De onderwijssector oogt op de Nationale Privacy Index met gemiddeld 3,7 sterren keurig. Dat gemiddelde verbergt twee tegengestelde werelden: een handvol schone portalen, en de twee grootste platformen die hun eigen voordeur als Amerikaanse marketingmachine draaien, rond software die miljoenen kinderen verplicht gebruiken. Hieronder eerst het volledige overzicht en wat eraan fout is. Daarna, stap voor stap, het bewijs uit mijn eigen meting.
Wat elke site verzamelt, in één overzicht
Per site wat er draait en welke categorieën persoonsgegevens daarbij worden verzameld. ID staat voor een persistente herkenbare identificator, FP voor een apparaat-vingerafdruk, GEDR voor gedrag en navigatie, CTX voor de pagina-context, ATTR voor herkomst, IP voor het IP-adres, FORM voor formulierinhoud en ADS voor plaatsing in een advertentiedoelgroep. Tenzij anders vermeld vuurt alles vóór toestemming.
| Site | Wat er draait | Verzamelde datatypes | Ontvangers |
|---|---|---|---|
| magister.nl | HubSpot Marketing Hub (portal 25814221), Piwik PRO, Ahrefs, Skynet-widget; na akkoord LinkedIn Insight Tag | ID, FP, GEDR, CTX, ATTR, IP, FORM, ADS | HubSpot, Piwik PRO, Ahrefs, LinkedIn, Skynet (~96% VS) |
| itslearning.com | HubSpot Marketing Hub (portal 8421876) met bezoeker-pixel, Weglot, Apple-embeds, FontAwesome | ID, FP, GEDR, CTX, IP, ADS | HubSpot, Weglot, Apple, FontAwesome (100% VS) |
| kennisnet.nl | Google Analytics 4 plus in NL gehoste Matomo, beide vooraf | ID, FP, GEDR, CTX, IP | Google (VS), Matomo (NL) |
| examenblad.nl | Rijksoverheid-Matomo (statistiek.rijksoverheid.nl) | ID, GEDR, CTX, IP | Rijksoverheid-Matomo (NL) |
| somtoday.nl | alleen Cloudflare-meetdata, geen trackers | GEDR (geaggregeerd) | Cloudflare |
| studielink.nl | alleen Cloudflare; inlogmuur, meting onbetrouwbaar | GEDR (geaggregeerd) | Cloudflare |
| mijnschoolinfo.nl | niet meetbaar (1 verzoek, directe redirect) | geen meting | geen |
De concrete cookienamen, levensduren en beacon-parameters per site staan in de ruwe meetdata, die op aanvraag als verifieerbaar bewijspakket beschikbaar is.
Wat ze fout doen, puntsgewijs
Concreet, wat er niet deugt:
- Tracking vóór toestemming. Op Magister, itslearning, Kennisnet en Examenblad worden trackers geladen en cookies gezet voordat de bezoeker iets heeft gekozen. Dat mag niet. Artikel 11.7a Telecommunicatiewet eist toestemming vooraf voor alles wat geen strikt noodzakelijke functie heeft.
- Geen werkende weigerknop. Op geen van de zeven sites verscheen een zichtbare, klikbare cookiebanner. De code voor een toestemmingsplatform zit er soms wel in (HubSpot, TrustArc, Ketch, Osano), maar er komt geen keuze in beeld. Geen banner betekent geen geldige toestemming, en ook geen manier om te weigeren.
- Weigeren verandert niets. Ik draaide elke meting in drie standen: niks doen, alles weigeren, alles accepteren. Na “weigeren” stond op Magister nog steeds dezelfde 25 trackers, op itslearning dezelfde 20, op Kennisnet dezelfde set cookies. Er verdwijnt niets, want er valt niets te weigeren.
- Accepteren opent de advertentiekraan. Bij Magister schakelt “akkoord” LinkedIn-advertentietracking en de volledige HubSpot-identiteit in. De toestemmingsvraag is dus stuk in beide richtingen: zeg je niets, dan loopt het al; zeg je ja, dan word je doelwit.
- Onhoudbaar lange cookies. Tracking-cookies van 364, 392 en 399 dagen, deels gezet vóór toestemming. Een jaar lang herkenbaar van één bezoek.
- Doorgifte naar de VS zonder grondslag. Bij itslearning gaat 100 procent van het externe verkeer naar Amerikaanse partijen, bij Magister vrijwel alles. Zonder geldige toestemming en zonder zichtbare waarborgen onder hoofdstuk V AVG.
