Reacties
Weerwoord en replieken op berichtgeving en publieke verklaringen, met verifieerbare onderbouwing.
Pels Rijcken sprak op 22 mei publiekelijk over slordigheden met YouTube-embeds, opgelost via een dagelijkse Cookiebot-scan. Een meting van 27 mei toont een bredere werkelijkheid: onafgebroken Google Analytics tot elf jaar tien maanden op vijf domeinen die Pels Rijcken zelf onder zijn privacyverklaring schaart, vandaag nog actief op drie ervan, met 399-dagen cookies vóór toestemming op pgwoo.nl en pgawb.nl.
Pels Rijcken citeert het cybersecurity-bedrijf Northwave om twee bevindingen te weerleggen. Het CNAME-punt was al vóór publicatie gecorrigeerd en stond niet in het BNR-artikel; het jurisdictie-punt mist de CLOUD Act-laag die het hele Schrems II-debat definieert. Het overgrote deel van de bevindingen blijft onweerlegd, en is door Pels Rijcken zelf erkend en geremedieerd.
Dossiers
Bevindingen op specifieke organisaties, scherp en compact.
De Tweede Kamer eist opheldering over de Adobe-tracking bij de Belastingdienst, naar aanleiding van mijn vorige artikel. En het houdt daar niet op: twee websites van het Ministerie van Defensie leveren je herkenningsnummer rechtstreeks aan een advertentie-inkoopplatform, en drie merken van de staatsbank Volksbank poolen je bezoekersprofiel. De Belastingdienst zelf doet dat laatste juist níét, en dat verschil hoort er glashelder bij. Met de echte hostnamen en een harde grens om wat ik niet kan bewijzen.
Ik heb mijn eigen betaling bij de Belastingdienst van begin tot eind vastgelegd, ingelogd achter DigiD, met de antwoorden van de servers erbij. Bij die ene betaling vertrok een handeling-voor-handeling verslag naar Adobe in de Verenigde Staten: welke aanslag ik openhad, dat ik voor iDEAL koos, het exacte moment dat ik op betalen klikte, en dat ik daarna annuleerde. Eraan vast hing een nummer dat twee jaar blijft staan en mij over websites heen herkenbaar maakt. Hieronder staat de complete lijst van wat er werd verstuurd, met de echte waarden uit mijn sessie.
De onderwijssector haalt op de Nationale Privacy Index gemiddeld 3,7 sterren. Dat lijkt netjes, maar het gemiddelde is sterk bimodaal. Magister en itslearning, beide van Sanoma Learning, laden vóór je iets aanklikt een volledige HubSpot-marketingsuite, Piwik PRO, Ahrefs en een Amerikaanse accessibility-widget. Wie 'akkoord' klikt, krijgt er LinkedIn-advertentietracking bij. Kennisnet, een publiek bekostigd orgaan, zet vóór toestemming een Google Analytics-cookie van 399 dagen. En de drie portalen die schoon ogen, zijn deels simpelweg niet te meten. Dit is een dossier over wat er gebeurt, wat eraan fout is, en waarom het juist hier niet te verdedigen valt.
Forensische naast-elkaar-zetting van Odido's publieke verklaringen over het datalek van februari 2026 en wat met openbare bronnen daadwerkelijk vast te stellen is. Tien claims geclassificeerd, plus zes omissies die Odido onbenoemd laat.
De vaste Kamercommissie Digitale Zaken houdt morgen een rondetafelgesprek over cyberveiligheid. In tweede herziene convocatie is aan blok 1 (Experts) Salesforce toegevoegd. De leverancier wiens platform drie maanden eerder de poort was waarlangs 6,2 miljoen Nederlanders hun gegevens verloren. Een feitelijke reconstructie en de vragen die de commissie zou moeten stellen.
Eén partij haalt vijf sterren. Twee verbergen hun tracking achter een eigen merknaam. NSC heeft geen meetbare website. CDA staat onderaan. Wat ik vond op de zestien partij-websites, en wat het over jouw stem zegt.
Forensische analyse van het Odido-lek. PPP's, MKB-ondernemers, kwetsbare personen, 16 jaar opslag van data die nooit bewaard had mogen blijven. En waarom Wetsvoorstel 2026Z04148 dit moet verbieden.
138 partners, 92% onbekend. NU.nl en NOS.nl gemeld bij de Autoriteit Persoonsgegevens. Wat ik vond, wat ik deed, en hoe jij je data terugpakt.
Op kiesraad.nl draait Piwik PRO via CNAME-cloaking. Vijf tracking-cookies vóór toestemming, geen cookiebanner. In de config staat letterlijk respectVisitorsPrivacy false.
Op humanitas.nl draait Microsoft Clarity, session-replay op een platform voor mensen die hulp zoeken bij eenzaamheid, rouw, schulden en mantelzorg. Eén van achttien externe partijen die bij elk bezoek data ontvangen.
Een live Azure-backend in een primair toeslagenproces, terwijl Heijnen de Kamer beloofde dat het in Apeldoorn zou blijven.
Ik bekeek wat de Belastingdienst doet qua cookies en tracking. Ik was enorm geschokt. We betalen belasting om bespioneerd te worden, en het is niet eens makkelijk te vinden. Tussen de tracker en Adobe USA zit een DNS-truc.
Het kabinet verlengt het Solvinity-contract, en passeert daarmee de Tweede Kamer. Onderzoek toont DPIA-gat en pre-consent tracking bij DigiD.
Niet 6,2 miljoen accounts, 17 miljoen dataregels, zestien jaar bewaard. Odido's eigen directie stond erin. Als de architecten van het systeem zichzelf niet beschermen, is het systeem kapot.
Onderzoek naar AVG-compliance bij Nederlandse nieuwssites: technische tests van De Volkskrant (DPG Media) en De Telegraaf (Mediahuis).
Een diepgaand onderzoek naar cookie compliance bij NU.nl, NOS.nl en de illusie van privacy op het Nederlandse internet.
Interviews
Gesprekken met collega-onderzoekers en bouwers.
Papers
Volledige forensische audits, casus-recaps en bredere verhalen met methode, juridisch kader en verifieerbare bevindingen.
Een kaart van vier jaar Tweede Kamer, twintig partijen en één simpele vraag: wie verdedigt jouw privacy, en wie liever de surveillance-staat? Met per as exact welke bronnen en wegingen onder de scores zitten.
Master-rapport over 24 maanden privacy-onderzoek op Nederlandse organisaties. 75 pagina's met methode, juridisch kader, bewijsclassificatie en evidence-trail.
Een privacy-onderzoek op de website van Stichting 113 Zelfmoordpreventie bracht een ernstige bevinding aan het licht. De manier waarop 113 reageerde, mag een sector-voorbeeld heten.
Forensisch trackingonderzoek op de nationale suïcidepreventielijn, bevindingen, juridische context en actiepunten.
Tracking pixels op vertrouwde websites delen persoonsgegevens met tientallen partijen. Die data worden verrijkt door databrokers en landen, legaal of gestolen, in scam-arsenalen. Hoe de keten van cookie naar oma's bankrekening werkt.
Op 7 april 2026 trof een professionele ransomware-aanval het Nederlandse EPD-bedrijf ChipSoft. Honderd gigabyte aan medische gegevens werd buitgemaakt door Embargo.
Drie datalekken in één week: waarom 40.000–80.000 Nederlanders nu een levensgevaarlijk compleet profiel op de darkweb kunnen hebben.
In 2008 solved Satoshi Nakamoto trust without intermediaries via Merkle trees. Ghost Pipe applies the same math to file transport with post-quantum cryptography.