Privacy-onderzoek · Nederland

Mick Beer

Bouwer & onderzoeker van privacy-first systemen.

Onafhankelijk. Geen vendors, advertenties of winstoogmerk.

↓  Het onderzoek
Portret van Mick Beer

Laatste artikelen

Alle artikelen
Illustratie: een man aan een tafel met koffie wordt aan zijn shirt achteruit getrokken door een figuur met een rood Adobe-logo als hoofd. Bovenaan de tekst 'niet zo tracken'. Tekening door Mick Beer
Artikel3 juni 2026

Het houdt niet op bij de Belastingdienst: twee sites van Defensie leveren je herkenningsnummer aan de advertentiemarkt

De Tweede Kamer eist opheldering over de Adobe-tracking bij de Belastingdienst, naar aanleiding van mijn vorige artikel. En het houdt daar niet op: twee websites van het Ministerie van Defensie leveren je herkenningsnummer rechtstreeks aan een advertentie-inkoopplatform, en drie merken van de staatsbank Volksbank poolen je bezoekersprofiel. De Belastingdienst zelf doet dat laatste juist níét, en dat verschil hoort er glashelder bij. Met de echte hostnamen en een harde grens om wat ik niet kan bewijzen.

Lees verder →
Spotprent waarin koning Willem-Alexander naar Donald Trump wijst, met de tekst 'Dus jij bent die pauper die al onze data opkoopt'. Tekening door Mick Beer
Artikel2 juni 2026

Een Amerikaans reclamebedrijf krijgt een verslag van elke klik terwijl jij je belasting betaalt

Ik heb mijn eigen betaling bij de Belastingdienst van begin tot eind vastgelegd, ingelogd achter DigiD, met de antwoorden van de servers erbij. Bij die ene betaling vertrok een handeling-voor-handeling verslag naar Adobe in de Verenigde Staten: welke aanslag ik openhad, dat ik voor iDEAL koos, het exacte moment dat ik op betalen klikte, en dat ik daarna annuleerde. Eraan vast hing een nummer dat twee jaar blijft staan en mij over websites heen herkenbaar maakt. Hieronder staat de complete lijst van wat er werd verstuurd, met de echte waarden uit mijn sessie.

Lees verder →
Spotprent: een scholier met rugzak staat stil terwijl vier figuren met logohoofden (Google, Ahrefs, HubSpot en een grijze Skynet-widget) aan zijn kleren trekken alsof het touwtrekken is. Boven de tekening staat in grote letters 'laat onze studenten met rust'. Tekening door Mick Beer
Artikel1 juni 2026

Verplichte schoolsoftware, met een Amerikaanse marketingmachine aan de voordeur

De onderwijssector haalt op de Nationale Privacy Index gemiddeld 3,7 sterren. Dat lijkt netjes, maar het gemiddelde is sterk bimodaal. Magister en itslearning, beide van Sanoma Learning, laden vóór je iets aanklikt een volledige HubSpot-marketingsuite, Piwik PRO, Ahrefs en een Amerikaanse accessibility-widget. Wie 'akkoord' klikt, krijgt er LinkedIn-advertentietracking bij. Kennisnet, een publiek bekostigd orgaan, zet vóór toestemming een Google Analytics-cookie van 399 dagen. En de drie portalen die schoon ogen, zijn deels simpelweg niet te meten. Dit is een dossier over wat er gebeurt, wat eraan fout is, en waarom het juist hier niet te verdedigen valt.

Lees verder →
Tekening van het Pels Rijcken-kantoorgebouw waarvan de gevel wegsmelt, door Mick Beer
Artikel27 mei 2026

Pels Rijcken sprak van slordigheden. De archieven tonen elf jaar onafgebroken tracking op vijf domeinen, met 399-dagen cookies vóór toestemming.

Pels Rijcken sprak op 22 mei publiekelijk over slordigheden met YouTube-embeds, opgelost via een dagelijkse Cookiebot-scan. Een meting van 27 mei toont een bredere werkelijkheid: onafgebroken Google Analytics tot elf jaar tien maanden op vijf domeinen die Pels Rijcken zelf onder zijn privacyverklaring schaart, vandaag nog actief op drie ervan, met 399-dagen cookies vóór toestemming op pgwoo.nl en pgawb.nl.