- Vendors niet benoemd. De privacyverklaringen noemen de concrete partijen niet expliciet, terwijl artikel 13 AVG dat wel vraagt. Je kunt dus niet eens weten wie je data krijgt.
- Geen basale beveiligingsheaders. Geen van de zeven sites stuurt een Content-Security-Policy, HSTS of X-Frame-Options mee. Dat is geen privacyschending op zich, maar het tekent de zorgvuldigheid: zelfs de standaard-hygiëne ontbreekt.
Waarom dit juist hier niet te verdedigen is
Bij een willekeurige webshop die je volgt, kun je weglopen. Het onderwijs werkt niet zo, en daar zit de hele ethische lading.
Je kunt niet kiezen. Een ouder kiest niet welk leerlingvolgsysteem de school gebruikt. Een leerling kiest niet of het Magister of Somtoday wordt. De school kiest, en jij krijgt het. De AVG noemt toestemming alleen geldig als die “vrij” is gegeven. Bij een dienst die je niet kunt vermijden, is de vraag of er van vrije keuze überhaupt sprake kan zijn. En als de weigerknop dan ook nog ontbreekt, is het antwoord simpelweg nee.
Het gaat om kinderen. Dit zijn de centrale systemen van het Nederlandse onderwijs, gebruikt door miljoenen minderjarigen. De AVG geeft kinderen in artikel 8 en in overweging 38 expliciet extra bescherming, juist omdat ze de risico’s en gevolgen van gegevensverwerking minder goed overzien, en marketing gericht op of gebouwd rond kinderen wordt daarin specifiek genoemd als gevoelig. Dat een bedrijf dat zijn merk en zijn klantenwerving volledig om een minderjarige doelgroep heen bouwt, op zijn eigen site een advertentie- en identiteitsmachine draait met kapotte toestemming, staat haaks op die extra zorgplicht.
De rollen maken het zwaarder, niet lichter. Tegenover de scholen zijn deze bedrijven verwerker: zij beheren in opdracht enorme hoeveelheden gegevens van minderjarigen. Een verwerker die zo nonchalant omspringt met toestemming en doorgifte op het enige stuk dat ik van buitenaf kan meten, zijn eigen voordeur, geeft een ongemakkelijk signaal af over de cultuur waarin de rest van die data wordt behandeld. Ik beweer niet dat de ingelogde omgeving net zo lekt; ik kan dat van buiten niet zien. Ik zeg dat wat ik wél kan zien, geen vertrouwen wekt.
En het hoeft niet. Somtoday bewijst het in dezelfde meting: een schoolportaal zonder Amerikaanse marketingmachine, met niets meer dan wat Cloudflare-meetdata. Het is geen technische onmogelijkheid om dit netjes te doen. Het is een keuze. Bij Sanoma Learning is die keuze, op twee van de grootste platformen in het Nederlandse onderwijs, de andere kant op gevallen, en zelfs een publiek orgaan als Kennisnet zet vóór toestemming nog een jaar lang een Google-cookie.
Wat een ouder of school kan vragen aan Sanoma Learning
Je hoeft dit niet bij mij te laten. De AVG geeft je het recht om antwoorden te eisen, en een school heeft als verwerkingsverantwoordelijke zelfs de plicht om ze te hebben. Het helpt om twee lagen uit elkaar te houden, want de juridische rol verschilt.
Laag 1: de publieke sites magister.nl en itslearning.com. Hier is Sanoma Learning zelf verantwoordelijke, niet verwerker. De school staat hier juridisch buiten. Een ouder kan rechtstreeks vragen:
- Op welke grondslag worden er trackingcookies en externe scripts geladen vóórdat de bezoeker toestemming heeft gegeven? Hoe verhoudt zich dat tot artikel 11.7a Telecommunicatiewet?
- Waarom verschijnt er geen werkende cookiebanner, en waarom verandert “weigeren” niets aan de geplaatste trackers?
- Welke partijen ontvangen bezoekersgegevens (noem HubSpot, Piwik PRO, Ahrefs, LinkedIn, Skynet Technologies expliciet), voor welk doel, en met welke bewaartermijn? Waarom staat een deel van de cookies een jaar of langer?
