QRcito

· 7 min

Volgen QR-codegenerators je? Zo controleer je het in 30 seconden

Welke gegevens QR-codegenerators kunnen verzamelen, hoe controleer je of die van jou je browser verlaat, en hoe kies je er een die écht privé en trackervrij is.

Volgen QR-codegenerators je? Zo controleer je het in 30 seconden

Een QR-code maken lijkt onschuldig: je vult een formulier in, je krijgt een afbeelding. Wat je niet ziet is wat er gebeurt met de gegevens die je hebt getypt — of ze in je browser blijven of naar de server van de provider reizen.

Voor wifi, vCard, betalingen en alle persoonsgegevens maakt dat verschil uit.

Snel antwoord

  • Online QR-generators kunnen twee verschillende dingen tracken: de gegevens die je invoert (wachtwoord, contactgegevens, URL) en wie de QR later scant.
  • Tracking van ingevoerde gegevens hangt af van of het genereren server-side (gegevens reizen naar een server) of client-side (alles gebeurt in je browser) gebeurt.
  • Tracking van scans is alleen mogelijk met dynamische QR's: de QR verwijst naar een provider-URL die elk bezoek logt.
  • Je kunt het in 30 seconden verifiëren met de DevTools van je browser (tabblad Network) tijdens het genereren van de QR.
  • Als je gevoelige gegevens invoert (wifi, vCard, betalingen), gebruik client-side generators, geen registratie, bij voorkeur open source.

Welke soorten tracking bestaan er in een QR-generator

Drie verschillende lagen:

1. Tracking van de gegevens die je invoert

Wanneer je het formulier invult (SSID, wachtwoord, contact, URL), kan die informatie:

  • In je browser blijven en nooit ergens naartoe worden verzonden (client-side generatie).
  • Naar de server van de provider reizen om de afbeelding te bouwen en terug te sturen (server-side generatie). Het kan dan in logs, analytics of databases belanden.

De meeste online generators zijn standaard server-side, omdat dat de gemakkelijkste implementatie is. Dat betekent niet dat de provider kwaadaardig is, maar het betekent wel dat je gegevens door hun infrastructuur gaan.

2. Tracking van de gebruiker die de QR genereert

Zoals elke website kan de generator hebben:

  • Analytics (Google Analytics, Plausible, Matomo enz.).
  • Third-party cookies en advertentiepixels (Meta, TikTok, Google Ads).
  • Browser fingerprinting om je te identificeren zonder cookies.
  • Verplicht account dat elke QR die je genereert aan je identiteit koppelt.

Dit staat los van het genereren van de QR zelf, maar hoort bij het pakket.

3. Tracking van wie de QR scant

Alleen van toepassing op dynamische QR's: de code verwijst naar een korte provider-URL (qr.xx/abc123) die doorverwijst naar de echte bestemming. Elke redirect wordt gelogd met:

  • Exact scantijdstip.
  • IP van de gebruiker (dus globale locatie).
  • Type apparaat, OS, browser.
  • Referer indien aanwezig.

In een dynamische QR is scantracking niet toevallig — het is de bestaansreden van het product.

Hoe detecteer je of je generator je volgt (geen programmeerkennis vereist)

Drie minuten met een moderne browser:

  1. Open de generator die je wilt gebruiken.
  2. Druk op F12 (of rechtermuisknop → Inspecteren) en ga naar het tabblad Network.
  3. Druk op de rode opnameknop / houd het tabblad open en wis het (de ⌀-knop).
  4. Vul het QR-formulier in met willekeurige gegevens en klik op "genereer".
  5. Kijk naar de verzoeken die in de lijst verschijnen.

Waar op te letten:

  • Als er geen nieuwe verzoeken verschijnen tijdens het genereren: de QR wordt 100% in je browser gebouwd. Client-side. Ja.
  • Als er een POST-verzoek naar een provider-URL verschijnt op het moment dat je klikt op genereren, met je velden (SSID, wachtwoord enz.) in de payload: je gegevens reizen naar de server. Server-side. Nee voor gevoelige gegevens.
  • Als de response de QR-afbeelding is (PNG of SVG) gegenereerd door de backend: dat bevestigt dat de server de code bouwt.

Controleer ook of de pagina Google Analytics, Meta Pixel of andere trackerscripts laadt (je ziet verzoeken naar google-analytics.com, googletagmanager.com, connect.facebook.net enz.).

Duidelijke rode vlaggen

Zonder DevTools, enkele snelle indicatoren:

  • Ze vereisen registratie of een account om een basis-QR te genereren.
  • Ze hebben een "PRO"-plan met gedetailleerde scantracking: als dat hun verdienmodel is, zit tracking in het DNA van het product.
  • De gedownloade QR bevat hun URL in plaats van de jouwe (qr.xx/abc123 in plaats van jouwdomein.nl): het is een dynamische QR, automatisch getrackt.
  • Het privacybeleid vermeldt delen van gegevens met derden, marketingpartners of advertentiegebruik.
  • Ze publiceren de broncode niet en de tool is gratis zonder duidelijk verdienmodel: iemand betaalt ervoor, meestal met jouw gegevens.

