Технический аудит · 2026-06-16

nipv.nl

Сайт нидерландского института общественной безопасности

Nipv.nl — сайт нидерландского института общественной безопасности (пожарные службы, кризисное управление). Замер главной страницы: 167 обращений, 20 доменов. Для государственного учреждения набор трекеров неожиданно тяжёлый. Стоит платформа сбора согласия Cookiebot, и в этом сеансе пользователь в итоге отказал — но до отказа уже отработали рекламный пиксель LinkedIn и сразу два инструмента записи сессий, Hotjar и Contentsquare. Рекламно-аналитический слой Google при этом держится в режиме «согласие не дано», что в пользу сайта. Но рекламный пиксель LinkedIn и запись сессий отрабатывают полноценно, до согласия, и в политике эти три сервиса даже не названы.

Хронология утечки

1193 мс · платформа согласия Cookiebot

Загружается платформа сбора согласия Cookiebot. Механизм согласия предусмотрен — значит то, что отрабатывает раньше выбора, происходит до согласия.

2640 мс · LinkedIn Insight Tag

Загружается тег LinkedIn Insight. Рекламный сервис соцсети подключается до согласия.

2643 мс · запись сессий Hotjar

Запускается инструмент записи сессий Hotjar — фиксация поведения пользователя на странице. До согласия.

3110 мс · запись сессий Contentsquare

Запускается второй инструмент записи сессий — Contentsquare. На странице одновременно работают два инструмента записи поведения.

3265 мс · рекламный пиксель LinkedIn

Рекламный пиксель LinkedIn отправляет данные о визите на серверы LinkedIn. До согласия.

3545–3591 мс · Google в режиме «нет согласия»

Google Analytics и рекламный тег Google отправляют обращения с сигналом «согласие не дано» — без cookie и персонализации. Эту часть Google соблюдает корректно.

Декларация против факта

✓ Google Analytics — заявлен

+ LinkedIn — не заявлен

+ Hotjar — не заявлен

+ Contentsquare — не заявлен

Зафиксированные трекеры

LinkedIn (Insight + реклама)
Hotjar (запись сессий)
Contentsquare (запись сессий)
Google Analytics 4 (denied)
Google AdSense (denied)
MailPlus

Зафиксированные нарушения

Art. 6(1)(a) GDPR и ст. 11.7a Telecommunicatiewet — рекламный пиксель и запись сессий срабатывают до согласия

На сайте стоит платформа сбора согласия Cookiebot, и в этом сеансе пользователь в итоге отказал. Но до отказа уже отработал целый набор нетехнических трекеров. Рекламный пиксель LinkedIn отправляет данные о визите на серверы LinkedIn. Сразу два инструмента записи сессий — Hotjar и Contentsquare — загружаются и начинают фиксировать поведение пользователя на странице. Это происходит на второй-третьей секунде, тогда как отказ зафиксирован позже. Рекламно-аналитический слой Google при этом держится в режиме «согласие не дано», что засчитываем сайту. Но рекламный пиксель LinkedIn и запись сессий в этот режим не переведены — они отрабатывают полноценно. Запись сессий и рекламный пиксель — нетехнические цели, требующие согласия; на сайте государственного института общественной безопасности они срабатывают раньше выбора пользователя.
Art. 13 GDPR — рекламный пиксель LinkedIn и оба инструмента записи сессий в политике не названы

Политика института называет статистику Google и в общих словах упоминает маркетинговые cookie. Однако рекламный пиксель LinkedIn, а также оба инструмента записи сессий — Hotjar и Contentsquare — в политике не названы. То есть запись поведения пользователя и передача данных о визите в LinkedIn происходят, но в перечне получателей не раскрыты. Для государственного учреждения нераскрытая запись сессий особенно весома.

Контекст

www.nipv.nl — сайт Нидерландского института общественной безопасности (Nederlands Instituut Publieke Veiligheid): поддержка пожарных служб, кризисного управления и обучения. Контролёр данных — NIPV, государственное учреждение. Сайт информационный.

Замер: 167 обращений к 20 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Стоит платформа сбора согласия Cookiebot. Для государственного учреждения технический стек неожиданно насыщен рекламными и поведенческими инструментами.

Кто получает данные

Тут были замечены: LinkedIn, Hotjar, Contentsquare, Google.