- Wordt de LinkedIn Insight Tag gebruikt om bezoekers in advertentiedoelgroepen te plaatsen? Zo ja, hoe kan een bezoeker daaruit?
- Welke waarborgen onder hoofdstuk V AVG (Schrems II) gelden voor de doorgifte naar Amerikaanse partijen, en is daar een transfer impact assessment voor gemaakt?
Laag 2: de ingelogde leerlingomgeving. Hier is Sanoma Learning verwerker namens de school. Dit loopt via de verwerkersovereenkomst, en de school moet dit kunnen overleggen. Vraag, als ouder aan de school of als school aan Sanoma:
- Mogen we de actuele verwerkersovereenkomst en de volledige lijst van subverwerkers (artikel 28 AVG) inzien, inclusief vestigingsland van elke subverwerker?
- Draaien er in de ingelogde omgeving analytics-, marketing- of advertentietrackers? Zo ja, welke, en staat dat in de verwerkersovereenkomst?
- Is er een strikte scheiding tussen de gegevens uit de leerlingomgeving en de marketing- en advertentiesystemen op de publieke site, zodat leerlinggegevens nooit in een advertentiedoelgroep belanden?
- Is er een Data Protection Impact Assessment (DPIA) uitgevoerd, juist omdat het om gegevens van minderjarigen gaat (artikel 35, en de extra bescherming uit artikel 8 en overweging 38)?
- Worden gegevens van leerlingen doorgegeven naar buiten de EER, en zo ja, op welke grondslag?
Krijg je geen of een ontwijkend antwoord, dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens. Dat een vraag gesteld wordt, is op zich al informatie: het dwingt de organisatie om vast te leggen wat ze doet.
Dit is wat een schoolplatform de grens over stuurt voordat je iets aanklikt
Tot zover de conclusies. Hieronder het bewijs, te beginnen met het hardste. Ik open itslearning.com, een van de twee grootste schoolplatformen van Nederland, en ik klik nergens op. Toch vertrekt er meteen één verzoek naar track-eu1.hubspot.com/__ptq.gif, de bezoeker-trackingpixel van HubSpot in de Verenigde Staten. Net als bij de Belastingdienst-betaalflow zijn dit niet bij benadering de gegevens, maar de letterlijke velden met de echte waarden uit mijn eigen sessie.
| Wat HubSpot meekrijgt | Veld | Echte waarde uit mijn sessie |
|---|---|---|
| Een vast nummer dat je herkent | vi |
fba3e4560287fd8945553a6d8518db20, een persistente bezoeker-ID |
| Dat je hier al eens was | rv |
1 (terugkerende bezoeker) |
| Welke HubSpot-klant dit is | a |
8421876, de Hub-ID van itslearning |
| Welke pagina je bekijkt | pu / t |
itslearning.com/index.aspx, titel itslearning Learning Management System |
| Je schermresolutie | sd |
1920x1080 |
| Je kleurdiepte | cd |
24-bit |
| Je taal | ln |
nl-nl |
| Het exacte tijdstip | cts |
1780312626445 (milliseconden sinds 1970) |
| Pagina- en bezoek-ID’s | pi / lvi |
125288911218 |
En het blijft niet bij die ene pixel. Een tweede pixel, __ptc.gif, meldt wat ik op de pagina dóé: welk element ik aanklik (_hs_element_id=weglot-language-en, tekst EN), mijn vensterafmetingen (1920x1080), de volledige paginahoogte (8224 pixels) en hoe ver ik scrol.
Een vingerafdruk plus een herkenbaar nummer plus mijn gedrag, in één keer verstuurd voordat ik iets had hoeven goedkeuren. En itslearning is niet de uitzondering, het is het patroon. Hieronder de hele sector, plek voor plek.
Toen ik die 3,7 sterren op de Nationale Privacy Index zag, geloofde ik het niet, dus ben ik teruggegaan naar de ruwe scandata: niet alleen welke trackers er staan, maar elk script, elk netwerkverzoek, elke cookie en elke parameter die over de lijn gaat. Wat ik vond was geen nette sector, maar twee tegengestelde werelden onder één braaf gemiddelde. En de zwaarste kant raakt precies de software waar het Nederlandse onderwijs niet omheen kan.