Hoe verifieer je dat een generator client-side is

Snelle checklist:

  • Werkt offline: schakel je wifi uit, herlaad de pagina en probeer te genereren. Als het werkt, is het client-side. Als hij niet kan laden of niet laat genereren, hangt hij af van de server.
  • Geen netwerkverzoeken tijdens het genereren (verifieerbaar met DevTools zoals hierboven).
  • Geen account vereist, geen e-mail.
  • De broncode is inspecteerbaar (open source of ongeminificeerde JavaScript).
  • De QR-bestemming is precies wat je typt, geen verkorte provider-URL.

Als alle vijf kloppen, kan de generator jou of wie de code scant niet tracken.

Waarom dit het meest uitmaakt voor wifi, vCard en betalingen

Voor een openbare URL (je bedrijfswebsite, een openbare PDF) voegt het "zien" van je URL door de generator geen risico toe: die was toch al openbaar.

Maar er zijn drie QR-types waar tracking cruciaal is:

  • Wifi: je netwerkwachtwoord. Als het naar de server van de provider reist, ligt het buiten je controle.
  • vCard: persoonlijk telefoonnummer, e-mail, adres. Persoonsgegevens vallend onder de AVG.
  • Betalingen / Bitcoin: wallet, IBAN, bankgegevens. De hoogste gevoeligheidsniveau.

Voor deze gevallen is het gebruiken van een client-side generator geen paranoia — het is basishygiëne.

Open source vs proprietary

Dat een generator open source is, garandeert op zichzelf geen meer privacy, maar stelt je wel in staat om:

  • De code te auditen en te verifiëren dat er geen verborgen tracking is.
  • De client-side logica te bevestigen zonder de provider op zijn woord te geloven.
  • Zelf te hosten als je volledige controle wilt.

Een proprietary generator kan net zo privé zijn, maar vereist vertrouwen in wat de provider claimt. Zonder auditabele code is er geen manier om het te verifiëren.

In de praktijk: open source + geen account + geen netwerk tijdens genereren = de hoogst redelijke privacystandaard.

Conclusie

Bijna elke online QR-generator verwerkt je gegevens op zijn server. Dat is prima voor een openbare URL, maar riskant voor wifi, vCard of betalingen. Om in 30 seconden te verifiëren, open DevTools, ga naar Network en controleer of je browser verzoeken verstuurt wanneer je de QR genereert. Als dat niet zo is, is hij client-side en verlaat je inhoud nooit je apparaat.

QRcito genereert elke QR volledig in je browser, zonder account, zonder netwerk tijdens genereren en zonder third-party trackers. Je kunt het verifiëren door DevTools te openen voordat je op genereren drukt.

FAQ

Wat betekent "client-side" in een QR-generator? Dat de JavaScript die de QR-afbeelding bouwt binnen je browser draait. De gegevens die je invoert worden nooit naar een server verzonden. Genereren is lokaal, direct en offline-capabel.

Is het legaal voor een QR-generator om mijn gegevens op te slaan? Als hun privacybeleid het vermeldt en je het accepteert, ja. Het probleem is dat veel beleidslijnen vaag zijn of QR-specifieke gegevens niet dekken. Bij twijfel, ga ervan uit dat ze iets opslaan en kies een andere tool als je gegevens gevoelig zijn.

Kan een statische QR tracken wie hem scant? Nee. Een statische QR gaat niet door een server: de informatie gaat direct van de code naar de lezer. Alleen dynamische QR's (met een tussenliggende redirect-URL) kunnen scans tracken.

Hoe is de AVG van toepassing op QR-generators? Als je persoonsgegevens invoert (naam, e-mail, telefoon in een vCard) in een server-side tool gevestigd in de EU of die Europese gebruikers bedient, is de provider verantwoordelijk voor de verwerking onder de AVG. Om risico en verplichtingen te minimaliseren, is de eenvoudige route client-side generators gebruiken.

Waarom kan QRcito alles gratis aanbieden zonder tracking? Omdat QR-codes genereren een lichtgewicht proces is dat geen dure infrastructuur vereist. Client-side zijn betekent geen serverkosten per gebruiker; zonder tracking of accounts is er geen product om te verkopen. De site draait tegen zeer lage kosten, zonder de noodzaak om gebruikers te monetariseren.

Gerelateerde artikelen

Hoe maak je een wifi-QR-code zonder een app te installeren Statische vs dynamische QR-codes: welke heb je echt nodig Gratis alternatieven voor QR Code Generator (geen paywall, geen registratie)

← Terug naar de blog