Технический аудит · 2026-06-16

nos.nl

Сайт общественного вещателя Нидерландов

Nos.nl — сайт общественного вещателя Нидерландов. Замер главной страницы: 135 обращений, 12 доменов. Набор принципиально отличается от коммерческих медиа: ни Google Analytics, ни Facebook, ни рекламных бирж Google. Реклама контекстная — её ведёт рекламный дом общественного вещателя, перешедший в 2020 году на показ без поведенческой слежки, и приватный контекстный партнёр. Это сильная сторона сайта. Но собственная система измерения вещателя присваивает посетителю первичный идентификатор и отправляет его ещё до того, как предъявлена полоса согласия, а система событий вещателя отправляет событие с идентификатором. То есть реклама приватная, а измерение присваивает идентификатор раньше выбора пользователя.

Хронология утечки

1358 мс · мониторинг ошибок

Загружается Sentry — мониторинг ошибок. Технический инструмент отслеживания сбоев.

1897 мс · контекстная реклама Ster

Загружается рекламный скрипт рекламного дома общественного вещателя. С 2020 года реклама здесь контекстная — без поведенческой слежки.

1901 мс · измерение с идентификатором посетителя

Собственная система измерения вещателя отправляет обращение с присвоенным первичным идентификатором посетителя. Это измерение с устойчивым идентификатором, и оно происходит до согласия.

1958 мс · событие Topspin с идентификатором

Собственная система событий вещателя (Topspin) отправляет событие с идентификатором в параметрах. До согласия.

2448–3115 мс · контекстный рекламный партнёр

Загружается приватный контекстный рекламный партнёр и проводит аукцион показа. Реклама контекстная — без персональных данных и поведенческого профилирования.

Декларация против факта

✓ Ster — заявлен

✓ Piano (измерение) — заявлен

+ Topspin — не заявлен

Зафиксированные трекеры

Измерение NPO (Piano / AT Internet)
Topspin NPO
Ster (контекстная реклама)
OptOut Advertising (контекстная)
Sentry

Зафиксированные нарушения

Art. 6(1)(a) GDPR и ст. 11.7a Telecommunicatiewet — измерение присваивает идентификатор посетителя до согласия

На сайте есть собственный баннер согласия, но его полоса выбора предъявляется лишь на третьей-пятой секунде. А до этого собственная система измерения вещателя (на платформе Piano, ранее AT Internet) отправляет обращение с присвоенным первичным идентификатором посетителя — то есть это не обезличенный счётчик, а измерение с устойчивым идентификатором, и оно срабатывает раньше согласия. Параллельно собственная система событий вещателя (Topspin) отправляет событие с идентификатором в параметрах. По нидерландскому закону о cookie присвоение и чтение такого идентификатора требует согласия, если измерение не настроено как строго обезличенное. Здесь идентификатор присваивается до выбора пользователя. Важно отметить, что рекламная часть устроена принципиально иначе и в пользу сайта: реклама контекстная, без поведенческой слежки, — поэтому претензия касается именно измерения с идентификатором, а не рекламы.

Контекст

www.nos.nl — сайт общественного вещателя Нидерландов (новости, спорт, видео). Контролёр данных — NOS, часть системы общественного вещания NPO. Сайт информационный, с рекламными блоками, продажу которых ведёт рекламный дом общественного вещателя.

Замер: 135 обращений к 12 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. На сайте есть собственный баннер согласия. Технический стек заметно отличается от коммерческих медиа: коммерческой рекламной слежки в нём нет.

Кто получает данные

Тут были замечены: система измерения NPO (на платформе Piano), рекламный дом Ster.

Измерение вещателя построено на платформе Piano (ранее AT Internet) и собирает статистику с присвоением первичного идентификатора посетителя. Дополнительно работает собственная система событий вещателя (Topspin). Рекламу ведут рекламный дом общественного вещателя и приватный контекстный партнёр — оба в контекстном режиме, без поведенческой слежки. Google Analytics, Facebook и рекламных бирж Google в замере нет.