Eén gemiddelde, twee werelden
Zeven onderwijsplatformen, gemeten op 1 juni 2026. Lager gewogen cijfer is beter, vijf sterren is de top.
| Platform | Sterren | Externe domeinen vóór toestemming | Jurisdictie ontvangers |
|---|---|---|---|
| magister.nl | 2 (Risico) | 25 | ~96% VS-partijen |
| itslearning.com | 3 | 20 | 100% VS-partijen |
| kennisnet.nl | 3 | 2 (Google) | VS (Google) |
| examenblad.nl | 3 | 1 (Matomo) | NL |
| somtoday.nl | 5 (Beste Keuze) | 1 (Cloudflare) | minimaal |
| studielink.nl | 5 | 1 (Cloudflare) | minimaal |
| mijnschoolinfo.nl | 5 | 0 | niet meetbaar |
De top en de onderkant trekken elkaar recht naar een gemiddelde dat niets zegt. Het verschil tussen Magister en Somtoday is niet een paar trackers meer of minder. Het is het verschil tussen wel en geen marketingafdeling die op je loslaat zodra je de pagina opent.
En meteen de eerlijkheid erbij, want die wint het hier van een sterkere kop: de schijnbaar schoonste twee scores zijn deels een meetartefact. mijnschoolinfo.nl gaf bij het laden welgeteld één netwerkverzoek, en studielink.nl staat in mijn meting als onbetrouwbaar gemarkeerd. Dat zijn inlogmuren die meteen wegspringen, dus op de openbare pagina valt weinig te meten. Hun vijf sterren bewijzen geen privacyvriendelijkheid, ze bewijzen onmeetbaarheid. Alleen somtoday.nl is een echt schoon gemeten portaal: enkel wat Cloudflare-meetdata, verder niets. Onthoud dat, want het is het bewijs dat het anders kán.
Wat er gebeurt: Magister, voordat je iets aanklikt
Ik open magister.nl. Ik klik nergens op. Er verschijnt geen cookiebanner, hoewel de code ervoor wel in de pagina zit, alleen onzichtbaar. En toch staan er dan al 25 externe domeinen klaar en trackingcookies gezet die tot een jaar blijven staan.
Wat er laadt vóór enige toestemming:
- HubSpot Marketing Hub, portal 25814221. De volledige suite: het bannerscript, het analytics-script, de advertentiepixel (
hsadspixel.net), het formulier-onderscheppingsscript (collectedforms.js) en de “web interactives”. Die laatste vuren een beacon naarcta-eu1.hubspot.com/web-interactives/public/v1/track/viewmet de portal-ID, de volledige pagina-URL, de paginatitel en een pagina-ID erin. - Piwik PRO op
iddinkgroup.piwik.pro. Dit zetstg_-cookies vóór toestemming, waaronderstg_last_interactionenstg_returning_visitor, beide met een levensduur van 364 dagen. Dat is geen anonieme telling, dat is herkomst- en gedragsattributie die een jaar meeloopt. - Ahrefs (
analytics.ahrefs.com/api/event), een SEO-trackingdienst. - Een accessibility-widget van Skynet Technologies (“All-in-One Accessibility”), goed voor veertien losse JavaScript-bestanden en POST-verzoeken naar zowel
freeada.skynettechnologies.comalsada.skynettechnologies.us. Een toegankelijkheidsknop die op elke pagina de DOM inleest en naar een externe Amerikaanse partij belt.
En dan het stuk dat ik het zorgelijkst vind. Klik je vervolgens op “akkoord”, dan komt de rest pas echt los. Magister zet dan de complete HubSpot-identiteitsset (hubspotutk, __hstc, __hssc), waarmee je over bezoeken en zelfs over HubSpot-klantsites heen herkenbaar wordt, en het schakelt LinkedIn-advertentietracking in: verzoeken naar px.ads.linkedin.com en snap.licdn.com, met de LinkedIn-cookie bcookie die 364 dagen blijft staan. Dat is de LinkedIn Insight Tag, bedoeld voor retargeting en advertentieconversie.
Hier moet ik meteen precies zijn, want het verschil bepaalt of de kritiek standhoudt. De LinkedIn Insight Tag bestaat om bezoekers in een advertentiedoelgroep te stoppen voor retargeting. Maar deze tag staat op magister.nl, de marketingsite, niet in de ingelogde leerlingomgeving. En LinkedIn heeft een minimumleeftijd van 16 en richt zich op zijn eigen leden. De mensen die hierdoor daadwerkelijk een advertentie terugzien zijn dus niet de brugklassers, maar de volwassenen om het kind heen: ouders, docenten, schoolbestuurders, inkopers. De keten is niet “verplichte kindersoftware levert advertenties aan kinderen”. De keten is: een bedrijf wiens hele product verplichte software voor minderjarigen is, draait op zijn publieke site advertentieretargeting, gevoed door tracking die al vóór toestemming vuurt. Het kind is niet het doelwit, de wereld van volwassenen eromheen wel.