Lees verder →
Infographic 'Het Odido-datalek: officieel narratief naast bewijs'. Bovenste rij toont wat Odido publiek deelt over zeven onderwerpen (detectie, reactie, aanvallers, password_c, inlogwachtwoorden, klantnotities, retentie); de onderste rij toont per onderwerp wat het bewijs laat zien, met een kleurgecodeerde taxonomie van hard contradictie tot staat overeind.
Artikel24 mei 2026

De Odido-reconstructie: tegengeluid met keihard bewijs

Forensische naast-elkaar-zetting van Odido's publieke verklaringen over het datalek van februari 2026 en wat met openbare bronnen daadwerkelijk vast te stellen is. Tien claims geclassificeerd, plus zes omissies die Odido onbenoemd laat.

Lees verder →
Het kantoorpand van Pels Rijcken met de naam op de gevel, bij een reactie op hun publieke verklaring over het cookiebeleid.
Artikel22 mei 2026

Reactie op de publieke verklaring van Pels Rijcken

Pels Rijcken citeert het cybersecurity-bedrijf Northwave om twee bevindingen te weerleggen. Het CNAME-punt was al vóór publicatie gecorrigeerd en stond niet in het BNR-artikel; het jurisdictie-punt mist de CLOUD Act-laag die het hele Schrems II-debat definieert. Het overgrote deel van de bevindingen blijft onweerlegd, en is door Pels Rijcken zelf erkend en geremedieerd.

Lees verder →
Privacy Kieswijzer, twintig Nederlandse partijen en fracties uitgezet op een kaart van privacy-bescherming tegen surveillance-houding, Tweede Kamer 2021–2026.
Artikel21 mei 2026

Privacy Kieswijzer: hoe stemmen Nederlandse partijen écht over jouw digitale grondrechten?

Een kaart van vier jaar Tweede Kamer, twintig partijen en één simpele vraag: wie verdedigt jouw privacy, en wie liever de surveillance-staat? Met per as exact welke bronnen en wegingen onder de scores zitten.

Lees verder →
Twee gespierde armen, één in een wit overhemd en één in een rood shirt, die elkaar in een vaste, hechte handdruk omklemmen. Beeldtaal: 'Epic Handshake'-meme, gebruikt als beeld voor een onverwachte alliantie tussen partijen die elkaar in het publieke debat juist zouden moeten controleren.
Artikel19 mei 2026

Salesforce zit morgen aan de Kamer-tafel over cyberveiligheid, drie maanden na het Odido-lek via hun platform

De vaste Kamercommissie Digitale Zaken houdt morgen een rondetafelgesprek over cyberveiligheid. In tweede herziene convocatie is aan blok 1 (Experts) Salesforce toegevoegd. De leverancier wiens platform drie maanden eerder de poort was waarlangs 6,2 miljoen Nederlanders hun gegevens verloren. Een feitelijke reconstructie en de vragen die de commissie zou moeten stellen.

Lees verder →
Drie partijleiders in collage: Geert Wilders (PVV), de leider van 50PLUS in purper sjaal, en Stephan van Baarle (DENK) onderin.
Artikel19 mei 2026

Politieke partijen op privacy

Eén partij haalt vijf sterren. Twee verbergen hun tracking achter een eigen merknaam. NSC heeft geen meetbare website. CDA staat onderaan. Wat ik vond op de zestien partij-websites, en wat het over jouw stem zegt.

Lees verder →
Portret van Jesse van Heijningen
Met
Jesse van Heijningen
Artikel17 mei 2026

Geen vinkje, een houding

Interview met Jesse van codebyjesse.com over zijn keuze voor privacy-first analytics en wat dat zegt over digitale ethiek in Nederland.

Lees verder →
Voorblad van het hoofddossier
Artikel17 mei 2026

Het Nederlandse Privacy-Stelsel, Hoofddossier

Master-rapport over 24 maanden privacy-onderzoek op Nederlandse organisaties. 75 pagina's met methode, juridisch kader, bewijsclassificatie en evidence-trail.

