon uit :)
FrankHe @watercoolertje4 december 2025 11:49
Even terugklikken werkt inderdaad, maar irritant is het wel. Ik kom ook steeds minder op Amazon uit. Geen fijn bedrijf.
lucade2210 @himlims_4 december 2025 10:33
Dat had ik vroeger ook ja. Maar inmiddels hebben de meeste website eindelijk de optie ingebouwd (of niet weggemoffeld) om direct alleen noodzakelijk cookies te selecteren. Dat vind ik juist super fijn.
readefries @himlims_4 december 2025 10:39
nee, fuck het volggedrag van bedrijven! Daar zal meer actie op gevoerd moeten worden.

Heel goed dat AmEx daar nu een lekker rekening voor krijgt, al had dat van mij wel meer mogen zijn.
Heroic_Nonsense @himlims_4 december 2025 10:40
De cookiemelding is alleen irritant als je niet eenvoudig met één klik kunt kiezen voor wel- of geen cookies. In de regelgeving staat overigens ook dat dat zo moet.

Nog veel te veel cookiemeldingen laten je wel met één klik alles accepteren, maar laten je door meerdere schermen navigeren om alles te weigeren.Met uitschieters tot honderden (!) standaard ingeschakelde vinkjes voor zo'n beetje alle trackers die er bestaan. Ontmoedigingsbeleid noemt men dat dan.

Nog veel beter zou zijn als alle sites zich aan de browsersettings zouden houden, en dat een gebruiker in de browser kiest of er wel of geen cookies geplaatst mogen worden.
aaahaaap @himlims_4 december 2025 11:43
De wetgeving had ook gewoon moeten zijn dat mensen niet getracked mogen worden. Dan is het gelijk klaar.
Ik was er niet bij, maar ik vermoed dat dat er handig uitgelobbied is waardoor we met de huidige wetgeving zitten die maximaal (of eigenlijk vaak nog daaroverheen) uitgebuit wordt door nagenoeg alle sites om je zoveel mogelijk lastig te vallen zodat je gewoon op OK drukt.

[Reactie gewijzigd door aaahaaap op 4 december 2025 11:44]

HansvDr @himlims_4 december 2025 13:19
We hebben de grootste advertentie verkoper van het Internet de baas laten worden over de grootste browser.

Misschien die maar eens verplichten om externe cookies e.d. te weigeren in die browser.
GieltjE 4 december 2025 10:33
Voelt voor zo'n bedrijf alsof dit minder dan wisselgeld is.

Het is erg goed dat ze meer op privacy e.d. bezig zijn, maar zonder boetes die daadwerkelijk bijten gaat het echt geen zoden aan de dijk zetten.
Mathijs Kok @GieltjE4 december 2025 11:11
Voelt voor zo'n bedrijf alsof dit minder dan wisselgeld is.

Het is erg goed dat ze meer op privacy e.d. bezig zijn, maar zonder boetes die daadwerkelijk bijten gaat het echt geen zoden aan de dijk zetten.
De taak van de CNIL is niet het vergare van heel veel geld maar het afdwingen van de regels waar die overtreden worden. Dat hebben ze hier gewoon gedaan. Zo'n boete doet een bedrijf echt pijn omdat je uitgebreid negatief in het nieuws komt. Voor een bedrijf als American Express die het diepe vertrouwen van hun klanten nodig heeft is dat zeer schadelijk. In dit geval heeft het twee managers hun baan gekost.
FrankHe @GieltjE4 december 2025 11:02
Echt pijn zal het niet doen.
baseoa @GieltjE4 december 2025 11:31
Maar hebben ze meer dan zoveel miljoenen aan financieel voordeel ervan gehad?