Bijna alle ontvangende partijen zijn Amerikaans. HubSpot biedt met zijn eu1-domeinen Europese opslag, maar Magister haalt ook content uit HubSpots Noord-Amerikaanse hubs (hubspotusercontent-na1.net, hubspotusercontent-na2.net). En los van waar een server staat: de verwerker blijft een Amerikaans bedrijf en valt dus onder Amerikaans recht. Dat is precies waar artikel 44 tot en met 49 AVG en het Schrems II-arrest over gaan.
itslearning: hetzelfde recept
itslearning.com draait dezelfde HubSpot-machine, portal 8421876. De bezoeker-trackingpixel die ik bovenaan dit dossier ontleedde, met dat persistente nummer en die vingerafdruk vóór elke klik, komt van deze site. Daarbovenop laadt itslearning een Weglot-vertaalscript (met de API-sleutel gewoon leesbaar in de URL), een FontAwesome-kit en ingebedde Apple Podcasts- en Apple Music-spelers. Twintig externe domeinen, alle twintig onder Amerikaanse zeggenschap. Honderd procent.
Het patroon achter het patroon: Sanoma Learning
Hier wordt het geen toeval meer. Magister en itslearning ogen als losse producten, maar zijn dat niet. Magister loopt via Iddink Group, en die Piwik PRO-tenant heet niet voor niets iddinkgroup. Iddink is sinds 2019 onderdeel van Sanoma Learning. itslearning is óók Sanoma Learning. En beide sites laden content uit precies dezelfde HubSpot-hub, nummer 7052064.
Met andere woorden: dit is niet twee bedrijven die los van elkaar dezelfde fout maakten. Dit is één concern dat zijn marketingstack uitrolt over de twee platformen waarmee een groot deel van het Nederlandse voortgezet onderwijs dagelijks werkt.
Eén nuance hoort er meteen bij. Deze trackers staan op de corporate- en marketingsites van de leveranciers. De ingelogde leerlingomgeving zit op aparte inlogdomeinen, en die heb ik hier niet gemeten. Het is dus niet zo dat een leerling tijdens het huiswerk maken aan LinkedIn wordt gevoerd. Het is wel zo dat de bedrijven die de schooldata van miljoenen minderjarigen beheren, hun eigen voordeur behandelen als een Amerikaanse advertentietrechter waarin toestemming kapot is. Daarover straks meer, want dat is precies waar de ethische vraag zit.
En de overheid? Ook Google, ook vóór toestemming, ook 399 dagen
Je zou hopen dat de publiek bekostigde clubs het beter doen. Deels.
Kennisnet, de publieke onderwijsorganisatie, draait een keurig in Nederland gehoste Matomo (piwik.kennisnet.nl, op een SURF-adres). Prima. Maar daarnaast staat Google Analytics 4 (G-BGLJ5NRRZ3), en het verzoek naar region1.google-analytics.com/g/collect vuurt vóór toestemming, met een cid, een Google-client-ID, erin. De bijbehorende cookies _ga en _ga_BGLJ5NRRZ3 blijven 399 dagen staan, en worden gezet voordat je iets hebt aangeklikt. Kennisnet heeft anonymize_ip en de niet-gepersonaliseerde-advertentievlag aangezet, dat siert ze, maar een client-ID die 399 dagen meeloopt en vóór toestemming naar Google in de VS gaat, blijft een client-ID die 399 dagen meeloopt en vóór toestemming naar Google in de VS gaat.
Examenblad.nl, de site rond het centraal examen, is van deze groep de netste: alleen de centrale Rijksoverheid-Matomo (statistiek.rijksoverheid.nl). Maar ook daar staat een _pk_id-cookie van 392 dagen vóór toestemming. Het is hetzelfde systemische Rijksoverheid-Matomo-patroon dat ik eerder in het stelsel-dossier beschreef.
De overheid ruimde op. De scholen kregen de memo niet.