Был ли баннер согласия

Да, на сайте есть собственный баннер согласия, но его полоса выбора предъявляется лишь к третьей-пятой секунде. К этому моменту измерение с идентификатором уже отработало.

Здесь важно разделить две части. Рекламная часть устроена приватно: с 2020 года рекламный дом общественного вещателя показывает рекламу контекстно, без поведенческого профилирования, и приватный партнёр работает так же. Контекстная реклама не использует персональных данных, поэтому согласия не требует. А вот измерение присваивает посетителю идентификатор — и это уже выходит за рамки обезличенной статистики.

Что срабатывает до согласия

До предъявления полосы согласия отрабатывает:

система измерения вещателя — с присвоением первичного идентификатора посетителя;
система событий вещателя (Topspin) — с идентификатором в параметрах;
контекстная реклама (рекламный дом вещателя и приватный партнёр);
мониторинг ошибок Sentry (технический).

Контекстная реклама согласия не требует, и это в пользу сайта. Но измерение с устойчивым идентификатором — это не обезличенный счётчик: по нидерландскому закону о cookie присвоение такого идентификатора требует согласия, если измерение не настроено строго обезличенным. Здесь идентификатор присваивается до выбора пользователя.

Что в пользу сайта

Это стоит подчеркнуть, потому что для медиа результат нетипично хороший. Коммерческой рекламной слежки на сайте нет: ни Google Analytics, ни пикселей соцсетей, ни рекламных бирж с поведенческим таргетингом. Реклама переведена в контекстный режим — без профилирования пользователя. То есть основной риск медиа-сайтов — россыпь рекламных трекеров — здесь устранён по существу.

Вывод

Nos.nl — показательный случай общественного вещателя с приватной рекламной моделью. Реклама контекстная, без поведенческой слежки, коммерческих рекламных бирж и пикселей соцсетей нет — это выгодно отличает сайт от коммерческих медиа. Единственная узкая претензия касается измерения: собственная система статистики присваивает посетителю идентификатор и отправляет его до того, как предъявлена полоса согласия, а система событий отправляет событие с идентификатором. Главное, что должен вынести читатель: перевод рекламы в контекстный режим снимает основную проблему медиа-сайтов, но измерение с устойчивым идентификатором всё же должно либо дожидаться согласия, либо быть строго обезличенным. Достаточно настроить измерение как обезличенное или перевести его в режим ожидания согласия — и сайт станет полностью чистым."

Доказательство

Оригинал (разбор)

HAR-файл: nl/nos-nl-2026-06-16.har

SHA-256: bfe4d5342647b6ce94d1d28a015bd1443ef66d85ac6739d1b4e4c470e64897da

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AP — Голландский орган по защите данных — autoriteitpersoonsgegevens.nl

Кому: AP — Голландский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом nos.nl.

2. Обстоятельства
Я посетил сайт nos.nl и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 16.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте есть собственный баннер согласия, но его полоса выбора предъявляется лишь на третьей-пятой секунде. А до этого собственная система измерения вещателя (на платформе Piano, ранее AT Internet) отправляет обращение с присвоенным первичным идентификатором посетителя — то есть это не обезличенный счётчик, а измерение с устойчивым идентификатором, и оно срабатывает раньше согласия. Параллельно собственная система событий вещателя (Topspin) отправляет событие с идентификатором в параметрах. По нидерландскому закону о cookie присвоение и чтение такого идентификатора требует согласия, если измерение не настроено как строго обезличенное. Здесь идентификатор присваивается до выбора пользователя. Важно отметить, что рекламная часть устроена принципиально иначе и в пользу сайта: реклама контекстная, без поведенческой слежки, — поэтому претензия касается именно измерения с идентификатором, а не рекламы.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/nos-nl/

3. Нарушенные положения
Art. 6(1)(a) GDPR и ст. 11.7a Telecommunicatiewet — измерение присваивает идентификатор посетителя до согласия

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]