Uit een nieuw rapport van een onafhankelijk auditbureau uit Californië blijkt dat pop-ups voor toestemming voor cookies die de afgelopen jaren op websites zijn verschenen en die beweren dat gebruikers kunnen "kiezen" of ze door advertenties worden gevolgd, in veel gevallen feitelijk nutteloos zijn - zelfs als gebruikers expliciet op "weigeren" klikken, zullen grote reclametechnologiebedrijven, waaronder Google, Microsoft en Meta, zoals gewoonlijk nog steeds trackingcookies plaatsen en boetes betalen die kunnen oplopen tot miljarden dollars als een "goedkopere" optie.

Het auditrapport van maart 2026, uitgegeven door auditbureau webXray, wees erop dat technologiegiganten over het algemeen de cookies-afwijzingssignalen van gebruikers negeerden wanneer Californische gebruikers websites bezochten en het gedrag van gebruikers bleven volgen via cross-site cookies. Google, Microsoft en Meta betwisten deze conclusie allemaal. Deze cookie-pop-ups zijn gemaakt als reactie op de Europese privacyregelgeving, die vereist dat websites expliciete toestemming van gebruikers verkrijgen voordat ze advertenties weergeven of cookies traceren.

Na jaren van gebruikers die klagen over “onduidelijke inhoud en het genereren van klikken” en “mensen lezen feitelijk niet rechtstreeks”, hebben Europese toezichthouders onlangs aangedrongen op het vereenvoudigen van de cookieregels, maar uit de laatste audit van webXray bleek dat de werkelijke situatie nog steeds niet optimistisch is. In een voorbeeldtest onder Californische gebruikers stelt 55% van de websites nog steeds cookies in nadat gebruikers op 'Weigeren' hebben geklikt, en 78% van de pop-ups voor toestemming voor cookies implementeren technisch gezien de keuze van de gebruiker niet, maar zijn slechts decoratie. webXray schat dat als de huidige regels strikt worden nageleefd, deze reclametechnologiebedrijven mogelijk zo'n 5,8 miljard dollar aan boetes moeten betalen, maar ze lijken er de voorkeur aan te geven "eerst te volgen en dan de boetes de kosten te laten berekenen".

Uit de auditresultaten blijkt dat op websites die gebruikmaken van de advertentienetwerken van Google of Microsoft, zelfs als het systeem expliciet een gebruikersafwijzingssignaal ontvangt, de advertentietechnologiecomponent nog steeds instructies zal geven om cookies op het apparaat van de gebruiker te plaatsen. webXray volgde dit gedrag via openbare netwerkverkeersgegevens en geloofde dat de relevante bedrijven het nauwelijks verborgen hielden, maar het openlijk bleven volgen. In termen van specifieke gegevens negeerde het advertentienetwerk van Microsoft ongeveer de helft van de 'afwijzen'-signalen en bleef gebruikers volgen op 35% van de websites van klanten, met een geschatte boete van ongeveer $ 390 miljoen.

De situatie van Google is zelfs nog ernstiger: uit de audit blijkt dat het 86% van de afwijzingsverzoeken negeert en het gedrag van gebruikers op 77% van zijn websites blijft registreren, wat overeenkomt met mogelijke boetes van 2,31 miljard dollar. Tegelijkertijd is de implementatie van Meta bekritiseerd omdat deze "helemaal niet naar afwijzingssignalen kijkt": de trackingcode lijkt technisch gezien helemaal niet de uniforme opt-out-instructies van de gebruiker te controleren. Van de sites die uitgangssignalen detecteren, kiest 69% er nog steeds voor om deze te negeren, en 21% blijft ze volgen. webXray schat dat Meta hiervoor mogelijk wel 9,3 miljard dollar aan boetes heeft betaald.

Timothy Libert, oprichter en CEO van webXray, werkte voorheen als privacy-ingenieur bij Google. Hij zei in een interview met 404 Media dat bedrijfsleiders tijdens zijn ambtstermijn vaak geen duidelijk onderscheid maakten tussen ‘belastingen’ en ‘sancties’. Dit betekende dat boetes bij sommige zakelijke beslissingen werden beschouwd als voorspelbare en aanvaardbare bedrijfskosten, en niet als een nalevingsrisico dat vermeden moest worden.

Geconfronteerd met de auditconclusies weerlegden de drie grote bedrijven allemaal en zeiden dat het rapport de manier waarop hun technologie werd geïmplementeerd "verkeerd begreep". Microsoft heeft verklaard dat sommige cookies van cruciaal belang zijn voor de functionaliteit van de website en niet simpelweg kunnen worden beschouwd als tools voor het volgen van advertenties; terwijl Meta benadrukte dat onder bepaalde technische configuraties de website zelf het uniforme uitgangssignaal kan overschrijven of wijzigen, wat impliceert dat een deel van de verantwoordelijkheid bij de website-exploitant ligt en niet bij de platformcode zelf. Volgens webXray is er echter een duidelijke kloof tussen de huidige daadwerkelijke implementatieresultaten en de oorspronkelijke bedoeling van het toezicht, wat betekent dat zelfs als gebruikers geduldig het pop-upvenster lezen en 'afwijzen' kiezen, hun privacyrechten nog steeds moeilijk echt te beschermen zijn.