Lees verder →
Schilderij in de stijl van Magritte: een man met bolhoed houdt een opengeslagen krant voor zijn gezicht. De kop luidt 'Geen nieuws — 38 AIVD'ers, MIVD'ers en Tweede Kamerleden, niet in het nieuws'. Achter hem staat groot het woord ODIDO op de muur geschilderd.
Artikel17 mei 2026

Ik vond 38 PPP's in de Odido-dataset, en 5,5 miljoen mensen die er allang niet meer hoorden te zijn

Forensische analyse van het Odido-lek. PPP's, MKB-ondernemers, kwetsbare personen, 16 jaar opslag van data die nooit bewaard had mogen blijven. En waarom Wetsvoorstel 2026Z04148 dit moet verbieden.

Lees verder →
Cirkel-visualisatie: één oranje stip (jij), 8 blauwe (bekende namen), 130+ grijze (onbekende databrokers)
Artikel17 mei 2026

138 bedrijven krijgen jouw data als je NU.nl opent

138 partners, 92% onbekend. NU.nl en NOS.nl gemeld bij de Autoriteit Persoonsgegevens. Wat ik vond, wat ik deed, en hoe jij je data terugpakt.

Lees verder →
Voorblad van het 113-dossier, case-recap over de privacyschending op de nationale zelfmoordpreventielijn en hoe 113 erop reageerde.
Artikel17 mei 2026

Het 113-dossier: wat er fout ging, en wat er goed ging

Een privacy-onderzoek op de website van Stichting 113 Zelfmoordpreventie bracht een ernstige bevinding aan het licht. De manier waarop 113 reageerde, mag een sector-voorbeeld heten.

Lees verder →
"respectVisitorsPrivacy": false, wat staat er écht in de Kiesraad-config?
Artikel14 mei 2026

"respectVisitorsPrivacy": false, wat staat er écht in de Kiesraad-config?

Op kiesraad.nl draait Piwik PRO via CNAME-cloaking. Vijf tracking-cookies vóór toestemming, geen cookiebanner. In de config staat letterlijk respectVisitorsPrivacy false.

Lees verder →
Screenshot van de homepage van 113.nl met het rode hulpvraagblok
Artikel12 mei 2026

113.nl: structurele privacyschending in digitale zorgverlening

Forensisch trackingonderzoek op de nationale suïcidepreventielijn, bevindingen, juridische context en actiepunten.

Lees verder →
Screenshot van de homepage van humanitas.nl, met de oproep
Artikel10 mei 2026

Humanitas heeft een session-replay tool. Op een hulpverleningsplatform.

Op humanitas.nl draait Microsoft Clarity, session-replay op een platform voor mensen die hulp zoeken bij eenzaamheid, rouw, schulden en mantelzorg. Eén van achttien externe partijen die bij elk bezoek data ontvangen.

Lees verder →
Cover: de Toeslagen-app draait op een Azure-backend in de VS
Artikel6 mei 2026

Mijn Toeslagen van Belastingdienst, powered by Microsoft USA

Een live Azure-backend in een primair toeslagenproces, terwijl Heijnen de Kamer beloofde dat het in Apeldoorn zou blijven.

Lees verder →
Spotprent: Belastingdienst-bestuurder schrikt, Adobe en Google bedanken voor de data
Artikel3 mei 2026

De Belastingdienst deelt zoekgedrag van toeslagenslachtoffers met een Amerikaans databedrijf

Ik bekeek wat de Belastingdienst doet qua cookies en tracking. Ik was enorm geschokt. We betalen belasting om bespioneerd te worden, en het is niet eens makkelijk te vinden. Tussen de tracker en Adobe USA zit een DNS-truc.

Lees verder →
Infographic: Van cookie naar fraude in zeven stappen
Artikel29 april 2026

Van cookie naar bankhelpdeskfraude: de keten die niemand wil zien

Tracking pixels op vertrouwde websites delen persoonsgegevens met tientallen partijen. Die data worden verrijkt door databrokers en landen, legaal of gestolen, in scam-arsenalen. Hoe de keten van cookie naar oma's bankrekening werkt.

Lees verder →
Cover: ChipSoft betaalde na de ransomware-aanval, de vraag is waarom het zover kwam
Artikel29 april 2026

ChipSoft betaalde. De vraag is waarom het zover kwam.

Op 7 april 2026 trof een professionele ransomware-aanval het Nederlandse EPD-bedrijf ChipSoft. Honderd gigabyte aan medische gegevens werd buitgemaakt door Embargo.