LinkedIn получает данные о визите через рекламный пиксель и тег Insight. Hotjar и Contentsquare — два инструмента записи сессий, фиксирующие поведение пользователя на странице. Google присутствует аналитикой и рекламным тегом, но в режиме «согласие не дано». Дополнительно работает email-сервис MailPlus и карты Google.

Был ли баннер согласия

Да, на сайте есть платформа сбора согласия Cookiebot, и в этом сеансе пользователь в итоге отказал. Положительный момент: после отказа трекеры новых обращений не отправляют — отказ соблюдён.

Но проблема в том, что отработало до отказа. Рекламный пиксель LinkedIn и оба инструмента записи сессий сработали на второй-третьей секунде, то есть раньше, чем пользователь сделал выбор.

Что срабатывает до согласия

До выбора пользователя отрабатывает:

рекламный пиксель LinkedIn — отправка данных о визите;
запись сессий Hotjar — фиксация поведения;
запись сессий Contentsquare — второй инструмент фиксации поведения.

Рекламно-аналитический слой Google при этом держится в режиме «согласие не дано» — без cookie и персонализации, и это засчитываем сайту. Но рекламный пиксель LinkedIn и запись сессий в этот режим не переведены: они отрабатывают полноценно. Запись сессий и рекламный пиксель — нетехнические цели, требующие согласия, а здесь они срабатывают раньше выбора.

Нераскрытые получатели

Отдельный пункт. Политика института называет статистику Google и в общих словах упоминает маркетинговые cookie. Но рекламный пиксель LinkedIn и оба инструмента записи сессий — Hotjar и Contentsquare — в ней не названы. То есть запись поведения пользователя и передача визита в LinkedIn происходят, а в документе не раскрыты.

Вывод

Nipv.nl — серьёзный случай для государственного учреждения. Рекламно-аналитический слой Google настроен на соблюдение согласия, и после отказа трекеры останавливаются — это в пользу сайта. Но до выбора пользователя на государственном сайте общественной безопасности успевают отработать рекламный пиксель LinkedIn и сразу два инструмента записи сессий, причём ни один из этих трёх в политике не назван. Главное, что должен вынести читатель: государственному учреждению особенно не к лицу запускать запись поведения и рекламный пиксель раньше согласия, тем более не раскрывая их в политике. Достаточно перевести рекламный пиксель и оба инструмента записи сессий в режим ожидания согласия — как это уже сделано для слоя Google — и дополнить перечень получателей."

Доказательство

Оригинал (разбор)

HAR-файл: nl/nipv-nl-2026-06-16.har

SHA-256: ca844874a908ce2137f2c3e08f360726fd5795f521398f9f7d294f2b54d9e7a6

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: AP — Голландский орган по защите данных — autoriteitpersoonsgegevens.nl

Кому: AP — Голландский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом nipv.nl.

2. Обстоятельства
Я посетил сайт nipv.nl и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 16.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте стоит платформа сбора согласия Cookiebot, и в этом сеансе пользователь в итоге отказал. Но до отказа уже отработал целый набор нетехнических трекеров. Рекламный пиксель LinkedIn отправляет данные о визите на серверы LinkedIn. Сразу два инструмента записи сессий — Hotjar и Contentsquare — загружаются и начинают фиксировать поведение пользователя на странице. Это происходит на второй-третьей секунде, тогда как отказ зафиксирован позже. Рекламно-аналитический слой Google при этом держится в режиме «согласие не дано», что засчитываем сайту. Но рекламный пиксель LinkedIn и запись сессий в этот режим не переведены — они отрабатывают полноценно. Запись сессий и рекламный пиксель — нетехнические цели, требующие согласия; на сайте государственного института общественной безопасности они срабатывают раньше выбора пользователя.

2) Политика института называет статистику Google и в общих словах упоминает маркетинговые cookie. Однако рекламный пиксель LinkedIn, а также оба инструмента записи сессий — Hotjar и Contentsquare — в политике не названы. То есть запись поведения пользователя и передача данных о визите в LinkedIn происходят, но в перечне получателей не раскрыты. Для государственного учреждения нераскрытая запись сессий особенно весома.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/nipv-nl/

3. Нарушенные положения
Art. 6(1)(a) GDPR и ст. 11.7a Telecommunicatiewet — рекламный пиксель и запись сессий срабатывают до согласия; Art. 13 GDPR — рекламный пиксель LinkedIn и оба инструмента записи сессий в политике не названы

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]