En hier zit het scherpste contrast van dit hele dossier. De Rijksoverheid heeft de afgelopen jaren bewust afstand genomen van Google Analytics en is overgestapt op zelf-gehoste, privacyvriendelijke meting met Matomo. Je ziet het terug in Examenblad: alleen de centrale Rijksoverheid-Matomo, verder niets van Google.
De school-verplichte leveranciers hebben die beweging niet meegemaakt, of hem genegeerd.
- Magister gebruikt wél de nette analyse-tool: Piwik PRO, de commerciële neef van Matomo, precies de soort keuze die de overheid promoot. Maar het bouwt daar HubSpot, Ahrefs, LinkedIn-advertenties en een Amerikaanse accessibility-widget bovenop. De privacyvriendelijke tool functioneert hier als vijgenblad, niet als principe.
- Kennisnet, zelf een publiek bekostigd onderwijsorgaan, draait nog gewoon Google Analytics 4 vóór toestemming, terwijl de rest van de Rijksoverheid daar juist vanaf is gestapt.
De ironie laat zich in één zin vangen: de overheid maakte haar eigen meetketen schoon, de partijen die onze kinderen verplicht moeten gebruiken kregen de memo niet, en één publieke onderwijsclub negeert hem zelfs op zijn eigen site.
Dit is niet nieuw: wat het webarchief laat zien
Om te zien hoe lang dit al loopt, ben ik de gearchiveerde versies van beide sites langsgegaan in het Internet Archive, van 2012 tot nu.
itslearning.com draagt Google Analytics in de broncode van de gearchiveerde homepage vanaf januari 2010. Dat is zestien jaar bezoekersmeting. In 2023 staat HubSpot er aantoonbaar bovenop, met Google Analytics op dat moment nog ernaast.
magister.nl laat Google Analytics zien vanaf oktober 2017, ruim acht jaar terug, verspreid over 41 gearchiveerde opnames. Op 3 september 2022 verschijnt HubSpot voor het eerst, en vanaf dat moment staat Google Analytics niet langer naast HubSpot in de broncode. Dat is het beeld van een bewuste overstap van losse analytics naar een geintegreerde HubSpot-marketingstack, en die stack staat er sindsdien onafgebroken op.
Eén eerlijke beperking hoort hierbij. Het webarchief legt dynamisch ingeladen scripts van derden, zoals de LinkedIn-tag, Piwik PRO en de Skynet-widget, zelden vast. Dat die er vandaag staan, weet ik uit mijn eigen meting; precies sinds wanneer, kan ik uit het archief niet hard maken. Wat ik wél hard kan maken is het fundament: het volgen van bezoekers op deze sites is geen recente uitschieter. Op itslearning loopt het sinds 2010, op Magister sinds 2017, en de overstap naar een volwaardige marketingstack is een bewuste koerswijziging uit september 2022, niet een vergeten scriptje.
Wat ik hier niet heb gemeten, en wat de volgende stap is
Eerlijk blijven betekent ook de grenzen benoemen. Ik mat de openbare sites, in drie consent-standen, met volledige opname van het netwerkverkeer. Ik mat niet de ingelogde leerlingomgeving, want daar heb ik geen account voor en daar hoor ik zonder grondslag niet binnen te kijken. Ik mat ook niet hoe lang dit al loopt.
Dat laatste is wel de logische vervolgstap. Net als bij het Pels Rijcken-onderzoek kan het webarchief laten zien sinds wanneer deze trackers op de onderwijssites staan. En de Iddink- en Schoologica-domeinen rond Magister kunnen samen gemeten worden om aan te tonen hoe ver die ene HubSpot-portal over de groep reikt. Maar wat hier ligt is al genoeg voor één conclusie: de sector die “gemiddeld” scoort, doet dat omdat een paar schone portalen het wegmoffelen dat de grootste spelers hun voordeur hebben verhuurd aan een Amerikaanse marketingmachine, rond software die geen kind kan weigeren.
Methode: gemeten op 1 juni 2026 met mijn eigen scanner (BeforeYouMick), in drie consent-standen, met volledige opname van het netwerkverkeer (HAR). Reproduceerbaar. Alle hier genoemde domeinen, portal-ID’s, cookienamen, levensduren en beacon-parameters komen rechtstreeks uit die opname. De jurisdictie-aanduiding kijkt naar de zeggenschap over de ontvangende partij, niet naar de toevallige locatie van een Cloudflare-edge. Tegenspraak of correctie is welkom via mickbeer.com.