Lees verder →
Cover: DigiD-contract verlengd terwijl de Tweede Kamer wordt gepasseerd
Artikel26 april 2026

Het kabinet verlengt DigiD-contract terwijl Kamer passeert, privacylekken opstapelen en soevereiniteit op spel staat

Het kabinet verlengt het Solvinity-contract, en passeert daarmee de Tweede Kamer. Onderzoek toont DPIA-gat en pre-consent tracking bij DigiD.

Lees verder →
Cover: het Odido-datalek, zestien jaar bewaard en de directie stond erin
Artikel24 april 2026

Uw directie stond op de lijst, wat het Odido-lek onthult over uw eigen datakluis

Niet 6,2 miljoen accounts, 17 miljoen dataregels, zestien jaar bewaard. Odido's eigen directie stond erin. Als de architecten van het systeem zichzelf niet beschermen, is het systeem kapot.

Lees verder →
Cover: drie datalekken in één week, weekbrief editie 3
Artikel16 april 2026

Editie 3: Drie datalekken in week 15 op 16 van 2026. WTF!

Drie datalekken in één week: waarom 40.000–80.000 Nederlanders nu een levensgevaarlijk compleet profiel op de darkweb kunnen hebben.

Lees verder →
Cover: de trust-wiskunde van blockchain toegepast op bestandstransport
Artikel15 april 2026

Blockchain solved trust for money. We applied the same math to your files, and made it quantum-safe.

In 2008 solved Satoshi Nakamoto trust without intermediaries via Merkle trees. Ghost Pipe applies the same math to file transport with post-quantum cryptography.

Lees verder →
Cover: 'alles weigeren' werkt niet, getest bij De Volkskrant en De Telegraaf
Artikel24 maart 2026

"Alles weigeren" werkt niet: deel 2, Volkskrant en Telegraaf

Onderzoek naar AVG-compliance bij Nederlandse nieuwssites: technische tests van De Volkskrant (DPG Media) en De Telegraaf (Mediahuis).

Lees verder →
Cover: 101 advertentiepartners worden geactiveerd vóór toestemming op Nederlandse nieuwssites
Artikel23 maart 2026

101 Advertentiepartners: Het Probleem Met "Informed Consent" op Nederlandse Nieuwssites

Een diepgaand onderzoek naar cookie compliance bij NU.nl, NOS.nl en de illusie van privacy op het Nederlandse internet.

Lees verder →
Ontvangstbevestiging Tweede Kamer: dossier 2026Z04148 / 2026D09561, 3 maart 2026
Artikel13 maart 2026

De Tweede Kamer behandelt mijn wetsvoorstel tegen private opslag van ID-gegevens

Dossier 2026Z04148 / 2026D09561 is officieel geaccepteerd door de Commissie Digitale Zaken. Het verbod op onnodige private opslag van paspoort­gegevens, BSN en bankrekening­data ligt nu bij het parlement.

Lees verder →
De Nationale Privacy Index

126 van 175 Nederlandse organisaties falen op privacy.

De Nationale Privacy Index, forensisch onderzoek op banken, ziekenhuizen, overheden, telecom en nieuwssites. Drie krijgen het predicaat Beste Keuze.

Mick Beer ·
175
organisaties getest
126
kritieke bevindingen
3
Privacy Beste Keuze
6
categorieën AVG / Tw
Lees de Nationale Privacy Index

In de pers

Landelijke media en de Tweede Kamer pikten het onderzoek op, van Kamervragen over de Belastingdienst tot de Pels Rijcken-casus en de zaak rond 113.nl.

Alle pers-coverage

Tools & projecten

Vier privacy-first tools, gebouwd voor de samenleving. Geen advertenties, geen tracking, geen winstoogmerk.

Post-quantum

Paramant

Bestandstransport zonder opslag.

paramant.app Routering

Windstil

Rustigste route voor druktegevoeligen.

windstil.app Veiligheid

VeiligOpPad

Routes door verlichte gebieden.

veiligoppad.app Open data

Wetgeving-NL

19 000 Nederlandse wetten, doorzoekbaar.

vrijewetgeving.nl
Over

Mick Beer bouwt en onderzoekt voor de samenleving. Beveiligings-architect, pentester, onafhankelijk privacy-onderzoeker uit Harderwijk. Zonder advertenties, vendor content of winstoogmerk.

Lees het volledige verhaal