Daarnaast wordt een volgende boete voor hetzelfde feit veel hoger. De partij moet dus ook stoppen met de overtreding. Dat is natuurlijk waar het echt om gaat; een boete is geen licentie
GieltjE @baseoa4 december 2025 11:44
Gok dat we dat nooit echt gaan weten, maar gok dat het verkopen van hun data over tientallen (zo niet meer) miljoenen bezoekers dit echt wel goed maakt.
baseoa @GieltjE4 december 2025 14:59
Het gemiddelde creditcardnummer is nauwelijks wat waard, laat staan waar @baseoa was op 3 september. Er valt een slaatje uit te slaan via advertenties, maar ik zal toch eerder denken dat het gaat om centen per duizend impressies dan euro's per persoon

De CNIL is ook in een positie om hier onderzoek naar te doen voor het bepalen van het boetebedrag
cricque 4 december 2025 10:45
Gaan ze van wakker liggen, als het 1,5 miljard was misschien wel, maar 1,5 milj is net hetzelfde als een "gewone sterveling" 20 euro zou uitgeven.

Kijk heel dat cookiegebeuren mag gerust eens aangepast worden naar reject all verplichten. Een site waar ik 20x iets uit moet zetten zal ik niet meer bezoeken. En voor bepaalde dingen wil ik gerust betalen, voor andere hoeft het echt niet voor mij.
baseoa @cricque4 december 2025 11:34
Over de tweede paragraaf: dat is al het geval

En wat betreft de eerste, zie deze oudere thread voor of boetes nut hebben: GieltjE in 'Cookieplaatsing zonder toestemming kost American Express 1,5 miljoen euro boete'
peize9 4 december 2025 12:14
Al langere tijd rapporteer ik slechte banners aan het AP. Echter mijn conclusie is dat er niets mee wordt gedaan. Veel mainstream sites (Alles van RTL zoals buienradar, groot deel van DPG en veel andere) hebben nu dat je geld moet betalen of cookies moet accepteren. Daarnaast zijn er nog steeds veel websites die alles standaard aan hebben staan en waarbij je het uit moet zetten, wat ook niet mag. Er wordt niets mee gedaan. Dit is ook gewoon oneerlijke concurrentie. Ben je een bedrijf dat afhankelijk is van advertenties dan moet je de regels overtreden of zien hoe al je concurrenten beter draaien. De AP en de ACM moeten eens samen gaan werken, een team opzetten en harde boetes uit gaan delen. Op het moment loont de misdaad.
Kargin 4 december 2025 18:32
Ik gebruik twee browsers. Eentje voor surfen, ander voor legitieme zaken zoals shops, bank, etc. De surf browser leegt alle cache na afsluiten. De legitieme browser volg ik die cookie dingen. Werkt simpel en duidelijk voor mij. Mijn punt is, verzin iets wat voor jou makkelijk werkt. Deze praktijken gaan helaas nog een tijdje door zo.
Daoka 4 december 2025 21:36
De boete, die de CNIL op 27 november oplegde en gisteren meldde, is het resultaat van onderzoek dat al in januari 2023 begon.
Nu ikke dom zijn. Maar waarom zou de onderzoek bijna 3 jaar moeten duren? Volgens mij zou dit toch in een uur geregeld moeten zijn? Pak een browser waar de cookies gewist zijn. Ga naar de site. Zijn er niet verplichte cookies dan gaan ze tegen de wet. Wis de cookies en druk op weigeren. Zijn de cookies er weer dan weer tegen de wet. Daarnaast zou je dus nog alle cookies kunnen accepteren om te kunnen controleren of het dus alle cookies waren of dat er toch een paar extra komen. Het bewijs is er. Moet dit extra bijna 3 jaar duren? Een grote kans dat ze in die tijd zelfs meer verdient hebben aan deze activiteit dan dat de boete is.

Natuurlijk zouden er fouten gemaakt kunnen zijn. Een aanpassing aan de website die niet gecontroleerd zou zijn. Geef het dan 1 of 2 maanden om het te laten verbeteren. Maar daarna kan er echt wel actie ondernomen worden. Al vind ik de extra tijd ook wel oneerlijk. Als ik te hard rij wordt ik ook niet gecontroleerd of dit een vergissing was en normaal gesproken dus wel goed rij. Dus waarom zou dit wel moeten gelden voor een bedrijf?
Muzo 5 december 2025 16:31
1.5 Miljoen??? dat is zo'n 5 cent uit hun zak. American Express zou niet eens omkijken als dat gestolen zou worden uit hun rekening...

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq