Een addendum op mijn Belastingdienst-artikel, met een vondst die verder gaat dan meten: bij Defensie wordt je herkenningsnummer rechtstreeks aan de advertentiemarkt geleverd. Maar eerst dit.

De Kamer eist nu opheldering

Dit is geen losse waarneming van één onderzoeker meer. Op 3 juni 2026 stelde JA21-Kamerlid Van den Berg, naar aanleiding van mijn Belastingdienst-artikel, Kamervragen aan staatssecretaris Eerenberg (Financiën) en staatssecretaris Aerdts (Economische Zaken en Klimaat). De vragen nemen de techniek die ik beschreef vrijwel letterlijk over, tot en met de eerste vraag die mijn artikel bij titel noemt.

Van den Berg wil bevestigd zien “dat binnen Mijn Belastingdienst, na inloggen met DigiD, bij het openen van een aanslag en het starten of annuleren van een betaling via iDEAL of Wero, gegevens worden verzonden naar adobe-analytics-dc.belastingdienst.nl en dat dit domein technisch doorverwijst naar Adobe-infrastructuur, waaronder data.adobedc.net”. Dat is, woord voor woord, de cloak-keten uit mijn vorige artikel.

Hij vraagt de staatssecretarissen ook om uit te sluiten dat bedragen, BSN, IBAN, betalingskenmerk, aanslagnummer, vorderingsidentificatie, claim-identifier, IP-adres, sessiegegevens of referrers bij Adobe belanden, en naar de juridische grondslag onder de AVG voor “het meten van betaalgedrag binnen een verplichte overheidsdienst na DigiD-inlog”, inclusief noodzakelijkheid, proportionaliteit en subsidiariteit.

En dan het scherpst: het Kamerlid vraagt om het verzenden van de betaalflowgegevens naar Adobe Analytics tijdelijk stop te zetten zolang rechtmatigheid en proportionaliteit niet overtuigend zijn vastgesteld, en om binnen twee weken een tijdlijn, technische analyse, DPIA, verwerkersovereenkomst en de relevante beslisnota’s naar de Kamer te sturen. Eerenberg en Aerdts hebben drie weken om te reageren (officiële Kamervragen: Tweede Kamer, kenmerk 2026Z11812; zie ook Security.NL, 3 juni 2026).

Wat ik in mijn eigen browser zag, ligt nu als vraag op het bureau van twee staatssecretarissen. De bevindingen houden stand tot op het hoogste niveau.

En precies daarom dit addendum: dezelfde vraag moet breder gesteld worden dan die ene dienst, en aan de Defensie-kant weegt ze zwaarder, want daar blijft het niet bij meten.

In mijn vorige artikel stond één site centraal, en de conclusie was scherp maar smal: wie achter DigiD een aanslag betaalt, levert zijn gedrag plus een tweejarig herkenningsnummer in bij Adobe, ongevraagd. Twee vragen liet ik bewust open. Doet de overheid dit vaker? En blijft het bij meten? Om dat te beantwoorden heb ik honderden Nederlandse sites zelf doorgemeten: per site leg ik vast welke verzoeken er echt afvuren en naar wie. Niet wat een privacyverklaring belóóft, maar wat er feitelijk over de lijn gaat in de browser. Deze Adobe-techniek vuurde op elf van die sites. Dit stuk pakt eruit wat het minst te verdedigen is: de overheid, en wat de staat zelf bezit. Op beide open vragen is het antwoord ja.

Eén technische regel vooraf, want hij houdt het hele stuk overeind: aanwezig is niet hetzelfde als afgevuurd. Code die op een pagina staat, doet niets tot ze echt vuurt. Juist dat onderscheid houdt de Belastingdienst uit het zwaarste deel hieronder. Ik reken organisaties af op wat hun site dóét, niet op wat er dormant in een bundel ligt.

De techniek, in gewone taal

Achter veel Nederlandse sites zit Adobe Experience Cloud. Drie onderdelen, en je moet ze uit elkaar houden, want ze verschillen wezenlijk in hoe ver ze gaan.

Adobe Analytics is de meet-laag. Het registreert wat je doet en stuurt dat naar Adobe. Dat is wat de Belastingdienst draait, en zoals ik in dat artikel liet zien is dat allesbehalve onschuldig: het is een handeling-voor-handeling verslag van je betaling, vastgeknoopt aan een herkenningsnummer dat twee jaar blijft staan, dat zonder toestemming naar Adobe in de VS vertrekt. Meten dus, maar meten met naam en rugnummer.

Adobe Audience Manager gaat een stap verder. Dit is een Data Management Platform: het smeedt bezoekers tot doelgroep-profielen en kan die delen met andere systemen. Je herkent het aan verzoeken naar demdex.net, een domein dat Adobe in 2011 kocht en sindsdien bezit. Een aanroep naar dpm.demdex.net is in Adobe’s eigen woorden een “Data Provider Match”: een ID koppelen of opvragen.

De Experience Cloud ID, de ECID, is het herkenningsnummer dat alles aan elkaar knoopt. Hetzelfde nummer dat in het vorige artikel twee jaar bleef staan.

Meten is één ding. Een profiel bouwen en poolen is een tweede. Maar er is een derde stap, en die is de ernstigste: je ID actief doorgeven aan een advertentie-inkoopplatform, zodat je in de advertentieveiling herkenbaar wordt. Dat is geen meten meer, dat is je de markt op duwen. En precies dat vond ik op twee sites van Defensie.

Defensie zet je op de advertentiemarkt

Op werkenbijdefensie.nl, de vacaturesite van het Ministerie van Defensie, vuurt de browser een verzoek af in deze vorm:

dpm.demdex.net/ibs:dpid=1586&dpuuid=1005952494248986562
   &redir=https://c1.adform.net/serving/cookie/match?party=1007&cid=${DD_UUID}&noredirect=1

Ontleed:

dpm.demdex.net/ibs:dpid=...&dpuuid=...&redir=... is volgens Adobe’s eigen documentatie het ID-sync-mechanisme. Twee systemen kunnen elkaars cookies niet lezen (dat verbiedt de browser), dus wisselen ze via zo’n verzoek hun ID’s uit en leggen ze een koppeling vast. De redir= wijst naar wie de andere partij is.

Die andere partij is Adform: c1.adform.net/serving/cookie/match. Adform is een demand-side platform, een advertentie-inkoopplatform aan de koperskant van de advertentieveiling. De cookie/match is Adforms eigen koppel-endpoint, en de cid=${DD_UUID} betekent dat Adobe’s herkennings-ID daar wordt ingevuld en doorgegeven.

Lees dat nog eens. Wie naar een baan bij Defensie kijkt, wordt door Defensie zélf herkenbaar gemaakt voor de advertentiemarkt.

Geen “er was een bezoeker”, maar: deze identiteit, klaargezet voor de advertentieveiling. Op een site van het ministerie dat over onze nationale veiligheid gaat.

En niet één keer. Ik trof drie van deze syncs aan op deze ene site, elk met een eigen herkennings-ID (1005952494248986562, 6189711310105807621, 7340252596364062959).

Het bleef ook niet bij de vacaturesite. Exact dezelfde sync (dpid=1586, doorgezet naar Adform met party=1007) vond ik op veva.nl, met dpuuid 7666712060736852904. VeVa is geen los bedrijf: het is de militaire mbo-opleiding Veiligheid en Vakmanschap ónder het Ministerie van Defensie, met Defensie in de navigatie en als afzender. Twee websites van hetzelfde ministerie, allebei schuiven ze je herkenning de advertentieketen in. Dit zijn echte waarden uit mijn scan, geen voorbeelden.

De Volksbank: drie staatsbank-merken, één gedeeld profiel

snsbank.nl, asnbank.nl en regiobank.nl zijn alle drie merken van de Volksbank, sinds de nationalisatie in 2013 voor honderd procent eigendom van de Nederlandse staat (via NLFI), en sinds 2025 samengevoegd onder de naam ASN Bank. Geen ministerie, maar wel de staat als enige aandeelhouder. In mijn scan deden de drie merken iets opvallends samen.

Alle drie vuren naar dezelfde twee gedeelde data-bron-ID’s (dpid=1957 en dpid=393426), met echte herkenningswaarden, geen lege placeholders maar concrete ID’s:

• asnbank.nl → dpid=393426&dpuuid=f7698100-abd3-42d1-8b6b-e5b43f4aaf8d
• snsbank.nl → dpid=393426&dpuuid=7b16fab1-75b2-4013-81d8-425243a81228
• regiobank.nl → dpid=393426&dpuuid=b8553872-841b-486e-9045-a7dca93d35e1

Ze publiceren doelgroepen via een gedeeld adres (snsbank.demdex.net/dest5.html) en delen een gemeenschappelijk Adobe Target-domein (snsbank.tt.omtrdc.net).

In gewone taal: de drie bankmerken poolen het bezoekersprofiel. Wie bij RegioBank kijkt en wie bij SNS kijkt, belandt onder dezelfde gedeelde data-bron-ID’s: één profiel-infrastructuur die dwars over drie merken van dezelfde staatsbank loopt. Voor een bank die zich afficheert als de “sociale”, ethische uitdager én die honderd procent van de staat is, is een merk-overstijgende advertising-DMP niet “een vraag waard”, die is moeilijk te rijmen. Eerlijk blijft eerlijk: anders dan bij Defensie zag ik hier geen doorsync naar een advertentieplatform. Het gaat om het bouwen en poolen van het profiel, niet om de stap naar Adform. Dat onderscheid hoort erbij.

En de Belastingdienst? Niet vrijgesproken, wel een ánder kwaad

Misverstand uitsluiten, want het scheelt nogal: de zwaarste stap hierboven, het uitleveren aan de advertentiemarkt, vond ik bij Defensie en niet bij de Belastingdienst. Dat is geen vrijspraak. Het is het verschil tussen twee overtredingen.

Toen ik het Belastingdienst-cluster (belastingdienst.nl, toeslagen.nl, herstel.toeslagen.nl, overdedouane.nl) langs dezelfde meetlat legde, vond ik dat het géén Audience Manager draait. De velden die bij een actief profiel horen (in vaktermen d_blob, dcs_region, een gevulde dests-lijst) ontbreken in elke serverrespons. Het /id-verzoek geeft kaal het herkenningsnummer terug, meer niet. Er gaat geen enkele aanroep naar de demdex-domeinen. Sterker nog, er staat een instelling aan (d_coppa=true) die het doorsturen naar derden juist onderdrukt. De Audience Manager-code zit dormant in de bundel die de site laadt, maar wordt niet afgevuurd. (Met als bijvangst: zelfs de tagmanager, Adobe Launch, wordt first-party verstopt via pwa001.belastingdienst.nl/adobe/, een tweede cloak-laag bovenop de eerste.)

Maak van die nuance geen verzachting. Wat de Belastingdienst wél doet, is op zichzelf een schending: achter je verplichte DigiD-inlog, zonder dat iemand je iets vraagt, vertrekt een handeling-voor-handeling verslag van je betaling naar Adobe in de Verenigde Staten, vastgeknoopt aan een herkenningsnummer dat twee jaar blijft staan. Dáár gaat het vorige artikel over, dáár gaan de Kamervragen over, en dat verwijt staat onverkort overeind. Het enige wat ik níét op de Belastingdienst plak, is de láátste stap die Defensie er bovenop zet: het actief uitleveren van je identiteit aan de advertentiemarkt.

De Belastingdienst meet je betaling uit, achter je DigiD en zonder grondslag. Defensie levert je daarbovenop uit aan de advertentiemarkt. Twee overtredingen, geen van beide te verdedigen.

Waarom dit juist bij de overheid niet te verdedigen valt

Los van elkaar is elk van deze bevindingen een datapunt. Samen raken ze de staat zelf.

Dezelfde Amerikaanse advertentietechniek, met hetzelfde soort tweejarige herkenningsnummer, draait op sites van het Ministerie van Defensie en op drie merken van een staatsbank. Op de twee Defensie-sites blijft het niet bij meten: daar wordt je identiteit actief aan een advertentie-inkoopplatform geleverd. Bij een webshop is dat een toestemmingsvraag. Bij de overheid is het een grondslagvraag, en een principiële: je kunt de Belastingdienst niet mijden, je kunt Defensie niet mijden, en je hebt nooit ja gezegd.

De staat hoort je tegen deze markt te beschermen, niet je eraan te leveren.

Dat de techniek zo consistent opduikt, is geen toeval: het is dezelfde Adobe-tagmanager (Adobe Launch) die de Audience Manager-koppeling uitrolt. Eén keer ingericht, overal hetzelfde gedrag. En op de plekken waar de doorsync naar Adform aanstaat, schuift je herkenning mee de advertentieketen in, zonder dat iemand je iets heeft gevraagd.

Hoe je het zelf kunt nalopen

Net als de vorige keer hoef je dit niet van mij aan te nemen. Het staat in je eigen browser.

Open de ontwikkelaarstools (tabblad Netwerk), bezoek een van de genoemde sites, en filter op demdex. Zie je verzoeken naar dpm.demdex.net, dan draait Audience Manager. Zie je een verzoek met ibs:dpid= en een redir= naar een advertentiedomein zoals adform.net, dan wordt er actief een ID gesynct naar dat platform; de party= en cid= laten zien naar wie en met welk ID. Zie je in het antwoord van een /id-verzoek de velden d_blob en dcs_region, dan is het volledige profiel-mechanisme actief. Staat er d_coppa=true, dan wordt het doorsturen juist onderdrukt, zoals bij de Belastingdienst.

Een kanttekening bij mijn eigen werk: de scan is een momentopname (medio mei 2026, plus de forensische Belastingdienst-opnames van 30 mei en 1 juni). Sites veranderen. Voordat je een specifieke bevinding als actueel citeert, loop hem opnieuw na, dat is ook wat ik zelf doe.

Mick Beer doet onafhankelijk privacyonderzoek op mickbeer.com. Volledig self-hosted: geen trackers, geen cookies, geen advertenties. Dit is een addendum op het Belastingdienst-betaalflow-artikel. Bevindingen uit een eigen, reproduceerbare netwerkscan; een momentopname.

Technische bron

Eigen netwerkscan (BYOM/HAR), momentopname medio mei 2026, plus de forensische Belastingdienst-opnames van 30 mei en 1 juni 2026. Reproduceerbaar en gehasht bewaard. Dit stuk beperkt zich tot de overheids- en staatsdeelnemingsentiteiten in mijn scan; de techniek draaide daarnaast op commerciële sites die hier buiten beschouwing blijven. Kernwaarden:

• Ministerie van Defensie, actieve ID-sync naar Adform (dpm.demdex.net/ibs:dpid=1586&dpuuid=...&redir=c1.adform.net/serving/cookie/match?party=1007&cid=${DD_UUID}): werkenbijdefensie.nl (3x dpuuid: 1005952494248986562, 6189711310105807621, 7340252596364062959) en veva.nl (dpuuid 7666712060736852904, mbo Veiligheid en Vakmanschap onder Defensie).
• De Volksbank (100% staat via NLFI), gedeelde DPID’s 1957 + 393426 met echte dpuuids, plus snsbank.demdex.net/dest5.html en gedeeld snsbank.tt.omtrdc.net: asnbank.nl, regiobank.nl, snsbank.nl. Profiel-pooling waargenomen, geen doorsync naar een advertentieplatform.
• Belastingdienst-cluster (belastingdienst.nl, toeslagen.nl, herstel.toeslagen.nl, overdedouane.nl): Adobe Analytics + ECID via de cloak adobe-analytics-dc.belastingdienst.nl → data.adobedc.net (wdbvhtupcp.data.adobedc.net); géén Audience Manager (d_coppa=true, geen demdex-calls, dormant libcode).
• Adobe-documentatie voor de mechaniek: Audience Manager glossary (Data Provider Match), “ID sync (HTTP)” en “Understanding Calls to the Demdex Domain” op experienceleague.adobe.com; Adform cookie-match op adformhelp.com.

Dit is wat er bij één betaling de grens over ging

Niet bij benadering. Dit zijn de letterlijke velden met de echte waarden uit mijn eigen sessie, verstuurd naar adobe-analytics-dc.belastingdienst.nl. Die naam klinkt als de Belastingdienst, maar via een verhulde DNS-omleiding komt hij uit bij data.adobedc.net, oftewel Adobe Inc. in de Verenigde Staten.

Lees die tabel nog een keer, want hier zit het hele verhaal in.

Een advertentiebedrijf aan de andere kant van de oceaan krijgt geen anoniem tellertje dat zegt “er was een bezoeker”. Het krijgt een verslag, regel voor regel, van een burger die zijn inkomstenbelasting betaalt.

Welk jaar. Welke methode. Welke stap in de funnel. Het moment van de klik. En er bovenop een nummer waarmee al die regels aan dezelfde persoon vastzitten.

Ik heb niets aan deze lijst hoeven toe te voegen of te verzinnen. De vertaling van al die cryptische veldnamen (c28, v61, event30) naar wat ze betekenen staat gewoon in het Adobe-configuratiebestand dat de site zelf laadt. De Belastingdienst heeft dit zo ingericht, expliciet, en het staat in hun eigen code te lezen.

Stel je voor dat er iemand naast je staat terwijl je je belasting betaalt. Niet een ambtenaar van de Belastingdienst, maar een Amerikaans reclamebedrijf. En die iemand noteert alles: welke aanslag je openhebt, dat je voor iDEAL kiest, het seconde-precieze moment dat je op betalen klikt, en dat je je daarna bedenkt en annuleert. Bij elke notitie zet hij hetzelfde volgnummer, zodat hij je over twee jaar nog herkent, ook op heel andere websites.

Dat is geen beeldspraak en geen scenario. Dat is precies wat er gebeurt zodra je inlogt op Mijn Belastingdienst. Ik heb het van begin tot eind van mijn eigen scherm geplukt, ingelogd met mijn eigen DigiD, met de antwoorden van de servers erbij, en gehasht zodat het na te lopen is.

Wat daar vertrekt is geen bezoekersteller, maar een verslag van wat ik deed.

Dat ene nummer is het ergste

De bovenste regel is de gevaarlijkste, en daarom staat hij boven. Het veld mid en het veld v61 bevatten exact hetzelfde getal van 38 cijfers. Dat is de Experience Cloud ID, het vaste herkenningsnummer waarmee Adobe een persoon over zijn hele netwerk aan elkaar knoopt. Bij mij wordt dat nummer bewaard in een cookie s_ecid met een levensduur van 63072000 seconden. Reken het uit:

Die herkenning verdwijnt niet als je uitlogt, ze blijft twee jaar staan.

Dat verandert alles aan de tabel hierboven. Zonder dat nummer zou je nog kunnen zeggen: het is gedrag van een naamloze bezoeker. Mét dat nummer is het een dossier. Elke regel die je betaalt, elke aanslag die je opent, hangt aan dezelfde sleutel, twee jaar lang, en aan een sleutel die Adobe ook elders herkent.

En het wrange is dat het niet eens hoeft. De DigiD-inlog zelf, de stap ervoor, is wél netjes. Die meet via een eigen teller van Logius die in Nederland draait, zonder DNS-truc en zonder cookies, en die niet meer doorgeeft dan een paginanaam. Het kán dus gewoon. Zodra je de fiscale omgeving zelf binnenstapt, gaat het mis.

Wat er niet werd meegestuurd

Ik schrijf dit dossier het liefst zo dat het overeind blijft bij de scherpste tegenlezing, dus hier de ondergrens. Je bedrag gaat niet mee. Je BSN niet. Je IBAN niet. Je betalingskenmerk niet. Dat heb ik niet aangenomen maar gecontroleerd, door alle verzonden waarden af te zoeken. Het zijn niet de cijfers van je aanslag die het land uit gaan.

Wat het land uit gaat is je gedrag eromheen, gekoppeld aan een persoon. Dat klinkt zachter, maar dat is het niet. Een advertentienetwerk hoeft je bedrag niet te weten om te weten dat jij, deze specifieke persoon, op dit moment een belastingschuld aan het afbetalen bent via iDEAL en halverwege twijfelde.

Ook je twijfel is een gebeurtenis

De scherpste test was wat er gebeurt als je je bedenkt. Ik startte de betaling en annuleerde hem, en keerde terug in het portaal. Precies dat stuk, de terugkeer na het afbreken, ontbrak in al mijn eerdere opnames, want die stopten op de pagina van de bank.

Na het annuleren verandert in de antwoorden van de server precies één ding: de status van de claim springt van Nieuw naar Mislukt. De volledige woordenschat die de server kent is Nieuw, Succesvol, Mislukt en In afwachting bij bank. Onschuldig op zichzelf. Maar het afbreken van een betaling zit in dezelfde Adobe-funnel als de rest. Niet alleen dát je betaalt wordt geregistreerd, ook dat je het niet afmaakte.

Waarom dit niet te verdedigen valt

Het gebeurt zonder dat je iets gevraagd wordt. Er is geen toestemmingsscherm dat de Adobe-tracking aankondigt of laat weigeren. Het profiel en het herkenningsnummer vertrekken bij het laden van de pagina, voordat je ook maar iets hebt kunnen aanklikken.

Het juridische verwijt, en dat label ik nadrukkelijk als de gangbare beoordeling en niet als mijn eigen eindoordeel, zit hem niet eens in de reis naar de VS. Die doorgifte is in beginsel gedekt door het huidige verdrag tussen de EU en de VS. De kern is dat er geen grondslag onder de AVG is en geen toestemming voor het plaatsen en uitlezen van deze trackers, waarvoor de e-privacyregels en de Telecommunicatiewet die toestemming wél eisen. De Autoriteit Persoonsgegevens beboette eerder Kruidvat voor vergelijkbare tracking.

En dan de context die dit van vervelend naar onverteerbaar tilt.

Dit is niet een webwinkel. Dit is de Belastingdienst, het deel van de staat waar je het minst te kiezen hebt: je móét betalen, je móét DigiD gebruiken. En het is de toeslagenomgeving, precies de plek die de overheid na de affaire zou herstellen.

Daar, van alle plekken, krijgt een Amerikaans reclamebedrijf een klik-voor-klik verslag mee.

Wat ik heb gemeten, en wat niet

Voor de volledigheid, want daar hecht ik aan. Dit gaat over mijn eigen account, op mijn eigen apparaat, opgenomen op 30 mei en 1 juni 2026, met de complete antwoorden van de servers erbij. Het is reproduceerbaar: de opnames zijn gehasht en bewaard, de hele zoektocht is na te lopen. De bedragen, het BSN en het betalingskenmerk zijn niet alleen niet gepubliceerd maar aantoonbaar ook niet verzonden. Wat hierboven staat is geen vermoeden uit een privacyverklaring. Het is wat er feitelijk over de lijn ging toen ik een aanslag wilde betalen.

Een maand geleden was het verhaal: de openbare site lekt je zoekgedrag. Nu weten we dat het niet ophoudt bij de voordeur. Je gaat door DigiD heen, je opent je aanslag, je begint te betalen, en Adobe schrijft elke stap mee.

De onderwijssector oogt op de Nationale Privacy Index met gemiddeld 3,7 sterren keurig. Dat gemiddelde verbergt twee tegengestelde werelden: een handvol schone portalen, en de twee grootste platformen die hun eigen voordeur als Amerikaanse marketingmachine draaien, rond software die miljoenen kinderen verplicht gebruiken. Hieronder eerst het volledige overzicht en wat eraan fout is. Daarna, stap voor stap, het bewijs uit mijn eigen meting.

Wat elke site verzamelt, in één overzicht

Per site wat er draait en welke categorieën persoonsgegevens daarbij worden verzameld. ID staat voor een persistente herkenbare identificator, FP voor een apparaat-vingerafdruk, GEDR voor gedrag en navigatie, CTX voor de pagina-context, ATTR voor herkomst, IP voor het IP-adres, FORM voor formulierinhoud en ADS voor plaatsing in een advertentiedoelgroep. Tenzij anders vermeld vuurt alles vóór toestemming.

De concrete cookienamen, levensduren en beacon-parameters per site staan in de ruwe meetdata, die op aanvraag als verifieerbaar bewijspakket beschikbaar is.

Wat ze fout doen, puntsgewijs

Concreet, wat er niet deugt:

1. Tracking vóór toestemming. Op Magister, itslearning, Kennisnet en Examenblad worden trackers geladen en cookies gezet voordat de bezoeker iets heeft gekozen. Dat mag niet. Artikel 11.7a Telecommunicatiewet eist toestemming vooraf voor alles wat geen strikt noodzakelijke functie heeft.
2. Geen werkende weigerknop. Op geen van de zeven sites verscheen een zichtbare, klikbare cookiebanner. De code voor een toestemmingsplatform zit er soms wel in (HubSpot, TrustArc, Ketch, Osano), maar er komt geen keuze in beeld. Geen banner betekent geen geldige toestemming, en ook geen manier om te weigeren.
3. Weigeren verandert niets. Ik draaide elke meting in drie standen: niks doen, alles weigeren, alles accepteren. Na “weigeren” stond op Magister nog steeds dezelfde 25 trackers, op itslearning dezelfde 20, op Kennisnet dezelfde set cookies. Er verdwijnt niets, want er valt niets te weigeren.
4. Accepteren opent de advertentiekraan. Bij Magister schakelt “akkoord” LinkedIn-advertentietracking en de volledige HubSpot-identiteit in. De toestemmingsvraag is dus stuk in beide richtingen: zeg je niets, dan loopt het al; zeg je ja, dan word je doelwit.
5. Onhoudbaar lange cookies. Tracking-cookies van 364, 392 en 399 dagen, deels gezet vóór toestemming. Een jaar lang herkenbaar van één bezoek.
6. Doorgifte naar de VS zonder grondslag. Bij itslearning gaat 100 procent van het externe verkeer naar Amerikaanse partijen, bij Magister vrijwel alles. Zonder geldige toestemming en zonder zichtbare waarborgen onder hoofdstuk V AVG.
7. Vendors niet benoemd. De privacyverklaringen noemen de concrete partijen niet expliciet, terwijl artikel 13 AVG dat wel vraagt. Je kunt dus niet eens weten wie je data krijgt.
8. Geen basale beveiligingsheaders. Geen van de zeven sites stuurt een Content-Security-Policy, HSTS of X-Frame-Options mee. Dat is geen privacyschending op zich, maar het tekent de zorgvuldigheid: zelfs de standaard-hygiëne ontbreekt.

Waarom dit juist hier niet te verdedigen is

Bij een willekeurige webshop die je volgt, kun je weglopen. Het onderwijs werkt niet zo, en daar zit de hele ethische lading.

Je kunt niet kiezen. Een ouder kiest niet welk leerlingvolgsysteem de school gebruikt. Een leerling kiest niet of het Magister of Somtoday wordt. De school kiest, en jij krijgt het. De AVG noemt toestemming alleen geldig als die “vrij” is gegeven. Bij een dienst die je niet kunt vermijden, is de vraag of er van vrije keuze überhaupt sprake kan zijn. En als de weigerknop dan ook nog ontbreekt, is het antwoord simpelweg nee.

Het gaat om kinderen. Dit zijn de centrale systemen van het Nederlandse onderwijs, gebruikt door miljoenen minderjarigen. De AVG geeft kinderen in artikel 8 en in overweging 38 expliciet extra bescherming, juist omdat ze de risico’s en gevolgen van gegevensverwerking minder goed overzien, en marketing gericht op of gebouwd rond kinderen wordt daarin specifiek genoemd als gevoelig. Dat een bedrijf dat zijn merk en zijn klantenwerving volledig om een minderjarige doelgroep heen bouwt, op zijn eigen site een advertentie- en identiteitsmachine draait met kapotte toestemming, staat haaks op die extra zorgplicht.

De rollen maken het zwaarder, niet lichter. Tegenover de scholen zijn deze bedrijven verwerker: zij beheren in opdracht enorme hoeveelheden gegevens van minderjarigen. Een verwerker die zo nonchalant omspringt met toestemming en doorgifte op het enige stuk dat ik van buitenaf kan meten, zijn eigen voordeur, geeft een ongemakkelijk signaal af over de cultuur waarin de rest van die data wordt behandeld. Ik beweer niet dat de ingelogde omgeving net zo lekt; ik kan dat van buiten niet zien. Ik zeg dat wat ik wél kan zien, geen vertrouwen wekt.

En het hoeft niet. Somtoday bewijst het in dezelfde meting: een schoolportaal zonder Amerikaanse marketingmachine, met niets meer dan wat Cloudflare-meetdata. Het is geen technische onmogelijkheid om dit netjes te doen. Het is een keuze. Bij Sanoma Learning is die keuze, op twee van de grootste platformen in het Nederlandse onderwijs, de andere kant op gevallen, en zelfs een publiek orgaan als Kennisnet zet vóór toestemming nog een jaar lang een Google-cookie.

Wat een ouder of school kan vragen aan Sanoma Learning

Je hoeft dit niet bij mij te laten. De AVG geeft je het recht om antwoorden te eisen, en een school heeft als verwerkingsverantwoordelijke zelfs de plicht om ze te hebben. Het helpt om twee lagen uit elkaar te houden, want de juridische rol verschilt.

Laag 1: de publieke sites magister.nl en itslearning.com. Hier is Sanoma Learning zelf verantwoordelijke, niet verwerker. De school staat hier juridisch buiten. Een ouder kan rechtstreeks vragen:

1. Op welke grondslag worden er trackingcookies en externe scripts geladen vóórdat de bezoeker toestemming heeft gegeven? Hoe verhoudt zich dat tot artikel 11.7a Telecommunicatiewet?
2. Waarom verschijnt er geen werkende cookiebanner, en waarom verandert “weigeren” niets aan de geplaatste trackers?
3. Welke partijen ontvangen bezoekersgegevens (noem HubSpot, Piwik PRO, Ahrefs, LinkedIn, Skynet Technologies expliciet), voor welk doel, en met welke bewaartermijn? Waarom staat een deel van de cookies een jaar of langer?
4. Wordt de LinkedIn Insight Tag gebruikt om bezoekers in advertentiedoelgroepen te plaatsen? Zo ja, hoe kan een bezoeker daaruit?
5. Welke waarborgen onder hoofdstuk V AVG (Schrems II) gelden voor de doorgifte naar Amerikaanse partijen, en is daar een transfer impact assessment voor gemaakt?

Laag 2: de ingelogde leerlingomgeving. Hier is Sanoma Learning verwerker namens de school. Dit loopt via de verwerkersovereenkomst, en de school moet dit kunnen overleggen. Vraag, als ouder aan de school of als school aan Sanoma:

1. Mogen we de actuele verwerkersovereenkomst en de volledige lijst van subverwerkers (artikel 28 AVG) inzien, inclusief vestigingsland van elke subverwerker?
2. Draaien er in de ingelogde omgeving analytics-, marketing- of advertentietrackers? Zo ja, welke, en staat dat in de verwerkersovereenkomst?
3. Is er een strikte scheiding tussen de gegevens uit de leerlingomgeving en de marketing- en advertentiesystemen op de publieke site, zodat leerlinggegevens nooit in een advertentiedoelgroep belanden?
4. Is er een Data Protection Impact Assessment (DPIA) uitgevoerd, juist omdat het om gegevens van minderjarigen gaat (artikel 35, en de extra bescherming uit artikel 8 en overweging 38)?
5. Worden gegevens van leerlingen doorgegeven naar buiten de EER, en zo ja, op welke grondslag?

Krijg je geen of een ontwijkend antwoord, dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens. Dat een vraag gesteld wordt, is op zich al informatie: het dwingt de organisatie om vast te leggen wat ze doet.

Dit is wat een schoolplatform de grens over stuurt voordat je iets aanklikt

Tot zover de conclusies. Hieronder het bewijs, te beginnen met het hardste. Ik open itslearning.com, een van de twee grootste schoolplatformen van Nederland, en ik klik nergens op. Toch vertrekt er meteen één verzoek naar track-eu1.hubspot.com/__ptq.gif, de bezoeker-trackingpixel van HubSpot in de Verenigde Staten. Net als bij de Belastingdienst-betaalflow zijn dit niet bij benadering de gegevens, maar de letterlijke velden met de echte waarden uit mijn eigen sessie.

En het blijft niet bij die ene pixel. Een tweede pixel, __ptc.gif, meldt wat ik op de pagina dóé: welk element ik aanklik (_hs_element_id=weglot-language-en, tekst EN), mijn vensterafmetingen (1920x1080), de volledige paginahoogte (8224 pixels) en hoe ver ik scrol.

Een vingerafdruk plus een herkenbaar nummer plus mijn gedrag, in één keer verstuurd voordat ik iets had hoeven goedkeuren. En itslearning is niet de uitzondering, het is het patroon. Hieronder de hele sector, plek voor plek.

Toen ik die 3,7 sterren op de Nationale Privacy Index zag, geloofde ik het niet, dus ben ik teruggegaan naar de ruwe scandata: niet alleen welke trackers er staan, maar elk script, elk netwerkverzoek, elke cookie en elke parameter die over de lijn gaat. Wat ik vond was geen nette sector, maar twee tegengestelde werelden onder één braaf gemiddelde. En de zwaarste kant raakt precies de software waar het Nederlandse onderwijs niet omheen kan.

Eén gemiddelde, twee werelden

Zeven onderwijsplatformen, gemeten op 1 juni 2026. Lager gewogen cijfer is beter, vijf sterren is de top.

De top en de onderkant trekken elkaar recht naar een gemiddelde dat niets zegt. Het verschil tussen Magister en Somtoday is niet een paar trackers meer of minder. Het is het verschil tussen wel en geen marketingafdeling die op je loslaat zodra je de pagina opent.

En meteen de eerlijkheid erbij, want die wint het hier van een sterkere kop: de schijnbaar schoonste twee scores zijn deels een meetartefact. mijnschoolinfo.nl gaf bij het laden welgeteld één netwerkverzoek, en studielink.nl staat in mijn meting als onbetrouwbaar gemarkeerd. Dat zijn inlogmuren die meteen wegspringen, dus op de openbare pagina valt weinig te meten. Hun vijf sterren bewijzen geen privacyvriendelijkheid, ze bewijzen onmeetbaarheid. Alleen somtoday.nl is een echt schoon gemeten portaal: enkel wat Cloudflare-meetdata, verder niets. Onthoud dat, want het is het bewijs dat het anders kán.

Wat er gebeurt: Magister, voordat je iets aanklikt

Ik open magister.nl. Ik klik nergens op. Er verschijnt geen cookiebanner, hoewel de code ervoor wel in de pagina zit, alleen onzichtbaar. En toch staan er dan al 25 externe domeinen klaar en trackingcookies gezet die tot een jaar blijven staan.

Wat er laadt vóór enige toestemming:

• HubSpot Marketing Hub, portal 25814221. De volledige suite: het bannerscript, het analytics-script, de advertentiepixel (hsadspixel.net), het formulier-onderscheppingsscript (collectedforms.js) en de “web interactives”. Die laatste vuren een beacon naar cta-eu1.hubspot.com/web-interactives/public/v1/track/view met de portal-ID, de volledige pagina-URL, de paginatitel en een pagina-ID erin.
• Piwik PRO op iddinkgroup.piwik.pro. Dit zet stg_-cookies vóór toestemming, waaronder stg_last_interaction en stg_returning_visitor, beide met een levensduur van 364 dagen. Dat is geen anonieme telling, dat is herkomst- en gedragsattributie die een jaar meeloopt.
• Ahrefs (analytics.ahrefs.com/api/event), een SEO-trackingdienst.
• Een accessibility-widget van Skynet Technologies (“All-in-One Accessibility”), goed voor veertien losse JavaScript-bestanden en POST-verzoeken naar zowel freeada.skynettechnologies.com als ada.skynettechnologies.us. Een toegankelijkheidsknop die op elke pagina de DOM inleest en naar een externe Amerikaanse partij belt.

En dan het stuk dat ik het zorgelijkst vind. Klik je vervolgens op “akkoord”, dan komt de rest pas echt los. Magister zet dan de complete HubSpot-identiteitsset (hubspotutk, __hstc, __hssc), waarmee je over bezoeken en zelfs over HubSpot-klantsites heen herkenbaar wordt, en het schakelt LinkedIn-advertentietracking in: verzoeken naar px.ads.linkedin.com en snap.licdn.com, met de LinkedIn-cookie bcookie die 364 dagen blijft staan. Dat is de LinkedIn Insight Tag, bedoeld voor retargeting en advertentieconversie.

Hier moet ik meteen precies zijn, want het verschil bepaalt of de kritiek standhoudt. De LinkedIn Insight Tag bestaat om bezoekers in een advertentiedoelgroep te stoppen voor retargeting. Maar deze tag staat op magister.nl, de marketingsite, niet in de ingelogde leerlingomgeving. En LinkedIn heeft een minimumleeftijd van 16 en richt zich op zijn eigen leden. De mensen die hierdoor daadwerkelijk een advertentie terugzien zijn dus niet de brugklassers, maar de volwassenen om het kind heen: ouders, docenten, schoolbestuurders, inkopers. De keten is niet “verplichte kindersoftware levert advertenties aan kinderen”. De keten is: een bedrijf wiens hele product verplichte software voor minderjarigen is, draait op zijn publieke site advertentieretargeting, gevoed door tracking die al vóór toestemming vuurt. Het kind is niet het doelwit, de wereld van volwassenen eromheen wel.

Bijna alle ontvangende partijen zijn Amerikaans. HubSpot biedt met zijn eu1-domeinen Europese opslag, maar Magister haalt ook content uit HubSpots Noord-Amerikaanse hubs (hubspotusercontent-na1.net, hubspotusercontent-na2.net). En los van waar een server staat: de verwerker blijft een Amerikaans bedrijf en valt dus onder Amerikaans recht. Dat is precies waar artikel 44 tot en met 49 AVG en het Schrems II-arrest over gaan.

itslearning: hetzelfde recept

itslearning.com draait dezelfde HubSpot-machine, portal 8421876. De bezoeker-trackingpixel die ik bovenaan dit dossier ontleedde, met dat persistente nummer en die vingerafdruk vóór elke klik, komt van deze site. Daarbovenop laadt itslearning een Weglot-vertaalscript (met de API-sleutel gewoon leesbaar in de URL), een FontAwesome-kit en ingebedde Apple Podcasts- en Apple Music-spelers. Twintig externe domeinen, alle twintig onder Amerikaanse zeggenschap. Honderd procent.

Het patroon achter het patroon: Sanoma Learning

Hier wordt het geen toeval meer. Magister en itslearning ogen als losse producten, maar zijn dat niet. Magister loopt via Iddink Group, en die Piwik PRO-tenant heet niet voor niets iddinkgroup. Iddink is sinds 2019 onderdeel van Sanoma Learning. itslearning is óók Sanoma Learning. En beide sites laden content uit precies dezelfde HubSpot-hub, nummer 7052064.

Met andere woorden: dit is niet twee bedrijven die los van elkaar dezelfde fout maakten. Dit is één concern dat zijn marketingstack uitrolt over de twee platformen waarmee een groot deel van het Nederlandse voortgezet onderwijs dagelijks werkt.

Eén nuance hoort er meteen bij. Deze trackers staan op de corporate- en marketingsites van de leveranciers. De ingelogde leerlingomgeving zit op aparte inlogdomeinen, en die heb ik hier niet gemeten. Het is dus niet zo dat een leerling tijdens het huiswerk maken aan LinkedIn wordt gevoerd. Het is wel zo dat de bedrijven die de schooldata van miljoenen minderjarigen beheren, hun eigen voordeur behandelen als een Amerikaanse advertentietrechter waarin toestemming kapot is. Daarover straks meer, want dat is precies waar de ethische vraag zit.

En de overheid? Ook Google, ook vóór toestemming, ook 399 dagen

Je zou hopen dat de publiek bekostigde clubs het beter doen. Deels.

Kennisnet, de publieke onderwijsorganisatie, draait een keurig in Nederland gehoste Matomo (piwik.kennisnet.nl, op een SURF-adres). Prima. Maar daarnaast staat Google Analytics 4 (G-BGLJ5NRRZ3), en het verzoek naar region1.google-analytics.com/g/collect vuurt vóór toestemming, met een cid, een Google-client-ID, erin. De bijbehorende cookies _ga en _ga_BGLJ5NRRZ3 blijven 399 dagen staan, en worden gezet voordat je iets hebt aangeklikt. Kennisnet heeft anonymize_ip en de niet-gepersonaliseerde-advertentievlag aangezet, dat siert ze, maar een client-ID die 399 dagen meeloopt en vóór toestemming naar Google in de VS gaat, blijft een client-ID die 399 dagen meeloopt en vóór toestemming naar Google in de VS gaat.

Examenblad.nl, de site rond het centraal examen, is van deze groep de netste: alleen de centrale Rijksoverheid-Matomo (statistiek.rijksoverheid.nl). Maar ook daar staat een _pk_id-cookie van 392 dagen vóór toestemming. Het is hetzelfde systemische Rijksoverheid-Matomo-patroon dat ik eerder in het stelsel-dossier beschreef.

De overheid ruimde op. De scholen kregen de memo niet.

En hier zit het scherpste contrast van dit hele dossier. De Rijksoverheid heeft de afgelopen jaren bewust afstand genomen van Google Analytics en is overgestapt op zelf-gehoste, privacyvriendelijke meting met Matomo. Je ziet het terug in Examenblad: alleen de centrale Rijksoverheid-Matomo, verder niets van Google.

De school-verplichte leveranciers hebben die beweging niet meegemaakt, of hem genegeerd.

• Magister gebruikt wél de nette analyse-tool: Piwik PRO, de commerciële neef van Matomo, precies de soort keuze die de overheid promoot. Maar het bouwt daar HubSpot, Ahrefs, LinkedIn-advertenties en een Amerikaanse accessibility-widget bovenop. De privacyvriendelijke tool functioneert hier als vijgenblad, niet als principe.
• Kennisnet, zelf een publiek bekostigd onderwijsorgaan, draait nog gewoon Google Analytics 4 vóór toestemming, terwijl de rest van de Rijksoverheid daar juist vanaf is gestapt.

De ironie laat zich in één zin vangen: de overheid maakte haar eigen meetketen schoon, de partijen die onze kinderen verplicht moeten gebruiken kregen de memo niet, en één publieke onderwijsclub negeert hem zelfs op zijn eigen site.

Dit is niet nieuw: wat het webarchief laat zien

Om te zien hoe lang dit al loopt, ben ik de gearchiveerde versies van beide sites langsgegaan in het Internet Archive, van 2012 tot nu.

itslearning.com draagt Google Analytics in de broncode van de gearchiveerde homepage vanaf januari 2010. Dat is zestien jaar bezoekersmeting. In 2023 staat HubSpot er aantoonbaar bovenop, met Google Analytics op dat moment nog ernaast.

magister.nl laat Google Analytics zien vanaf oktober 2017, ruim acht jaar terug, verspreid over 41 gearchiveerde opnames. Op 3 september 2022 verschijnt HubSpot voor het eerst, en vanaf dat moment staat Google Analytics niet langer naast HubSpot in de broncode. Dat is het beeld van een bewuste overstap van losse analytics naar een geintegreerde HubSpot-marketingstack, en die stack staat er sindsdien onafgebroken op.

Eén eerlijke beperking hoort hierbij. Het webarchief legt dynamisch ingeladen scripts van derden, zoals de LinkedIn-tag, Piwik PRO en de Skynet-widget, zelden vast. Dat die er vandaag staan, weet ik uit mijn eigen meting; precies sinds wanneer, kan ik uit het archief niet hard maken. Wat ik wél hard kan maken is het fundament: het volgen van bezoekers op deze sites is geen recente uitschieter. Op itslearning loopt het sinds 2010, op Magister sinds 2017, en de overstap naar een volwaardige marketingstack is een bewuste koerswijziging uit september 2022, niet een vergeten scriptje.

Wat ik hier niet heb gemeten, en wat de volgende stap is

Eerlijk blijven betekent ook de grenzen benoemen. Ik mat de openbare sites, in drie consent-standen, met volledige opname van het netwerkverkeer. Ik mat niet de ingelogde leerlingomgeving, want daar heb ik geen account voor en daar hoor ik zonder grondslag niet binnen te kijken. Ik mat ook niet hoe lang dit al loopt.

Dat laatste is wel de logische vervolgstap. Net als bij het Pels Rijcken-onderzoek kan het webarchief laten zien sinds wanneer deze trackers op de onderwijssites staan. En de Iddink- en Schoologica-domeinen rond Magister kunnen samen gemeten worden om aan te tonen hoe ver die ene HubSpot-portal over de groep reikt. Maar wat hier ligt is al genoeg voor één conclusie: de sector die “gemiddeld” scoort, doet dat omdat een paar schone portalen het wegmoffelen dat de grootste spelers hun voordeur hebben verhuurd aan een Amerikaanse marketingmachine, rond software die geen kind kan weigeren.

Methode: gemeten op 1 juni 2026 met mijn eigen scanner (BeforeYouMick), in drie consent-standen, met volledige opname van het netwerkverkeer (HAR). Reproduceerbaar. Alle hier genoemde domeinen, portal-ID’s, cookienamen, levensduren en beacon-parameters komen rechtstreeks uit die opname. De jurisdictie-aanduiding kijkt naar de zeggenschap over de ontvangende partij, niet naar de toevallige locatie van een Cloudflare-edge. Tegenspraak of correctie is welkom via mickbeer.com.

Tijdlijn op basis van de Internet Archive Wayback Machine: elf jaar onafgebroken op het oudste domein.

Pels Rijcken sprak op 22 mei publiekelijk over slordigheden met YouTube-embeds, opgelost via een verhoging van de Cookiebot-scanfrequentie van maandelijks naar dagelijks. Een meting van 27 mei toont een bredere werkelijkheid: onafgebroken Google Analytics tot elf jaar tien maanden op vijf domeinen die Pels Rijcken zelf onder zijn privacyverklaring schaart, vandaag nog actief op drie ervan. Op twee daarvan blokkeert de cookiebanner de tracking niet en blijven cookies 399 dagen per bezoeker leven. En wie zich aanmeldt voor de nieuwsbrief loopt via Vuture, een Amerikaans marketing-CRM op AWS dat naam, functie en juridische interesses per persoon profileert.

De claims van Pels Rijcken, getoetst

Elke rij in deze tabel is in dit addendum gedocumenteerd met snapshots, HAR-bestanden en geverifieerde metingen. De claims links zijn afkomstig uit de publieke verklaring van Pels Rijcken (22 mei 2026) en uit hun gepubliceerde privacyverklaring.

Het kernresultaat

Op de vijf domeinen die Pels Rijcken zelf onder zijn privacyverklaring schaart, toont de meting van 27 mei het volgende:

• cassatieblog.nl: onafgebroken tracking sinds mei 2014, 11 jaar 10 maanden, met eerdere sporen tot oktober 2011;
• pgawb.nl: onafgebroken UA-periode sinds december 2013, 10 jaar 9 maanden, met aanvullende GA4 vanaf januari 2025;
• werkenbijpelsrijcken.nl: sinds mei 2017, ruim 8 jaar 10 maanden;
• pgwoo.nl: sinds oktober 2022, ruim 3 jaar 5 maanden;
• pelsrijcken.nl: sinds december 2022, ruim 3 jaar 3 maanden.

Op cassatieblog.nl zijn nog eerdere Google Analytics-sporen aangetroffen uit oktober 2011 tot januari 2012, met een gat in 2013 voordat de huidige tracking-property vanaf mei 2014 ononderbroken werd ingezet. Voor de cijfers in dit addendum hanteer ik de strikt onafgebroken duur, met 76 opeenvolgende snapshots als ondergrens.

Geen dagen. Geen weken. Op één domein ruim elf jaar onafgebroken.

De tracking-infrastructuur per domein

Vijf domeinen, vijf trackingsporen, één gedeeld Google Analytics-account voor drie ervan.

1. cassatieblog.nl: UA-18970241-9 onafgebroken in 76 snapshots van mei 2014 tot maart 2026.
2. pgawb.nl: UA-18970241-6 onafgebroken van december 2013 tot september 2024, opgevolgd door GA4 G-RTMT1BGGHG vanaf januari 2025.
3. werkenbijpelsrijcken.nl: UA-18970241-19 vanaf mei 2017, GTM-T72GQFT vanaf juli 2021, GA4 G-SC7Y3KDYDT als opvolger vanaf augustus 2025.
4. pgwoo.nl: GA4 G-M0EYEXG6PF onafgebroken vanaf oktober 2022, zonder dat in de raw HTML een Cookiebot- of vergelijkbare consent-vendor zichtbaar is.
5. pelsrijcken.nl: GTM-PMFWLS7 vanaf december 2022, Hotjar 4942343 vanaf april 2024.

Het GTM-versiebeheer (Container Versions) en het Google Analytics-account 18970241 zijn beide door Pels Rijcken zelf in beheer. Beide bieden, op verzoek of via een AVG-toetsingsproces, een sluitend overzicht van welke tags op welk moment actief zijn geweest. De vraag die openstaat: is Pels Rijcken bereid dat overzicht ter verificatie te verstrekken?

Eén centraal beheerd Google-account

De property-ID’s UA-18970241-19 (werkenbij), UA-18970241-9 (cassatieblog) en UA-18970241-6 (pgawb) vallen alle drie onder hetzelfde Google Analytics-account 18970241. Dat is geen toeval. Het is een centraal, jarenlang beheerde meetopzet over meerdere Pels Rijcken-domeinen heen, met gedeelde governance, gedeelde toegang en gedeelde rapportagemogelijkheden.

Dit is niet de configuratie van losse, kortstondige experimentjes per site. Dit is de configuratie van een geïntegreerde meetoperatie die over de jaren heen onderdeel is gebleven van hoe Pels Rijcken zijn webpresence beheert.

GTM als orchestrator, als regisseur

Google Tag Manager is geen tracker maar een container die andere tags inlaadt. Eenmaal geïmplementeerd kunnen nieuwe tags worden toegevoegd via een Google-dashboard, zonder dat de raw HTML van de website wijzigt.

Dat verklaart waarom GA4-property G-T7N46JF3XT na november 2023 uit de raw HTML van pelsrijcken.nl verdwijnt terwijl de GTM-container PMFWLS7 onafgebroken aanwezig blijft. De property bleef vuren, alleen niet meer hardgecodeerd maar via de container. De meting van 18 mei 2026 bevestigt dit: GA4 en Google Ads worden in de HAR-data aangetroffen terwijl beide ID’s nergens in de raw HTML staan.

De afwezigheid van een tracker-ID in de raw HTML na een bepaalde datum is dus geen bewijs dat de tracking stopte. De continue GTM-container is de robuuste indicator van de continue Google-datastroom.

De tracking vuurt vandaag nog: live meting 27 mei 2026

Naast de Wayback-data is op 27 mei 2026 een runtime-meting uitgevoerd op cassatieblog.nl, pgwoo.nl en pgawb.nl, in drie toestemmingsmodi (geen actie, weigeren, accepteren). De resultaten bevestigen dat de jarenlange infrastructuur uit de Wayback-data niet alleen historisch is, maar nu actief data verzamelt. Op twee domeinen vuurt die tracking los van de aanwezige cookiebanner.

pgwoo.nl en pgawb.nl: een cookiebanner die de tracking niet blokkeert

Beide sites draaien op dezelfde Pels Rijcken-WordPress-omgeving (pelsrijcken.wpengine.com) en gedragen zich identiek:

• cookie-notice-banner aanwezig (op pgwoo sinds 2022, op pgawb sinds 2017), maar niet gekoppeld aan de tracking;
• GA4 vuurt direct, zonder dat de bezoeker toestemming heeft kunnen geven (pgwoo: G-M0EYEXG6PF + _ga; pgawb: G-RTMT1BGGHG + _ga);
• cookie-bewaartermijn: 399 dagen per bezoeker;
• de keuze in de banner verandert niets: de GA4-tag is hardgecodeerd en laadt los van de banner;
• POST-requests naar Google’s measurement-endpoint bevestigd in de HAR-data;
• fingerprinting via tijdzone aangetroffen in beide;
• HSTS-header ontbreekt op beide.

De GA4-stream-ID’s komen exact overeen met de Wayback-vondst: G-M0EYEXG6PF op pgwoo sinds oktober 2022, G-RTMT1BGGHG op pgawb sinds januari 2025. Wat in de Wayback-broncode staat, vuurt vandaag daadwerkelijk.

Twee bevindingen per site classificeren als kritiek: tracking-cookies vóór toestemming (Telecommunicatiewet art. 11.7a) en een cookiebanner die de tracking niet stopt (AVG art. 7 lid 3). Op een Pels Rijcken-domein over de Wet open overheid is dat een bijzondere tegenstelling tussen vorm en inhoud.

cassatieblog.nl: Cookiebot aanwezig, maar lekt

Cassatieblog heeft als enige van de drie wél een Cookiebot-implementatie. Toch:

• Geen actie (noop): GTM laadt al vóór toestemming (ernstig: AVG art. 6/7);
• Weigeren: na het klikken op weigeren blijven vijf trackers en één script actief (AVG art. 7 lid 3: weigeren werkt onvolledig);
• Accepteren: google-analytics.com en region1.google-analytics.com vuren;
• fingerprinting via navigator-eigenschappen en tijdzone in twee gedownloade scripts.

De aanwezigheid van Cookiebot voorkomt cookie-plaatsing vóór toestemming, maar voorkomt GTM-loading niet en honoreert weigeren niet volledig. Het verdedigingsargument dat Cookiebot het regelt, is op het enige domein waar Cookiebot in deze meting aanwezig was, aantoonbaar onvolledig in zijn werking.

Wat de meetdata samenvat

De infrastructuur en cookie-bewaartermijnen, samengevat:

• een cookie-bewaartermijn van 399 dagen per bezoeker op pgwoo en pgawb, gezet vóór elke toestemmingsinteractie;
• tracking-infrastructuur die op alle vijf domeinen tussen 3 jaar 3 maanden en 11 jaar 10 maanden onafgebroken aanwezig is geweest in de broncode;
• actief vurende tracking op het moment van publicatie van dit addendum op cassatieblog.nl, pgwoo.nl en pgawb.nl.

De infrastructuur: NL-hosting beschermt de opslag, niet de datastromen

De vijf domeinen draaien op twee omgevingen. cassatieblog.nl, pgwoo.nl en pgawb.nl zijn WordPress-sites die via WP Engine worden gehost, alle drie op één gedeeld IP-adres (35.189.124.151) dat toebehoort aan Google LLC. pelsrijcken.nl en werkenbijpelsrijcken.nl draaien op Craft CMS bij Rootnet / BIT BV in Nederland.

Voor de drie WordPress-domeinen stapelt de Amerikaanse jurisdictie zich op nog vóór er een tracker vuurt. WP Engine, Inc. (Texas) is de hostingprovider; die draait op Google Cloud (Google LLC); en het meetverkeer gaat naar Google Analytics en Google Tag Manager (eveneens Google LLC). De CLOUD Act verplicht Amerikaanse aanbieders data te overleggen, ongeacht of die fysiek in de EU staat. De EU-datacenterlocatie waar Northwave op wees, weerlegt die blootstelling dus niet; de exploitant is Amerikaans.

Ook de Nederlands gehoste domeinen raken de CLOUD Act, niet via de opslag maar via de componenten die de pagina inlaadt. werkenbijpelsrijcken.nl laadt jQuery rechtstreeks van Google (ajax.googleapis.com) onafgebroken sinds september 2012, ruim dertien jaar en vandaag nog (121 van 121 Wayback-snapshots), en gebruikt Google Fonts; bij elke paginaweergave gaat het IP-adres van de bezoeker naar Google in de Verenigde Staten. Dat is hetzelfde mechanisme als in het Google Fonts-arrest van de rechtbank München (2022): het hotlinken van een Google-resource is een doorgifte van persoonsgegevens naar de VS.

De hardste, direct toetsbare doorgifte is die van werkenbijpelsrijcken.nl naar Google: die loopt onafgebroken sinds 2012 en vereist geen toestemming om vast te stellen.

Een legal-marketing-CRM met PII-verzameling

Op pelsrijcken.nl staat een knop ‘Houd mij op de hoogte’ die linkt naar een aanmeldformulier op sites-pelsrijcken.vuturevx.com. Dat is een dedicated subdomein gehost door Vuture, een marketing-CRM specifiek voor advocatenkantoren, sinds 2021 onderdeel van Intapp Inc. (VS, Nasdaq-genoteerd).

Wat een meting op 27 mei 2026 op die landingspagina aantoont, zonder dat het formulier wordt ingevuld:

• hosting op AWS eu-west-2 (Amazon, VS) plus Cloudflare-CDN (VS);
• twee cookies gezet bij paginalaad zonder enige consent-laag: VxSessionId (Vuture-sessietracking) en ASPSESSIONIDSGDARRTB;
• Google Fonts hotlinked vanaf fonts.gstatic.com (Google LLC, VS), wat per LG München-jurisprudentie (2022) onrechtmatige doorgifte van het bezoekers-IP naar de VS oplevert;
• het formulier verzamelt voornaam, achternaam, bedrijf, functietitel, e-mailadres en tientallen IA_Subscription-checkboxes voor praktijkgebieden en sectoren, een granulair interesseprofiel per persoon.

Dit is geen aggregaat-analytics. Dit is een marketing-CRM-funnel die individuele bezoekers profileert op basis van naam, functie en juridische interesses. De data-infrastructuur is volledig Amerikaans. Vuture’s eigen documentatie beschrijft identity-stitching tussen e-mail-engagement en site-bezoeken; die koppeling is niet zelf gemeten in dit onderzoek, maar is Vuture’s gedocumenteerde businessmodel.

Voor een kantoor dat de Nederlandse Staat juridisch adviseert, raakt deze stack een vraag voorbij privacy: wie wordt geprofileerd, en in welke rol bewaakt het kantoor de scheiding tussen die profilering en zijn rol als adviseur van de Staat?

Wat is opgeruimd

Pels Rijcken heeft op 22 mei publiek erkend dat twee bevindingen juist waren. Een herhaalde meting op 21 mei 2026 bevestigt dat tussen 18 en 21 mei van de homepages is verwijderd:

• Op pelsrijcken.nl: Google Tag Manager (container GTM-PMFWLS7), Hotjar session-recording (site 4942343) en pre-consent YouTube-embeds.
• Op werkenbijpelsrijcken.nl: Google Tag Manager (container GTM-T72GQFT) en pre-consent YouTube-embeds.

Een precisering die ertoe doet: Hotjar (site 4942343) is uitsluitend op het hoofddomein pelsrijcken.nl aangetroffen en in geen enkele meting op werkenbijpelsrijcken.nl (0 van 121 Wayback-snapshots). Ook de container GTM-PMFWLS7 draaide alleen op pelsrijcken.nl; werkenbij gebruikte een eigen container, GTM-T72GQFT. Wie Hotjar op werkenbij verdedigt, weerlegt een bevinding die nooit is gedaan.

Die remediation, de verbetering, valt buiten het bereik van de Wayback-data, want Wayback’s laatste capture (9 maart 2026) ligt vóór de opruimactie. Voor de remediation wordt verwezen naar de OTS-gestempelde rescans van 21 mei 2026.

Drie dagen waren nodig om te verwijderen wat jaren op die twee websites had gestaan. Niet proactief maar reactief, en niet uit eigen beweging maar na een extern signaal. Op de drie aanvullende domeinen (cassatieblog.nl, pgwoo.nl en pgawb.nl) zijn van een vergelijkbare opruiming op het moment van publicatie geen sporen aangetroffen.

De eigen gedragscode van Pels Rijcken

Op de website van Pels Rijcken is een gedragscode publiek beschikbaar. Drie artikelen zijn rechtstreeks relevant.

Artikel 2 (Compliance):

“We kennen en houden ons aan alle wet- en regelgeving. We handelen niet tuchtrechtelijk verwijtbaar.”

Pels Rijcken heeft zelf twee overtredingen erkend en gecorrigeerd op het hoofddomein. Die erkenning staat op gespannen voet met de stelling dat alle wet- en regelgeving werd nageleefd. Op pgwoo.nl en pgawb.nl meten kritieke AVG- en Telecommunicatiewet-overtredingen vandaag nog door.

Artikel 1 (Integriteit):

“We zijn eerlijk en transparant. Afspraken en toezeggingen komen we na; we zijn betrouwbaar.”

De privacyverklaring stelde dat er geen persoonsgegevens werden verwerkt en dat ontvangers zich binnen de Europese Economische Ruimte bevonden. Beide stellingen waren aantoonbaar onjuist op het moment dat ze op de website stonden. Diezelfde privacyverklaring is van toepassing op alle vijf domeinen, waarvan er drie een toestemmingsmechanisme tonen dat de tracking niet tegenhoudt: cassatieblog.nl met een lekkende Cookiebot, pgwoo.nl en pgawb.nl met een cookie-notice-banner die de GA4-tag niet blokkeert.

Artikel 9 (Voorbeeldfunctie):

“We bedienen ons niet van listen of trucs. We zoeken niet bewust de grenzen van het toelaatbare op.”

Pels Rijcken heeft Northwave ingehuurd om een CNAME-claim te weerleggen die niet in het onderzoeksdossier of in de BNR-publicatie voorkomt. Of Northwave in goed vertrouwen is ingeschakeld voor een bredere technische verificatie dan de gepubliceerde bevindingen bestreken, is niet bekend. Wat wel vaststaat is dat de specifieke claim die Northwave weerlegt, nergens in het onderzoeksdossier of in de BNR-publicatie stond. Of de inzet van een extern bureau voor een niet-bestaande claim in de categorie valt die de gedragscode beschrijft, laat ik aan de lezer.

De gedragscode bevat ook een zelfreflectievraag die Pels Rijcken zichzelf stelt als interne toets: “Zou ik me schamen als dit in het nieuws kwam?” Het kwam in het nieuws, en de archieven laten zien hoe lang het al bestond.

Slot

Op de vijf domeinen die Pels Rijcken zelf onder zijn privacyverklaring schaart, bestaat de tracking-infrastructuur al jaren. Op het oudste domein, cassatieblog.nl, ruim elf jaar onafgebroken, met sporen die teruggaan tot 2011. Onder een gedeeld Google Analytics-account dat over drie van de vijf domeinen loopt. Op twee daarvan met een cookiebanner die de tracking niet blokkeert, en cookies van 399 dagen per bezoeker.

Pels Rijcken heeft tussen 18 en 21 mei 2026 een deel van de tracking op de hoofddomeinen opgeruimd. Dat blijft staan en is verdienstelijk. Maar de scope is breder dan de publieke 22-mei-verklaring adresseerde: vijf domeinen, tot elf jaar onafgebroken, op drie ervan vuurt de tracking vandaag nog. Een dagelijkse Cookiebot-scan op het hoofddomein adresseert niet de structurele situatie op pgwoo.nl en pgawb.nl, waar de cookiebanner de tracking niet blokkeert en cookies 399 dagen per bezoeker leven.

Bij het schrijven van dit addendum had Pels Rijcken nog niet publiek gereageerd op de bevindingen over pgwoo.nl, pgawb.nl, cassatieblog.nl, de Google-jQuery op werkenbijpelsrijcken.nl, of de Vuture-CRM-funnel. Dit addendum staat open voor publieke reactie van Pels Rijcken op deze punten.

Technische bewijslast

De bevindingen per domein

cassatieblog.nl

De strikt onafgebroken meetperiode is mei 2014 tot maart 2026: 11 jaar 10 maanden over 76 opeenvolgende snapshots. De bovenste rij betreft een eerdere property uit 2011 tot 2012; in 2013 is geen Google Analytics aangetroffen, daarom telt die periode niet mee in de onafgebroken duur.

pgawb.nl

De UA-property is onafgebroken aanwezig van december 2013 tot september 2024. Tussen oktober 2024 en januari 2025 ligt een migratie-gap van circa vier maanden voordat de GA4-opvolger werd geactiveerd. Dat is een UA-naar-GA4-naad, geen verdwijning van de tracking-opzet.

werkenbijpelsrijcken.nl

pgwoo.nl

pelsrijcken.nl

Eerste GTM-snapshot pelsrijcken.nl · Laatste GTM-snapshot pelsrijcken.nl · Eerste Hotjar-snapshot · Eerste GTM-snapshot werkenbij · Laatste GTM-snapshot werkenbij

De Wayback-snapshots van de eerste vermelding op de drie aanvullende domeinen zijn direct opvraagbaar: cassatieblog.nl, 5 oktober 2011, pgawb.nl, 5 december 2013 en pgwoo.nl, 21 oktober 2022. De volledige eerste/laatste-index per tracker staat in de meegeleverde dataset (id_first_last.json).

Vuture / Intapp (marketing-CRM op pelsrijcken.nl)

Anders dan de analytics-tags is dit geen aggregaatmeting maar een CRM-funnel die individuele bezoekers identificeert en profileert. De volledige data-infrastructuur is Amerikaans.

Methodologie Wayback (23 mei + 27 mei 2026)

CDX-API van de Internet Archive geraadpleegd voor alle vijf domeinen. Voor elke beschikbare maand ten minste één geslaagde snapshot (HTTP 200) opgehaald via https://web.archive.org/web/<timestamp>id_/<url>, een endpoint dat raw HTML levert zonder Wayback-rewriting. De HTML is doorzocht op de exacte tracker-ID’s uit de directe meting van 18 mei 2026 en op een uitgebreide markerset (alle bekende Google Analytics-, GTM-, Hotjar-, Facebook-Pixel-, en Cookiebot-patronen). Rate limit 1,2 seconden per request, User-Agent MickBeer-Privacy-Research/1.0. Totaal 390 snapshots geanalyseerd, verdeeld over een eerste run van 23 mei (pelsrijcken.nl en werkenbijpelsrijcken.nl, 160 snapshots) en een uitbreidende run van 27 mei (alle vijf domeinen, 390 snapshots inclusief de oorspronkelijke).

Methodologie runtime-meting (27 mei 2026)

BeforeYouMick-scan v3.8 (headed browser, stealth-modus, drie toestemmingsmodi: geen actie, weigeren, accepteren) uitgevoerd op cassatieblog.nl, pgwoo.nl en pgawb.nl. Per modus zijn de HTTP-requests, gezette cookies, geladen scripts en uitgaande POST-requests vastgelegd in een HAR-bestand. Resultaten per site beschikbaar als JSON, Markdown en HAR.

Beperkingen

CDX dekt alleen homepage-captures met status 200. Subpagina’s konden additionele tags dragen; dit onderzoek is daarmee een ondergrens. Wayback’s laatste capture voor pelsrijcken.nl is 9 maart 2026 en voor werkenbijpelsrijcken.nl 14 maart 2026; deze liggen vóór de remediation in mei 2026. Voor die remediation wordt verwezen naar OTS-gestempelde rescans van 21 mei 2026.

Dataset

Wayback-bundel 23 mei 2026 (pelsrijcken.nl en werkenbijpelsrijcken.nl): - Bestand: pelsrijcken-wayback-rawdata-20260523.zip (9,5 MB, 183 bestanden) - SHA-256: aeeb081d0a72c4602382a5b75f4ec23b6d022fe983365d227007ea06ef8c9ad2

Forensische familie-bundel 27 mei 2026 (alle vijf domeinen, OpenTimestamps-gestempeld): - Bestand: pelsrijcken-familie-rawdata-20260527.zip - SHA-256: c98e0bc516e1d5240faac0bef492677333adb1b8a70107db9c72f841b6a2e6af - Inhoud: de Wayback-history van alle vijf domeinen (390 raw HTML-snapshots, timeline.csv, timeline.json, id_first_last.json, het scraper-script en run.log), de runtime-meting van 27 mei (BeforeYouMick v3.8: JSON, Markdown en HAR per site voor cassatieblog.nl, pgwoo.nl en pgawb.nl) en de analyse-documenten. Met MANIFEST.sha256 over 490 bestanden.

Alle bundels op verzoek beschikbaar via mickbeer.com.

De Wayback-snapshot-URL’s in dit stuk zijn klikbaar en immutable. Iedereen kan de exacte HTML van een aangehaalde datum bekijken via web.archive.org.

Eerder verschenen in dit dossier: Reactie op publieke verklaring Pels Rijcken (22 mei 2026)

Geschreven met legal governance van mr. Vincent Mans.

Een forensische naast-elkaar-zetting van wat Odido publiek heeft gesteld over het datalek van februari 2026, naast wat met publieke bronnen daadwerkelijk is vast te stellen. Elke claim wordt geclassificeerd als hard contradictie, technisch waar maar materieel misleidend, materiële omissie, onbedoelde onthulling, of staat overeind.

I. Wat Odido expliciet stelt, naast de feiten

1. “Wij ontdekten de ongeautoriseerde toegang”

Odido zegt: “In beide gevallen ontdekte Odido de ongeautoriseerde toegang, onderzocht het incident en trok de toegang in.” CEO Søren Abildgaard, videoverklaring 24 februari 2026 ^{2 1}.

Het bewijs: De Engelstalige Wikipedia-vermelding van het incident, op basis van publieke cybersecurity-bronnen, stelt botweg: “Odido itself did not notice the breach until it was made public by the hackers.” ³ De massaclaim-organisatie CUIC, die toegang tot interne documentatie heeft via haar gedupeerden, dateert het moment dat Odido op de hoogte raakte op 7 februari 2026, via de aanvallers zelf ⁴. Odido leerde de scope van het incident niet via eigen monitoring; ShinyHunters meldde zich.

Type: Hard contradictie.

2. “We hebben de toegang zo snel mogelijk beëindigd”

Odido zegt: “We ended unauthorized access as quickly as possible.” CEO Abildgaard ².

Het bewijs: De UNC6040-aanvalsmethode is in juni 2025 publiek gedocumenteerd door Google’s Threat Intelligence Group en sindsdien herhaaldelijk beschreven door Salesforce zelf en door security-firma’s ^{5 7 8}. De methode verloopt via een malafide OAuth-connected app (vaak vermomd als Salesforce Data Loader of een variant) die een eigen access- en refresh-token krijgt. Het intrekken van een gebruikerssessie raakt dat token niet, de connected app blijft via reguliere Salesforce-API’s data uitlezen tot de app-autorisatie expliciet wordt ingetrokken. De gepubliceerde dataset omvat ~21 miljoen records over ~60 GB gecomprimeerde data ⁹, wat een meerdaagse exfiltratie impliceert. Odido beëindigde een interactieve sessie; niet de toegang.

Type: Technisch waar, materieel misleidend.

3. “Criminelen die niet onderschat moeten worden”

Odido suggereert: De CEO-framing positioneert de aanvallers als geraffineerd, niet als gebruikers van een gedocumenteerd standaard-playbook ^{2 10}.

Het bewijs: Salesforce publiceerde op 30 januari 2026, vijf dagen vóór de aanval op Odido, een expliciete advisory over precies deze tactiek: vishing op klantenservice-medewerkers, gevolgd door autorisatie van een malafide connected app ^{5 6}. Identieke methode trof in 2025 onder meer Google, Cisco, Adidas, Workday, Pandora, Chanel, Louis Vuitton, Allianz, Dior, Qantas en, als Nederlandse peer, KLM-Air France ^{8 12 11}. De NCTV/NCSC volgde de dreiging in het Cybersecurity Assessment Nederland 2025 (gepubliceerd december 2025) ¹³. De Forrester-analyse van het Odido-incident karakteriseert de governance-pathologie als “light-touch governance of a commodity business app, controls likely set to default, broad access unchallenged, monitoring that did not detect data pulls”, geen geraffineerde aanval, maar het uitbuiten van default-configuratie ¹⁴.

Type: Hard contradictie van framing.

4. “Een aanvaller belde op 5 en 6 februari”

Odido zegt: De officiële datering legt het incident op twee belpogingen op 5 en 6 februari ^{1 2}.

Het bewijs: Bleeping Computer en NOS dateren Odido’s detectiemoment op het weekend van 7-8 februari 2026 ^{15 16}. Een onafhankelijke tijdlijn-reconstructie ¹⁷ plaatst de toegang op 7-8 februari. CUIC stelt expliciet dat Odido pas op 7 februari op de hoogte raakte ⁴. Het datumconflict is publiek niet opgelost. Wat Odido als één-tweetal vishing-pogingen presenteert, omvat in de externe verslaggeving een meerdaags exfiltratievenster.

Type: Onopgeloste datumdiscrepantie, gepresenteerd zonder erkenning.

5. “6,2 miljoen accounts getroffen”

Odido zegt: 6,2 miljoen Odido- en Ben-accounts ^{1 15 18}.

Het bewijs: ShinyHunters claimt gegevens van 8 miljoen unieke personen in 21 miljoen records ^{19 10}. De gepubliceerde dataset bevat ex-klanten van 5, 10 en zelfs 16 jaar geleden, RTL Nieuws en het FD vonden tienduizenden bevestigde ex-klanten in batches die online verschenen ^{20 21 22}. Odido’s eigen privacystatement geeft een bewaartermijn van maximaal twee jaar ¹. Het verschil van 1,8 miljoen tussen Odido’s “actieve accounts”-telling en ShinyHunters’ “unieke personen”-telling bestaat vrijwel zeker uit data die buiten retentie-beleid is bewaard. Odido benoemt deze samenhang in de eigen communicatie niet.

Type: Materiële omissie.

6. “Geen wachtwoorden van Mijn Odido of andere inlogsystemen zijn gelekt”

Odido zegt: “De wachtwoorden die klanten gebruiken om in te loggen, worden versleuteld opgeslagen en zijn nooit toegankelijk geweest. Je Mijn Odido-account is veilig.” ¹

Het bewijs: Verifieerbaar via DNS-onderzoek: portal.odido.nl resolved naar lb-portal-01.bss.indetel.net, een load-balancer op Odido’s eigen on-premise BSS-infrastructuur (RIPE-allocatie 82.172.0.0/14 NL-ODIDO-20030929) ²³. De inlog-credentials voor Mijn Odido leven in een gescheiden Business Support System (vermoedelijk Infonova/Beyond Now), niet in de gecompromitteerde Salesforce-omgeving. Odido’s claim is architectonisch correct.

Type: Staat overeind.

7. “Het veld password_c is geen wachtwoord, maar een controlewoord voor telefonische verificatie”

Odido zegt: “Wat wel is gelekt, is een veld uit het klantcontactsysteem met de naam ‘password_c’. Ondanks de naam is dit geen wachtwoord, maar een zogenoemd controlewoord of codewoord.” ^{1 24 25}

Het bewijs: De suffix _c (voluit __c) is Salesforce’ verplichte naming-convention voor custom fields ²⁶. De aanwezigheid van password_c betekent dat een ontwikkelaar of architect tijdens de bouw heeft besloten: (a) een veld letterlijk “password” te noemen, (b) opgeslagen als gewoon Text-veld zonder Encrypted Text-veldtype, (c) zonder Shield Platform Encryption, (d) leesbaar voor elke rol of connected app met API-toegang tot het Account-object ²⁷. De claim dat het inhoudelijk “geen wachtwoord” was, klopt. De architectuurkeuze om gevoelige authenticatie-elementen in plain text op te slaan in een veld met deze naam blijft als bouwkundige fout staan en wordt door Odido niet erkend.

Type: Technisch waar (inhoud was inderdaad geen inlog-wachtwoord), materiële omissie (architectuurfout niet benoemd).

8. “Geen ID-scans gelekt”

Odido zegt: ID-document-scans behoren niet tot de gestolen data ^{1 18}.

Het bewijs: Verifieerbaar via DNS: idnow.odido.nl (en de niet-productie-variant -np) zijn endpoints van IDnow, een Duitse KYC-leverancier. De fysieke scans leven bij IDnow, niet in de Odido Salesforce-org; alleen de uitkomst-data (documentnummer, nationaliteit) wordt teruggegeven aan Odido. Dit is consistent met de inhoud van het lek: ID-nummers en rijbewijsnummers wel, scans niet.

Type: Staat overeind.

9. “We wisten niet dat ook aantekeningen uit het klantcontactsysteem waren gestolen”

Odido zegt: “Terwijl het onderzoek nog loopt, hebben we kunnen vaststellen dat ook aanvullende gegevens uit het klantcontactsysteem zijn getroffen. Zodra er meer bekend is, zullen we via deze webpagina verdere updates delen.” ²⁵ Klantnotities, bewindvoering, betaalafspraken, observaties over gedrag en fraude-waarschuwingen (“Ex heeft zich voorgedaan als contractant”, “Klant lijkt onder invloed te zijn”), zijn pas later in de gepubliceerde dataset gevonden, door de NOS ²⁸.

Het bewijs: Een Salesforce-org met behoorlijke logging (Event Monitoring, Field Audit Trail, of vergelijkbaar) kan na een breach precies reconstrueren welke records en welke velden door welke connected app zijn uitgelezen ^{29 30}. Dat Odido die reconstructie niet zelfstandig kon maken, en pas via de publicatie door NOS achter de aanwezigheid van klantnotities kwam, bevestigt de afwezigheid van query-level audit logging op het SObjectLog__c-veld waarin deze data is opgeslagen ³¹.

Type: Onbedoelde onthulling, Odido’s eigen toegeving bevestigt absentie van monitoring.

10. “We onderzoeken of we gegevens te lang hebben bewaard”

Odido zegt: De retentie-vraag wordt gepresenteerd als een open onderzoek na deze breach ^{20 22 21}.

Het bewijs: De Rijksinspectie Digitale Infrastructuur legde Odido in maart 2024 een boete van €175.000 op (oorspronkelijk €400.000) voor het verwerken en verrijken van verkeers- en locatiegegevens van 2,5 tot 4,5 miljoen abonnees voor een CBS-bewegingsalgoritme in 2018-2019, in plaats van die te anonimiseren, een retentie- en data-minimalisatie-overtreding ³². Dat is dezelfde regelgevingsklasse als de huidige zaak, twee jaar eerder. De AP en RDI onderzoeken gezamenlijk dit retentie-aspect van de huidige zaak ³⁴. Odido presenteert deze retentie-vraag als nieuw, terwijl het regulator-gedocumenteerd patroon is.

Type: Materiële omissie.

II. Wat Odido niet noemt, en het bewijs wel laat zien

Even relevant als de discrepanties zijn de stilzwijgens, feiten die Odido in publieke communicatie nergens noemt, terwijl ze met publieke bronnen vast te stellen zijn.

Een tweede actieve Salesforce-org in de Verenigde Staten. Verifieerbaar via DNS: t-mobile.my.salesforce.com resolved naar na238-ia7.ia7.r.salesforce.com, een Salesforce-instance in Iowa, VS (SFDC-3). Tweeënhalf jaar na de rebrand van T-Mobile NL naar Odido (5 september 2023) draait deze legacy-org nog. Wat erin zit, voor welke betrokkenen, onder welk verwerkersregister, is publiek niet bekend; Odido benoemt het bestaan niet ³⁶.

De Salesforce-waarschuwing van 30 januari 2026. Vijf dagen vóór Odido’s eigen aanvalsdatering. Salesforce beschreef expliciet vishing op klantenservice-medewerkers, vermomde Data Loader-connected apps, en gaf concrete inrichtingsadviezen ter mitigatie ^{5 6}. Andere Nederlandse Salesforce-klanten trainden hun personeel op deze advisory ¹¹. Odido benoemt deze advisory in de publieke communicatie nergens.

Het KLM-precedent. Een Nederlandse peer-organisatie werd in 2025 met dezelfde methode getroffen ^{8 12}. Odido benoemt dit niet.

Het RDI-rapport van 17 oktober 2025. Boete €1.518.750 voor onveilig aftapsysteem (periode 2021-2022): geen beveiligingsplan, ongescreend personeel (geen VOG, geen geheimhoudingsverklaring), leveranciers met digitale toegang tot staatsgeheime en strafrechtelijke data ³³. Vier maanden vóór de Salesforce-breach legde RDI letterlijk hetzelfde toegangs- en screening-patroon vast. Odido verwijst niet naar dit rapport.

De ingetrokken IPO van 9 februari 2026. Officiële reden: “lauwe interesse, KPN-vergelijking, marktvolatiliteit” ³⁵. De intrekking valt drie dagen ná de aanvalsdatering volgens Odido (5-8 februari) en drie dagen vóór publieke disclosure (12 februari). Wat Odido in die periode aan begeleidende banken (Barclays, Goldman Sachs, Morgan Stanley) en aan de AFM heeft gemeld over de breach is publiek niet gedocumenteerd.

De volledige leverancierskaart. Verifieerbaar via DNS en whois zijn ten minste twaalf onafhankelijke leveranciers in de keten van Odido’s klantdata: drie Salesforce-endpoints, Infonova/Beyond Now BSS, SAP ERP, ServiceNow ITSM, IDnow KYC, Odido’s eigen indetel BSS voor SSO, Tyk API-gateway op AWS Frankfurt, inSided/Gainsight communities, Selligent/Marigold mail (België), Google chatbot, Cloudflare web, plus Atos/Eviden/Profit4SF (oorspronkelijke Salesforce-bouwer) en 2ManyDigits (latere domeinarchitectuur) ^{36 37 38}.

III. Drie claims die overeind blijven

Niet alles in het Odido-narratief is materieel misleidend. Drie claims worden door OSINT bevestigd: (a) inlog-wachtwoorden van Mijn Odido zijn niet gelekt, die leven aantoonbaar in Odido’s eigen BSS, niet in Salesforce; (b) ID-documentscans zijn niet gelekt, die leven bij IDnow, niet in Salesforce; (c) actuele factuurdata en call records zijn niet onderdeel van de gepubliceerde dump. Drie eerlijke claims in een verder bedrijfsverdedigend narratief.

IV. Wat publiek niet reconstrueerbaar is

Vier vragen vallen buiten OSINT-bereik en blijven legitiem openstaan voor het AP-, RDI- en OM-onderzoek. Wanneer is de malafide connected app voor het eerst geautoriseerd? Als dat vóór ~9 augustus 2025 was, is de Setup Audit Trail-horizon van 180 dagen overschreden en kan Odido het zelfstandig niet meer vaststellen ^{29 30}. Was Salesforce Shield (Platform Encryption, Event Monitoring, Field Audit Trail) in licentie en geactiveerd? Het feit dat password_c in plain text in de export voorkwam, beantwoordt het encryption-deel impliciet. Productie- of sandbox-omgeving? Het Account.Source = ‘Migration’-patroon in de gepubliceerde dump-records ³¹ past bij beide hypothesen. Welke ex-leveranciers-tokens leefden nog? Wipro (post-Ericsson-billing-migratie), Atos (post-collapse-offboarding), 2ManyDigits, individuele consultants, publiek niet te beantwoorden.

V. Samenvatting van de taxonomie

Van de tien geëvalueerde expliciete claims:

• Drie staan overeind: inlog-wachtwoorden niet gelekt, ID-scans niet gelekt, het feit dat password_c inhoudelijk geen inlog-wachtwoord was.
• Twee zijn hard contradicties: “wij ontdekten de toegang” en de framing dat de aanval geraffineerd en onverwacht was.
• Twee zijn technisch waar maar materieel misleidend: “we beëindigden de toegang snel” (sessie versus token) en de framing rond password_c (inhoud klopt, architectuurfout niet erkend).
• Drie zijn materiële omissies: het verschil tussen 6,2 miljoen en 8 miljoen, het retentie-onderzoek als nieuw gepresenteerd terwijl het patroon is, en de datumdiscrepantie 5-6 versus 7-8 februari.
• Eén is een onbedoelde onthulling: dat Odido niet wist dat klantnotities erbij zaten, bevestigt afwezigheid van audit logging.

Plus zes substantiële omissies waar Odido helemaal niets over zegt: de tweede Salesforce-org in de VS, de Salesforce-waarschuwing van 30 januari, het KLM-precedent, het RDI-rapport van oktober 2025, de IPO-timing, en de volledige leverancierskaart.

Dit is geen reconstructie waarin Odido systematisch liegt. Het is een reconstructie waarin de waarheid in delen wordt verteld: technisch correcte uitspraken zonder de architectuurcontext, een breach gepresenteerd als detectie-succes waar het een detectie-falen was, en een retentie-vraag gepresenteerd als open onderzoek waar het regulator-gedocumenteerd patroon is.

Bijlage A: Forensische evaluatie per claim

Uitgebreide tabel-gestructureerde analyse van Odido’s publieke communicatie over het datalek van februari 2026, claim voor claim. Deze bijlage is opgesteld in een format dat aansluit bij DPIA- en regulator-rapporten: elke claim krijgt een eigen tabel met letterlijke formulering, bron, bewijs, classificatie, motivering en restonzekerheid. Bedoeld als referentiedocument naast de hoofdtekst, niet als zelfstandige publicatie.

Methode

Voor elke door Odido gedane publieke uitspraak over het datalek is met openbare bronnen vastgesteld: (a) wat de uitspraak letterlijk luidt en waar die is gedaan, (b) welk bewijs deze uitspraak ondersteunt, weerspreekt of incompleet maakt, (c) onder welke classificatie de uitspraak valt binnen de vijf-categorie-taxonomie (hard contradictie, technisch waar maar materieel misleidend, materiële omissie, onbedoelde onthulling, staat overeind), en (d) welke restonzekerheid in deze evaluatie zit.

Bronnen zijn alleen meegenomen wanneer ze publiek toegankelijk zijn en door minstens één onafhankelijke andere bron worden gecorroboreerd, of wanneer ze direct van een primaire partij komen (Odido zelf, Salesforce, een toezichthouder, een onderzoeksbureau onder eigen naam, of forensisch verifieerbaar via passieve OSINT zoals DNS-resolutie en RIPE WHOIS).

Geen claim is geclassificeerd op basis van anonieme bronnen of niet-publieke bevindingen. Waar relevante informatie alleen via OM-, AP- of RDI-vorderingen toegankelijk is, wordt dat expliciet als restonzekerheid genoteerd in plaats van speculatief ingevuld.

A1. Claim: detectie door Odido zelf

A2. Claim: snelle reactie en beëindiging van toegang

A3. Claim: geraffineerde criminelen, onverwachte aanval

A4. Claim: aanval op 5 en 6 februari 2026

A5. Claim: 6,2 miljoen accounts getroffen

A6. Claim: geen wachtwoorden van Mijn Odido gelekt

A7. Claim: password_c is controlewoord, geen wachtwoord

A8. Claim: geen ID-scans gelekt

A9. Claim: we wisten niet dat klantnotities erbij zaten

A10. Claim: we onderzoeken of we te lang bewaarden

A11 t/m A16. Substantiële omissies

Naast de tien expliciete claims zijn er zes onderwerpen waarover Odido publiek niets heeft gezegd, terwijl publieke bronnen daar wel feiten over leveren.

A11. De tweede actieve Salesforce-org in de Verenigde Staten. Verifieerbaar via passieve DNS: t-mobile.my.salesforce.com resolved naar na238-ia7.ia7.r.salesforce.com, een Salesforce-instance in Iowa (VS) onder de SFDC-3-pool. Tweeënhalf jaar na de rebrand van T-Mobile NL naar Odido (5 september 2023) draait deze legacy-org nog. Wat erin zit, voor welke betrokkenen, onder welk verwerkersregister of welk doel, is publiek niet bekend. Odido benoemt het bestaan in geen enkele communicatie. Bron: passieve DNS-resolutie en Salesforce-instance-naming. Relevantie: directe Schrems II-vraag voor data van NL-betrokkenen die mogelijk nog in deze US-org leeft.

A12. De Salesforce-waarschuwing van 30 januari 2026. Vijf dagen vóór Odido’s eigen aanvalsdatering publiceerde Salesforce een advisory over vishing op klantenservice-medewerkers en malafide Data Loader-connected apps. Andere Nederlandse Salesforce-klanten trainden hun personeel op deze advisory. Odido benoemt deze advisory niet in publieke communicatie. Bron: Salesforce blog/advisory, Security.NL, ITdaily, NOS. Relevantie: De foreseeability van de aanval was geformaliseerd door de eigen leverancier.

A13. Het KLM-precedent. Een Nederlandse peer-organisatie werd in 2025 met dezelfde methode getroffen. Dit is gedocumenteerd in Huntress’ threat library en in vakpers. Odido benoemt dit niet. Relevantie: De aanval is binnen het Nederlandse bedrijfsleven al voorgekomen, met dezelfde dadergroep en methode.

A14. Het RDI-rapport van 17 oktober 2025. Boete van €1.518.750 voor onveilig aftapsysteem (periode 2021-2022): geen beveiligingsplan, ongescreend personeel zonder VOG en geheimhoudingsverklaring, leveranciers met digitale toegang tot staatsgeheime en strafrechtelijke data. Vier maanden vóór de Salesforce-breach legde RDI exact hetzelfde toegangs- en screening-patroon vast. Odido verwijst niet naar dit rapport. Relevantie: Het organisatorische patroon dat de Salesforce-breach mogelijk maakte was vier maanden eerder al door een Nederlandse toezichthouder vastgesteld.

A15. De ingetrokken IPO van 9 februari 2026. Officiële reden: “lauwe interesse, KPN-vergelijking, marktvolatiliteit”. Drie dagen ná Odido’s eigen aanvalsdatering (5-8 februari) en drie dagen vóór publieke disclosure van het lek (12 februari). Wat Odido in die periode aan begeleidende banken (Barclays, Goldman Sachs, Morgan Stanley) en aan de AFM heeft gemeld over de breach is publiek niet gedocumenteerd. Relevantie: Een open vraag voor effectenrecht en investor disclosure-verplichtingen, te onderzoeken via AFM en de banken.

A16. De twaalf-leveranciers-stack. Verifieerbaar via DNS- en whois-onderzoek zijn de volgende onafhankelijke leveranciers in de keten van Odido’s klantdata: drie Salesforce-endpoints (odido.my.salesforce.com EU, t-mobile.my.salesforce.com VS, business.odido.nl Frankfurt), Infonova/Beyond Now BSS, SAP ERP, ServiceNow ITSM, IDnow KYC (DE), Odido’s eigen indetel BSS voor SSO/portaal (NL), Tyk API-gateway op AWS Frankfurt, inSided/Gainsight communities, Selligent/Marigold mail (BE), Google chatbot, Cloudflare web. Plus Atos/Eviden/Profit4SF en 2ManyDigits als architectuurleveranciers. Odido beschrijft de keten in de publieke communicatie nooit. Relevantie: Elk van deze koppelingen heeft een eigen aanvalsoppervlak en eigen verwerkers-verantwoordelijkheid. Vendor sprawl als AVG-vraagstuk.

A17. Methodologische beperkingen

Wat publieke OSINT niet kan beantwoorden. Vier kernvragen vallen buiten het bereik van passieve, openbare bronnen en alleen te beantwoorden via OM/AP/RDI-vorderingen aan Salesforce, Atos, Eviden, 2ManyDigits, Wipro, Infonova en Marigold: (a) wanneer is de malafide connected app voor het eerst geautoriseerd in de Odido-productie-org, (b) was Salesforce Shield (Platform Encryption, Event Monitoring, Field Audit Trail) in licentie en geactiveerd, (c) was de gecompromitteerde omgeving productie of een Full Copy sandbox of beide, en (d) welke residuele service-accounts of OAuth-tokens van ex-leveranciers waren nog actief op 5 februari 2026.

Wat in deze bijlage geen evaluatie heeft gekregen. Junior-namen van consultants, agents, QA-testers en specifieke individuen worden niet behandeld, ook waar publiek beschikbaar. Attributie van architectuurkeuzes aan specifieke personen (zoals de password_c-ontwerpkeuze) is in deze bijlage bewust op leverancier-niveau gehouden en niet verder verfijnd, om juridische zorgvuldigheid te respecteren.

Wat als hypothese is gemarkeerd en niet als feit. De suggestie dat de aanvaller maanden of jaren toegang had vóór de exfiltratie-trigger, en de samenstelling van het verschil tussen 6,2 miljoen actieve accounts en 8 miljoen unieke personen, zijn in deze bijlage expliciet als hypothese behandeld en niet als feit gepresenteerd.

A18. Bronnen-kwaliteitsoverzicht

Geen anonieme bronnen, geen onbevestigde vermoedens, geen speculatieve attributies aan personen. Waar attributie alleen door een toezichthouder of OM kan worden gemaakt, is dat in deze bijlage expliciet zo gelaten.

Einde Bijlage A. De samengevatte analyse staat in de hoofdtekst hierboven; de visuele samenvatting is de infographic bovenaan dit dossier.

Bronnen

Op 22 mei 2026 publiceerde Pels Rijcken een reactie op de berichtgeving van BNR Nieuwsradio over hun cookiebeleid. Daarin citeren zij conclusies van het cybersecurity-bedrijf Northwave die mijn bevindingen “in de gepresenteerde vorm technisch onjuist en misleidend” zouden noemen. Hieronder de feitelijke stand van zaken.

De twee punten die Pels Rijcken aanvoert

Pels Rijcken citeert Northwave op twee specifieke conclusies:

1. De term “CNAME-cloaking” zou onjuist zijn toegepast.
2. De bewering dat data onder Amerikaanse jurisdictie valt, zou “niet onderbouwd en vermoedelijk onjuist” zijn.

Beide punten verdienen een feitelijk antwoord.

Het CNAME-cloaking-punt betreft een interpretatie die niet in de gepubliceerde berichtgeving voorkomt

Tijdens de wederhoor circuleerde in een vroege uitwisseling met BNR een interpretatie waarin DNS-aliasing van Hotjar werd beschreven als “CNAME-cloaking”. Bij nadere analyse bleek dat het Hotjar’s eigen interne CDN-keten betrof (static.hotjar.com naar static-cdn.hotjar.com), niet een subdomein van pelsrijcken.nl dat een tracker camoufleerde.

Dit punt is door mij gecorrigeerd voordat het BNR-artikel werd gepubliceerd. Het artikel van 22 mei bevat de CNAME-cloaking-claim niet. Mijn definitieve dossier (versie 1.1, cryptografisch tijdgestempeld op 20 mei 2026, in handen van Pels Rijcken sinds die datum) bevat de claim evenmin in deze vorm.

Northwave’s analyse betreft dus een interpretatie die op het moment van publicatie geen onderdeel meer was van de gepubliceerde berichtgeving of van het definitieve dossier. Het is mij niet bekend op welke versie van de bevindingen Northwave’s analyse is uitgevoerd. Het volledige Northwave-rapport is mij niet ter beschikking gesteld; Pels Rijcken citeert er publiek één alinea uit.

Northwave is een gerespecteerd Nederlands cybersecurity-bedrijf. Deze constatering is geen kritiek op hun werk, wel op de presentatie ervan als weerlegging van een claim die in de gepubliceerde berichtgeving niet voorkomt.

De Amerikaanse-jurisdictie-vraag: serverlocatie versus juridisch bereik

Pels Rijcken stelt dat Hotjar-data binnen de EU wordt verwerkt en dat de Amerikaanse-jurisdictie-claim daarmee onjuist is. Hier is juridische nuance van belang.

Wat klopt: Hotjar’s primaire dataopslag is volgens hun eigen Data Processing Addendum gevestigd in Ierland (AWS eu-west-1). De fysieke servers staan dus in de EU. Pels Rijcken heeft op dit punt gelijk dat de servers niet in Amerika staan, maar zo staat dat ook nergens in het BNR-artikel. De berichtgeving claimt niet dat de servers fysiek in de Verenigde Staten staan; de claim gaat over jurisdictie, niet over geografie. Daarmee weerlegt Northwave een stelling die niet is gedaan.

Wat ontbreekt in deze analyse: AWS (Amazon Web Services) is een dochter van Amazon.com Inc., een in de Verenigde Staten geïncorporeerd bedrijf. Onder de Amerikaanse CLOUD Act van 2018 zijn Amerikaanse bedrijven verplicht om data te overhandigen aan Amerikaanse autoriteiten ongeacht waar die data fysiek wordt opgeslagen. Het Schrems II-arrest van het Europees Hof van Justitie (zaak C-311/18, juli 2020) heeft expliciet vastgesteld dat onder deze constellatie aanvullende waarborgen vereist zijn. Standard Contractual Clauses alleen volstaan niet.

Het EDPB heeft in haar Recommendations 01/2020 vastgesteld dat de enige effectieve aanvullende waarborg in deze gevallen customer-managed encryption is met sleutels onder Europees beheer. Zonder zulke maatregelen blijft de Schrems II-zorg bestaan, ook bij EU-serverlokaties op Amerikaanse cloud-infrastructuur.

Voor Hotjar specifiek geldt deze CLOUD Act-blootstelling. Voor Google Analytics en Google Ads, de hoofdas van het verhaal in het BNR-artikel, gaat de data bovendien daadwerkelijk naar Google LLC in Mountain View, Californië. De Oostenrijkse DSB (zaak D155.027 van december 2021), de Franse CNIL (februari 2022) en de Italiaanse Garante (juni 2022) hebben dit feitenpatroon eerder onrechtmatig verklaard. Pels Rijcken’s publieke reactie weerlegt deze hoofdbevinding niet.

Wat Pels Rijcken zelf erkent

In hun publicatie van 22 mei stelt Pels Rijcken expliciet: “Twee andere bevindingen, zijn wel juist en door ons onmiddellijk opgelost.” De punten die zij erkennen en hebben geremedieerd vormen het grootste deel van de oorspronkelijke bevindingen:

• Pre-consent loading van tracking-scripts op werkenbijpelsrijcken.nl
• Cookies van derde partijen die niet correct in de cookieverklaring vermeld stonden
• De aanpassing van hun monitoring-werkwijze van maandelijkse naar dagelijkse scans

Daarmee staat het overgrote deel van de bevindingen, inclusief de Schrems II-relevante doorgifte aan Google LLC, onweerlegd.

De staande bevindingen op basis van metingen van 13, 15 en 18 mei 2026

• Pre-consent loading: Google Tag Manager, Google Fonts en jQuery werden geladen voordat bezoekers van werkenbijpelsrijcken.nl konden kiezen. Telecommunicatiewet artikel 11.7a.
• Weigeren-knop niet effectief: vijf hosts bleven actief op werkenbijpelsrijcken.nl na klikken op “Weigeren”. AVG artikel 7 lid 3.
• Doorgifte aan Google LLC: persistente client-identifiers (399 dagen geldig) en device-profielen naar Google in Californië, onder CLOUD Act-jurisdictie. AVG artikelen 44 tot en met 49, Schrems II.
• Privacyverklaring onvolledig: vendors zoals Google Analytics, Google Ads en Hotjar werden 0 keer benoemd in 24.161 tekens van de verklaring. AVG artikel 13 lid 1 sub e en sub f.
• Hotjar session-recording zonder publieke DPIA: vereist onder AP-richtsnoeren over session-replay van mei 2023.

De ruwe meetdata, HAR-bestanden en OpenTimestamps-stempels zijn beschikbaar voor verificatie door derden.

Slot

Pels Rijcken geeft in hun publieke reactie aan dat zij privacy serieus nemen en hun werkwijze hebben aangepast. Dat verdient erkenning. De wederhoor heeft aantoonbaar gewerkt: tussen 18 en 21 mei zijn de zwaarste schendingen op de homepage daadwerkelijk verwijderd. Dat is precies de bedoeling van forensische metingen gevolgd door publicatie.

Een publieke weerlegging is sterker wanneer zij is gericht op wat feitelijk is gepubliceerd. Het Northwave-citaat in Pels Rijcken’s reactie betreft een interpretatie die in het BNR-artikel niet voorkomt, en mist op het tweede punt de CLOUD Act-laag die het hele Schrems II-debat juist definieert.

De Nationale Privacy Index op mickbeer.com bevat 177 Nederlandse organisaties, waaronder Pels Rijcken. De methodologie is openbaar. Alle metingen zijn reproduceerbaar met standaard web-inspectie en publiek beschikbare tools.

Vragen, verificatie of opvragen ruwe data: contact via mickbeer.com.

Op 25 november 2025 stemde de Tweede Kamer over één van de grootste digitale grondrechten-kwesties van dit decennium: chatcontrole. Het Europese voorstel dat platforms zou verplichten om álle privéberichten, ja, óók die van jou en mij, te scannen op verdachte inhoud. End-to-end encryptie als techniek werd in dat voorstel feitelijk onmogelijk gemaakt.

De motie tegén chatcontrole werd aangenomen. Mooi. Maar dat moment maakte ook iets anders zichtbaar: wie stemde voor jouw privacy, en wie liever voor meer toezicht?

Ik bracht het in kaart.

Hoe lees je deze kaart?

Twee assen, één simpele logica:

• Horizontaal (→): hoe sterker een partij privacy verdedigt, hoe verder naar rechts.
• Verticaal (↑): hoe meer een partij surveillance omarmt, meer data, meer camera’s, meer opsporingsbevoegdheden, hoe hoger.

Dat geeft vier kwadranten:

• Linksboven (rood), Surveillance eerst. Veiligheid wordt vooral als toezicht ingevuld; privacy is ondergeschikt.
• Rechtsonder (groen), Privacy eerst. Burgerrechten en versleuteling worden actief verdedigd.
• Linksonder. Weinig nadruk op beide thema’s. Vaak partijen die zich niet uitspreken.
• Rechtsboven. Theoretisch mogelijk maar in de praktijk leeg: niemand combineert sterke privacy mét uitgesproken surveillance-ambities.

De drie clusters in het Nederlandse politieke landschap

🟥 Surveillance eerst: VVD, JA21, CDA, SGP, PVV

De klassieke law-and-order-coalitie. Steun voor uitgebreide opsporingsbevoegdheden, datadeling tussen overheidsdiensten, cameratoezicht, en, niet onbelangrijk, een wisselende tot positieve houding tegenover scanverplichtingen op berichtenverkeer.

Het is geen toeval dat dit cluster bovenin links zit: hier wordt “veiligheid” structureel als surveillance vertaald. Het “wie niets te verbergen heeft, hoeft niets te vrezen”-frame komt uit deze hoek.

⬜ Het middenveld: ChristenUnie, BBB, NSC, 50PLUS, DENK, Volt, GL-PvdA, Fr. Den Haan

Dit cluster is interessant, en frustrerend. Programma’s zeggen vaak het juiste over privacy, maar het stemgedrag is wisselend. ChristenUnie en NSC verdedigen burgerrechten in woord, maar zijn coalitie-pragmatisch in daden. GL-PvdA diende de winnende anti-chatcontrole-motie zelf in (een dikke plus), maar steunde eerder andere uitbreidingen van datadeling.

DENK en 50PLUS zitten hier ook: anti-chatcontrole gestemd, maar verder weinig profiel op het thema. Fractie Den Haan zit in de middenzone vooral omdat er nauwelijks materiaal is om de fractie scherper te plaatsen, een afsplitsing van 50PLUS met beperkt stempatroon.

Volt zit precies op de scheidslijn: pro-privacy in programma, maar Europees-gefocust met een minder uitgesproken positie in Den Haag.

🟩 Privacy eerst: D66, BVNL, SP, FvD, BIJ1, PvdD, Piratenpartij

De rechterhoek van de grafiek is een verrassend ideologisch mengelmoes: progressief-liberaal (D66), libertair-rechts (FvD, BVNL), klassiek-links (SP, BIJ1, PvdD) en uitgesproken digital-rights (Piratenpartij). Wat ze delen: een diepe scepsis over staatsmacht in de digitale ruimte.

De Piratenpartij zit het verst weg in de groene hoek omdat digitale grondrechten letterlijk in hun DNA zitten, encryptie verdedigen is voor hen geen secundair thema maar het bestaansrecht van de partij.

FvD en BVNL verrassen sommige mensen op deze plek: rechts in het politieke spectrum, maar consequent tégen overheidsdataverzameling. Voor wie alleen naar links/rechts kijkt, een goede herinnering dat privacy-as-grondrecht niet ideologisch links of rechts is, het is een burgerrechten-thema.

Wat opvalt

De rode hoek bevat partijen met veel zetels. De groene hoek bevat partijen met principes maar minder macht. Dat is het ongemakkelijke politieke feit: hoe groter de regeringsverantwoordelijkheid, hoe sneller privacy ondergeschikt wordt gemaakt aan andere doelen.

Het middenveld is waar het echte werk zit. Niet bij de extremen, daar is het beeld helder, maar bij de partijen die zeggen “ja, privacy belangrijk” en intussen elke uitbreiding van bevoegdheden meestemmen. Daar zit de electorale ruimte: kiezers die hun midden-partij vragen om consequent te zijn.

Chatcontrole was een lakmoesproef. De stemming van 25 november 2025 dwong elke partij om kleur te bekennen. Wie tegen stemde verdedigde encryptie. Wie voor stemde, of niet kwam opdagen, was bereid om versleuteling te slopen voor het beloofde land van “veiligheid”. Dat is geen detail; dat is een principekeuze.

Methodologie: hoe deze scores tot stand zijn gekomen

De eerlijkheid gebiedt te zeggen dat de twee assen niet even hard onderbouwd zijn. De privacy-as is gestoeld op concrete bronnen en stemgedrag; de surveillance-as is een interpretatieve synthese. Hieronder per as exact hoe ik tot de getallen ben gekomen.

Privacy-as (horizontaal, 0–10): de harde as

Voor elke partij is de score opgebouwd uit drie componenten, gewogen samengevoegd tot één getal op schaal 0–10.

Component 1: Privacy First programma-score (gewicht: ~50%)

Privacy First publiceert sinds 2017 hun Privacy Kieswijzer: een systematische analyse van Nederlandse verkiezingsprogramma’s op privacy-relevante thema’s. Onder andere:

• versleuteling & encryptie-beleid
• bewaarplicht & dataminimalisatie
• AVG-handhaving & toezicht
• inzet biometrie (gezichtsherkenning, vingerafdrukken)
• digitale identiteit & DigiD
• profilering door overheid (toeslagenaffaire-leerpunten)

Per onderwerp scoren ze partijen op een schaal van programma-formuleringen, van “niet genoemd” (0) tot “actief versterken” (volle punten). Ik heb hun eindoordeel per partij omgezet naar een ruwe schaal 0–10.

Component 2: Chatcontrole-positie (gewicht: ~30%)

Chatcontrole.nl houdt per partij bij wat hun positie is op het Europese chatcontrole-voorstel. Conversie naar punten:

Component 3: Stemming Tweede Kamer 25-11-2025 (gewicht: ~20%)

Op die datum stemde de Kamer over de motie-GL-PvdA die de regering opriep om actief tegen chatcontrole te lobbyen in Brussel. De motie werd aangenomen. Stemgedrag is verifieerbaar via Security.nl en de Tweede Kamer-stemmingsuitslagen. Conversie:

• Vóór de motie: +bonus (versterkt privacy-score)
• Tégen de motie: −straf (verlaagt privacy-score)
• Afwezig zonder reden: lichte −straf

Combinatie tot eindscore:

Privacy-score = 0.50 × Programma-score
              + 0.30 × Chatcontrole-positie
              + 0.20 × Stemgedrag motie 25-11-2025

De wegingen zijn een keuze, niet objectief afgeleid. Ik heb programma’s iets zwaarder laten wegen dan stemgedrag omdat één motie geen jarenlange houding vat. Wie de wegingen anders kiest, krijgt licht andere posities; de clusters (rood / midden / groen) blijven echter robuust onder andere weging.

Surveillance-as (verticaal, 0–10): de zachte as

Hier is geen kant-en-klare bron. Ik heb deze as zelf samengesteld op basis van vijf signalen, allemaal afkomstig uit verkiezingsprogramma’s, stemgedrag in dossiers zoals de Wiv (sleepwet), en publieke uitspraken van fractievoorzitters.

Signaal 1: Uitbreiding politie- en opsporingsbevoegdheden Hoe meer een partij pleit voor verruiming (heimelijke hackbevoegdheden, langere bewaartermijnen, lagere drempels voor inzet), hoe hoger de score.

Signaal 2: Cameratoezicht & gezichtsherkenning Steun voor uitbreiding van cameranetwerken, ANPR (kentekenherkenning), live gezichtsherkenning in openbare ruimte. SGP, VVD en CDA scoren hier hoog; PvdD, Piratenpartij en BIJ1 expliciet laag.

Signaal 3: Datadeling tussen overheidsdiensten Plannen voor “ontschotting” van databases (Belastingdienst, UWV, gemeenten, politie), de Super-SyRI-discussie, de Wet gegevensverwerking samenwerkingsverbanden (WGS). Wie hier voorstander is, krijgt punten op deze as.

Signaal 4: Inlichtingendiensten (AIVD/MIVD) Standpunt over de Wiv 2017 (“sleepwet”), bulkinterceptie, internationale samenwerking met buitenlandse diensten, budget AIVD/MIVD.

Signaal 5: “Law-and-order”-frame in retoriek Niet alleen wat partijen stemmen, maar hoe ze veiligheid framen: als individueel grondrecht (laag), als collectief beschermingsproject met sterke staat (hoog). Dit is het meest subjectieve signaal.

Combinatie:

Geen formule maar een gewogen synthese. Per signaal heb ik een ruwe score gegeven (0–10), en het gemiddelde, met enige weging op de hardere signalen 1–4 boven het zachtere signaal 5, bepaalt de positie op de y-as.

Waarom is dit zachter? Omdat er geen onafhankelijke “Privacy First voor surveillance” bestaat. Ik maak hier zelf het redactionele oordeel. Kritiek welkom, als jij een betere bron hebt voor de surveillance-houding van een specifieke partij, hoor ik dat graag en pas ik het aan.

Specifieke caveats per partij

BVNL* en Fractie Den Haan*, gemarkeerd met een asterisk op de kaart. Beide waren klein en/of kort actief, met weinig hard stemgedrag op digitale grondrechten. Voor BVNL heb ik vooral gekeken naar de libertair-rechtse positie van Wybren van Haga (anti-staatsmacht, anti-corona-maatregelen, anti-datadeling). Voor Fractie Den Haan was er nog minder materiaal, die positie is bewust neutraal/onbepaald.

Volt zit precies op de scheidslijn (5, 5). Programma is sterk pro-privacy, maar de fractie heeft in Den Haag een laag profiel op het thema en focust politiek op Europa. Dat is geen kritiek, gewoon een feitelijke constatering.

GL-PvdA is een samenvoeging. De individuele standpunten van GroenLinks en PvdA verschilden historisch licht (GL iets sterker op privacy); ik gebruik hun gefuseerde positie en het feit dat zíj de winnende anti-chatcontrole-motie indienden.

Wat deze scores níet zijn

• Geen voorspeller voor toekomstig stemgedrag. Coalitievorming, druk vanuit ministeries en internationale verplichtingen verschuiven posities.
• Geen volledige politieke positionering. Een partij die hier hoog scoort op privacy kan op andere thema’s totaal anders zijn, privacy zegt niets over klimaat, migratie of economie.
• Geen objectieve waarheid. Het is een gestructureerd oordeel met expliciete bronnen en wegingen. Andere keuzes geven andere uitkomsten. Daarom staan de bronnen erbij, en daarom is dit artikel ook een uitnodiging tot weerwoord.

Bronnen

• Privacy First, Privacy Kieswijzer (programma-analyse 2023) · privacyfirst.nl/artikelen/privacy-kieswijzer
• Chatcontrole.nl, Stemwijzer TK2025 · chatcontrole.nl
• Tweede Kamer / Security.nl, stemming chatcontrole-motie GL-PvdA, 25-11-2025 · security.nl

Tot slot

Privacy gaat ons allemaal aan. Toch komt het thema zelden ter sprake bij verkiezingsdebatten, terwijl de keuzes die in Den Haag en Brussel worden gemaakt jouw dagelijks leven raken: van wie er meekijkt in je berichten, tot welke instanties je gegevens onderling delen, tot of je encryptie überhaupt nog een grondrecht is.

Privacy is geen luxe. Het is een grondrecht. 🇳🇱

Welke partij verraste jou, positief of negatief? Vind je een score onterecht streng of mild ingeschaald? Mis je een belangrijk moment? Laat het weten. Hoe meer ogen op deze kaart, hoe scherper het beeld wordt.

En deel dit gerust met iemand die zegt “ik heb toch niks te verbergen”. Dat argument is in 2026 geen luxepositie meer; het is een instelling die anderen hun keuze ontneemt.

Versie 2 · 20 partijen & fracties · Tweede Kamer 2021–2026. Reposten mag, krediet aan de bronnen blijft staan.

Op woensdag 20 mei 2026, tussen 15:00 en 18:00 uur, houdt de vaste commissie voor Digitale Zaken van de Tweede Kamer een rondetafelgesprek over cyberveiligheid en informatiebeveiliging. Het gesprek vindt plaats in de Troelstrazaal en is via Debat Direct te volgen.

In het eerste blok, getiteld “Experts”, zat tot voor kort een vaste lijst toezichthouders en sectorvertegenwoordigers. Toen verscheen er een tweede herziene convocatie. Reden: “toevoeging spreker aan blok 1”. De toegevoegde spreker is Johan van Streun, Vice President Solution Engineering, Public Sector bij Salesforce.

Drie maanden eerder lekten via de Salesforce-omgeving van Odido de persoonsgegevens van 6,2 miljoen Nederlanders.

Dit artikel reconstrueert de feiten en formuleert de vragen die niet aan Salesforce gesteld zouden moeten worden, maar aan de commissie die Salesforce uitnodigde.

Wat er morgen gebeurt

De rondetafelbijeenkomst is opgedeeld in drie blokken:

Blok 1, Experts (15:00–16:00): Cyberveilig Nederland (Liesbeth Holterman), Digitale Dolle Mina’s (Chantal Stekelenburg), Z-CERT (Wim Hafkamp). En, in tweede herziene convocatie toegevoegd: Salesforce (Johan van Streun).

Blok 2, Casussen (16:00–17:00): Bevolkingsonderzoek Nederland (Elza den Hertog) en GGD GHOR Nederland (Fred Hoekstra). Twee organisaties uit de zorgketen die recent met grote cyberincidenten te maken hadden of risico lopen.

Blok 3, Toezicht en handhaving (17:00–18:00): Autoriteit Persoonsgegevens (Aleid Wolfsen), Nationaal Cyber Security Centrum (Matthijs van Amelsfort), Inspectie Gezondheidszorg en Jeugd (Janet Helder).

Twee dingen vallen op aan de samenstelling.

Het eerste is dat één commerciële leverancier in blok 1 zit naast publieke en non-profit experts, in plaats van in een apart casus-blok zoals Odido of KLM zouden krijgen. Het tweede is dat deze leverancier in tweede herziene convocatie is toegevoegd, dat wil zeggen: na de eerste convocatie, en na een eerste herziening. Wie het verzoek heeft gedaan om Salesforce als spreker toe te voegen, is uit de openbare documenten van de Kamer niet af te leiden.

Wat er drie maanden geleden gebeurde

In de eerste week van februari 2026 ontdekte Odido (voorheen T-Mobile) dat aanvallers hadden ingebroken in de Salesforce-omgeving die het bedrijf gebruikt voor klantregistraties. De aanval bleek tweetraps:

1. Klantenservicemedewerkers, waarschijnlijk werkzaam bij externe callcenters, kregen phishingmails. Wie op de link klikte en inlogde, gaf zijn of haar inloggegevens af.
2. Vervolgens belden de aanvallers diezelfde medewerkers. Ze deden zich voor als de ICT-afdeling van Odido en vroegen om de inlogpoging via tweefactorauthenticatie goed te keuren. Bij meerdere medewerkers werkte dat.

Eenmaal binnen koppelden de aanvallers een malafide “connected app” aan de Salesforce-omgeving, een digitale uitbreiding waarmee zij rechtstreeks toegang kregen tot de database. Met geautomatiseerde data­scrapers haalden zij vervolgens zoveel mogelijk klantgegevens binnen voordat verdachte activiteit werd opgemerkt.

De buit: persoonsgegevens van 6,2 miljoen huidige en voormalige Odido-klanten, inclusief klanten van dochterbedrijf Ben. Adressen, telefoonnummers, geboortedata, bankrekeningnummers. De hackersgroep Shinyhunters claimde de aanval en is later begonnen met het publiceren van de gestolen data, in delen, als drukmiddel om losgeld af te dwingen. Odido weigerde te betalen.

Uit eerder onderzoek dat ik publiceerde bleek dat de gelekte dataset niet alleen actuele klanten betrof, maar 17 miljoen dataregels omvatte, met records die tot 16 jaar oud waren. Tussen die records bevonden zich gegevens van 38 ministers, 5,5 miljoen burgers die formeel geen klant meer waren, en kwetsbare doelgroepen die volgens de bewaartermijn al lang verwijderd hadden moeten zijn. Zie ook mijn wetsvoorstel 2026Z04148 dat dit type onnodige private opslag wettelijk moet verbieden.

Salesforce waarschuwde meermaals voor exact deze methode

Dit is het deel dat morgen niet onbesproken kan blijven. Het patroon is namelijk niet nieuw, en Salesforce wist dat.

• Oktober 2025: Salesforce publiceert een officiële security-update over een opkomende campagne waarbij aanvallers, later geïdentificeerd als Shinyhunters, via phishingsites en telefonische manipulatie inloggegevens en MFA-codes proberen te stelen, met als doel toegang tot Salesforce-omgevingen.
• Najaar 2025: Beveiligingsbedrijf Mandiant (onderdeel van Google) en de FBI brengen vergelijkbare waarschuwingen uit. Meerdere grote Salesforce-klanten worden slachtoffer: KLM-Air France, Google, Palo Alto, allemaal via dezelfde methode.
• 30 januari 2026: Salesforce waarschuwt opnieuw, expliciet, voor een nieuwe golf van social engineering-aanvallen tegen Salesforce-omgevingen, waarbij aanvallers gebruikers verleiden om malafide apps toe te staan.
• Begin februari 2026: De Odido-hack vindt plaats. Op of kort voor 6 februari.

Tussen de laatste waarschuwing en de hack zat dus minder dan een week.

Salesforce zelf is in zijn publieke reactie consistent: “Deze gevallen hebben niets te maken met een inherent probleem in Salesforce. Deze aanvallen maken gebruik van social engineering en misleidende authenticatie­prompts.” Het platform zelf zou niet lek zijn; de zwakke plek zou liggen in de inrichting en het beheer door de klant.

Technisch klopt dat. Maar het is ook precies hier dat het verhaal ongemakkelijk wordt voor de Kamer-tafel waar deze leverancier morgen als expert zit.

Waarom “geen lek in onze software” niet genoeg is

Als één klant via social engineering wordt overrompeld, is dat een incident. Als KLM, Google, Palo Alto én Odido in nagenoeg dezelfde periode op dezelfde manier worden gepenetreerd via Salesforce-omgevingen, is dat geen serie incidenten meer. Dat is een structureel kenmerk van de wijze waarop het platform standaard wordt geleverd en geconfigureerd.

Concreet zijn er drie ontwerp- en governance­keuzes die Salesforce zelf maakt:

1. Wie mag een “connected app” toevoegen. In de Odido-zaak konden gewone klantenservicemedewerkers een externe applicatie koppelen aan de productie­database. In een veilig ingerichte omgeving zou dat alleen een beheerder mogen doen, na expliciete goedkeuring. Salesforce levert die strengere instelling niet als standaard.
2. Het rechtenmodel. Klantenservicemedewerkers met productie­toegang tot alle 6,2 miljoen records (niet alleen die van de klant aan de lijn) is een rechten­structuur die door de leverancier wordt aangereikt, geconfigureerd en (in veel implementaties) onderhouden.
3. Detectie van afwijkend gedrag. Een geautomatiseerde datascraper die in korte tijd miljoenen records ophaalt, is statistisch evident afwijkend gedrag. Dat dat detectiemechanisme niet automatisch is geactiveerd of niet effectief alert geeft, is een eigenschap van het platform, niet uitsluitend van de klant.

Met andere woorden: de stelling “de klant heeft het verkeerd ingericht” is alleen een verdedigbare positie als de leverancier aantoonbaar maximaal heeft geprobeerd te voorkomen dat klanten het verkeerd inrichten. Waarschuwen via een blogpost is dat niet. Niet als hetzelfde aanvalspatroon zich binnen één kalenderjaar bij vier grote klanten herhaalt.

De wet die morgen niet zonder Salesforce besproken wordt

Het is in deze context dat het rondetafelgesprek van morgen plaatsvindt. De Tweede Kamer heeft op 15 april 2026 de Cyberbeveiligingswet (Cbw) aangenomen, de Nederlandse implementatie van de Europese NIS2-richtlijn. De wet ligt nu bij de Eerste Kamer en de verwachte inwerkingtreding is 1 juli 2026. Parallel werkt het kabinet aan het Cyberbeveiligingsbesluit en aan ministeriële regelingen waarin de zorgplicht, de meldplicht en (relevant hier) de omgang met leveranciers verder wordt uitgewerkt.

De rondetafel van 20 mei valt precies in dat venster tussen wetsbehandeling en inwerkingtreding. Wat hier gezegd wordt over wat “werkt” in cyberveiligheid, kleurt mee in:

• De interpretatie en handhaving van de Cbw-zorgplicht;
• De definitieve teksten van de algemene maatregelen van bestuur;
• De manier waarop de toezichthouders (AP, NCSC, sectortoezichthouders) hun rol invullen;
• Het aankomende beleidsdebat over leveranciersaansprakelijkheid, een onderwerp dat in NIS2 nog grotendeels onontgonnen is en waar de Kamer in een volgende ronde aanvullende wetgeving zal moeten overwegen.

Salesforce zit precies op die uitlooppositie. Niet om uitgevraagd te worden over een lek, maar om, vanuit het label “Expert”, mee te vormen wat de Kamer onder een effectieve cyberveiligheidsaanpak verstaat.

De Autoriteit Persoonsgegevens zegt het zelf

In de position paper die de Autoriteit Persoonsgegevens op 13 mei 2026 ten behoeve van dit rondetafelgesprek heeft ingediend (kenmerk 2026Z09729), schrijft de toezichthouder dat bedrijven, overheden en ICT-leveranciers hun basisbeveiliging onvoldoende op orde hebben en dat de capaciteit voor toezicht ernstig tekortschiet. Volgens de AP werden in 2025 ruim 44.000 datalekken gemeld, tegenover circa 38.000 een jaar eerder.

Eén van de partijen die de AP daar (impliciet maar onmiskenbaar) in adresseert is een ICT-leverancier wiens omgeving in 2025–2026 het aanvalsoppervlak vormde voor minimaal vier grote datalekken. Dezelfde leverancier zit morgen, één blok eerder dan de AP, aan diezelfde tafel.

De vragen, niet aan Salesforce maar aan de commissie

Salesforce zal morgen vrijwel zeker drie dingen zeggen, in deze volgorde: “Onze software zelf was niet lek.” “Wij hebben de markt herhaaldelijk gewaarschuwd.” “Zero Trust is de oplossing voor dit type aanval.” Daar is op alle drie iets op af te dingen, en de andere experts aan tafel (Cyberveilig Nederland, Digitale Dolle Mina’s, Z-CERT) zijn ruimschoots in staat dat te doen.

De vragen die ontbreken, en die alleen door de commissie zelf gesteld kunnen worden, zijn:

Het zijn vragen die feitelijk te beantwoorden zijn. Antwoorden waarop de Kamer recht heeft, en het publiek met haar.

Wat dit zegt over de wetgevende keten

Het is gemakkelijk om dit weg te zetten als één rondetafelgesprek met één discutabele uitnodiging. Het is interessanter om het patroon te zien.

In het wetgevingsproces rond complexe digitale onderwerpen heeft het Nederlandse parlement zich de afgelopen jaren in toenemende mate laten informeren door partijen met directe commerciële belangen in de uitkomst. Bij DigiD/Solvinity, bij de Belastingdienst-Adobe-keten, bij de NU.nl/NOS-coalitie van adverteerders die “transparantie” definieert, en nu bij de Cyberbeveiligingswet. De woorden zijn telkens dezelfde: expertise, publiek-privaat partnership, toegevoegde waarde. De ongemakkelijke implicatie is dat de Kamer steeds vaker een markt­partij vraagt om de spelregels te helpen ontwerpen van het spel waarin diezelfde markt­partij meespeelt.

In andere sectoren noemen we dat regulatory capture en proberen we het juist te voorkomen. In de digitale sector lijken we het structureel als kennisbron te organiseren.

Het rondetafelgesprek van 20 mei is daarmee niet vreemd, het is exemplarisch.

Methode en bronnen

Dit artikel is gebaseerd op:

• De officiële convocatie van de Tweede Kamer voor het rondetafelgesprek (activiteit 2026A02097), inclusief de tweede herziene convocatie waarin Salesforce als spreker is toegevoegd.
• De LinkedIn-aankondiging van Bart Schellekens (Privacy & Responsible Tech), die als eerste de definitieve samenstelling van het rondetafelgesprek publiceerde.
• De position paper van de Autoriteit Persoonsgegevens (kenmerk 2026Z09729) van 13 mei 2026.
• Berichtgeving over het Odido-datalek door NOS, Security.NL, Tweakers, Nederland Digitaal, ICTMagazine.nl en Klantcontact.nl tussen 12 februari en 3 maart 2026.
• De publieke security-updates van Salesforce uit oktober 2025 en 30 januari 2026.
• De wetsstukken en parlementaire dossiers rond de Cyberbeveiligingswet en de NIS2-richtlijn, beschikbaar via tweedekamer.nl en de NCTV.
• Mijn eigen voorgaande publicaties over het Odido-datalek (forensische analyse, 17 miljoen dataregels, 38 ministers in dataset) en het bijbehorende wetsvoorstel 2026Z04148.

De primaire bronnen zijn op verzoek beschikbaar. Voor vragen, correcties of aanvullingen, ook van Salesforce of de commissie Digitale Zaken, gebruik het contactformulier.

Update zal volgen na het rondetafelgesprek van 20 mei. De position papers en het verslag zullen dan publiek beschikbaar zijn op tweedekamer.nl onder activiteit 2026A02097.

Op wie heb jij gestemd? En heb je daarmee ook op privacy gestemd?

Dat zijn niet altijd dezelfde keuzes. Op 18 mei 2026 heb ik zestien Nederlandse politieke-partijwebsites gemeten met dezelfde forensische methode die ik eerder toepaste op nieuwssites, ziekenhuizen, advocaten en hulpverleningsorganisaties. Drie scans per site: één zonder klik op de cookiebanner, één na alles weigeren, één na alles toestaan. Eén extra HAR-capture per site die de echte gebruikersflow nabootst, scrollen, klikken, formulieren openen. Wat overblijft is een meting die niemand op mijn woord hoeft aan te nemen: de raw scan-data en HAR-bestanden zijn beschikbaar, de scoring-logica is open-source, de drempels staan in code.

De uitkomst valt grofweg in drie groepen. Eén partij haalt de hoogste score in de gehele Nationale Privacy Index van 177 organisaties. Eén partij eindigt onderaan. Daartussen zit een grijs midden, en twee partijen die hun tracking-infrastructuur op eigen subdomeinen draaien, wat de adresbalk geruststellender maakt dan de werkelijkheid.

Vier verhalen springen eruit.

1. DENK: vijf sterren, met een caveat

DENK is de enige partij die vijf sterren scoort. Sterker: DENK is op de hele Nationale Privacy Index van 177 Nederlandse organisaties de enige vijf-sterren-meting tot nu toe.

Dat is geen vanzelfsprekendheid. Twee weken eerder, op 10 mei, droeg denk.nl (die doorverwijst naar www.bewegingdenk.nl) nog een Hotjar-installatie. Hotjar is een session-replay tool: het neemt muisbewegingen, scrollen en in veel gevallen formulier-input op, en speelt die af voor analyse-doeleinden. Voor een bezoeker van een politieke partij die iets typt en weer wist, is dat een direct privacy-relevant ingrediënt.

Tussen 10 en 17 mei stond Hotjar in elke meting nog actief, onder accept-modus laadde static.hotjar.com en script.hotjar.com mee. Op 18 mei niet meer. In geen enkele consent-conditie (noop, refuse, accept). Ook niet in een aanvullende headed-stealth meting met realistische gebruikersinteractie: cold visit, scroll, menu-hover, navigatie naar /contact/ en /vacatures-stages/, formulier-focus, idle-fase met geforceerde mouse-events. In 257 HAR-entries: nul requests naar Hotjar, nul WebSocket-verbindingen, nul Beacon-API-aanroepen, nul third-party POSTs.

Tegelijk is er een caveat die hier hoort. De Hotjar-snippet zelf, met hjid: 2154737, staat nog steeds in de HTML van homepage, /contact/ en /vacatures-stages/. Het script wordt geblokkeerd door de GDPR-Cookie-Consent-plugin via twee mechanismen: het type="text/plain"-attribuut voorkomt browser-uitvoering, en data-cli-block="true" houdt de plugin het script geblokkeerd onder de geteste consent-condities. Het werkt, geen Hotjar-uitstuur, maar de aanwezigheid van de snippet betekent dat een plugin-update of een misclassificatie de blokkade kan ongedaan maken.

Het verschil tussen 10 mei en 18 mei is dus echt. Tegenspraak werkt. De vijf sterren gelden zolang de blokkade-configuratie staat. De aanbeveling, die ik aan DENK heb gemeld, is om de snippet uit de HTML te halen, niet alleen te blokkeren. Een tracker die er niet meer is, kan ook niet per ongeluk weer aanstaan.

De volledige verificatie staat in DENK_5STAR_VERIFICATIE.md, met HAR-bestand (22 MB) en netwerk-log als bewijsstukken.

2. PVV: vier sterren door de achterdeur

PVV op vier sterren. Onder de partij die het minst om internationale samenwerking vraagt, blijken ook de minste internationale dataverbindingen te bestaan. Geen trackers, geen externe domeinen, geen analytics. Een Joomla-sessiecookie, een lokaal-gehoste consent-plugin. Dat is het.

Toch geen vijf sterren. Reden: één van de zes sub-categorieën meet transport-beveiliging en HTTP-headers (HSTS, CSP, Referrer-Policy, cookie-flags). PVV heeft geen HSTS, geen CSP, en de sessiecookie staat zonder Secure-vlag. Dat trekt de gemiddelde score terug. De partij verzamelt geen data, maar beveiligt de minimale data die zij wél verwerken niet stevig genoeg om de top-score te halen.

Onverwacht voor een lezer die alleen op ideologie afgaat: deze meting bekijkt geen partijprogramma. Een privacy-meting kijkt naar wat een server feitelijk doet, wie er resources van ophaalt, welke cookies er worden gezet, wat er na een refuse-klik nog laadt. Niet naar wat partijleden over privacy zeggen of vinden. PVV zit op vier sterren omdat hun website technisch geen tracking heeft, niet omdat hun publieke standpunten over digitale rechten daarop wijzen.

3. Partij voor de Dieren: tracking onder eigen merknaam, infrastructuur in de VS

Partij voor de Dieren staat op twee sterren met het keurmerk Privacy Lek. Twee bevindingen vormen samen het verhaal.

De eerste: https://analytics.partijvoordedieren.nl/piwik.js laadt zodra een bezoeker de homepage opent. Vóór consent. De naam suggereert eigen infrastructuur, analytics.partijvoordedieren.nl is technisch een subdomein van de partij, en dus first-party in de adresbalk en first-party voor browsers die third-party-cookies blokkeren. Functioneel is het een Piwik/Matomo-tracker.

De tweede bevinding is wat het verhaal kantelt. De DNS-resolutie van dat subdomein wijst naar 52.174.88.89. Een whois-lookup brengt het toe aan Microsoft Corporation, AS8075, NetName MSFT. Het is een Microsoft Azure-IP-adres, gelokaliseerd in de Verenigde Staten.

Voor een bezoeker is dat onzichtbaar. Voor het AVG- en het Cloud Act-regime is het beslissend. Microsoft kan onder de Amerikaanse Cloud Act en FISA-702 worden verplicht om data af te staan aan Amerikaanse autoriteiten, ongeacht waar de data fysiek is opgeslagen, en zonder dat de Europese betrokkene of de Nederlandse organisatie daarvan op de hoogte hoeft te zijn. De “eigen analytics” van een Nederlandse politieke partij draait op infrastructuur die onder Amerikaans recht valt.

Dit is geen geïsoleerde casus. Het is het derde voorbeeld in een korte reeks dossiers op deze site die hetzelfde patroon laten zien: de Belastingdienst die Adobe-trackers inzet, de Mijn Toeslagen-app die naar een Azure-backend in de VS communiceert, en nu een politieke partij die haar bezoekersanalyse via dezelfde jurisdictie laat lopen. Het hoofddossier Het Nederlandse privacy-stelsel plaatst dit in de bredere context.

Daarnaast verzendt de site drie POST-requests met body-data naar sentry.yournext.agency. Sentry is een fouten-rapportagedienst die in principe persoonsgegevens kan bevatten (URL-paden, IP, user-agent, gebruikersacties als breadcrumbs). DNS-controle laat zien: deze host staat op Hetzner Duitsland, EU-jurisdictie, geen Cloud Act-issue. Wel een verwerker die in de privacyverklaring benoemd hoort te zijn.

De eerste bevinding wordt in de meet-methodiek geclassificeerd als KRITIEK (een tracker vóór consent op een eigen subdomein is normatief altijd een 2★-floor), de tweede als ERNSTIG. Daarmee komt PvdD op twee sterren.

4. NSC: geen meetbare site

nsc.nu doet sinds ten minste 16 mei 2026 een HTTP 302-redirect naar https://nordby.se, een Zweeds winkelcentrum. Bij elke meting (16, 17, 18 mei) was het patroon hetzelfde:

$ curl -sI https://nsc.nu/
HTTP/1.1 302 Moved Temporarily
Location: https://nordby.se

De scanner volgt de redirect en meet daar wat er gebeurt. Het resultaat, 78 first-party requests naar nordby.se, een Facebook Pixel met domain=nordby.se, Google Tag Manager, GA4, DoubleClick, is daardoor het gedrag van een Zweeds winkelcentrum, niet van Nieuw Sociaal Contract. Er bestaat op moment van publicatie geen NSC-meting die toerekenbaar is aan de partij zelf. nieuwsociaalcontract.nl blijkt een lege placeholder-pagina (zwart scherm, geen content).

In de Nationale Privacy Index staat bij NSC daarom een methodologische opmerking: geen meting beschikbaar zolang het officiële domein onbekend is. De partij is om opheldering gevraagd; bij identificatie van een feitelijk domein volgt een aparte meting.

Dit is in de eerste plaats geen privacy-feit maar een bestuurlijk feit. Een politieke partij waarvan het meest-getypte domeinnaam-adres ergens anders heen wijst, en die geen evident actieve eigen website-aanwezigheid heeft op het tweede voor de hand liggende adres, heeft een communicatie-probleem dat boven de scope van een privacy-meting uitstijgt.

Wat veranderde tussen 13 en 18 mei

Drie dingen.

Een. De scoring-logica is bijgesteld. Een KRITIEK-bevinding (een tracker vóór consent, een harde Telecommunicatiewet-overtreding) capt de eindscore nu hard op twee sterren, ongeacht hoe de andere sub-categorieën uitvallen. Eerder was die cap er niet, met het gevolg dat 51 sites met een KRITIEK-bevinding desondanks op drie sterren stonden. Onder die 51 zaten ook Partij voor de Dieren en SGP. De cap-fix staat in code op tools/build_ranking_hackedemia.py:1740-1748 en raakt naast de twee partijen ook 49 andere organisaties, advocaten, hulpverlening, energie, media, retail, ziekenhuizen, zorg-IT. De partij-update is een onderdeel van een bredere correctie, niet een op zichzelf staande aanval op specifieke partijen.

Twee. DENK ging omhoog na een melding. De Hotjar-installatie die op 10 en 17 mei nog actief was, was op 18 mei verdwenen, naar aanleiding van een melding over de bevinding. Die ene casus is reden om deze methode überhaupt te doen: meting → tegenspraak → correctie → reproduceerbare verificatie. Niet alle organisaties reageren zo. 113 Zelfmoordpreventie deed het eerder ook (dossier hier). DENK is een tweede voorbeeld dat dit type respons feitelijk mogelijk is.

Drie. NSC bleek geen meting te ondersteunen. De oorspronkelijke meting op 16 mei werd toen toegerekend aan NSC; bij nadere DNS-controle op 18 mei bleek de redirect-keten. De Index is gecorrigeerd met een methodologische opmerking; de mailcorrespondentie met NSC is geherformuleerd tot een verzoek om opheldering, niet een beschuldiging.

Vijf partijen op twee sterren: drie patronen

De vijf partijen die op twee sterren staan, doen niet allemaal hetzelfde. Drie patronen:

Refuse-bypass, D66, ChristenUnie, NSC. De “alles weigeren”-knop op de cookiebanner laadt de tracker-set niet daadwerkelijk uit. Bij D66 blijven na een weiger-klik zeven trackers (YouTube-resources, Google) actief; bij ChristenUnie blijft Google Tag Manager en GA4 lopen; bij NSC (in de meting van de redirect-doelsite) springt het cookie-aantal van nul naar zeven na klik op weigeren. Onder de Telecommunicatiewet artikel 11.7a en AVG artikel 7(3) moet toestemming net zo eenvoudig in te trekken zijn als te geven. Een knop die de trackers niet stopt voldoet daar niet aan.

First-party hosted tracking, Partij voor de Dieren, SGP. Tracking-scripts worden geserveerd vanaf een eigen subdomein. Bij PvdD: analytics.partijvoordedieren.nl (Piwik). Bij SGP: ywt.sgp.nl (Google Analytics 4 en Google Tag Manager). DNS-controle bij SGP: ywt.sgp.nl resolved naar 31.14.97.74, een TransIP NL-IP, dus géén CNAME naar Google, maar een eigen reverse-proxy op Nederlandse infrastructuur die Google-scripts doorserveert onder de sgp.nl-domeinnaam. Of er via die proxy onderliggend third-party tracking-verkeer naar Google stroomt is technisch mogelijk, maar uit DNS alleen niet aan te tonen, dat zou een diepere meting vragen. Wat wel vaststaat: een tracker-script wordt vóór consent geladen en is voor browsers/blockers niet als zodanig herkenbaar omdat het van het eigen domein komt. Onder AVG artikel 5(1)(a), transparantie, is dat de relevante bevinding.

CDA staat op één ster, om een andere reden. Niet door de cap-fix, niet door een specifieke KRITIEK-bevinding, maar door optelsom: negen externe hosts (CookieYes-CMP, Google Tag Manager, fonts, ReadSpeaker, een Cloudflare-distributiehost), fingerprinting-API’s in scripts, en third-party POST-requests met body. De score is een gemiddelde van zes sub-categorieën; bij CDA staan meerdere sub-scores laag tegelijk.

JA21 op twee sterren, geen cookiebanner. Bij JA21 mat de scanner één KRITIEK, zeven ERNSTIG en twee LET OP-bevindingen. Specifiek opvallend: er werd geen cookiebanner gedetecteerd, terwijl er wel tracking-cookies werden gezet voordat een bezoeker enige interactie kon hebben. Dat is direct in strijd met de Telecommunicatiewet artikel 11.7a.

Juridisch kader

Drie wettelijke kaders zijn hier relevant.

Telecommunicatiewet artikel 11.7a. Cookies en vergelijkbare technieken die geen “strikt noodzakelijke” functie vervullen mogen pas worden geplaatst nadat de gebruiker daarover is geïnformeerd en daarvoor toestemming heeft gegeven. Een knop om die toestemming te weigeren moet werken. Op de gemeten partijwebsites is aan ten minste één van deze voorwaarden niet voldaan bij ChristenUnie, D66, JA21, NSC-meting (op de redirect-doelsite), SGP, Partij voor de Dieren, CDA en VVD.

AVG artikel 5(1)(a), transparantie. Persoonsgegevens moeten “rechtmatig, behoorlijk en transparant” worden verwerkt. First-party-hosting van extern-tracker-software op een eigen subdomein zonder dat in de privacyverklaring de feitelijke verwerker (Google, Matomo, Sentry, Microsoft) wordt benoemd, schuurt met de transparantie-eis. PvdD en SGP raken deze norm.

Cloud Act en FISA-702 (VS-recht, met EU-doorwerking). Persoonsgegevens die bij een Amerikaanse cloud-provider terechtkomen kunnen onder Amerikaans recht worden gevorderd, ongeacht waar het datacenter staat. Het Schrems II-arrest van het Hof van Justitie EU (2020) beperkt overdracht naar zulke jurisdicties scherp. Bij PvdD’s analytics.partijvoordedieren.nl (Microsoft Azure US) raakt deze norm direct. Het hoofddossier Het Nederlandse privacy-stelsel plaatst deze categorie in een breder verband.

Dit is geen juridisch advies. Het is een aanduiding van de normen waar de bevindingen tegenaan staan; een Autoriteit Persoonsgegevens-melding of een advocatenbrief zou de feiten zelfstandig moeten beoordelen.

Methodiek en reproduceerbaarheid

De zestien sites zijn gescand op 18 mei 2026 met BeforeYouMick versie 3.8, een eigen, open-source meetinstrument. Per site drie modes (noop, refuse, accept), één HAR-capture-fase met realistische gebruikersinteractie, plus content-analyse van gedownloade tracker-bestanden. Stealth-modus aan (anti-bot-detectie), browser headed waar nodig.

De raw scan-data per partij staat in runs/2026-05-18_politieke-partijen_v3.8/, per partij een JSON-bestand, een markdown-rapport en een HAR-bestand. De DENK-verificatie heeft een eigen aanvullende headed-stealth meting met HAR-bestand (22 MB) en netwerk-log; volledig beschreven in DENK_5STAR_VERIFICATIE.md.

De scoring-logica, sub-stars per categorie, KRITIEK/ERNSTIG/HOOG-caps, sterren-aggregatie, staat in tools/build_ranking_hackedemia.py. De audit-controle die de samenhang van meting, sub-scores, eindscore en gerenderde HTML verifieert staat in tools/audit_ranking.py en draait clean (0 issues, 177 sites) op de huidige Index-versie.

Iemand die deze meting wil reproduceren kan dat. De drempels staan in code, de scans zijn opgeslagen, de HARs zijn vastgelegd. Wie bij een partij een andere uitkomst meet, is uitgenodigd om dat met methode en data te onderbouwen, dat is hoe deze meting blijvend correct kan worden gemaakt.

Op wie heb je gestemd?

Een privacy-meting beoordeelt niet welk programma het beste is, welke fractie het meest representatief is, of welke ideologie het overtuigendst spreekt. Dat is jouw werk.

Een privacy-meting beoordeelt wel hoe de digitale infrastructuur van een partij zich gedraagt tegenover een bezoeker die nog niets gezegd heeft. Vóór de klik op “akkoord”, vóór de keuze om iets in te tikken. Of de partij vóór jouw consent al een tracker laadt. Of er een knop is waarmee je dat kunt stoppen. Of die knop werkt. Of de “eigen” infrastructuur ergens anders staat dan de naam doet vermoeden.

Dat is wat dit onderzoek meet. Niet wat ze zeggen. Wat ze doen.

Op wie heb jij gestemd? En had je dezelfde partij gekozen als je dit had geweten?

De volledige zestien-partij-meting met per-partij forensische analyse staat op mickbeer.com/nationale-privacy-index/ (klik op een partij voor het case-file). Het bredere verband, waarom Nederlandse organisaties zo systematisch op US-cloud-infrastructuur uitkomen, en wat dat betekent voor digitale soevereiniteit, staat in het hoofddossier Het Nederlandse privacy-stelsel.

Vragen, tegenspraak, of een interview-aanvraag: via mickbeer.com/contact/. De vijf partijen die in deze meting van drie naar twee sterren zakken zijn vooraf gemaild over de specifieke bevindingen, met een 48-uurs venster voor feitelijke reactie of aankondiging van een fix; reacties worden bij ontvangst in deze publicatie verwerkt.

Tussen de cookie-banners die alleen bestaan om de wet te ontwijken en marketingbureaus die elke meting opdrijven, zit een groep die het anders kiest. Niet uit verplichting, maar omdat het ergens schuurt. Ik sprak met Jesse van Heijningen van codebyjesse.com, zelfstandig privacy-first webbouwer, die om die reden de overstap maakte naar privacy-first analytics, en die het opvallend genoeg niet als verlies ervaart. Hoe ziet de overgang eruit aan de bouwkant, en wat zegt het over hoe Nederlandse organisaties hun digitale ethiek vormgeven?

Hij begon, zegt hij, eerder uit gemak met Google Analytics dan uit overtuiging. “Dit was meer uit gemak dan dat ik hier bewust mee bezig was. Met de bouw van mijn nieuwe website ben ik me gaan oriënteren op alternatieven, en zo op verschillende open-source, privacy-first tools gekomen.” Hij koos voor Plausible Analytics, een open-source platform dat geanonimiseerd meet zonder cookies of tracking-banner.

Niet juridisch, maar moreel

De wetgeving is een onderdeel, zegt hij, maar het draait om iets anders. “Ik vind mijn eigen integriteit erg belangrijk. Aangezien ik mijn eigen privacy waardeer vind ik dat ik die van mijn websitebezoekers ook moet respecteren. Als ik hier zelf in mee zou gaan, ben ik hypocriet.”

In de praktijk blijft het juridische risico nog wel het sterkste verkoopargument richting klanten. “Zeker om op zijn minst fatsoenlijke cookiebanners af te dwingen.” Maar in zijn eigen werk gaat de keuze dieper. De ondertoon in zijn verhaal is dat invasieve tracking wordt gemaakt onder vlaggen die het niet zijn: gemak, marketingdruk, “iedereen doet het”.

De marketing-partij als drijvende kracht

Wie blind aan de slag gaat met tracking is meestal niet de webbouwer, maar het marketingbureau dat ernaast loopt. “Vaak is dit een vereiste vanuit een marketingbureau. Ik denk dat veel marketingbureaus, for the sake of marketing, het privacyaspect snel uit het oog verliezen.”

En daaronder zit nog een laag die hij scherp benoemt: salesbureaus die de onwetendheid van klanten uitbuiten. “Bureaus die zogenaamde foutmeldingen rondslingeren om de lead maar bang te maken, of een nieuwe website aansmeren na X aantal jaar onder de noemer van een of andere foutmelding.”

Dat schept een keten waarin niemand zich verantwoordelijk voelt. De developer voert uit, de marketeer rapporteert op resultaat, de directie ziet alleen het rapport. Wie kijkt er dan nog naar wat er gebeurt aan de bezoekerskant?

Verantwoordelijkheid ligt bovenaan

Daar is hij stellig over: de eindbeslissing ligt bij de bestuurder. “De koers en de morele standaard van het bedrijf worden aan de top bepaald. Een developer kan wel adviseren, maar kan niet de strategische beslissing nemen om bijvoorbeeld omzet uit gerichte advertenties op te geven voor een betere privacystandaard. Dat is een directiebesluit.”

Wat hij wilt dat bestuurders zich realiseren: “Dat ‘gratis’ tools van big tech altijd een prijs hebben. Je betaalt met de data van je klanten en de autonomie over je eigen platform. Je bent in feite je eigen achtertuin aan het verhuren aan een partij die er vervolgens dingen mee doet die jij niet kunt controleren.”

Privacy als merkbeleving, niet als checklist

De grootste blinde vlek bij bestuurders zit volgens hem in het frame. “Het idee dat privacy een ‘IT-probleem’ of een ‘juridisch vinkje’ is. Ze beseffen niet dat het een essentieel onderdeel is van je merkbeleving en klantvertrouwen. Als je op je website al respectloos met de privacy van je bezoeker omgaat, wat zegt dat dan over de rest van je dienstverlening?”

Of zoals hij het samenvat in één zin: “Behandel de digitale data van je bezoeker met evenveel respect als wanneer ze fysiek bij je op kantoor op bezoek komen.”

“Iedereen doet het” als gevaarlijkste argument

Het meest verraderlijke argument om aan de oude manier vast te houden is volgens hem niet juridisch of technisch, maar sociaal. “‘Iedereen doet het, dus we kunnen niet achterblijven.’ Dit zorgt voor een neerwaartse spiraal waarin niemand de verantwoordelijkheid neemt om het beter te doen, terwijl er juist een enorme kans ligt om je als integere partij te onderscheiden.”

Dat onderscheid is ook commercieel relevant, denkt hij. Niet als marketingtruc, maar als langetermijn-positie. “Communiceren naar je klanten dat je hun privacy respecteert levert op de lange termijn veel meer op dan ongevraagd retargetingcampagnes draaien.”

De praktische stap

Het mooie aan zijn advies is dat het geen ingrijpende verbouwing vraagt. “Installeer naast je huidige analytics eens een privacyvriendelijke tool zoals Plausible of PostHog. Vergelijk de data na een maand en kijk of je die gedetailleerde tracking echt mist voor je dagelijkse beslissingen.”

Een test in de echte wereld, met je eigen verkeer en je eigen vragen. Geen ideologisch betoog vooraf, geen consultancybudget, gewoon kijken wat je werkelijk nodig hebt.

Hij sluit af met een zin die niet als marketing klinkt, maar als een persoonlijke standaard:

Echte integriteit online betekent dat je stopt met het verzamelen van data die je zelf ook niet zou willen afstaan.

Dit is het koepel-rapport dat losse dossiers, 113.nl, Toeslagen, DigiD, bol.com, ChipSoft, verbindt tot één systeemanalyse van het Nederlandse privacy-stelsel. 75 pagina’s, gebaseerd op 24 maanden onderzoek (maart 2024 – mei 2026).

Download het hoofddossier (PDF, 5,1 MB) ↓

Centrale these

Uitgehongerde Autoriteit Persoonsgegevens + ongereguleerd keurmerken-ecosysteem + commerciële tracking-cirkel rond het grootste mediabedrijf van Nederland + politieke lobbylaag = compliance-theater. Het rapport laat zien hoe deze vier lagen samenwerken om naleving te simuleren zonder dat er feitelijk wordt gehandhaafd.

Methode

• BeforeYouMick scanner v3.7+v3.8, drie consent-modi (NOOP / REFUSE / ACCEPT), HAR-capture, file-analyse op tracker-IDs en fingerprinting-API’s
• HAR-captures als forensisch bewijs van wat er feitelijk over het netwerk gaat
• Jaarrekeningen, jurisprudentie en Kamerstukken voor de governance-laag
• Legal governance: Mr. Vincent Mans
• Bewijsclassificatie op vier niveaus: ✓ hard openbaar · ◆ sterk circumstantieel · ? vermoeden · ● kritiek aandachtspunt

Voor wie

• Autoriteit Persoonsgegevens, als startpunt voor handhavingsprioriteit
• Tweede en Eerste Kamer, als systeem-overzicht achter losse incidenten
• Onderzoeksjournalistiek, als bron, met SHA-geverifieerde primary-evidence
• Juristen en bestuurders, als blauwdruk van wat onder de motorkap zit

Wat erin staat

• De vier lagen van compliance-theater, met casuïstiek per laag
• 24 maanden meetdata op Nederlandse organisaties (Privacy Index 175 sites)
• Tijdlijn van de losse dossiers en hoe ze één systeem vormen
• Juridisch kader: AVG, Tw 11.7a, ePrivacy, Schrems II
• Concrete aanbevelingen per stakeholder

Verifieerbaarheid

• SHA-256-prefix: 8afee8b2…
• Bestandsgrootte: 5 383 344 bytes
• Datum publicatie: 17 mei 2026
• Permanente URL: mickbeer.com/papers/het-nederlandse-privacy-stelsel.pdf

Voor lezers die direct in de details willen, onderbouwing per casus zit in de losse artikelen onder Dossiers en Papers.

Geen enkele journalist heeft deze data gedeeld. Ik ook niet.

Wat ik wél deel: wat erin staat.

Een voorbeeld van één van de zoekopdrachten die ik gebruikte. Geen hackerskennis, gewoon grep:

grep -i "minister\|kamerlid" odido.txt | grep -c "BSN\|paspoort"

Wat ik vond, en wat nergens eerder is gepubliceerd

2.990 mensen met kwetsbare indicatoren in hun dossier, GGZ-patiënten, stalking-slachtoffers, mensen onder getuigenbescherming. Hun geheime adres. Gewoon opgeslagen.

4.249 MKB-eigenaren met KvK-nummer én privé-IBAN gekoppeld. Alles wat je nodig hebt voor CEO-fraude. Kant en klaar.

5,5 miljoen digital zombies, mensen die al jaren geen klant meer zijn. Hun data? Nog steeds aanwezig. AVG artikel 5. Gewoon genegeerd.

38 PPP’s, Politiek Prominente Personen (de officiële Wwft-term): ministers, Kamerleden, staatssecretarissen en hoge overheidsfunctionarissen, gecombineerd met BSN, paspoortnummer of IBAN. RTL rapporteerde 4 ministers. Mijn forensische analyse van de ruwe dataset vindt er 38.

47.662 oud-klanten zien hun incasso-gegevens, BSN, IBAN en woonadres nog steeds in de dataset staan, data uit de periode 2010–2024. Nooit gewist. Rechtstreeks in strijd met Odido’s eigen privacybeleid dat maximaal twee jaar retentie voorschrijft.

Dit is geen incident. Dit is een ontwerpfout.

Je kunt je BSN niet veranderen. Je kunt je geboortedatum niet veranderen. Je kunt je paspoortfoto niet veranderen.

En toch staat dit alles nog in een database.

Odido noemde het een “beheerst incident.”

De dataset noemt het 16 jaar ongecontroleerde opslag van data die er nooit had mogen zijn. Dit is geen slechte hacker. Geen zwak wachtwoord. Dit is een systeem dat bewaart wat het moet wissen.

Wat je niet hebt, kan niet lekken

Daarom heb ik Wetsvoorstel 2026Z04148 ingediend: een verbod op private opslag van ID-gegevens door bedrijven die daar geen wettelijke grond meer voor hebben. Het dossier ligt bij de Commissie Digitale Zaken.

Ik doe dit niet om te scoren. Maar omdat 17 miljoen Nederlanders het recht hebben om te weten dat hun meest permanente gegevens, BSN, paspoort, bankrekening, jarenlang worden bewaard door bedrijven die daar allang geen reden meer voor hebben.

De vraag aan de Kamer

Wanneer komt dit op de agenda?

De ontwerpfout die #CheckDontStore wettelijk verbiedt is precies wat hier is misgegaan. Wat je niet opslaat, kan niet lekken.

Eerdere publicatie over deze casus, inclusief methodologie en cijfers: Uw directie stond op de lijst, wat het Odido-lek onthult over uw eigen datakluis.

138 bedrijven krijgen jouw data als je NU.nl opent.

Dat zijn de partners die je apparaat tracken zodra je de site laadt:

• Oranje = jij
• Blauw = bekende namen (Google, Meta)
• Grijs = 130+ onbekende databrokers

Je klikt “Akkoord” en geeft onbekende bedrijven toegang tot:

• Je surfgedrag
• Je locatie
• Je apparaat-ID
• Je interesses

Ken jij deze bedrijven?

• Aarki, Inc. (Singapore mobile ad-tech)
• AdDefend GmbH (anti-adblocking, Duitsland)
• Adelaide Metrics Inc. (attention metrics, VS)
• Adform A/S (programmatic DSP, Denemarken)
• Adhese (Belgian ad server)
• Adnami Aps (high-impact ads, Denemarken)
• … en 132 meer.

Ik ook niet. Toch gaf ik ze toestemming door “Akkoord” te klikken.

Het probleem: “informed consent”

GDPR zegt: toestemming moet geïnformeerd zijn.

Maar hoe kun je informed consent geven aan bedrijven die je niet kent?

Je kunt niet. Dat is misinformed consent.

Wat ik deed

Twee weken technisch onderzoek, Firefox DevTools, HAR-files, reproduceerbaar.

Vandaag: formele melding bij de Autoriteit Persoonsgegevens.

Gemeld voor:

• NU.nl, dark pattern (8× moeilijker weigeren dan accepteren)
• NU.nl, 138 partners, 92% onbekend
• NOS.nl, pre-consent tracking (cookies vóór banner)

AP-precedenten

• Experian: €2,7 miljoen (vendor non-disclosure)
• Kruidvat: €600 000 (cookie wall)
• Coolblue: €40 000 (pre-consent tracking)

Geschat risico: €510 000 – €1,5 miljoen.

Volledig onderzoek

Het complete dossier (5 200 woorden) staat op /artikelen/101-advertentiepartners-het-probleem-met-informed-consent-op-nederlandse-nieuwssites/.

Inclusief:

• Complete lijst van 138 partners
• Juridische analyse (GDPR / ePrivacy)
• Dark-pattern-breakdown (accept- vs reject-flow)
• Evidence-package (screenshots; HAR-files alleen voor AP)
• Reproduceerbaarheid (30 min tests)

Je eigen actie

Gebruik je AVG-rechten. Artikel 15-21 geeft je recht op inzage, correctie en verwijdering.

Als duizend mensen hun GDPR-rechten uitoefenen:

• 138 000 verzoeken
• €414 000 administratieve overhead
• Industrie moet veranderen.

Economische druk werkt.

Pak je data terug.

Updates volg ik hier (AP-tijdslijn: 3–6 maanden).

Dit is geen juridisch advies.

Op 9 mei 2026 voerde ik een privacy-onderzoek uit op de website van Stichting 113 Zelfmoordpreventie. Eén ernstige bevinding springt eruit, en is inmiddels opgelost. Zes andere ernstige bevindingen staan nog open. Dit stuk legt uit wat er gemeten is, waarom het bij dit type organisatie zwaarder weegt dan elders, en hoe het verloop met 113 zelf eruitzag.

Wat er gevonden werd

De website is gescand in drie consent-modi: zonder klik op de cookiebanner, na klik op alles weigeren, en na klik op alles toestaan. Acht bevindingen kwamen uit de meting, waarvan zes als ernstig geclassificeerd.

Het meest opvallende: Microsoft Clarity, een session-replay-tool die muisbewegingen, kliks en in veel gevallen formulier-invoer registreert, werd geladen ná een klik op weigeren. Oorzaak: een verkeerd geconfigureerde Consent API, waarbij elke knop in de cookiebanner het consent-event triggerde, dus ook de weiger-knop.

Daarnaast laadden Google Tag Manager, Google AdSense en Google Analytics al vóór enige consent. Vijf bekende tracker-domeinen bleven actief ná een weiger-klik (cookiebot.com, googletagmanager.com, pagead2.googlesyndication.com, region1.google-analytics.com, en googleadservices.com). Vijf POST-requests met data verlieten de browser richting Google-eindpunten. In de tracker-bestanden werden tijdzone-uitlezingen aangetroffen, een ingrediënt van browser-fingerprinting.

Waarom dit bij 113 zwaarder weegt

Op de meeste sites is een tracker-stack een privacy-issue. Bij een suïcidepreventielijn raakt diezelfde tracker-stack een ander hoofdstuk van de wet.

AVG artikel 9 bestempelt gegevens over geestelijke gezondheid als bijzondere persoonsgegevens. Het laden van de hulppagina van 113 of het openen van het bel- of chatmenu kan op zichzelf een afgeleid bijzonder persoonsgegeven zijn. Dat is een hogere bewijslast voor de site-eigenaar en een hogere drempel voor wat überhaupt verzonden mag worden.

Organisaties die met kwetsbare bezoekers werken hebben daarmee een andere norm voor anonimiteit dan een willekeurige nieuwssite of webwinkel. Niet omdat ze het bewust slechter doen, vrijwel niemand op het web doet dit met opzet, maar omdat de standaard-tracker-stack die je via een paar GTM-tags binnenhaalt simpelweg niet past bij dit type bezoeker.

De disclosure

De bevindingen zijn niet via een advocatenbrief gemeld, maar in de open lucht, met de raw scan-data verifieerbaar achter een cryptografische hash, en het bestaan ervan op de Bitcoin-blockchain verankerd via OpenTimestamps. Niemand hoeft het op mijn woord aan te nemen.

Tijdlijn, compact:

• 9 mei 2026, 23:49 UTC, eerste scan op 113.nl met BeforeYouMick v3.7. Drie modi, acht bevindingen. SHA-256 hash gegenereerd. OpenTimestamps-stempel aangevraagd.
• 9 mei 2026, eerste publieke melding van de Microsoft Clarity-bevinding. Cryptografische hash en methodologie publiek toegankelijk.
• 10 mei 2026, binnen enkele uren, Stichting 113 reageert publiek onder de LinkedIn-post. Intern onderzoek gestart, externe deskundigen ingeschakeld, Microsoft Clarity verwijderd.
• 11 mei 2026, 20:15 UTC, herhalingsmeting met scanner v3.8. Clarity-domeinen verschijnen niet meer in de scan-output. De zes overige ernstige bevindingen staan nog open.
• 12 mei 2026, raw scan-data (88 KB, 10 bestanden) cryptografisch verzegeld en geleverd aan 113 voor onafhankelijke verificatie.
• 9 juni 2026, tweede onderzoekscyclus voorzien.

Het volledige verloop, met alle technische bewijzen, staat in het dossier-PDF.

Hoe 113 het aanpakte

Drie dingen vielen op aan de reactie van 113.

Snelheid. Binnen enkele uren een publieke reactie. Geen tussenkomst van een woordvoerder die eerst van alles moet afstemmen, geen bureaucratische vertraging. Wel een directe erkenning.

Transparantie. Geen toedekken van wat er stond, geen relativering van de bevinding. 113 erkende publiek dat er iets niet klopte, gaf aan dat ze het serieus onderzochten, en deelde dat ze externe deskundigen inschakelden.

Daadwerkelijke remediatie. Niet alleen een belofte voor de toekomst, maar feitelijke verwijdering van de aansprekendste bevinding voordat de herhalingsmeting plaatsvond. Cryptografisch verifieerbaar: Clarity-domeinen verschenen op 11 mei niet meer in de scan-output.

Dat de zes overige bevindingen op de herhalingsmeting nog stonden, doet niets af aan de toon. 113 heeft aangekondigd dat het interne onderzoek doorloopt en dat zij naar deze elementen kijken. Het sectorbeeld in Nederland kent veel organisaties die een advocatenbrief sturen of in stilte hopen dat het overwaait. 113 is een tegenvoorbeeld van uitzonderlijk niveau.

Wat het breed te lezen gaf

De casus is door meerdere redacties opgepakt. Niet als security-curiositeit, wel als een verhaal over wat er bij goedbedoelende organisaties onder de motorkap zit. Onder andere:

• BNR, in de tech-innovatie-sectie
• Hart van Nederland
• Stichting Donateursbelangen
• Ziptone (Engelstalig)
• Tweakers

Dat dit breder werd opgepakt dan alleen het security-publiek zegt iets. Bezoekers en donateurs van een hulpverleningsorganisatie willen weten of de site die zij vertrouwen niet, bedoeld of onbedoeld, hun gedrag aan derden doorgeeft.

Wat ik er zelf van vind

Drie dingen tegelijk.

Eén: de specifieke bevinding op deze site, op deze doelgroep, op deze klasse van data, dat schuurt. Niet doordat 113 of de leverancier daarvan iets kwalijk te verwijten valt, wel doordat het de standaard-stack illustreert. Iedereen plakt dezelfde drie tags op zijn site (GA4, GTM, AdSense) zonder per se te overwegen wat het verschil is tussen een bezoeker aan een nieuwswebsite en een bezoeker aan een suïcidepreventielijn. De configuratie volgt het marketing-script. Het marketing-script volgt geen onderscheid naar context.

Twee: de afhandeling door 113 was klasse. Snelheid, openheid, daadwerkelijke actie. Het is mogelijk om constructief om te gaan met een privacy-bevinding zonder reflexmatige verdediging. Deze casus is daarvan een blauwdruk.

Drie: het principe achter dit en vergelijkbaar werk, #CheckDontStore. Bewaar niet wat je niet nodig hebt. Verzend niet wat je niet nodig hebt. Bij hulpverleningsorganisaties is “niet nodig” een breder begrip dan bij commerciële sites; de bewijslast voor “wel nodig” ligt hoger. Dat principe geldt elders ook.

Het volledige dossier, bevindingen, methodologie, wettelijk kader, tijdlijn, verificatie-hashes, staat op mickbeer.com/papers/hackedemia-113nl-dossier.pdf.

Er zijn van die regels die geen interpretatie nodig hebben.

Op de site van De Kiesraad, de onafhankelijke commissie die de organisatie en uitslagen van de Nederlandse verkiezingen bewaakt, laadt de tracking-infrastructuur met deze configuratie:

"respectVisitorsPrivacy": false,

Niet eens een retorische vraag. Geen abstracte tracker-flow. Eén veld in een config, expliciet ingesteld op false.

Wat de scan vond

Bij elk bezoek aan kiesraad.nl, vóór enige toestemming, zonder cookiebanner:

5 tracking-cookies geplaatst:

• stg_traffic_source_priority
• stg_last_interaction
• stg_returning_visitor
• _pk_id.75718efd-…
• _pk_ses.75718efd-…

Tracker geladen: statistiek.rijksoverheid.nl → Piwik PRO.

Maar statistiek.rijksoverheid.nl is geen Rijksoverheid-server. Via DNS:

statistiek.rijksoverheid.nl  →  rijksoverheid.piwik.pro

Klassieke CNAME-cloaking: het subdomein lijkt first-party (rijksoverheid.nl), maar resolved naar een externe Piwik-tenant. De browser ziet een first-party cookie; tracker-blokkers herkennen geen Piwik-domein. Identiek aan wat de Belastingdienst doet met Adobe.

Daarbij: 6 POST-requests met body naar statistiek.rijksoverheid.nl (Piwik-ingest) tijdens een gewone pagina-load. Data wordt actief verzonden, niet alleen geladen.

Waarom dit ertoe doet

De Kiesraad is geen commerciële uitgever. Het is het orgaan dat:

• de uitslagen van Tweede Kamer-, Eerste Kamer- en Europese verkiezingen vaststelt
• adviseert over de organisatie van het kiesproces
• de onafhankelijkheid van het stemproces moet uitstralen

Wie het verkiezingsproces wil snappen, of wie wil weten waar ze moeten stemmen, gaat naar kiesraad.nl. Dat bezoek wordt nu zonder toestemming gelogd en met persistente identifier doorgegeven aan een tracking-platform.

Beleidscontext

• Telecommunicatiewet art. 11.7a, vereist toestemming vóór het plaatsen van cookies. Kiesraad: 5 cookies, geen banner.
• AVG art. 5(1)(a), transparantie + art. 13, CNAME-cloaking verbergt actief wie de verwerker is. Bezoekers kunnen niet wéten wat er gebeurt als het ontwerp dit voor hen verbergt.
• AVG art. 6, grondslag, respectVisitorsPrivacy: false is geen rechtsgrondslag.
• Kamerbrief Van Huffelen + Adriaansens, 5 september 2023 (Kamerstuk 32 761-286), “geen third-party cookies of andere tracking op overheidssites, ongeacht het verkrijgen van toestemming”.

Twintig maanden later staat de truc nog steeds aan op de Kiesraad-site. Met letterlijk respectVisitorsPrivacy: false als configuratie-waarde.

Wat er moet gebeuren

1. Trekker uit. Geen Piwik PRO op kiesraad.nl tot er een geldige rechtsgrondslag en een functionele consent-flow is.
2. CNAME-cloaking weg uit het Rijksoverheid-DNS-bestand. Een *.rijksoverheid.nl-subdomein dat extern resolved is een misleiding van de bezoeker.
3. Documenteer per overheidssite welke trackers actief zijn, naar welke partij ze versturen, en onder welke rechtsgrondslag. Publiek leesbaar, met datum.
4. Honor de Kamerbrief. De toezegging “geen tracking ongeacht toestemming” is van september 2023. Het is mei 2026.

De volledige scan-output (BeforeYouMick v3.8, gemeten 14 mei 2026) is op aanvraag beschikbaar.

Tijdlijn onderzoek 113.nl: bevindingen opgelost d.d. 14 mei 2026.

Update 13 mei, 15:47uur: Stichting 113 Zelfmoordpreventie is open en transparant met ons in contact getreden, en we hebben onze bevindingen en rapportages met hen gedeeld. In een constructieve kennismaking is door hen toegelicht welke acties voor nu zijn ondernemen om een veilig en juist bezoek aan 113.nl te garanderen. We blijven met elkaar in contact om in de nabije toekomst een duurzame oplossing te borgen.

Dank voor jullie voortvarendheid en goede werk!

Forensische privacyaudit

Op 9 mei 2026 voerde ik een geautomatiseerde forensische privacyaudit uit op 113.nl in drie toestemmingsmodi: NOOP (geen klik), REFUSE (weigeren) en ACCEPT (toestaan). Elke meting startte vanuit een schone browsercontext. Resultaten zijn SHA-256-geverifieerd en cryptografisch verankerd op de Bitcoin-blockchain via OpenTimestamps.

De audit legde negen bevindingen vast: één kritiek (inmiddels verholpen), zes ernstig (donveranderd), twee aandachtspunten. De ernstige bevindingen vormen herhaalde schendingen van AVG-bepalingen.

Wat gebeurde er

Bevinding 1: Microsoft Clarity actief na weiger-klik [KRITIEK

: VERHOLPEN]

Op 113.nl liep Microsoft Clarity op het moment van de audit actief nadat bezoekers expliciete toestemming weigerden. Clarity is een session-recording- en heatmaptool die muisbewegingen, klikgedrag en scrollpatronen vastlegt. Op een website voor bezoekers in acute psychische nood is session-recording bijzonder gevoelig: navigatiepatronen op een suïcidepreventielijn kunnen herleidbaar zijn tot gezondheidsdata in de zin van AVG artikel 9.

Pre-consent tracking via Microsoft Clarity De Clarity-scripts activeerden vóórdat bezoekers hun cookievoorkeuren instelden. De cookiewet (implementatie van de ePrivacy-richtlijn) vereist actieve, geïnformeerde toestemming voor het plaatsen van trackingtechnologieën. Pre-consent-tracking is geen grijs gebied, het is onrechtmatig.

Dode weiger-knop De ‘weiger’-knop werkte niet. Na het klikken op ‘Nee’ bleef de Clarity-cookie actief.

Een vals gevoel van controle voor de bezoeker, terwijl tracking gewoon doorliep. De AVG stelt in artikel 7(3) dat toestemming even gemakkelijk moet kunnen worden ingetrokken als gegeven.

Browser fingerprinting De audit documenteerde fingerprinting-technieken: het verzamelen van tijdzone- informatie om gebruikers te identificeren zonder cookies. Bijzonder verontrustend in de context van een suïcidepreventielijn: meerdere crisissessies kunnen worden gekoppeld zonder toestemming.

Obfuscatie van gezondheidsdataverwerking 113.nl classificeert als verwerkingsverantwoordelijke voor bijzondere categorieën persoonsgegevens onder AVG artikel 9. De forensische audit stelde vast dat de verwerking via Clarity niet was gedocumenteerd in het register van verwerkingsactiviteiten (AVG artikel 30), niet was opgenomen in het cookiebeleid, en niet was voorzien van een DPIA, wettelijk verplicht onder AVG artikel 35 voor systemische verwerking van gezondheidsgegevens.

Status hermeting 11 mei: Clarity verwijderd. Bevinding opgelost.

Bevinding 2: Google Tag Manager, AdSense en Analytics

geladen vóór toestemming [ERNSTIG, VERHOLPEN]

In NOOP-modus, vóór enige interactie, laden zonder rechtmatige grondslag: Google Tag Manager (GTM-MQ7B2P5), Google Analytics 4 (G-NSYB6F1YZJ, met actieve /g/collect-data-verzending), Google Ads conversion-tags (AW-793289595 en AW-938136512), Floodlight / Google Marketing Platform (DC-6063336) en DoubleClick (pagead2.googlesyndication.com). Tracking zonder rechtmatige grondslag is niet toegestaan onder Telecommunicatiewet artikel 11.7a en AVG artikelen 6 en 7.

Status hermeting 14 mei: Opgelost.

Bevinding 3: Vijf trackerdomeinen actief na weigering

[ERNSTIG, VERHOLPEN]

Na een expliciete weiger-klik blijven vier Google-trackerdomeinen actief: Google Tag Manager, Google Analytics, Google Ads en DoubleClick. Cookiebot, het Consent Management Platform, blijft eveneens geladen omdat het de gebruikerskeuze moet onthouden, maar de Cookiebot-configuratie blokkeert de andere trackers feitelijk niet.

Van toepassing: Telecommunicatiewet artikel 11.7a, AVG artikel 7 lid 3.

Status hermeting 14 mei: Opgelost.

Bevinding 4: gtm.js (GTM-MQ7B2P5) actief na weigering

[ERNSTIG, VERHOLPEN]

Het GTM-script voor container GTM-MQ7B2P5 blijft geladen na een weiger-klik. GTM fungeert als verzamelaar voor tags; activiteit van de container na weigering betekent dat de volledige tagstructuur buiten het toestemmingsregime opereert. Van toepassing: Tw 11.7a.

Status hermeting 14 mei: Opgelost.

Bevinding 5: Vijf POST-verzoeken met body naar derde

partijen [ERNSTIG, VERHOLPEN]

In NOOP-modus verstuurt de browser vijf POST-verzoeken met body naar externe servers: drie naar Google-advertentie-endpoints (pagead2.googlesyndication.com, Google Ads / DoubleClick), twee naar Google Analytics (region1.google- analytics.com/g/collect). Op een suïcidepreventielijn raakt dit potentieel aan AVG artikel 9 (bijzondere persoonsgegevens). Van toepassing: AVG 6, 9.

Status hermeting 14 mei: Opgelost.

Bevinding 6: Fingerprinting-indicator in GTM-bestanden

[ERNSTIG, VERHOLPEN]

De audit documenteerde een fingerprinting-indicator in de Google Tag Manager- bestanden: tijdzone-uitlezing. In combinatie met andere browser-eigenschappen kan dit ingrediënt voor identificatie zonder cookies vormen. Van toepassing: AVG 9, 13, EDPB GL 02/2023.

Status hermeting 14 mei: Opgelost.

Bevinding 7: Obfuscatiepatroon in trackerbestand

[AANDACHTSPUNT, VERHOLPEN]

In een actief trackerbestand is een combinatie van atob en eval/Function aangetroffen. Code die zich tegen inzicht verzet, staat op gespannen voet met het transparantiebeginsel van AVG artikel 5 lid 1 sub a.

Status hermeting 14 mei: Opgelost.

L1: Referrer-Policy: no-referrer-when-downgrade

[AANDACHTSPUNT, VERHOLPEN]

De huidige instelling kan ertoe leiden dat volledige URL’s, inclusief paginapaden die de aard van het bezoek onthullen, worden doorgegeven aan externe partijen. Op een website voor suïcidepreventie zijn paginapaden gevoelig. Advies: strict- origin-when-cross-origin. Van toepassing: AVG 32.

Status hermeting 14 mei: Opgelost.

L2: Acht unieke trackeridentificatoren in scripts

[AANDACHTSPUNT, VERHOLPEN]

De audit identificeerde acht unieke trackeridentificatoren. Verificatie aan de hand van twee onafhankelijke HAR-captures (9 mei en 11 mei) toont dat vijf hiervan actieve productie-traffic genereren: GTM-MQ7B2P5, GA4 G-NSYB6F1YZJ, AW-793289595, AW-938136512 en Floodlight DC-6063336. Drie identificatoren, GTM-5N44BF4, G- 9LJGQ20WLQ en UA-10657158-3, zijn aangetroffen in scriptcontent maar verzonden geen eigen requests; Deze zijn vermoedelijk legacy-restanten in de container-configuratie. Onder AVG artikel 30 hoort het verwerkingsregister voor alle acht verklaring te bieden. Op grond van het Fashion ID-arrest (HvJ-EU C-40/17, 2019) kan 113 als gezamenlijk verwerkingsverantwoordelijke worden aangemerkt voor de fase van gegevensverzameling door scripteigenaren van de vijf actieve trackers.

Status hermeting 14 mei: Opgelost.

Juridisch kader

Artikel Toepassing AVG artikel 6 Verwerking zonder rechtsgeldige grondslag AVG artikel 7 Toestemming moet even gemakkelijk intrekbaar zijn AVG artikel 9 Bijzondere categorieën, verhoogde beschermingsplicht AVG artikel 13 Informatieplicht bij gegevensverzameling AVG artikel 17 Recht op verwijdering, dode weiger-knop blokkeert dit AVG artikel 30 Register van verwerkingsactiviteiten ontbreekt AVG artikel 35 DPIA verplicht voor systematische gezondheidsdataverwerking ePrivacy-richtlijn Pre-consent tracking is onrechtmatig

Hoe 113.nl wél reageerde: sectorvoorbeeld

Binnen uren na verantwoording was Microsoft Clarity verwijderd. 113 vroeg actief om de ruwe auditgegevens om onafhankelijke verificatie mogelijk te maken. Geen juridisch verweer, geen ontkenning, geen communicatieteam dat de bevindingen probeerde te marginaliseren. Dat is bestuurlijke volwassenheid. Instructioneel voor de sector.

Update 13 mei: Stichting 113 Zelfmoordpreventie is open en transparant met ons in dialoog gegaan, ook nadat wij onze bevindingen en rapportages met hen hadden gedeeld. In een constructieve kennismaking is door hen toegelicht welke acties voor nu zijn ondernemen om een veilig en juist bezoek aan 113.nl te garanderen. We blijven met elkaar in contact om in de nabije toekomst een duurzame oplossing te borgen.

Het bredere landschap: systeemprobleem, geen incident

De DPG Media-brief onderzocht hulpverleningssites breed. Resultaat: 9 sites, 44 weiger-knoppen getest, 0 functioneel. De vraag dringt zich op wat er draait op: GGZ-portalen waar patiënten diagnostische tests doen en behandelplannen inzien EPD-toegangspoorten met embedded third-party scripts Huisartsenplatforms met online intakeformulieren en consultatie-tools Ziekenhuiswebsites met afsprakenportalen en pre- consultatievragenlijsten Gemeenschappelijke noemer: zorgorganisaties willen compliant zijn maar missen technische capaciteit. Third-party scripts worden toegevoegd door marketingbureaus die de privacy-implicaties niet doorgronden.

De CLOUD Act-dimensie

Bijna alle grote analytics-tools zijn Amerikaans. Onder de CLOUD Act (2018) kunnen Amerikaanse autoriteiten direct toegang vorderen tot data bij Amerikaanse cloudproviders zonder dat de gebruiker wordt geïnformeerd, zonder dat de Europese overheid hoeft te worden gewaarschuwd. Voor Nederlandse gezondheidsdata onder AVG-artikel 9 is dit een verzwegen risico dat in vrijwel geen DPIA wordt meegenomen.

Waarom het ertoe doet

113.nl bedient bezoekers in acute psychische nood. Paginabezoek, navigatiepatronen en sessieduur op deze website kunnen direct herleidbaar zijn tot de geestelijke gezondheidstoestand van de bezoeker: bijzondere persoonsgegevens in de zin van AVG artikel 9 met een verhoogde beschermingsgraad. De combinatie van een kwetsbare doelgroep en de aangetroffen verwerkingen activeert ook een wettelijke DPIA-plicht onder AVG artikel 35.

De Autoriteit Persoonsgegevens (187 FTE) waarschuwde in april 2025 vijftig Nederlandse organisaties formeel voor exact dezelfde configuratiepatronen, met een handhavingsdreigement binnen drie maanden. De AP beschikt per 2025 over extra budget voor toezicht op tracking-technologie. De bevindingen op 113.nl komen overeen met de typen schendingen die de AP in dat traject documenteerde.

Het juridische kader omvat Telecommunicatiewet artikel 11.7a, AVG artikelen 6, 7(3), 9, 13, 26, 28, 30, 32 en 35, en het Fashion ID-arrest van het HvJ-EU (C-40/17, 2019).

Nederlandse rechters hebben in een reeks kort gedingen tussen 2023 en 2025 geoordeeld dat tracking zonder geldige voorafgaande toestemming onrechtmatig is en dat ook de derde partij (niet alleen de site-eigenaar) verwerkingsverantwoordelijk is. 113 heeft snel en constructief gereageerd: publieke erkenning binnen 24 uur na onze eerste melding, intern onderzoek gestart, externe experts ingeschakeld, en Microsoft Clarity feitelijk verwijderd. Geen advocatenbrief, geen ontkenning. De hermeting van 11 mei bevestigt de verwijdering van Clarity. Dat is de constructieve norm voor de sector. Het herstelwerk is inmiddels voltooid: ook de zes resterende bevindingen zijn gewijzigd.

Actiepunten

1. Implementeer een werkende Consent Management Platform- configuratie. De huidige cookiebanner heeft geen meetbaar effect op trackeractiviteit. Consent Mode v2 voor GTM en Analytics kan tracking blokkeren totdat de bezoeker toestemming geeft. Technisch oplosbaar binnen dagen. 2. Voer een DPIA uit conform AVG artikel 35. De combinatie van bijzondere persoonsgegevens en een kwetsbare doelgroep maakt deze verwerking hoog-risico. Een gegevensbeschermingseffectbeoordeling is wettelijk verplicht. 3. Saneer de trackerstack. Beoordeel per script of aanwezigheid noodzakelijk en proportioneel is voor de primaire hulpfunctie. Veel aangetroffen trackers zijn gericht op fondsenwerving en marketing: weeg dat af tegen het dataminimalisatiebeginsel van AVG artikel 5 lid 1c. 4. Laat een onafhankelijke audit uitvoeren na implementatie van de CMP.

Laat de werking van de nieuwe configuratie toetsen door een partij zonder commerciële relatie met de leveranciers van de gebruikte tracking-tools. 5. Actualiseer de privacyverklaring. Alle acht trackeridentificatoren moeten expliciet vermeld staan met doelen, ontvangers en bewaartermijnen conform AVG artikel 13. 6. Onderzoek gezamenlijk verwerkingsverantwoordelijkheid. In het licht van Fashion ID: beoordeel de joint controllership-verhoudingen met Google en Microsoft en verwerk dit in het privacybeleid en het verwerkingsregister.

Checklist voor zorgbestuurders: technische privacyaudit

1. Consent Mode v2 implementatie. Controleer of uw CMP correct is geconfigureerd zodat tracking-scripts pas activeren ná expliciete toestemming, niet eerder. 2. DPIA-plicht voor gezondheidsdata. Voer een gegevensbeschermingseffectbeoordeling uit voor alle verwerkingen waarbij AVG-artikel 9-gegevens betrokken zijn. Dit is geen keuze maar een wettelijke verplichting. 3. Tracker-stack opschonen. Inventariseer elk third-party script op uw zorgplatform. Verwijder wat geen directe functionele noodzaak heeft. Elk extern script is een potentieel dataverwerkingsrisico. 4. Joint controllership-check. Beoordeel uw verwerkersrelaties in het licht van het Fashion ID-arrest. Indien u scripts insluit van derden, bent u mogelijk gezamenlijk verwerkingsverantwoordelijke. 5. Cloud Act-blootstelling meten. Beoordeel welke van uw tools en leveranciers onder Amerikaanse jurisdictie vallen. Documenteer dit expliciet in uw DPIA. 6. Onafhankelijk audit-protocol. Laat uw privacyconfiguratie periodiek forensisch controleren door een partij zonder commercieel belang bij uw tool-stack.

Beleidskader: EU-wetgeving en uitvoering in Nederland

De relevante wetgeving vormt een gelaagd kader: de AVG (van kracht sinds 2018) als horizontale privacywet, de ePrivacy-richtlijn (2009) als specifieke grondslag voor tracking-technologie, en de NIS2-richtlijn (geïmplementeerd in Nederland per 2026) voor netwerk- en informatiebeveiliging in vitale sectoren waaronder de zorg.

De handhavingsbevoegdheden zijn substantieel. Artikel 82 AVG regelt aansprakelijkheid voor schade als gevolg van onrechtmatige verwerking, ook voor verwerkers. Artikel 83 AVG voorziet in administratieve boetes tot €20 miljoen of 4% van de wereldwijde jaaromzet. De Autoriteit Persoonsgegevens beschikt over 187 FTE voor toezicht op miljoenen Nederlandse organisaties. Dat capaciteitsdeficit is reëel: structureel toezicht op alle zorgaanbieders is feitelijk onmogelijk.

De conclusie is onvermijdelijk: toezicht alleen is ontoereikend. Zorgbestuurders moeten eigen compliance-engineering doen, niet omdat de Autoriteit Persoonsgegevens kijkt: die handhaaft slechts wetgeving. De zorgbestuurder is eindverantwoordelijk voor een data-ethische, digitale omgeving waarin de bezoeker zich veilig kan bewegen én veilig mag wanen. Technische privacy is een randvoorwaarde voor vertrouwen, en vertrouwen is de randvoorwaarde voor effectieve hulpverlening.

SLOTSOM

Voor een zorginstelling waar anonimiteit van levensbelang is, zou digitale privacy geen keuze, maar een randvoorwaarde moeten zijn, zonder commerciële trackers van partijen als Google. De verwijdering van Microsoft Clarity binnen 24 uur na onze eerste melding heeft de Microsoft- aanwezigheid teruggebracht tot de Advertising-pixel die alleen ná uitdrukkelijke toestemming laadt. De snelheid en transparantie van de respons, publieke erkenning, intern onderzoek, externe expertise, daadwerkelijke verwijdering van Clarity binnen 24 uur, is van uitzonderlijk niveau in de Nederlandse hulpverleningssector.

Update: ook de zes ernstige bevindingen zijn inmiddels verholpen. Op een website voor mensen in acute psychische nood is dat knap en voortvarend gedaan, juist voor de mensen die 113.nl het hardst nodig hebben.

Een vervolgmeting volgt rond 9 juni 2026 om eventuele structurele verbeteringen aantoonbaar te maken. De volledige 22-pagina forensische audit is beschikbaar voor relevante autoriteiten en pers, schrijf via /contact/.

12 mei 2026, Mick Beer.

Op humanitas.nl draait een session-replay tool die elke muisbeweging, klik, scroll en formulier-input van bezoekers vastlegt. Een opname van wat je doet, wat je intypt, hoe lang je hapert.

Op een platform voor mensen die hulp zoeken bij eenzaamheid, rouw, schulden, mantelzorg.

Waarom?

Geen functionele reden. Microsoft Clarity is een marketing- en UX-tool, niet noodzakelijk voor het verlenen van sociale hulp. De opnames gaan naar Microsoft Corporation in de Verenigde Staten, onder CLOUD Act-jurisdictie.

En Clarity is één van achttien externe domeinen die data ontvangen bij elk bezoek aan humanitas.nl.

Achttien endpoints, zeven unieke ontvangende partijen. De meerderheid is marketing-, analytics- of advertising-infrastructuur.

De kernbevinding

Klikken op ‘weigeren’ plaatst juist een nieuwe cookie. Bezoekers die hun privacy proberen te beschermen, krijgen extra tracking als gevolg van hun weigering.

AVG artikel 7 lid 3 vereist het tegenovergestelde.

Nederlandse rechters hebben in de Xandr-trilogie (Hof en Rechtbank Amsterdam, 2023–2025) vastgesteld dat tracking zonder of tegen geldige toestemming onrechtmatig is.

Bezoek aan specifieke onderdelen van humanitas.nl kan afgeleide gezondheidsdata onthullen die onder AVG artikel 9 (bijzondere persoonsgegevens) vallen.

Hoor en wederhoor

Hackedemia heeft Humanitas voorafgaand schriftelijk om wederhoor gevraagd via de persvoorlichter, met deadline 12 mei 14:00. Er is geen reactie ontvangen. De uitnodiging blijft openstaan; bij ontvangst worden de bevindingen aangevuld.

Wat volgt

Het volledige rapport volgt later deze week op hackedemia.nl. Het sectorrapport over negen Nederlandse hulpverleningssites volgt parallel.

De vrijwilligersdiensten van Humanitas, luisterend oor, mantelzorgondersteuning, rouwverwerking, gaan via aparte kanalen (telefoon, persoonlijk contact) en blijven bereikbaar.

We gaan ook naar andere zorginstellingen kijken de komende periode; patiëntveiligheid moet immers ook in het “digitale ziekenhuis” geborgd zijn.

Dit is deel 2 van het Belastingdienst-onderzoek door Mick Beer. In deel 1 onthulden we hoe de Belastingdienst-website Adobe-trackers inzet die het zoekgedrag van toeslagenslachtoffers doorsturen naar Silicon Valley. In dit tweede deel richten we de lens op de mobiele apps, en op wat er in de code zit. ** Het complete rapport is direct downloadbaar via deze link of te raadplegen via mickbeer.com/#papers **

Wat er in de app zit

De officiële Mijn Toeslagen-app, gepubliceerd door de Belastingdienst in de Google Play Store, gedownload door ouders die hun kinderopvangtoeslag beheren, communiceert met een Microsoft Azure-backend op mdl- api.azurewebsites.net/MTB/. Dat is geen zijingang, geen analytics-cookie, geen tijdelijke testomgeving. Het is de structurele backend voor wat de code zelf omschrijft als MijnToeslagenBackend (MTB). Een live .NET JSON-API, gehost op Microsoft- infrastructuur in de Verenigde Staten, diep verweven in een primair uitvoeringsproces.

Op 2 oktober 2025 schreef staatssecretaris Heijnen aan de Tweede Kamer: “De applicaties en dataopslag van de primaire processen voor de heffing en de inning blijven draaien in het eigen datacentrum in Apeldoorn.” De toekenning, betaling en herziening van kinderopvangtoeslag is een primair proces. Dat dit primair proces deels via een Azure-backend loopt, was niet aan de Kamer gemeld.

Dit rapport bevat in totaal 12 bevindingen op basis van passieve analyse van zeven publiek beschikbare Belastingdienst-apps. Geen credentials, geen schrijfacties, geen exploitatie, uitsluitend APK-decompilatie en niet-invasieve HTTPS GET-probes. De vier zwaarste bevindingen zijn hieronder uitgewerkt. Het volledige rapport met technisch appendix is beschikbaar via hackedemia.nl.

Bevinding 1: De Azure-backend: een primair proces in de VS

De Mijn Toeslagen-app (package nl.belastingdienst.mkt) verstuurt productieverkeer naar mdl-api.azurewebsites.net/MTB/. De endpoint reageert met HTTP 200-responses en serverheaders die wijzen op Microsoft-IIS en Azure App Service. Dit is bevestigd via directe HTTPS GET-probe.

In de app-code zijn strings terug te vinden die direct verwijzen naar de algoritmische logica die centraal stond in de Toeslagenaffaire: “hebben wij deze uren omgerekend naar een hele maand.” Dit is de sleutelformulering die tot onterechte terugvorderingen leidde. Dezelfde algoritmische mechaniek, voor dezelfde populatie ouders, nu draaiend via een Azure-backend in de Verenigde Staten, en rechtstreeks doorverwijzend naar de FIOD in de eigen privacy-tekst van de app.

Heijnen’s Kamerbelofte was helder. De technische realiteit wijkt ervan af. De combinatie is een politiek feit.

Bevinding 2: Microsoft documenteert het zelf: alle data naar de

VS, medewerkers hebben toegang

Drie Belastingdienst-apps, Berichtenbox, Mijn Belastingdienst en Mijn Toeslagen, gebruiken Microsoft App Center voor telemetrie. Microsoft legt op de eigen documentatiesite woordelijk vast: “App Center operates almost entirely in the United States. All data and processing for Apps, Users, Organizations, Build, Distribution, Analytics and Diagnostics occurs in the United States. There’s no option available for hosting this customer data in any other country/region.” En: “From time to time, Microsoft employees need access to customer data stored within App Center.” En: “App Center is a multi-tenant system. All customer data is held within one set of data stores. There’s no option to hold a customer’s data in a separate or isolated set of data stores.” Dit is geen interpretatie, geen uitleg van een contractor. Dit is Microsoft dat zijn eigen product documenteert. Belastingdienst-app-telemetrie zit in dezelfde multi-tenant datastores als die van willekeurige andere App Center-klanten, gaat naar de VS, en anonieme Microsoft-medewerkers kunnen er onder bepaalde omstandigheden in kijken. Heijnen schrijft in zijn Kamervragen-antwoord van 12 februari 2026: “Ik ben niet naïef over de mogelijkheid dat de informatie waarover de Belastingdienst beschikt interessant kan zijn voor de Amerikaanse overheid.” Hij erkent het risico. Hij zet de uitrol voort.

Bevinding 3: Geen externe audits, geen publieke DPIA

Microsoft documenteert ook: “App Center hasn’t pursued external audits (such as SOC 2 or ISO 27001), or external penetration testing.” Een dienst zonder SOC 2, zonder ISO 27001, zonder externe penetratietest, waarover anonieme medewerkers in de VS toegang hebben, en waarop Nederlandse overheidstelemetrie draait.

Onder AVG artikel 35 is een DPIA verplicht voor hoog-risicoverwerkingen. Toeslagen kwalificeert onmiskenbaar: de Parlementaire Enquêtecommissie legde vast dat etnisch profileren hier systematisch plaatsvond. Het Adviescollege ICT-toetsing wees in maart 2024 al op het ontbreken van een DPIA voor TVS, het systeem dat 95% van de Toeslagen-verwerkingen uitvoert. Voor de Azure-backend in de Mijn Toeslagen- app, voor het App Center-gebruik in Berichtenbox en Mijn Belastingdienst, is geen publieke DPIA vindbaar. Dat is een Wob/Woo-vraag die de Kamer nu kan stellen.

Bevinding 4: De Toeslagen-echo: dezelfde logica, een nieuwe

infrastructuur

De Toeslagenaffaire kostte naar schatting 9 tot 14 miljard euro aan compensatie. De diagnose van de Parlementaire Ondervragingscommissie: ondoorzichtige algoritmische besluitvorming, afwezigheid van menselijke controle, systematische verwijdering van de burger uit het feitenrelaas. De app die nu via Azure draait bevat strings die precies die besluitvorming spiegelen. De ouders die in de app hun toeslagen beheren zijn deels dezelfde ouders die door de affaire zijn geraakt.

Dit is geen bewijs van een nieuwe affaire. Het is een uitlegbaarheidsprobleem van de eerste orde: hoe legt de overheid aan gedupeerde ouders uit dat hun toeslagdata via een Microsoft Azure-backend in de VS worden verwerkt, op een afgedankt product (App Center is per 31 maart 2025 gedeprecieerd), zonder externe audit, en zonder dat de Kamer hierover volledig is geïnformeerd?

Het volledige rapport bevat 12 bevindingen, waaronder hardcoded App Center secrets in productie-APK’s, een 8 jaar oude OkHttp-stack in de Berichtenbox-app (waarmee 13 miljoen Nederlanders hun overheidspost ontvangen), SHA-1 certificaat- pinning, en een gedeprecieerde Genesys-component in de aangifte-app. Het technisch appendix is beschikbaar voor journalisten en onderzoekers via hackedemia.nl.

Dit dossier raakt Den Haag op drie niveaus. Juridisch: AVG-compliance, ontbrekende DPIA’s, doorgifte naar derde landen onder de CLOUD Act. Politiek: een Kamerbelofte over Apeldoorn die technisch niet wordt nagekomen. Institutioneel: een Belastingdienst die twee jaar na de PEC-conclusies dezelfde populatie ouders bedient via infrastructuur die zij niet volledig publiek verantwoordt.

Eelco Eerenberg draagt als huidig staatssecretaris Fiscaliteit, Belastingdienst en Toeslagen-uitvoering de systeemverantwoordelijkheid. De vragen liggen klaar.

SLOTSOM De Belastingdienst beloofde de Tweede Kamer dat primaire processen in eigen beheer blijven. De werkelijkheid: Mijn Toeslagen draait op Microsoft Azure, data gaat naar de VS, er is geen externe audit en geen publieke DPIA. Dit is geen technisch detail, het raakt dezelfde populatie gedupeerde ouders wier gegevens opnieuw buiten democratisch toezicht belanden. Twaalf bevindingen, één conclusie: de digitale belofte aan de Kamer is gebroken.

Auteur: Mick Beer, onafhankelijk security/privacy-onderzoeker.

Dezelfde overheid die de toeslagenaffaire heeft veroorzaakt, geeft de slachtoffers nu opnieuw door aan Adobe, een Amerikaans bedrijf. Bewust geconfigureerd. In een aparte container.

We betalen belasting om bespioneerd te worden. En dat is niet eens makkelijk te vinden, er zit een DNS-truc tussen om het voor je te verbergen.

Wat ik vond

Op herstel.toeslagen.nl, de site voor slachtoffers van de toeslagenaffaire, staat een aparte Adobe-configuratie, met als datapunt naar de Verenigde Staten:

“Website voor gedupeerde ouders | Herstel Toeslagen (UHT)”

Met expliciete classificatie toeslagen-herstel-kot-nl. Adobe weet dus, op tag-niveau, dat dit een hersteloperatie-kinderopvangtoeslag-bezoeker is.

In december 2023 zei een Belastingdienst-woordvoerder publiekelijk dat de Adobe-cookie “uit voorzorg uitgeschakeld” was. In september 2023 schreef het kabinet aan de Tweede Kamer: “geen tracking op overheidssites, ongeacht toestemming”.

Zeventien maanden later: alles aan.

Wat ik vond op belastingdienst.nl en herstel.toeslagen.nl

1. Een DNS-truc waardoor tracker-blokkers en ad-blockers worden omzeild. Voor de browser lijkt het de Belastingdienst. Het is Adobe in de Verenigde Staten.
2. Een 38-cijferige Adobe-ID die twee jaar bewaard wordt, opgeslagen op drie plaatsen.
3. Wat je in de zoekbalk typt gaat letterlijk mee. “herstel operatie”, “toslagen”, “schuldsanering”, “echtscheiding aftrek”, direct naar Adobe USA.
4. Wat je naar de chatbot typt gaat mee.
5. Wat je in het feedback-veld schrijft gaat mee.
6. Foutmeldingen die persoonsgegevens kunnen bevatten gaan mee.
7. Geen banner. Geen consent. Geen waarschuwing.

Waarom dit ertoe doet

De Belastingdienst weet beter. Op mijn.toeslagen.nl, de geauthenticeerde inlogomgeving, staat geen tracking. Geen Adobe, geen Google, geen Meta, geen AB Tasty. Schoon. Dezelfde overheid, dezelfde technische kennis, en achter de inlogmuur koos men voor privacy. Op de publieke kant niet.

Wat er gebeurt: bij elk bezoek aan herstel.toeslagen.nl genereert Adobe een Experience Cloud ID (ECID): 38 cijfers, bewaartermijn twee jaar, opgeslagen op drie plaatsen. Per page-view gaan twintig tot zestig datapunten naar Adobe, waaronder:

• Paginatitel: “Website voor gedupeerde ouders | Herstel Toeslagen (UHT)”
• Classificatie: toeslagen-herstel-kot-nl, Adobe weet daarmee niet alleen dát iemand een hersteloperatie-pagina bezoekt, maar ook de specifieke categorie (kinderopvangtoeslag)
• Zoekqueries: integraal naar de VS
• Chatbot-input: vrije tekst die bezoekers naar de virtuele assistent typen
• Feedback-tekst: wat gedupeerden in het feedback-formulier schrijven, ongecodeerd
• Foutmeldingen: “BSN niet bekend”, “geboortedatum komt niet overeen”, indirecte persoonsgegevens

Dit alles via CNAME-cloaking: het subdomein adobe-analytics-dc.belastingdienst.nl wijst via CNAME naar wdbvhtupcp.data.adobedc.net. De browser ziet een first-party cookie; tracker-blokkers herkennen geen Adobe-domein; Safari ITP en Firefox ETP blokkeren dit niet. De Belastingdienst gebruikt daarvoor een eigen JavaScript-bibliotheek, bld-metrix.js, 44 KB, gebouwd in eigen huis, geserveerd vanaf het Belastingdienst-domein, die rechtstreeks events naar Adobe stuurt.

Sandra Palmen: van klokkenluider naar bewindspersoon

De ironie rondom Sandra Palmen-Schlangen is een van de scherpste verhalen in dit dossier. In 2017 schreef zij als jurist bij de Belastingdienst een intern advies, het later bekende “memo Palmen”, waarin zij stelde dat de Belastingdienst en Toeslagen “laakbaar” hadden gehandeld. Haar advies werd genegeerd, het memo verdween in een la. In een interview met NOS Met het Oog op Morgen vertelde Palmen later dat zij overwoog klokkenluider te worden, maar dit niet deed: “Dan zou ik zelf het probleem zijn geworden.”

Volgens parlement.com is Sandra Palmen-Schlangen sinds december 2024 aangetreden als staatssecretaris Fiscaliteit, Belastingdienst, Toeslagen-uitvoering en Douane en continueert in kabinet-Jetten (beëdigd 23 februari 2026). In april 2026 bleek bovendien dat de Belastingdienst opnieuw een datakluis met miljoenen documenten over de toeslagenaffaire had ontdekt, wat de situatie pijnlijk actueel houdt.

Op haar bureau ligt nu een dossier dat de spanning tussen herstelbelofte en uitvoeringspraktijk concreet maakt: de ambtenaar die alarm sloeg over onrecht draagt nu politieke verantwoordelijkheid voor een hersteloperatie die de slachtoffers van datzelfde onrecht opnieuw doorgeeft aan een Amerikaans bedrijf.

Beleidscontext

• AVG artikelen 6, 32, 44-49, rechtsgrondslag, beveiligingsplicht en doorgifte buiten de EU. Geen van de zes gronden uit artikel 6 is van toepassing op de doorgifte van zoekgedrag aan Adobe.
• ePrivacy Richtlijn 2002/58/EG artikel 5(3), vereist ondubbelzinnige toestemming vóór plaatsing van trackingcookies. Belastingdienst.nl toont géén consent-dialog.
• AP-rapport 2020 (FSV-fraudemodel), concludeerde dat de Belastingdienst systematisch en onrechtmatig persoonsgegevens verwerkte. Dit dossier toont een vergelijkbaar patroon via tracking.
• Kamerbrief Van Huffelen + Adriaansens, 5 september 2023 (Kamerstuk 32 761-286), “geen third-party cookies of andere tracking, ongeacht het verkrijgen van toestemming”.
• SDBN-massaclaim (Rechtbank Rotterdam C/10/668332, ECLI:NL:RBROT:2025:6254, tussenvonnis 28 mei 2025), collectieve vordering tegen grootschalige trackingpraktijken. Dit dossier levert aanvullend bewijsmateriaal.

Wat moet er morgen gebeuren

1. De Belastingdienst zet de Adobe-cookie daadwerkelijk uit, conform de Kamerbrief.
2. Vrije-tekst-events (chatbot-input, feedback-tekst, foutmeldingen) gaan direct uit de tracking-laag.
3. Bestuurlijke verantwoording over de discrepantie tussen de woordvoerder-verklaring van december 2023 en de meetdata van mei 2026.
4. Een DPIA voor herstel.toeslagen.nl openbaar maken, of alsnog uitvoeren onder AVG artikel 35.

Slotsom

De eigen cookieverklaring op belastingdienst.nl/.../cookies beweert dat cookies geen persoonsgegevens bevatten (geraadpleegd 1 mei 2026). Onder de Breyer-uitspraak (HvJ EU C-582/14) kwalificeert een unieke 38-cijferige identifier met twee jaar levensduur als persoonsgegeven. De claim is aantoonbaar onjuist.

De Autoriteit Persoonsgegevens onder Aleid Wolfsen is de afgelopen twee jaar actiever gaan handhaven tegen overheden. De AP legde op 16 juli 2024 een boete van €600.000 op aan Kruidvat, dat is precedent. Een bewuste schending van een Kamertoezegging door een bestuursorgaan is precies het type casus waar de AP een voorbeeldboete op zet.

Het volledige forensische rapport, inclusief 12 HAR-captures, DNS-verificaties, broncode-analyse en juridische referenties, is gepubliceerd via Hackedemia. De Belastingdienst, Dienst Toeslagen, Adobe Nederland, Stichting Data Bescherming Nederland en de Autoriteit Persoonsgegevens zijn voor hoor en wederhoor benaderd. Reacties komen in een vervolgpublicatie.

De vraag voor de bestuurstafel is niet óf dit politiek wordt, maar hoe snel.

Hoe wist Mark dit allemaal?

Het korte antwoord: omdat jij, én je moeder, websites bezoeken die geld verdienen aan tracking pixels. En omdat geen enkele bestuurder van die websites weet wat die pixels precies doen.

Dit artikel legt de keten bloot. Het is geen samenzwering. Het is geen hack. Het is hoe het systeem op dit moment werkt.

De keten in zeven stappen

Stap 1, Jij bezoekt een vertrouwde website. Een Nederlandse krant, webshop, verzekeraar, of ziekenhuissite. Tracking pixels vuren soms af voordat je ergens op klikt.

Stap 2, De pagina deelt je data met tientallen partijen. IP-adres, browsertype, klikgedrag, soms ingevulde formuliervelden. By design onzichtbaar. De FTC en EFF hebben dit gerapporteerd: gemiddeld 18-47 tracker-pixels per pagina op vertrouwde bedrijfssites.

Stap 3, Adtech-bedrijven aggregeren. Meta, Google, ad-exchanges combineren duizenden datapunten tot één profiel over weken en maanden.

Stap 4, Databrokers verrijken met offline data. Acxiom, Epsilon, kredietinformatiebureaus koppelen online profielen aan kadaster, autobezit, abonnementen, gezinssamenstelling. Duizenden datapunten per persoon.

Stap 5, Het profiel wordt verkocht of gestolen. Legaal aan marketeers en verzekeraars. Illegaal via datalekken en Telegram-handel. Het OM Noord-Nederland eiste in april 2026 celstraffen tot vier jaar tegen handelaren in lijsten als “106 vrouw 65 plus”, profielen die exact zo samengesteld waren.

Stap 6, De scammer bouwt zijn aanval. Met échte naam, geboortedatum, bank, gezinsleden wordt bankhelpdeskfraude overtuigend. De FBI IC3 rapporteert dat meer dan de helft van fraudezaken tegen ouderen direct verband houdt met blootgestelde data.

Stap 7, De betalende oma. Het eindresultaat van de keten: een kwetsbaar slachtoffer verliest geld aan bankhelpdeskfraude. Oma verliest €28.000. De website van stap 1 weet van niets, en draagt toch verantwoordelijkheid voor de keten die zij in gang zette.

Waarom dit ertoe doet

Drie Zweedse IMY-zaken uit 2024–2025 illustreren wat “onwetendheid” de markt kost.

Apohem (online apotheek): Meta Pixel deelde namen, e-mails, telefoonnummers en aankoopgeschiedenis. Geen DPIA, geen risicoanalyse. 8 miljoen SEK boete. Het probleem: marketing vroeg de pixel aan, IT zette hem in via Google Tag Manager, de privacy-officer zag het niet, het bestuur tekende af op “AVG-compliant”. Niemand controleerde wat er feitelijk werd verzonden.

Avanza Bank: marketing zette per ongeluk Meta’s “Automatic Advanced Matching” aan. Leningbedragen en rekeningnummers vlogen naar Meta. 15 miljoen SEK boete. Zweedse IMY: “Dit zijn financiële gegevens. De bank was aansprakelijk, zelfs al wisten zij niet dat het gebeurde.”

Apoteket AB: persoonsnummers en gezondheidsgerelateerde data lekten ondanks filters. 37 miljoen SEK boete. Dit was geen hack, het systeem werkte zoals ontworpen.

Onwetendheid is geen excuus. De verwerkingsverantwoordelijke, in dit geval de website, is aansprakelijk voor de gehele verwerkingsketen die zij in gang zet.

, Zweedse IMY

Meta zelf betaalde €1,2 miljard aan de Ierse DPC in 2023 voor onrechtmatige datatransfers naar de VS.

Beleidscontext

AVG artikel 6, rechtmatige grondslag voor verwerking. “Gerechtvaardigd belang” voor marketing is een veelgebruikte route, maar de verwerking mag niet onevenredig inbreuk maken op de rechten van betrokkenen.

AVG artikel 32, veiligheidsniveaus. Controleer wat je pixels verspreiden, niet alleen dat ze geladen worden.

AVG artikel 35, DPIA verplicht voor risicovolle verwerking. De Apohem-zaak werd gewonnen door Noyb omdat Apohem géén DPIA had gemaakt voor Meta Pixel.

AVG artikel 44-49, internationale datatransfers. Veel trackers sturen data naar de VS. Na Schrems II (HvJ EU, 2020) is dat juridisch risicovol zonder aanvullende waarborgen.

AVG artikel 82, schadevergoeding. Sinds C-300/21 (HvJ EU, 2023) kunnen slachtoffers rechtstreeks aansprakelijkheid eisen. Oma kan de eerste website aanklagen voor schadevergoeding, zelfs als de directe oorzaak een scammer was, zolang te bewijzen valt dat de datablootstelling de fraude mogelijk maakte.

In Nederland heeft de Autoriteit Persoonsgegevens sinds 2023 standaard-AVG-vervolgingen tegen databrokers ingesteld, en behandelt het OM datalekken steeds vaker als strafrecht.

Wat kunt u morgen doen

Voer deze week een pixel-audit uit. Laat IT inventariseren welke trackers op jullie sites en apps draaien en naar welke partijen ze data sturen. Gebruik browser-tools als The Markup Blacklight of een Google Tag Manager-export. Leg een spreadsheet aan: tracker → ontvanger → data → rechtsgrond.

Eis een DPIA per marketing-tracker. Onder AVG artikel 35 is dit verplicht. Elke Meta Pixel, elke Google Analytics-integratie verdient een eigen risicoanalyse. Laat twee vragen beantwoorden: welke persoonsgegevens verlaten ons domein, en wat kunnen die ontvangers ermee doen?

Schrap elke tracker die je niet in een zin kunt uitleggen. Vraag commercial: waar gaat deze data naartoe en waarom? Kunnen zij het niet beantwoorden in dertig seconden, haal hem weg. Dit is een verwerkingsbeslissing met persoonlijke aansprakelijkheid.

Breng je verwerkersketen tot het einde in kaart. Niet alleen wie je data ontvangt, maar wat zij ermee doen, aan wie zij doorverkopen, en of die partijen in de adtech/databroker-keten zitten. De AVG maakt jou aansprakelijk voor de gehele keten.

Zet tracking op de bestuurstafel. Een pixel plaatsen is een verwerkingsbeslissing met persoonlijke aansprakelijkheid voor bestuurders. Onderzoek: dekt je D&O-verzekering AVG-boetes? Vaker niet dan wel.

Persoonlijke actiepunten

Zoek je naam op via Google en people-search-sites. Schrik niet. Dit is in de publieke adtech-keten beschikbaar.

Gebruik je AVG-rechten. Artikel 15-21 geeft je recht op inzage, correctie en verwijdering.

Beperk wat je deelt. Loyaliteitskaarten, online quizzes, “gratis” apps zijn datakanalen.

Praat met je ouders. Bankhelpdeskfraude richt zich op 65+. Als zij weten dat bellers hun gegevens kunnen hebben zonder hen te kennen, herkennen zij de truc sneller.

Wat is er gebeurd?

7 april 2026. ChipSoft, leverancier van het HiX EPD-systeem dat 76 procent van alle Nederlandse ziekenhuizen draait, plus huisartsenpraktijken, tbs-klinieken en revalidatiecentra, constateert een cyberaanval. De eerste publieke verklaring spreekt van een “data-incident” met “mogelijke ongeautoriseerde toegang.” Z-CERT informeert zijn zorgklanten rechtstreeks: ransomware.

Nota bene: onderaan het artikel tref je de complete beslisboom met de zeven beslismomenten in de ChipSoft response: hoe het ging vs. hoe het had gemoeten.

De aanvaller is Embargo. Geen scriptkiddie-collectief: een professionele Ransomware-as-a-Service-operatie met een door TRM Labs geschatte crypto-omzet van 34 miljoen dollar. Vermoedelijk een rebrand van BlackCat/ALPHV, de Conti- spinoff die zijn eigen affiliates oplichtte voor 22 miljoen dollar voordat het deed alsof het door handhaving was opgerold. Rust-based malware, double extortion, politiek getinte berichten op de leak site. Dát is de tegenpartij waarmee ChipSoft heeft onderhandeld over uw patiëntdossiers.

De tijdlijn spreekt voor zich. Patiëntportalen bleven aanvankelijk online, pas na de komst van externe security-experts gingen ze offline. Ziekenhuizen moesten zeven dagen na de aanval alsnog alle ChipSoft-supportaccounts en digitale sleutels roteren, wat aangeeft dat de initiële forensische analyse de blast radius had onderschat. Op 16 april volgde bevestiging dat medische persoonsgegevens waren buitgemacht. Op 23 april plaatste Embargo aftelklokken op het darkweb; ChipSoft bevestigde aan NOS dat er “onderhandeld” werd. Op 28 april verscheen een LinkedIn-post met de mededeling dat de gestolen data “op technisch juiste wijze vernietigd” was, zonder toelichting, en zonder antwoord op de vraag of er losgeld betaald is.

Meer dan 60 datalekmeldingen zijn ingediend bij de Autoriteit Persoonsgegevens.

Getroffen instellingen omvatten Rijndam, Basalt, Van der Hoeven Kliniek (forensische zorg), Franciscus Gasthuis, Meander MC en Albert Schweitzer Ziekenhuis.

Waarom dit ertoe doet

ChipSoft beheert patiëntdossiers die u nooit bewust aan hen heeft toevertrouwd.

Diagnoses, medicatie, psychiatrische voorgeschieden, forensische rapporten, geconcentreerd bij één leverancier met 76 procent marktaandeel, licentiekosten van anderhalf tot twee miljoen euro per ziekenhuis, en een winstmarge van 42 procent op 107 miljoen euro omzet in 2019. De kaspositie bedraagt naar schatting 360 miljoen euro.

Dat marktaandeel is niet het resultaat van kwaliteitscompetitie. De ACM waarschuwde in 2022 al voor vendor lock-in in de zorgsector. ChipSoft probeerde het kritische rapport destijds via de rechter te blokkeren. UMCG, Ommelander en Treant werken inmiddels aan exit-routes, niet omdat ze dat graag willen, maar omdat ze geen alternatief meer voelen. Het betaal-dilemma De argumenten voor betalen zijn reëel. Als criminelen daadwerkelijk data vernietigen in ruil voor betaling, beperkt u de directe schade voor patiënten wier meest gevoelige gegevens op het spel staan. Een civiele procedure duurt jaren; Data op het darkweb zijn permanent.

De argumenten tegen zijn minstens even zwaar. Elke betaling financiert de volgende aanval op het volgende ziekenhuis. Geen “deletion certificate” van een crimineel collectief is verifieerbaar: TRM Labs documenteerde dat Embargo eerder zijn eigen affiliates oplichtte. Er is geen reden aan te nemen dat destructiebeloften betrouwbaarder zijn dan betalingsbeloften. Elke betaling normaliseert de businesscase van ransomware in de zorgsector.

Hackedemia’s positie: de vraag is niet óf u betaalt, maar waarom u in die positie zit.

Een leverancier met 76 procent marktaandeel en 360 miljoen euro cash heeft de middelen om weerbaarheid te bouwen. Dat dit niet is gebeurd, is de bestuurlijk relevante conclusie.

Beleidscontext

NIS2-meldplicht. De Nederlandse implementatie van NIS2 brengt de zorgsector onder de essentiële sectoren met een 24-uurs meldplicht voor significante incidenten en supply chain-vereisten voor kritische leveranciers. Een EPD-leverancier die drie weken nodig heeft om te bevestigen dat medische gegevens zijn buitgemaakt, voldoet niet aan de norm die NIS2 stelt. Bestuurdersaansprakelijkheid. ** NIS2 introduceert persoonlijke aansprakelijkheid voor bestuurders van essentiële entiteiten. “Wij wisten het niet” werkt niet meer als verweer. Bestuurders zijn verplicht aantoonbare kennis te hebben van de cybersecuritypositie van hun organisatie en kritische leveranciers, inclusief hun incidentrespons-procedures en meldtijdlijnen. DORA voor zorgverzekeraars. De Digital Operational Resilience Act geldt primair voor financiële instellingen, maar raakt zorgverzekeraars via de ICT-risicobeheervereisten voor derde partijen. De relatie tussen zorgverzekeraars en EPD-leveranciers is een directe testcase voor de supply chain-bepalingen van DORA. AVG: verwerker versus verantwoordelijke.** ChipSoft is verwerker; de zorginstelling is verwerkingsverantwoordelijke. De 72-uurs meldplicht bij de AP rust op de instelling, ook als de breach bij de verwerker zat. Instellingen die pas weken na de aanval voldoende informatie kregen om hun melding in te dienen, staan juridisch kwetsbaar.

De AP ontving meer dan 60 afzonderlijke meldingen: dat is precies hoe de AVG- structuur uitpakt bij een monopolistische leverancier die informatieverstrekking controleert.

Onderaan het artikel tref je de complete beslisboom met de zeven beslismomenten in de ChipSoft response: hoe het ging vs. hoe het had gemoeten.

Wat kunt u morgen doen?

Eis transparantie over ransomware-protocollen van uw kritieke ICT- leveranciers. Vraag elke leverancier van wie u operationele of patiëntengegevens beheert, schriftelijk om hun ransomware-protocol: Hoe snel wordt u geïnformeerd bij een incident? Wie onderhandelt er indien nodig? Wordt er een deletion certificate geboden? Als het antwoord onduidelijk is, ontbreekt er een essentiële contractuele en beleidsmatige laag. Actualiseer uw DPIA’s en risico-inventarisaties met concrete ransomware-scenario’s. Voeg aan elke DPIA voor kritieke ICT- leveranciers een scenario toe waarin die leverancier wordt getroffen: Hoe beperkt u de schade? Wie neemt welke beslissingen en binnen welk tijdsbestek? Concrete antwoorden op concrete scenario’s, geen generieke clausules. Maak ransomware-risico een vast bestuurlijk thema, ongeacht of u direct bent getroffen. NIS2 maakt supply chain-cybersecurity een bestuurdersverantwoordelijkheid. Het gaat niet om de vraag óf u betaalt, dat is een illusie van keuze. Het gaat om de vraag: was uw leverancier voorbereid? En zo niet, wat doet u daar nu aan?

Wat is er gebeurd?

7 april 2026. ChipSoft, leverancier van het HiX EPD-systeem dat 76 procent van alle Nederlandse ziekenhuizen draait, plus huisartsenpraktijken, tbs-klinieken en revalidatiecentra, constateert een cyberaanval. De eerste publieke verklaring spreekt van een “data-incident” met “mogelijke ongeautoriseerde toegang.” Z-CERT informeert zijn zorgklanten rechtstreeks: ransomware.

Nota bene: onderaan het artikel tref je de complete beslisboom met de zeven beslismomenten in de ChipSoft response: hoe het ging vs. hoe het had gemoeten.

De aanvaller is Embargo. Geen scriptkiddie-collectief: een professionele Ransomware-as-a-Service-operatie met een door TRM Labs geschatte crypto-omzet van 34 miljoen dollar. Vermoedelijk een rebrand van BlackCat/ALPHV, de Conti- spinoff die zijn eigen affiliates oplichtte voor 22 miljoen dollar voordat het deed alsof het door handhaving was opgerold. Rust-based malware, double extortion, politiek getinte berichten op de leak site. Dát is de tegenpartij waarmee ChipSoft heeft onderhandeld over uw patiëntdossiers.

De tijdlijn spreekt voor zich. Patiëntportalen bleven aanvankelijk online, pas na de komst van externe security-experts gingen ze offline. Ziekenhuizen moesten zeven dagen na de aanval alsnog alle ChipSoft-supportaccounts en digitale sleutels roteren, wat aangeeft dat de initiële forensische analyse de blast radius had onderschat. Op 16 april volgde bevestiging dat medische persoonsgegevens waren buitgemacht. Op 23 april plaatste Embargo aftelklokken op het darkweb; ChipSoft bevestigde aan NOS dat er “onderhandeld” werd. Op 28 april verscheen een LinkedIn-post met de mededeling dat de gestolen data “op technisch juiste wijze vernietigd” was, zonder toelichting, en zonder antwoord op de vraag of er losgeld betaald is.

Meer dan 60 datalekmeldingen zijn ingediend bij de Autoriteit Persoonsgegevens.

Getroffen instellingen omvatten Rijndam, Basalt, Van der Hoeven Kliniek (forensische zorg), Franciscus Gasthuis, Meander MC en Albert Schweitzer Ziekenhuis.

Waarom dit ertoe doet

ChipSoft beheert patiëntdossiers die u nooit bewust aan hen heeft toevertrouwd.

Diagnoses, medicatie, psychiatrische voorgeschieden, forensische rapporten, geconcentreerd bij één leverancier met 76 procent marktaandeel, licentiekosten van anderhalf tot twee miljoen euro per ziekenhuis, en een winstmarge van 42 procent op 107 miljoen euro omzet in 2019. De kaspositie bedraagt naar schatting 360 miljoen euro.

Dat marktaandeel is niet het resultaat van kwaliteitscompetitie. De ACM waarschuwde in 2022 al voor vendor lock-in in de zorgsector. ChipSoft probeerde het kritische rapport destijds via de rechter te blokkeren. UMCG, Ommelander en Treant werken inmiddels aan exit-routes, niet omdat ze dat graag willen, maar omdat ze geen alternatief meer voelen.

Het betaal-dilemma De argumenten voor betalen zijn reëel. Als criminelen daadwerkelijk data vernietigen in ruil voor betaling, beperkt u de directe schade voor patiënten wier meest gevoelige gegevens op het spel staan. Een civiele procedure duurt jaren; Data op het darkweb zijn permanent.

De argumenten tegen zijn minstens even zwaar. Elke betaling financiert de volgende aanval op het volgende ziekenhuis. Geen “deletion certificate” van een crimineel collectief is verifieerbaar: TRM Labs documenteerde dat Embargo eerder zijn eigen affiliates oplichtte. Er is geen reden aan te nemen dat destructiebeloften betrouwbaarder zijn dan betalingsbeloften. Elke betaling normaliseert de businesscase van ransomware in de zorgsector.

Hackedemia’s positie: de vraag is niet óf u betaalt, maar waarom u in die positie zit.

Een leverancier met 76 procent marktaandeel en 360 miljoen euro cash heeft de middelen om weerbaarheid te bouwen. Dat dit niet is gebeurd, is de bestuurlijk relevante conclusie.

Beleidscontext

NIS2-meldplicht. De Nederlandse implementatie van NIS2 brengt de zorgsector onder de essentiële sectoren met een 24-uurs meldplicht voor significante incidenten en supply chain-vereisten voor kritische leveranciers. Een EPD-leverancier die drie weken nodig heeft om te bevestigen dat medische gegevens zijn buitgemaakt, voldoet niet aan de norm die NIS2 stelt. Bestuurdersaansprakelijkheid. NIS2 introduceert persoonlijke aansprakelijkheid voor bestuurders van essentiële entiteiten. “Wij wisten het niet” werkt niet meer als verweer. Bestuurders zijn verplicht aantoonbare kennis te hebben van de cybersecuritypositie van hun organisatie en kritische leveranciers, inclusief hun incidentrespons-procedures en meldtijdlijnen. DORA voor zorgverzekeraars. De Digital Operational Resilience Act geldt primair voor financiële instellingen, maar raakt zorgverzekeraars via de ICT-risicobeheervereisten voor derde partijen. De relatie tussen zorgverzekeraars en EPD-leveranciers is een directe testcase voor de supply chain-bepalingen van DORA. AVG: verwerker versus verantwoordelijke. ChipSoft is verwerker; de zorginstelling is verwerkingsverantwoordelijke. De 72-uurs meldplicht bij de AP rust op de instelling, ook als de breach bij de verwerker zat. Instellingen die pas weken na de aanval voldoende informatie kregen om hun melding in te dienen, staan juridisch kwetsbaar.

De AP ontving meer dan 60 afzonderlijke meldingen: dat is precies hoe de AVG- structuur uitpakt bij een monopolistische leverancier die informatieverstrekking controleert.

Onderaan het artikel tref je de complete beslisboom met de zeven beslismomenten in de ChipSoft response: hoe het ging vs. hoe het had gemoeten.

Wat kunt u morgen doen?

Eis transparantie over ransomware-protocollen van uw kritieke ICT-leveranciers. Vraag elke leverancier van wie u operationele of patiëntengegevens beheert, schriftelijk om hun ransomware- protocol: Hoe snel wordt u geïnformeerd bij een incident? Wie onderhandelt er indien nodig? Wordt er een deletion certificate geboden? Als het antwoord onduidelijk is, ontbreekt er een essentiële contractuele en beleidsmatige laag.

Actualiseer uw DPIA’s en risico-inventarisaties met concrete ransomware-scenario’s. Voeg aan elke DPIA voor kritieke ICT- leveranciers een scenario toe waarin die leverancier wordt getroffen: Hoe beperkt u de schade? Wie neemt welke beslissingen en binnen welk tijdsbestek? Concrete antwoorden op concrete scenario’s, geen generieke clausules.

Maak ransomware-risico een vast bestuurlijk thema, ongeacht of u direct bent getroffen. NIS2 maakt supply chain- cybersecurity een bestuurdersverantwoordelijkheid. Het gaat niet om de vraag óf u betaalt, dat is een illusie van keuze. Het gaat om de vraag: was uw leverancier voorbereid? En zo niet, wat doet u daar nu aan?

SLOTSOM De ChipSoft-case is geen uitzondering. Het is een patroon. Een monopolistische leverancier met 76 procent marktaandeel, 360 miljoen euro cash en een winstmarge van 42 procent had de middelen om robuuste weerbaarheid op te bouwen. Dat dit niet is gebeurd, is geen technisch falen, het is bestuurlijk falen met patiëntdossiers als inzet.

De vraag is niet óf er losgeld is betaald. De vraag is waarom de organisatie die het meest gevoelige datatype van Nederlandse burgers beheert, niet beter voorbereid was. Ransomware is structurele kostenpost voor Critical Information Infrastructure Operators. NIS2 schrijft dat voor, maar handhaving blijft uit.

Totdat een Dutch Hospital Group-bestuurder persoonlijk aansprakelijk wordt gesteld wegens nalatigheid in leveranciersbeheer, verandert er niets.

Hackedemia verwacht dat het volgende major incident in de zorgsector opnieuw een leverancier met vergelijkbaar marktaandeel zal treffen. De vraag is niet of, maar wanneer. En of u dan beter voorbereid bent dan ChipSoft.

BESLISBOOM · INCIDENT RESPONSE

Hoe het ging vs. hoe het had gemoeten

Zeven beslismomenten in de ChipSoft-respons. Bij elk: de route die genomen is, en de route die op tafel lag. De optelsom verklaart waarom dit incident eindigt in Kamervragen in plaats van een gecontroleerde melding.

WAT CHIPSOFT DEED WAT HAD GEMOETEN BESLISMOMENT 01 7 APRIL · RANSOMWARE ONTDEKT Erkennen als ransomware in de eerste publieke verklaring?

NEE Geframed als ‘data-incident’ met ‘mogelijke ongeautoriseerde toegang’.

Z-CERT moest het echte verhaal vertellen.

JA Bevestig ransomware, noem (zodra bekend) de actor: Embargo.

Klanten kunnen scope-acties nemen, pers verstoort niet.

BESLISMOMENT 02 Patiëntportalen direct offline halen?

NEE 11 ziekenhuizen halen op eigen initiatief portalen offline.

ChipSoft volgt pas na druk van externen.

JA Centrale isolatie binnen uren, niet dagen.

Verkeer tussen dossier en internet liep via ChipSoft-servers.

BESLISMOMENT 03 Externe forensics inzetten vanaf uur één?

NEE Pas na vier dagen externen erbij. Direct daarna massale rotatie van sleutels en supportaccounts.

Bewijs dat de blast radius was onderschat.

JA Externe IR-firma plus Z-CERT vanaf moment één.

Scope-onzekerheid wordt minuten, geen dagen.

BESLISMOMENT 04 · HET KANTELPUNT Onderhandelen met de afperser?

JA Bevestigde onderhandelingen met Embargo, vermoedelijk een BlackCat- successor.

Patiënten zaten niet aan tafel.

NEE NCSC, politie en AP inschakelen; aangifte van afpersing.

Geen funding van de volgende aanval. Strafrechtelijk spoor blijft open.

BESLISMOMENT 05 Patiënten direct en gecoördineerd informeren?

NEE Doorverwezen naar ‘uw eigen huisarts of zorgverlener’. 60+ losse meldingen, patiënten in de mist, persberichten als infobron.

JA Eén centrale informatiepagina; klanten krijgen kant-en-klare patiëntcommunicatie binnen 72 uur.

AVG-meldplicht ingevuld, geen versplintering.

BESLISMOMENT 06 Openheid over een eventuele losgeldbetaling?

NEE ‘Geen mededelingen’ over betaling. Een non-position die enkel zin heeft als het antwoord ja is.

Vertrouwensschade groter dan de claim zelf.

JA Volledige disclosure aan AP, klanten en (vertrouwelijk) politie. Wallet-ID’s vastleggen voor forensisch spoor.

Voldoet aan zorgplicht, maakt sancties-screening mogelijk.

BESLISMOMENT 07 Vertrouwen op het ‘data vernietigd’-bewijs van de afperser?

JA LinkedIn-post: ‘vernietigd op technisch juiste wijze’. Geen forensisch rapport, geen onafhankelijke verificatie.

Een ‘deletion certificate’ van een crimineel is geen control.

NEE Aanname: data circuleert. Patiënten waarschuwen voor phishing/identiteitsfraude, monitoring activeren.

Threat-modelling op basis van werkelijkheid, niet hoop.

EINDSTATION

Twee routes, twee bestemmingen

GENOMEN ROUTE

Kamervragen, AP-

onderzoek,

vertrouwensschade

60+ datalekmeldingen, versplinterd Mogelijke betaling aan BlackCat-successor Politiek momentum voor exit- routes ALTERNATIEVE ROUTE

Gecontroleerd incident,

vertrouwen behouden

Eén heldere meldingstroom, AVG-conform Geen funding van criminelen Strafrechtelijk spoor blijft open Patiënten weten waar ze aan toe zijn

Wat is er gebeurd?

Op 22 april 2026 nam de Tweede Kamer, met een meerderheid van GroenLinks- PvdA, SP en andere partijen, een motie aan die het kabinet dringend opriep het DigiD-contract bij Solvinity weg te halen zodra de overname door het Amerikaanse Kyndryl doorgaat. Drie dagen later, op 25 april, informeerde staatssecretaris Eric van der Burg (BZK) de Kamer dat dit niet zou gebeuren. Het contract wordt twee jaar verlengd. Pas in 2028 komt er een nieuwe aanbesteding.

DigiD is de digitale identiteitsinfrastructuur van Nederland. Via dit systeem regelen 14 tot 18 miljoen burgers hun belastingaangifte, zorgpolis, uitkering, pensioen en studiefinanciering. Logius, het agentschap van het ministerie van BZK, beheert DigiD operationeel. De feitelijke cloudhosting en dataopslag waren jarenlang in handen van Solvinity, oorspronkelijk een Nederlands bedrijf. Solvinity is inmiddels al deels Brits. De volgende stap, overname door het Amerikaanse Kyndryl, zou de data van alle Nederlanders juridisch onder de Amerikaanse CLOUD Act brengen.

De CLOUD Act (Clarifying Lawful Overseas Use of Data, 2018) verplicht Amerikaanse bedrijven om op verzoek van de Amerikaanse overheid data te verstrekken, ongeacht waar die data fysiek is opgeslagen. Voor DigiD-data, burgerservicenummers, fiscale informatie, zorggegevens, betekent dit dat een buitenlandse mogendheid juridisch aanspraak kan maken op informatie over iedere ingezetene van Nederland. Wat het diagram laat zien. Logius publiceert op haar eigen site een architectuurdiagram van DigiD. Dat diagram toont twee flows: (A) DigiD aanvragen en (B) Inloggen met DigiD. Centraal in beide flows staat één oranje blok: “Infrastructuur platform beheerd door Solvinity.” Zowel de aanvraagflow als de inlogflow, elk bestaande uit drie stappen, passeren dit platform. Elke aanvraag, elke identiteitscontrole, elke inlogsessie gaat er doorheen.

Diezelfde Logius-pagina stelt: “Solvinity levert het platform waar DigiD op draait… Dit maakt Solvinity een leverancier van DigiD, niet eigenaar.” En: “Solvinity ontvangt het IP-adres en e-mailadressen van mensen met een DigiD-account.” Een platform dat elke aanvraag en elke inlogsessie van 14 miljoen burgers verwerkt is geen randverschijnsel. Het is de ruggengraat. De bagatelliserende tekst en het diagram vertellen een ander verhaal. Intern bij Solvinity: onrust en advocaten. Volgens berichtgeving in Trouw werd de CPO van Solvinity ontslagen. Er lekten interne documenten naar het ministerie van BZK. Strafrechtadvocaten zijn ingeschakeld. De details zijn nog schaars, maar de timing en de aard van de signalen passen in een patroon van een organisatie onder druk, juist op het moment dat haar toekomst als DigiD-ruggengraat ter discussie staat.

Waarom dit ertoe doet

Dit is niet alleen een technisch inkoopvraagstuk. Het is een democratisch probleem, een privacyprobleem en een soevereiniteitsprobleem tegelijk. De democratische doorbreking. Een meerderheid van de Tweede Kamer heeft expliciet gevraagd het contract niet te verlengen. De staatssecretaris heeft dit genegeerd. Dit is parlementair gezien problematisch: de uitvoerende macht passeert de controlerende functie van de Kamer in een zaak die raakt aan de digitale grondrechten van alle burgers. Vijf jaar zonder volwaardige DPIA, en Logius erkent het zelf. Gastexpert Mick Beer, onafhankelijk privacyonderzoeker, publiceerde op 17 april 2026 bevindingen die een structureel ander beeld schetsen van hoe Logius met privacywetgeving omgaat.

In het eigen document “Gegevensverwerkingen DigiD” stelt Logius letterlijk: “Na invoering van de AVG, in 2018, is er niet direct een nieuwe DPIA uitgevoerd, omdat de eerder uitgevoerde PIA’s voldoende inzicht gaven.” Die PIA’s dateerden uit 2017, gemaakt vóór de AVG, onder de Wet bescherming persoonsgegevens. AVG art. 35 verplicht een volwaardige privacy-impactanalyse voor verwerkingen met hoog risico.

DigiD verwerkt de digitale identiteit van de gehele Nederlandse bevolking. Het risicoprofiel is buiten kijf.

Een DPIA-achtig document is weliswaar opgenomen in het AVG-register rijksoverheid, maar dit verwijst vrijwel zeker naar dezelfde pre-AVG documentatie. De nuance: Logius kan formeel claimen “er was een assessment”. Materieel was het geen AVG- conforme DPIA. Beer’s conclusie, vijf jaar zonder volwaardige AVG-DPIA, is correct. Pas in 2023 kondigde Logius een nieuwe DPIA aan. Per april 2026 is die niet publiek beschikbaar. Tracking zonder toestemming. Beer documenteerde bovendien dat digid.nl Matomo trackingcookies plaatst (_pk_id, levensduur 13 maanden) bij het eerste bezoek, vóór enige interactie of toestemming. Er is geen cookiebanner, geen opt-in. De tracking volgt de gebruiker door de volledige journey: homepage → inlogpagina → MFA → MijnDigiD-dashboard.

Dit is direct in strijd met Telecommunicatiewet art. 11.7a, die opt-in vereist voor niet- functionele cookies. De CLOUD Act-blootstelling. Zodra Kyndryl eigenaar wordt van Solvinity, valt alle data die Solvinity beheert potentieel onder de Amerikaanse CLOUD Act. Er zijn geen contractuele clausules of GDPR-bepalingen die een formeel Amerikaans rechtelijk verzoek volledig blokkeren. Het kabinet heeft geen juridische redenering gepubliceerd waarom dit risico acceptabel is. Het signaaleffect. De keuze om de Kamer te passeren én het contract te verlengen stuurt een duidelijk signaal naar de markt: er zijn geen consequenties voor het niet-voldoen aan soevereiniteitseisen. Dat verzwakt elk toekomstig aanbestedingsbeleid.

Beleidscontext

Vier juridische en beleidsmatige kaders bepalen de context. AVG art. 35 en de ontbrekende DPIA. De AVG verplicht verwerkingsverantwoordelijken tot een data protection impact assessment bij verwerkingen met hoog risico. Logius had deze verplichting na mei 2018 direct moeten naleven. In plaats daarvan opereerde het systeem vijf jaar op pre-AVG documentatie. De toezichthouder, de Autoriteit Persoonsgegevens, heeft tot op heden geen handhavingsactie gepubliceerd. Dat is een open vraag voor de AP. Telecommunicatiewet art. 11.7a. Dit artikel verbiedt het plaatsen van niet- functionele cookies zonder voorafgaande toestemming. Trackingcookies met een levensduur van 13 maanden, geplaatst vóór enige interactie, vallen hieronder. De DDTC (Digital Trust Center) en ACM zijn de handhavende instanties. De bevinding van Beer is concreet genoeg voor een klacht. NIS2-richtlijn (Network and Information Security Directive 2). Per oktober 2024 verplicht NIS2 aanbieders van essentiële diensten tot aantoonbaar risicomanagement van hun leveranciersketen. DigiD kwalificeert onmiskenbaar als essentiële dienst. Het structureel uitbesteden van DigiD-hosting aan een entiteit met CLOUD Act- blootstelling verdient een expliciete NIS2-risicobeoordeling, die het kabinet niet publiek heeft gemaakt. EU digitale autonomie-agenda. De Europese Commissie heeft in haar Digital Decade-strategie (2030) en de European Chips Act expliciete doelen voor digitale soevereiniteit geformuleerd. GAIA-X, het Europese cloudproject, is deels een reactie op precies dit soort afhankelijkheden. Nederland is formeel mede- initiatiefnemer van GAIA-X. Het verlengen van een contract dat potentieel CLOUD Act- blootstelling creëert, staat haaks op de positie die Nederland in Brussel inneemt.

Wat kunt u morgen doen?

Audit uw eigen CLOUD Act-blootstelling binnen 30 dagen. Inventariseer welke bedrijfsprocessen en klantdata lopen via Amerikaanse cloudproviders of dochtermaatschappijen van Amerikaanse bedrijven.

Stel uw juridisch team de vraag: zijn er contractuele waarborgen die een CLOUD Act-verzoek blokkeren? Zo niet, breng dit als risico op de agenda van de Raad van Bestuur. De DigiD-casus maakt duidelijk dat zelfs de overheid dit risico jarenlang heeft onderschat.

Audit uw cookiebeleid en DPIA-status. De bevindingen van Mick Beer bij DigiD zijn niet uniek. Veel organisaties die publieke digitale diensten aanbieden hebben dezelfde structurele gebreken: cookies zonder opt-in, PIA’s die niet zijn geactualiseerd na de AVG (2018), en DPIA’s die formeel geregistreerd zijn maar materieel verouderd. Laat uw DPO een gap- analyse uitvoeren: zijn uw DPIA’s AVG-conform? Worden er tracking- cookies geplaatst vóór toestemming? Dit zijn geen hypothetische risico’s, het zijn de exacte issues waarop toezichthouders handhaven.

Volg de aanbesteding 2028 actief als kans of als risico. Het kabinet heeft aangekondigd dat per 2028 een nieuwe aanbesteding komt voor DigiD- hosting. Voor IT-dienstverleners en juridische adviseurs is dit een concrete marktkans. Voor organisaties die afhankelijk zijn van DigiD- integraties, zorgverzekeraars, pensioenfondsen, gemeenten, begin nu de gesprekken met Logius over wat continuïteit en eventuele migratie betekent voor uw systemen. Twee jaar gaat snel wanneer het om kritieke authenticatie-infrastructuur gaat.

Wat is er gebeurd?

Op 22 april 2026 nam de Tweede Kamer, met een meerderheid van GroenLinks- PvdA, SP en andere partijen, een motie aan die het kabinet dringend opriep het DigiD-contract bij Solvinity weg te halen zodra de overname door het Amerikaanse Kyndryl doorgaat. Drie dagen later, op 25 april, informeerde staatssecretaris Eric van der Burg (BZK) de Kamer dat dit niet zou gebeuren. Het contract wordt twee jaar verlengd. Pas in 2028 komt er een nieuwe aanbesteding.

DigiD is de digitale identiteitsinfrastructuur van Nederland. Via dit systeem regelen 14 tot 18 miljoen burgers hun belastingaangifte, zorgpolis, uitkering, pensioen en studiefinanciering. Logius, het agentschap van het ministerie van BZK, beheert DigiD operationeel. De feitelijke cloudhosting en dataopslag waren jarenlang in handen van Solvinity, oorspronkelijk een Nederlands bedrijf. Solvinity is inmiddels al deels Brits. De volgende stap, overname door het Amerikaanse Kyndryl, zou de data van alle Nederlanders juridisch onder de Amerikaanse CLOUD Act brengen.

De CLOUD Act (Clarifying Lawful Overseas Use of Data, 2018) verplicht Amerikaanse bedrijven om op verzoek van de Amerikaanse overheid data te verstrekken, ongeacht waar die data fysiek is opgeslagen. Voor DigiD-data, burgerservicenummers, fiscale informatie, zorggegevens, betekent dit dat een buitenlandse mogendheid juridisch aanspraak kan maken op informatie over iedere ingezetene van Nederland.

Wat het diagram laat zien.

Logius publiceert op haar eigen site een architectuurdiagram van DigiD. Dat diagram toont twee flows: (A) DigiD aanvragen en (B) Inloggen met DigiD. Centraal in beide flows staat één oranje blok: “Infrastructuur platform beheerd door Solvinity.” Zowel de aanvraagflow als de inlogflow, elk bestaande uit drie stappen, passeren dit platform. Elke aanvraag, elke identiteitscontrole, elke inlogsessie gaat er doorheen.

Diezelfde Logius-pagina stelt: “Solvinity levert het platform waar DigiD op draait… Dit maakt Solvinity een leverancier van DigiD, niet eigenaar.” En: “Solvinity ontvangt het IP-adres en e-mailadressen van mensen met een DigiD-account.” Een platform dat elke aanvraag en elke inlogsessie van 14 miljoen burgers verwerkt is geen randverschijnsel. Het is de ruggengraat. De bagatelliserende tekst en het diagram vertellen een ander verhaal.

Intern bij Solvinity: onrust en advocaten.

Volgens berichtgeving in Trouw werd de CPO van Solvinity ontslagen. Er lekten interne documenten naar het ministerie van BZK. Strafrechtadvocaten zijn ingeschakeld. De details zijn nog schaars, maar de timing en de aard van de signalen passen in een patroon van een organisatie onder druk, juist op het moment dat haar toekomst als DigiD-ruggengraat ter discussie staat.

Waarom dit ertoe doet

Dit is niet alleen een technisch inkoopvraagstuk. Het is een democratisch probleem, een privacyprobleem en een soevereiniteitsprobleem tegelijk.

De democratische doorbreking. Een meerderheid van de Tweede Kamer heeft expliciet gevraagd het contract niet te verlengen. De staatssecretaris heeft dit genegeerd. Dit is parlementair gezien problematisch: de uitvoerende macht passeert de controlerende functie van de Kamer in een zaak die raakt aan de digitale grondrechten van alle burgers.

Vijf jaar zonder volwaardige DPIA, en Logius erkent het zelf.

Gastexpert Mick Beer, onafhankelijk privacyonderzoeker, publiceerde op 17 april 2026 bevindingen die een structureel ander beeld schetsen van hoe Logius met privacywetgeving omgaat.

In het eigen document “Gegevensverwerkingen DigiD” stelt Logius letterlijk: “Na invoering van de AVG, in 2018, is er niet direct een nieuwe DPIA uitgevoerd, omdat de eerder uitgevoerde PIA’s voldoende inzicht gaven.” Die PIA’s dateerden uit 2017, gemaakt vóór de AVG, onder de Wet bescherming persoonsgegevens. AVG art. 35 verplicht een volwaardige privacy-impactanalyse voor verwerkingen met hoog risico.

DigiD verwerkt de digitale identiteit van de gehele Nederlandse bevolking. Het risicoprofiel is buiten kijf.

Een DPIA-achtig document is weliswaar opgenomen in het AVG-register rijksoverheid, maar dit verwijst vrijwel zeker naar dezelfde pre-AVG documentatie. De nuance: Logius kan formeel claimen “er was een assessment”. Materieel was het geen AVG- conforme DPIA. Beer’s conclusie, vijf jaar zonder volwaardige AVG-DPIA, is correct. Pas in 2023 kondigde Logius een nieuwe DPIA aan. Per april 2026 is die niet publiek beschikbaar.

Tracking zonder toestemming.

Beer documenteerde bovendien dat digid.nl Matomo trackingcookies plaatst (pkid, levensduur 13 maanden) bij het eerste bezoek, vóór enige interactie of toestemming. Er is geen cookiebanner, geen opt-in. De tracking volgt de gebruiker door de volledige journey: homepage → inlogpagina → MFA → MijnDigiD-dashboard.

Dit is direct in strijd met Telecommunicatiewet art. 11.7a, die opt-in vereist voor niet- functionele cookies.

De CLOUD Act-blootstelling. Zodra Kyndryl eigenaar wordt van Solvinity, valt alle data die Solvinity beheert potentieel onder de Amerikaanse CLOUD Act. Er zijn geen contractuele clausules of GDPR-bepalingen die een formeel Amerikaans rechtelijk verzoek volledig blokkeren. Het kabinet heeft geen juridische redenering gepubliceerd waarom dit risico acceptabel is.

Het signaaleffect. De keuze om de Kamer te passeren én het contract te verlengen stuurt een duidelijk signaal naar de markt: er zijn geen consequenties voor het niet- voldoen aan soevereiniteitseisen. Dat verzwakt elk toekomstig aanbestedingsbeleid.

Beleidscontext

Vier juridische en beleidsmatige kaders bepalen de context.

AVG art. 35 en de ontbrekende DPIA. De AVG verplicht verwerkingsverantwoordelijken tot een data protection impact assessment bij verwerkingen met hoog risico. Logius had deze verplichting na mei 2018 direct moeten naleven. In plaats daarvan opereerde het systeem vijf jaar op pre-AVG documentatie. De toezichthouder, de Autoriteit Persoonsgegevens, heeft tot op heden geen handhavingsactie gepubliceerd. Dat is een open vraag voor de AP.

Telecommunicatiewet art. 11.7a. Dit artikel verbiedt het plaatsen van niet-functionele cookies zonder voorafgaande toestemming. Trackingcookies met een levensduur van 13 maanden, geplaatst vóór enige interactie, vallen hieronder. De DDTC (Digital Trust Center) en ACM zijn de handhavende instanties. De bevinding van Beer is concreet genoeg voor een klacht.

NIS2-richtlijn (Network and Information Security Directive 2). Per oktober 2024 verplicht NIS2 aanbieders van essentiële diensten tot aantoonbaar risicomanagement van hun leveranciersketen. DigiD kwalificeert onmiskenbaar als essentiële dienst. Het structureel uitbesteden van DigiD-hosting aan een entiteit met CLOUD Act- blootstelling verdient een expliciete NIS2-risicobeoordeling, die het kabinet niet publiek heeft gemaakt.

EU digitale autonomie-agenda. De Europese Commissie heeft in haar Digital Decade- strategie (2030) en de European Chips Act expliciete doelen voor digitale soevereiniteit geformuleerd. GAIA-X, het Europese cloudproject, is deels een reactie op precies dit soort afhankelijkheden. Nederland is formeel mede- initiatiefnemer van GAIA-X. Het verlengen van een contract dat potentieel CLOUD Act- blootstelling creëert, staat haaks op de positie die Nederland in Brussel inneemt.

Wat kunt u morgen doen?

Audit uw eigen CLOUD Act-blootstelling binnen 30 dagen.

Inventariseer welke bedrijfsprocessen en klantdata lopen via Amerikaanse cloudproviders of dochtermaatschappijen van Amerikaanse bedrijven. Stel uw juridisch team de vraag: zijn er contractuele waarborgen die een CLOUD Act-verzoek blokkeren? Zo niet, breng dit als risico op de agenda van de Raad van Bestuur. De DigiD-casus maakt duidelijk dat zelfs de overheid dit risico jarenlang heeft onderschat.

Audit uw cookiebeleid en DPIA-status. De bevindingen van Mick Beer bij DigiD zijn niet uniek. Veel organisaties die publieke digitale diensten aanbieden hebben dezelfde structurele gebreken: cookies zonder opt-in, PIA’s die niet zijn geactualiseerd na de AVG (2018), en DPIA’s die formeel geregistreerd zijn maar materieel verouderd. Laat uw DPO een gap-analyse uitvoeren: zijn uw DPIA’s AVG-conform? Worden er tracking-cookies geplaatst vóór toestemming? Dit zijn geen hypothetische risico’s, het zijn de exacte issues waarop toezichthouders handhaven.

Volg de aanbesteding 2028 actief als kans of als risico. Het kabinet heeft aangekondigd dat per 2028 een nieuwe aanbesteding komt voor DigiD-hosting. Voor IT-dienstverleners en juridische adviseurs is dit een concrete marktkans. Voor organisaties die afhankelijk zijn van DigiD-integraties, zorgverzekeraars, pensioenfondsen, gemeenten, begin nu de gesprekken met Logius over wat continuïteit en eventuele migratie betekent voor uw systemen. Twee jaar gaat snel wanneer het om kritieke authenticatie-infrastructuur gaat.

Boardroom-schok: de architecten stonden er zelf in

De lijst bevatte een naam die er niet in had mogen staan: de CEO van Odido zelf. Niet als bijvangst, niet als gevolg van een onvoorziene kwetsbaarheid, maar als logisch gevolg van het systeem dat zijn eigen bedrijf had gebouwd.

Op 3 maart 2026 bevestigde Odido dat bij een cyberaanval gegevens van klanten waren buitgemaakt. Daniël Verlaan en Jasper Bunskoek van RTL Nieuws onthulden vervolgens de werkelijke omvang: geen 6,2 miljoen accounts, maar 17 miljoen dataregels. Gegevens die teruggaan tot 2010. Zestien jaar aan informatie die, op grond van Odido’s eigen privacyverklaring, al jaren had moeten zijn vernietigd.

Dat is de eigenlijke schok voor elke bestuurskamer in Nederland. Niet het lek zelf, lekken zijn een operationeel risico. De schok is de architectonische keuze die eraan voorafging: data bewaren omdat het kan, zonder te vragen of het mag. Wie gegevens opslaat die hij niet nodig heeft, schept een gevaar dat hij niet kan beheersen. “Data die u bewaart is geen asset. Het is aansprakelijkheid, en bij dit lek ook persoonlijk gevaar voor de directie.” Odido’s directie stond op de lijst. Als de mensen die het systeem bouwden en goedkeurden er zelf niet veilig in zijn, is het systeem niet onveilig door pech. Het systeem is kapot door ontwerp.

De systeemfout: data als toxic asset

Het Odido-lek is geen verhaal over een zwakke firewall of een onoplettende medewerker. Het is een verhaal over een bedrijfsmodel dat data behandelt als bezit, zonder te erkennen dat bezit ook verplichting inhoudt.

Mijn forensische analyse van de gelekte dataset toont 5,5 miljoen “digital zombies”: voormalige Odido-klanten van wie het contract al jaren, in sommige gevallen meer dan een decennium, geleden afliep, maar wiens volledige klantprofiel intact was gebleven. Naam, adres, geboortedatum, BSN, paspoortkopie, bewaard tot 2010 terug, in structurele strijd met Odido’s eigen beleid dat een maximale bewaartermijn van twee jaar hanteert.

Deze data was geen vergissing. Databases worden niet vanzelf twaalf jaar groot. Dat vereist actieve keuzes: géén opschoonprocedure inrichten, géén technische waarborgen bouwen die afdwingen wat de privacyverklaring belooft. De kloof tussen beleid en praktijk, in dit geval meer dan een decennium breed, is het bewijs dat retentiebeleid in veel organisaties een document is, geen systeem. 17 mln dataregels in de gelekte dataset (niet 6,2 mln accounts) 5,5 mln digital zombies, ex-klanten tot 2010, buiten retentiebeleid bewaard €6,3 mrd maatschappelijke schadelast per jaar (Kamerdossier 2026Z04148, conservatief) €155 gemiddelde kosten per gelekt record (IBM Cost of a Data Breach Report 2024) De financiële impact is kwantificeerbaar. Kamerdossier 2026Z04148/2026D09561, in behandeling bij de Tweede Kamer Commissie Digitale Zaken, becijfert de maatschappelijke schadelast op €6,3 miljard per jaar. Conservatief. Meer dan het volledige jaarbudget van de Nationale Politie. Elke bestuurder die de schade van dit lek als “een zaak van Odido” beschouwt, onderschat de systemische reikwijdte van de keuze die eraan ten grondslag ligt.

Nationale veiligheidslaag: dit is geen consumentenkwestie

Beveiligingsincidenten bij telecomproviders worden doorgaans behandeld als consumentenproblemen. Het Odido-lek is dat niet. De dataset bevat een veiligheidslaag die de vraag van consumentenbescherming ver overstijgt.

Mijn analyse identificeert 38 Politiek Prominente Personen (PPP’s), personen met publieke of politieke functies, wier BSN-nummer en paspoortkopie zijn blootgesteld.

Meer dan 16.000 medewerkers van vitale sectoren werden getroffen: 161 ASML- medewerkers, meer dan 570 politie- en defensiemedewerkers, en personeel van Philips, NXP, Schiphol en drinkwaterbedrijven. Gegevens die bij de verkeerde partijen direct operationeel zijn in te zetten voor spionage, social engineering of gerichte chantage.

Follow the Money reconstrueerde dit patroon in zijn analyse van 5 maart 2026: vitale sectoren zijn systematisch blootgesteld, niet incidenteel. Dat maakt dit lek tot een veiligheidsvraagstuk dat op bestuursniveau van de getroffen organisaties, niet alleen bij Odido, aandacht verdient. 2.990 kwetsbare personen, GGZ-patiënten, slachtoffers van stalking, mensen onder getuigenbescherming, wier locatiegegevens en contactinformatie in de dataset zitten. 300.000 zakelijke dossiers met privé-IBAN-nummers: kant-en-klare infrastructuur voor CEO-fraude. 4.249 MKB-eigenaren traceerbaar op zowel KvK-nummer als privé- bankrekening.

De vraag die elke CISO en bestuurder zich moet stellen, is niet “zijn wij gehackt?” maar “welke data over onze medewerkers, klanten en relaties bewaren wíj die bij een lek nationale veiligheidsimplicaties heeft?”

Juridische aardverschuiving: de basis voor paspoortkopieën

wankelt

Naast de veiligheidsdimensie openbaart het Odido-lek een juridisch vraagstuk dat de hele markt raakt: de grondslag waarop Nederlandse organisaties al jaren paspoortkopieën verzamelen en bewaren, is juridisch zwakker dan aangenomen.

Artikel 33 van de Wwft verplicht organisaties de identiteit van klanten vast te stellen.

Wat de wet niet vereist, en dit is juridisch cruciaal, is dat een kopie van het identiteitsbewijs wordt bewaard. Verificatie is een alternatief voor kopie, niet een aanvulling daarop. Organisaties die dit jarenlang verkeerd hebben geïmplementeerd, bewaren documenten die zij wettelijk nooit hoefden te bewaren.

Danny Mekić onderzocht in 2024 voor de TU Delft de juridische status van paspoortkopieën in Nederland. Zijn conclusie: een paspoortkopie vormt een ernstiger privacyschending dan een losse combinatie van persoonsgegevens, omdat het één document verstrekt waarmee meerdere vormen van identiteitsfraude gelijktijdig mogelijk zijn.

AVG artikel 5, het dataminimalisatiebeginsel, verbiedt het bewaren van meer gegevens dan noodzakelijk voor het doel waarvoor ze zijn verzameld. Zestien jaar bewaartermijn voor voormalige telecomklanten is hiermee onverzoenbaar. De Autoriteit Persoonsgegevens heeft instrumenten om dit te handhaven. De vraag is niet óf maar wanneer.

Wetsvoorstel 2026Z04148, op 13 maart 2026 geaccepteerd door de Commissie Digitale Zaken, beoogt het Check Don’t Store-principe wettelijk afdwingbaar te maken: verificatie van identiteit zonder opslag van documenten. De EUDI Wallet, die eind 2026 in Nederland verplicht wordt, biedt de technische infrastructuur voor precies dit model. “De juridische richting is helder. Wie nu begint met afbouwen van onnodige documentopslag, loopt voor op wat wetgeving straks afdwingt.”

Wat uw organisatie vandaag moet doen

Het Odido-lek vraagt om vier concrete acties, ongeacht sector of omvang.

Audit uw identiteitsgegevens. Welke persoonsdocumenten bewaart u? Van wie, en waarom? Wat is de juridische grondslag per categorie? Veel organisaties hebben nooit een systematische inventarisatie gemaakt van de documenten die zij routinematig opslaan als onderdeel van onboarding-processen, HR-procedures of leveranciersbeheer. Begin daar.

Confronteer uw retentiebeleid met de werkelijkheid. Uw privacyverklaring belooft iets. Uw systemen doen mogelijk iets anders, al jarenlang. Uw Functionaris voor Gegevensbescherming moet kunnen aantonen dat wat beloofd wordt ook technisch wordt afgedwongen, niet slechts beschreven. Het Odido-lek toont wat er gebeurt als die kloof tien jaar lang niet gedicht wordt.

Verken alternatieven voor kopie-opslag. iDIN, DigiD en eIDAS bieden vandaag al verificatieoplossingen die identiteit bevestigen zonder documentopslag. Bits of Freedom heeft de Check Don’t Store-aanpak gevalideerd als technisch en juridisch uitvoerbaar voor een groot deel van de huidige toepassingen. Voor veel processen waarbij paspoortkopieën worden bewaard, bestaat al een privacy-veilig alternatief.

Begin nu met EUDI Wallet-voorbereiding. De verplichting om de Europese digitale identiteitsportemonnee te accepteren als verificatiemiddel treedt eind 2026 in werking. Organisaties die nu beginnen, vermijden een rush-implementatie later, en positioneren zichzelf als koplopers in een markt die toch die kant opgaat.

Conclusie: wat u niet opslaat, kan niet lekken

MFA-beleid en zero-trust architectuur zijn zinvolle maatregelen, maar ze beschermen niet tegen een datalek van gegevens die twaalf jaar zijn bewaard zonder operationeel doel. Als de data er niet was geweest, was de schade er niet geweest. “Wat je niet opslaat, kan niet lekken.” Check Don’t Store is geen slogan, het is het enige verdedigingsmechanisme dat werkt voor data die er nooit had mogen zijn. Wetsvoorstel 2026Z04148 ligt bij de Tweede Kamer. Bits of Freedom valideert de aanpak. De EUDI Wallet maakt hem infrastructureel mogelijk. Den Haag is aan zet.

Maar bestuurders hoeven niet te wachten op wetgeving om te stoppen met het bewaren van data die zij niet nodig hebben. De keuze om de datakluis te lichten is al van u.

Drie datalekken in één week: waarom 40.000–80.000 Nederlanders nu een levensgevaarlijk compleet profiel op de darkweb kunnen hebben

LinkedIn-connecties, collega’s in cybersecurity, privacy, zorg, IT en digitalisering,

Vorige week gebeurde het weer. Drie grote datalekken, bijna gelijktijdig:

• 7 april 2026: ransomware bij ChipSoft
• 13 april 2026: datalek bij Basic-Fit, 200.000 Nederlandse leden
• 13 april 2026: datalek bij Booking.com, boekingsdata van (nog) onbekend aantal klanten

Op zichzelf al ernstig. Maar als je in alle drie voorkomt, en de kans daarop is reëel, heeft een criminele actor een bijna compleet digitaal levensdossier van je.

Dit is geen incident.

Dit is een fundamenteel probleem hoe we als samenleving met bedrijven, transacties en data omgaan.

De feiten

• Basic-Fit: naam, adres, e-mail, telefoon, geboortedatum, IBAN + incassomachtiging, lidmaatschaps- en bezoekgegevens. Exact 200.000 Nederlanders.

• Booking.com: naam, e-mail, telefoon, adres, volledige boekingshistorie inclusief data, locaties en persoonlijke notities aan hotels.

• ChipSoft: software in 76 % van alle Nederlandse ziekenhuizen. Risico op naam, adres, BSN, volledige medische geschiedenis (diagnoses, medicijnen, behandelingen, zorgplannen) en verzekeringsdata.

Berekening: hoeveel mensen raken alle drie?

Nederland: ± 18,45 miljoen inwoners (CBS/Worldometers, april 2026).

• p(Basic-Fit) = 1,08 %
• p(ChipSoft) ≈ 55 % (conservatief, op basis van marktaandeel + zorggebruik)
• p(Booking.com) ≈ 35 % (realistische schatting reizende volwassenen)

p(all 3) = 0,0108 × 0,55 × 0,35 = 0,208 %

→ ± 38.000 mensen (midden-scenario).

Bij alleen de Basic-Fit-slachtoffers al ligt de overlap tussen 40.000 en 80.000 Nederlanders.

Wat weet een actor dan precies, en waarom dit ZO gevaarlijk is

Een gecoördineerde aanvaller heeft NU:

• Volledige identiteit (naam + BSN + geboortedatum + adres + contact)
• Financiële gegevens (IBAN + incasso)
• Medisch dossier (diagnoses, medicijnen, behandelingen)
• Reisgedrag (wanneer je weg bent, waarheen, wat je aan hotels hebt doorgegeven)

Dit is geen “gewoon datalek”. Dit is een kant-en-klaar profiel voor identiteitsfraude op topniveau, gerichte afpersing, hyperrealistische phishing of verkoop als premium-lead op de darkweb.

De combinatie maakt het levensgevaarlijk: iemand weet niet alleen wie je bent en waar je bankt, maar ook wanneer je ziek bent én wanneer je huis leegstaat. Dat is het niveau van een staatsactor of een zeer goed georganiseerde criminele groep.

Dit is geen ‘hack’-probleem. Dit is systeemfalen.

Hacks zijn alleen het symptoom. Het echte probleem zit in hoe we als samenleving data organiseren:

• Extreme centralisatie (één leverancier domineert 76 % van de zorg → single point of failure)
• Datahoarding (bedrijven bewaren jarenlang veel meer dan nodig)
• Ontbrekende privacy by design
• Een economisch model waarin persoonlijke data het verdienmodel is
• Te grote afhankelijkheid van een handjevol dominante spelers in kritieke sectoren

Zolang we dit model niet fundamenteel veranderen, met echte data-minimalisatie, vendor-diversiteit, strengere eisen aan kritieke infrastructuur en een maatschappelijke discussie over wat bedrijven eigenlijk van ons mogen weten, blijft dit elke paar weken gebeuren.

Het is geen pech. Het is hoe we als samenleving met bedrijven, transacties en data zijn gaan omgaan.

Wat nu?

• Check je meldingen bij Basic-Fit, Booking.com en je zorgaanbieder.
• Activeer 2FA overal en minimaliseer waar mogelijk je data. (en overweeg te stoppen)
• Voor organisaties: stop met datahoarding en begin met echte privacy by design.
• Voor beleidsmakers: tijd voor wetgeving die single points of failure in kritieke sectoren aanpakt.

Laten we dit geen “weer een lek” noemen. Laten we het een wake-up call noemen voor een structurele verandering in ons datamodel.

Wie kun je aansprakelijk stellen en waarom je dit moet doen

Basic-Fit, Booking.com en, voor de ChipSoft-systemen, de Nederlandse ziekenhuizen en huisartsenpraktijken zijn de verwerkingsverantwoordelijken. Zij bepalen zelf welke persoonsgegevens ze verzamelen, hoe lang ze die bewaren en of ze meer data opslaan dan strikt noodzakelijk is.

Wanneer deze organisaties onnodig veel gegevens hamsteren, een IBAN bij een sportschool, volledige boekingsnotities met persoonlijke details, of complete medische dossiers zonder directe noodzaak, overtreden ze het kernbeginsel van dataminimalisatie uit de AVG (artikel 5 lid 1 sub c).

Als gedupeerde kun je deze organisaties rechtstreeks aansprakelijk stellen op grond van artikel 82 AVG. Daarin staat letterlijk dat iedereen die schade heeft geleden ten gevolge van een inbreuk op deze verordening het recht heeft op schadevergoeding van de verwerkingsverantwoordelijke.

“If nothing changes, nothing changes.”

Neem actie!

Gebruik om je kant en klare bezwaarschrift in te dienen:

nl-data-optout/

Cybersecurity #Privacy #Datalek #GDPR #Digitalisering #ZorgIT #FundamentalProblem #Nederland

Bronnen

• ChipSoft: Z-CERT officiële update (8 april 2026) + M&I/Partners EPD-landschap 2026
• Basic-Fit: officiële persbericht + Reuters/Tweakers (13 april 2026)
• Booking.com: officiële klantmelding + TechCrunch/NL Times (13 april 2026)
• Bevolkingscijfers & berekeningen: CBS & eigen onafhankelijke overlap-schatting (april 2026)

(Alle informatie is openbaar en geverifieerd op het moment van schrijven.)

Maker of Paramant.app · Post-Quantum Data Transfer Protocol · Privacy & Security Researcher · mickbeer.com

In 2008, Satoshi Nakamoto solved a decades-old problem: proving a transaction occurred at a specific time without trusting a central authority. The solution was a Merkle tree, each transaction is hashed, those hashes combined and hashed again, repeating until a single root hash represents the entire history. “Change anything, and the root changes. The fraud is mathematically detectable by anyone, without permission from anyone.”

Blockchain became synonymous with cryptocurrency, but the underlying breakthrough was about trust without intermediaries. The same principle applies to file transfer, yet this problem remains unsolved.

The unsolved trust problem in data transport

Daily across Europe, sensitive data moves between hospitals and specialists, lawyers and counterparties, industrial systems and control centers, financial institutions and regulators. All face the same challenge: proving transfer occurred, wasn’t tampered with, and arrived, without relying on vendors or servers to confirm truth.

Current solutions store audit trails on their own servers, requiring trust in platforms that may be breached, acquired, or subject to court orders. “This is not a theoretical concern. It is the operational reality of every major file transfer platform in use today.”

The same math. A different problem.

Ghost Pipe applies Merkle tree architecture to file transport with a fundamental difference: “the content is never stored anywhere.” Each transfer creates a leaf in a Merkle tree. The relay hashes the transfer, appends it to the log, and signs the resulting root with a post-quantum ML-DSA-65 key. The log is append-only and public, anyone can verify a transfer occurred at a specific time without knowing what was transferred.

The file exists in RAM only and is destroyed after one read. What remains is pure mathematical proof requiring no trust in Paramant, vendors, or authorities.

Why quantum changes everything, and why we built this now

Blockchain’s cryptographic foundations face quantum vulnerability. “Bitcoin’s ECDSA signatures can be broken by Shor’s algorithm.” Ghost Pipe avoided this mistake.

The system uses ML-KEM-768 (NIST FIPS 203, finalized August 2024) for key exchange and ML-DSA-65 (NIST FIPS 204) for signatures, both post-quantum standards mathematically immune to Shor’s algorithm. “An adversary who records Ghost Pipe traffic today cannot decrypt it after Q-Day.” The Harvest Now, Decrypt Later strategy is eliminated by design.

What we actually shipped

This is running infrastructure, not theoretical documentation:

• Ghost Pipe relay: post-quantum encrypted transport with RAM-only, burn-on-read architecture. Five sector relays live: healthcare, legal, finance, industrial IoT, and general. Free managed relay at paramant.app or self-hostable in under two minutes.

• Public CT log: live Merkle audit log at paramant.app/ct showing every registered relay and transfer proof. Publicly verifiable without account requirements.

• 44 CLI tools: sector-specific workflows for healthcare (NEN 7510, DICOM), legal (eIDAS), industrial OT (IEC 62443), finance (NIS2/DORA), and government.

• ParamantOS: bootable relay server. Plug in USB, boot, and a hardened post-quantum relay runs with no configuration or Docker knowledge needed.

• Python and JavaScript SDKs: with full inclusion proof support for cryptographic delivery verification.

• Compliance documentation: mapped to NIS2, NEN 7510, IEC 62443, eIDAS, and GDPR Art. 28 requirements, technical documentation, not marketing claims.

• Full source code: auditable, forkable, self-hostable. No vendor dependency, no US infrastructure. Hetzner Frankfurt only. No US CLOUD Act exposure.

The EU sovereignty angle

Blockchain’s trust model is global and stateless, creating sovereignty problems. Ghost Pipe differs by design: “You run it in your own jurisdiction. On your own server. With your own keys.” The managed relay runs on Hetzner in Frankfurt under German law and EU jurisdiction, with no American cloud provider in the stack.

For European healthcare providers, legal institutions, industrial operators, and government agencies, jurisdiction matters. “GDPR Art. 28 requires documented processor agreements. NIS2 requires EU-jurisdiction infrastructure. Ghost Pipe satisfies both by default.”

The EU invested billions in digital sovereignty programs. “The missing piece was not policy or funding. It was infrastructure that actually worked this way by design, not by compliance checkbox.”

Why this should have existed a decade ago

The Merkle tree was published in 1979. Certificate Transparency applied it to TLS certificates in 2013. It took until 2026 for application to file transport with post-quantum cryptography and zero-storage architecture.

“Every organization in Europe that handles sensitive data, medical, legal, financial, critical infrastructure, is currently using file transfer software built on an architecture that will be broken by quantum computers, stores data on servers that can be seized, and provides audit trails controlled by vendors.”

Ghost Pipe is the alternative: free, open source, EU sovereign, quantum-safe, and running now.

https://paramant.app

Better a warrior in a garden than a gardener in a war.

Onderzoek naar AVG-compliance bij Nederlandse nieuwssites

Dit artikel documenteert technische tests van twee Nederlandse nieuwssites op naleving van privacyregels rond cookie-toestemming. De auteur onderzocht De Volkskrant (DPG Media) en De Telegraaf (Mediahuis) met dezelfde methodologie als eerder onderzoek naar NOS.nl en NU.nl.

Testmethodologie

Voor beide sites voerde de auteur uit:

• Wissen van alle cookies via Firefox
• Laden in schoon browserprofiel
• Opnemen van HAR-bestanden (volledig netwerkverkeer)
• Exporteren van cookiestore na “Alles weigeren”
• Inspectie van opslag via DevTools

De Volkskrant: bevindingen

De Volkskrant gebruikt hetzelfde consent-platform als NU.nl: myprivacy.dpgmedia.nl. Het consent-scherm vertoont:

• Primaire “Akkoord”-knop (geel, groot)
• “Instellen”-knop (grijs, vergt extra klik voor weigeropties)
• Aankondiging van 106 partners, maar slechts 103 daadwerkelijk in de lijst (−3 verschil)

Na “Alles weigeren” bleven 16 cookies aanwezig, waaronder:

• TID_ID: Tracking identifier zonder gedocumenteerd doel, aanwezig ondanks weigering
• _ain_uid: Advertising Intelligence user ID, aanwezig ondanks weigering
• _vwo_uuid_v2: A/B-test cookie van Wingify, aanwezig uitsluitend in weiger-dump (suggereert pre-consent plaatsing)

HAR-analyse toonde 40 verzoeken naar AppNexus’ non-personalized variant (adnxs-simple.com) na weigering, zonder transparantie hierover in het consent-scherm.

De Telegraaf: bevindingen

De Telegraaf (Mediahuis) gebruikt Didomi-platform en vertoont gelijkaardige problemen:

• 130 partners aangekondigd, maar slechts 127 unieke entries (duplicaten: GumGum, Instagram, Youtube)
• Ook hier −3 discrepantie
• Geen directe weigerknop op eerste laag

Cookies aanwezig na weigering:

• _mhtc_cId: Mediahuis tracking ID
• cs_fpid: ContentSquare fingerprint ID met 34-jaar looptijd
• ab-test-bc-357-variant: A/B-test cookie uitsluitend in weiger-dump

Google Analytics cookies werden correct verwijderd na weigering, wat aantoont dat het systeem selectief cookies kan blokkeren.

Breder patroon

Dezelfde −3 partner-discrepantie verscheen bij alle drie commerciële sites (NU.nl: 104→101, Volkskrant: 106→103, Telegraaf: 130→127). Dit patroon over meerdere eigenaren en platforms suggereert een gedeelde praktijk in de industrie.

Alle vier geteste sites (NOS.nl, NU.nl, Volkskrant, Telegraaf) missen directe weigerknop op eerste laag. Gezamenlijk bereik: 2,6 miljard bezoeken per jaar.

Juridische schendingen

Geïdentificeerde overtredingen:

• AVG artikel 4 lid 11 (toestemming): Drie-klik UX voor weigeren ondermijnt vrijwilligheid
• AVG artikel 5 lid 1 sub a (transparantie): Partner-discrepanties en niet-opengevallen overschakeling naar contextual advertising
• AVG artikel 25 lid 2 (privacy by default): Cookies geplaatst vóór consent-keuze
• Richtlijn 2002/58/EG artikel 5 lid 3: Vereist ondubbelzinnige toestemming voordat cookies worden geplaatst

Boete-risico’s

Op basis van traffic volume en ernst van schendingen werden geschatte boete-ranges gegeven:

• NOS.nl: €800k–€2M
• NU.nl: €800k–€2M
• Volkskrant: €400k–€1M
• Telegraaf: €600k–€1.5M

DPG Media ontving eerder een boete van €525k (later €300k in hoger beroep) voor gelijkaardige schendingen bij NU.nl, wat recidive-risico verhoogt.

Aanbevelingen aan Autoriteit Persoonsgegevens

De auteur adviseert:

• Verplichten van gelijkwaardige UX (één klik accepteren = één klik weigeren)
• Verplichte transparantie over advertentieverzoeken na weigering
• Onderzoek naar partner-lijsten en pre-consent plaatsing
• Sector-breed audit van Nederlandse nieuwssites
• Noodprocedure voor systematische DPG-schendingen gegeven recidive

Reproduceerbaarheid

Alle bevindingen zijn reproduceerbaar met Firefox, DevTools, Cookie Editor-extensie en HAR-export. Testbestanden beschikbaar op aanvraag voor peer review.

De auteur kondigde aan verdere tests uit te voeren op AD.nl en andere sites, en meldde bevindingen op 25 maart aan de AP met referentie 7cb0–9871.

101 Advertentiepartners: Het Probleem Met “Informed Consent” op Nederlandse Nieuwssites

Een diepgaand onderzoek naar cookie compliance bij NU.nl, NOS.nl en de illusie van privacy op het Nederlandse internet

door Mick Beer | 22 maart 2026

Je opent NU.nl. Een cookie banner verschijnt:

“We gebruiken cookies… Onze 104 advertentiepartners gebruiken cookies voor gepersonaliseerde advertenties.”

Je klikt “Akkoord”, zoals 95% van alle Nederlanders doet.

Maar weet je met wie je je data zojuist hebt gedeeld?

Pop quiz: Ken je deze bedrijven? - Aarki, Inc. - AdDefend GmbH - Adelaide Metrics Inc. - Adform A/S - Adhese - Adnami Aps

Nee? Ik ook niet. En dat is exact het probleem.

Het Experiment

Ik ben security architect en werkzaam als onderzoeker aan een wetenschappelijk thesis over privacy compliance. Gedurende twee weken heb ik vijf grote Nederlandse nieuwssites getest op naleving van de Algemene Verordening Gegevensbescherming (AVG/GDPR) en de ePrivacy Richtlijn.

Test setup: - Fresh Fedora Linux installatie (geen cookies, geen geschiedenis) - Firefox 124.0 met standaard instellingen (geen extensions) - DevTools Storage Inspector + Network tab - Tijdsperiode: 15–22 maart 2026

Geteste sites: 1. NU.nl (DPG Media), Commercieel, 12M unieke bezoekers/maand 2. NOS.nl (Nederlandse Omroep Stichting), Publiek, 7,5M unieke bezoekers/maand 3. Bol.com, E-commerce benchmark (beste praktijk)

De resultaten waren schokkend.

Bevinding 1: De 101 Onbekende Bedrijven

NU.nl’s cookie banner claimt:

“104 advertentiepartners”

In de privacy-instellingen (na 5 kliks diep graven) vind je een lijst:

“101 partner(s)”

IAB TCF Advertentiepartners (101):

Aarki Inc., AdDefend GmbH, Adelaide Metrics Inc, Adform A/S, Adhese, Adnami Aps, Adobe Advertising Cloud, Adobe Audience Manager, Adpone SL, adsquare GmbH, Adswizz INC, Affle Iberia SL, Amazon Ads, Bannerflow AB, BeeswaxIO Corporation, BIDSWITCH GmbH, BidTheatre AB, Blis Global Limited, Blockthrough Inc., Brand Metrics Sweden AB, Captify Technologies Limited, Cavai AS, Celtra Inc., Comcast International France SAS/FreeWheel Media, Comscore B.V., Criteo SA, Dailymotion Video Player, Delta Projects AB, Dentsu A/S, digitalAudience B.V., DoubleVerify Inc., Dynata LLC, emetriq GmbH, Epsilon (Lotame), Experian LTD, Eyeota Pte Ltd, Flashtalking, Gamned, Genius Sports UK Limited, GfK GmbH, Google Advertising Products, GumGum Inc., illuma technology limited, Index Exchange Inc., Integral Ad Science, Jivox Corporation, LinkedIn Ireland Unlimited Company, Localsensor B.V., Microsoft Advertising, MiQ Digital Ltd, Newsroom AI Ltd, Nielsen International SA, Nielsen Media Research Ltd., On Device Research Limited, OneTag Limited, OpenX, Opt Out Advertising B.V., OS Data Solutions GmbH, Otto GmbH & Co. KGaA, Permutive Limited, Pexi B.V., Piano Software Inc., Publicis Media GmbH, PulsePoint Inc., Quantcast, Readpeak Oy, Relay42 Netherlands B.V., RTB House S.A., Semasio GmbH, SMADEX S.L.U., smartclip Europe GmbH, Ströer SSP GmbH, The Kantar Group Limited, The Neuron Holdings INC, The UK Trade Desk Ltd, travel audience GmbH, Triton Digital Canada Inc., Vistar Media EMEA BV, Weborama, WPP Media, Xandr Inc., xpln.ai SAS, Yieldlab (Virtual Minds GmbH).

Plus 17 niet-IAB partners: Adcombi, Akamai, Alion, AppLovin Corp., AppsFlyer, Bannerwise, BDSK Handels GmbH, Booking.com, Cloudflare, ebuilders, GroupM, IBM, Kinesso, Meta, Netflix, TrustArc, Vodafone GmbH.

Plus 3 “functionele” partners (niet uitschakelbaar): Adjust Digital A/S, Polar Mobile Group Inc., Seenthis AB.

Plus 4 mediapartners: Google, Meta, Microsoft, TikTok.

Plus 13 externe media partners: Dutch Selection, Google Maps, Knight Lab, Meta, Omny, Snap Inc., Soundcloud, Spotify AB, Streamable, TikTok, Truth Social, X Corp., YouTube.

Totaal: 138 partijen krijgen toegang tot jouw data.

Het Probleem Met “Informed Consent”

De AVG (GDPR) Artikel 4.11 definieert toestemming als:

“elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting”

Let op dat woord: geïnformeerd.

Volgens de European Data Protection Board (EDPB) Guidelines 05/2020 betekent “geïnformeerd”:

“Being ‘informed’ relates to the controller’s duty to provide certain minimum information to enable individuals to make informed decisions.”

Hier is de kritieke vraag:

Kun jij een “informed decision” maken over bedrijven die je niet kent?

Van de 138 partijen, hoeveel ken je?

Gemiddelde gebruiker kent (~10–15): - Google - Meta/Facebook - Microsoft - Amazon - LinkedIn - TikTok - Spotify - YouTube - X/Twitter - Snapchat

Gemiddelde gebruiker kent NIET (~123–128): - Aarki, Inc., Mobile ad-tech platform (Singapore) - AdDefend GmbH, Anti-adblocking technologie (Duitsland) - Adelaide Metrics Inc., Attention measurement platform (VS) - Adform A/S, DSP/SSP programmatic advertising (Denemarken) - Adhese, Belgian ad server - Adnami Aps, High-impact ad formats (Denemarken) - … + 117 meer

Ratio: ~8% bekend, 92% onbekend.

Wat Doen Deze Bedrijven Eigenlijk?

Laten we drie willekeurige partners analyseren:

Aarki, Inc.

• Activiteit: Mobile advertising platform voor in-app ads
• Locatie: Singapore
• Data: Device IDs, app usage, location, behavioral data
• Privacy policy: 12 pagina’s juridisch Engels
• Opt-out: Via NAI/DAA mechanisme (VS-systeem)

AdDefend GmbH

• Activiteit: Anti-adblocking technologie
• Locatie: Duitsland
• Strategie: Detecteert adblockers, toont anti-adblock boodschappen
• Ironie: Je geeft toestemming aan bedrijf dat je toestemming wil omzeilen

Adelaide Metrics Inc.

• Activiteit: “Attention measurement”, meet hoe lang je naar ads kijkt
• Data: Eye-tracking proxies, scroll depth, dwell time
• Techniek: Analyse viewport position, mouse movements, page visibility

Niemand kent deze bedrijven. Niemand begrijpt wat ze doen. Toch geeft 95% van Nederland ze toestemming.

Dit is geen “informed consent”;

Dit is misinformed consent.

Bevinding 2: Het Dark Pattern (8:1 Obstruction Ratio)

GDPR Artikel 7.4 stelt:

“Bij de beoordeling of de toestemming vrij is gegeven, wordt in de grootst mogelijke mate rekening gehouden met […]”

Het Hof van Justitie EU besliste in Planet49 (C-673/17, r.o. 62):

“Het moet even gemakkelijk zijn om toestemming in te trekken als om deze te geven”

NU.nl faalt deze test spectaculair.

De Accept Flow (toestemming geven)

Stap 1: Cookie banner verschijnt
Stap 2: Klik grote oranje "AKKOORD" knop (180×50px, high-contrast)
Stap 3: Klaar

Totaal: 1 klik, 2 seconden

De Reject Flow (toestemming weigeren)

Stap 1: Cookie banner verschijnt
Stap 2: Zoek kleine grijze "Instellen" knop (120×40px, low-contrast)
Stap 3: Klik "Instellen"
Stap 4: Complex modal opent met 6 tabs
Stap 5: Klik tab "Doeleinden"
Stap 6: Lees technische jargon ("Targeted Advertising", "Precise Geolocation")
Stap 7: Klik tab "Partners"
Stap 8: Scroll door 101-partner lijst
Stap 9: Klik "Alles weigeren" (onderaan lijst)
Stap 10: Klik "Voorkeuren opslaan"
Stap 11: Klaar

Totaal: 8–10 kliks, 45–60 seconden

Obstruction ratio: 8:1

Weigeren is acht keer moeilijker dan accepteren.

Waarom Dit Illegaal Is

De Autoriteit Persoonsgegevens (AP) heeft in 2025–2026 een actieve cookie banner campagne gevoerd. Tussen april en november 2025 werden 200+ waarschuwingen uitgegeven aan Nederlandse websites voor exact dit probleem.

AP richtlijnen (2025): “Cookie banners MOETEN een directe ‘Alles weigeren’ knop bevatten op het eerste niveau, gelijkwaardig aan de ‘Akkoord’ knop.”

NU.nl heeft deze waarschuwingen genegeerd. 75% van gewaarschuwde sites paste hun banners aan. NU.nl behoort tot de resterende 25% die nu in de handhavingsfase zitten.

EDPB Guidelines 05/2020, para 38–41: “Consent interfaces must not give more prominence to the option to accept than to the option to refuse.”

NU.nl’s banner geeft 8× meer prominence aan accept.

Dit is geen grijs gebied. Dit is een duidelijke overtreding.

Bevinding 3: NOS.nl Tracking Vóór Consent (Pre-Consent Tracking)

NOS.nl, de Nederlandse publieke omroep, gefinancierd met belastinggeld, schendt de ePrivacy Richtlijn op de meest fundamentele manier.

De Timeline

Ik opende nos.nl met Firefox DevTools actief. Zonder te klikken op de cookie banner observeerde ik het volgende:

T = 0s: Browser laadt nos.nl
T = 2s: COOKIES VERSCHIJNEN
 • _sotmpid (Smartocto analytics)
 • _sotmsid (Smartocto session)
 • CCM_ID (Cookie Consent Manager)
 • nos_npo_tag_session (NOS JWT token, 373 bytes)
T = 4s: TRACKING REQUESTS STARTEN
 POST https://ingestion.contentinsights.com/beacon
 Status: 204
 Payload: {
 "pageView": true,
 "userId": "…",
 "sessionId": "…"
 }
T = 5s: COOKIE BANNER VERSCHIJNT
 "NOS gebruikt cookies…"

Volgorde: van NOS

Cookies → Tracking → Banner

Volgorde: hoe het hoort:

Banner → Consent → Cookies → Tracking

Waarom Dit Illegaal Is

ePrivacy Richtlijn 2002/58/EG Artikel 5.3:

“Het opslaan van informatie […] in de randapparatuur […] is alleen toegestaan […] mits de betrokken […] gebruiker […] toestemming heeft gegeven”

Let op: “mits” = voorwaarde. Toestemming is VEREIST VOORDAT cookies worden geplaatst.

Telecommunicatiewet Art. 11.7a lid 3 (Nederlandse implementatie):

“Het is verboden […] informatie op te slaan of toegang te verkrijgen tot informatie die reeds is opgeslagen […] tenzij […] toestemming heeft verleend”

Het Hof van Justitie EU besliste in Planet49 (C-673/17, r.o. 63):

“Analytics cookies zijn NIET ‘strictly necessary’ en vereisen voorafgaande toestemming“

NOS.nl plaatst analytics cookies (Smartocto, ContentInsights) zonder voorafgaande toestemming.

De Ironie

NOS.nl is gefinancierd met Nederlands belastinggeld. We betalen collectief ~€800 miljoen per jaar aan de publieke omroep.

De burger betaalt dus tweemaal: 1. Belasting, NPO funding via Rijksbegroting 2. Privacy, Illegale tracking door NOS.nl

Een publieke instelling die zich presenteert als “onafhankelijk, betrouwbaar, voor iedereen” schendt actief de privacy van haar gebruikers.

AP Precedent

De Autoriteit Persoonsgegevens heeft Coolblue in 2023 een boete van €40.000 opgelegd voor exact dezelfde schending: pre-consent tracking.

NOS.nl doet hetzelfde, maar op grotere schaal: - Coolblue: ~5M unieke bezoekers/maand - NOS.nl: ~7,5M unieke bezoekers/maand - NOS.nl impact: ~90 miljoen illegale tracking events per jaar

Als Coolblue €40k krijgt voor 60M events/jaar, zou NOS.nl logischerwijs €60k-€300k moeten krijgen.

Bevinding 4: De “Functionele” Cookie Wall

NU.nl’s privacy-instellingen bevatten een verborgen categorie:

“Overige advertentiepartners”

Deze advertentiepartners verwerken slechts een beperkte set gegevens voor functionele doeleinden. Je kan deze partners daarom niet uitschakelen.

3 partner(s): - Adjust Digital A/S - Polar Mobile Group Inc. - Seenthis AB

Dit roept twee vragen op:

1. Zijn dit werkelijk “functionele” partners?
2. Is “niet uitschakelen” legaal?

Analyse: Adjust Digital A/S

Officiële beschrijving: “Mobile attribution tracking platform“

Wat doen ze echt: - Track app downloads via cookies - Cross-device attribution (welke ad leidde tot welke app install) - Retargeting campagnes - Fraud detection (legitiem)

Vraag: Is attribution tracking “functioneel”?

ePrivacy definitie “strictly necessary”: Cookies die technisch noodzakelijk zijn voor de functionaliteit die de gebruiker expliciet vraagt.

Voorbeelden strictly necessary: - Sessie cookies (ingelogd blijven) - Winkelwagen cookies (e-commerce) - Beveiligings-tokens (CSRF protection)

Adjust attribution tracking: - Niet nodig om nieuws te lezen - Niet nodig voor site functionaliteit - Enkel nodig voor DPG’s marketing attribution

Conclusie: NIET strictly necessary.

Analyse: Polar Mobile Group Inc.

Officiële beschrijving: “Mobile engagement platform”

Wat doen ze echt: - Push notifications - In-app messaging - User analytics - A/B testing

Vraag: Zijn push notifications “functioneel”?

Alleen als de gebruiker expliciet om notificaties vraagt. MAAR Polar draait VOORDAT de gebruiker die keuze maakt.

Conclusie: NIET strictly necessary.

De Cookie Wall In Vermomming

AP precedent: Kruidvat €600.000 boete (2020) voor cookie wall.

Definitie cookie wall:

Toegang tot website afhankelijk maken van toestemming voor niet-noodzakelijke cookies.

Kruidvat’s wall: “Accept cookies of verlaat de site”

NU.nl’s wall: “Deze partners zijn niet uitschakelbaar“

Het verschil is subtiel maar belangrijk: - Kruidvat: Expliciete blokkade - NU.nl: Impliciete verplichting

Juridisch effect: Hetzelfde. Geen vrije keuze.

GDPR Art. 7.4: “Bij de beoordeling of de toestemming vrij is gegeven, wordt […] rekening gehouden met de vraag of […] de uitvoering van een overeenkomst […] afhankelijk is gesteld van toestemming”

Als “advertentiepartners” niet uitschakelbaar zijn, is toestemming niet vrij gegeven.

Contrast: Bol.com Best Practice

Niet alle Nederlandse websites falen.

Bol.com, de grootste e-commerce site van Nederland, laat zien dat compliance WEL mogelijk is:

Bol.com’s aanpak: - 13 partners (vs NU.nl’s 138) - Direct “Weigeren” knop (gelijkwaardig aan “Accepteren”) - Transparante uitleg per partner: - Google Analytics: “Voor het analyseren van websiteverkeer” - Meta Pixel: “Voor het meten van advertentie-effectiviteit” - Microsoft Bing: “Voor het tonen van relevante advertenties” - + Link naar privacy policy per partner - Geen pre-consent tracking - Geen “functionele” advertentiepartners

Resultaat: - GDPR compliant - Transparant - Gebruiksvriendelijk - Bewijs dat compliance MOGELIJK is

NU.nl en NOS.nl hebben geen excuus. Bol.com bewijst dat het kan.

Juridische Impact & AP Handhaving

De Autoriteit Persoonsgegevens heeft in de afgelopen jaren meerdere precedenten gecreëerd:

Recente AP Boetes (Privacy/Cookies)

Experian Nederland, €2.700.000 (oktober 2025) - Overtreding: Vendor non-disclosure, data delen zonder consent - Schaal: Miljoenen Nederlandse consumenten - Aggraverende factor: Data broker (commercieel gewin)

Kruidvat, €600.000 (2020) - Overtreding: Cookie wall - Schaal: Landelijke winkelketen - Les: “Niet uitschakelbaar” = geen vrije toestemming

Coolblue, €40.000 (2023) - Overtreding: Pre-consent tracking - Schaal: 5M unique visitors/maand - Les: ePrivacy timing vereisten strikt

Fine Risk Assessment: NU.nl & NOS.nl

Op basis van bovenstaande precedenten:

NOS.nl (pre-consent tracking): - Vergelijkbaar met Coolblue (€40k) - Grotere schaal: 7,5M vs 5M visitors - Aggraverende factor: Publieke sector (belastinggeld) - Geschat risico: €60.000 tot €300.000

NU.nl (dark pattern + uninformed consent + functionele wall): - Dark pattern: Vergelijkbaar met AP campagne (200+ warnings) - Uninformed consent: Vergelijkbaar met Experian (vendor non-disclosure) - Schaal: 12M unique visitors/maand, 144M pageviews/jaar - DPG Media: Eerder AP-contact (€525k→€300k boete 2022) - Geschat risico: €450.000 tot €1.200.000

Totaal geschat risico: €510.000 tot €1.500.000

Dit zijn conservatieve schattingen. De AP heeft de discretie om hoger te gaan bij systematische, hardnekkige overtredingen.

Systematisch Patroon in de Industrie

Dit is geen toevallig probleem. Dit is design-level non-compliance.

Patroon: - Commercieel (NU.nl): Maximale data extractie, dark patterns - Publiek (NOS.nl): Pre-consent tracking, gebrek aan technische compliance - Best practice (Bol.com): Transparantie, gebruiksvriendelijk

Conclusie:

Compliance is MOGELIJK (Bol.com bewijst dit), maar de nieuwsindustrie kiest bewust voor non-compliance.

Wat Kun Je Doen?

Je hebt wettelijke rechten onder de AVG (GDPR). Hier is hoe je ze uitoefent:

1. Gebruik Je GDPR Rechten

Art. 21 AVG, Recht van bezwaar: Je hebt het recht bezwaar te maken tegen verwerking van je persoonsgegevens

Art. 17 AVG, Recht op verwijdering (“recht om vergeten te worden”): Je hebt het recht te vragen om verwijdering van je persoonsgegevens

Art. 15 AVG, Recht van inzage: Je hebt het recht te vragen welke gegevens een bedrijf over je heeft

2. De Tool: NL Data Opt-Out

Ik heb een gratis tool gebouwd die je helpt deze rechten uit te oefenen voor alle (bekende) 101+ Nederlandse data brokers:

https://apolloccrypt.github.io/nl-data-optout/

Wat doet de tool: - Genereert gepersonaliseerde bezwaar-emails (Art. 21) - Genereert verwijder-verzoeken (Art. 17) - Genereert inzage-verzoeken (Art. 15) - Voor ALLE 138 partners van NU.nl + extra Nederlandse data brokers - 100% gratis, open source, geen data collectie

Hoe werkt het: 1. Vul je naam en email in (wordt NIET opgeslagen) 2. Kies je rechten (bezwaar, verwijdering, inzage) 3. Download zip met emails (of copy-paste de enkel email) 4. Verstuur via je eigen email client 5. Klaar (1–5 minuten totaal)

3. De Impact Van Massa-Verzoeken

Als 1.000 mensen deze tool gebruiken:

• 1.000 verzoeken × 138 bedrijven = 138.000 GDPR verzoeken
• Elk verzoek kost ~€3-€5 administratieve tijd
• Totale overhead: €414.000 tot €690.000

Als 10.000 mensen deze tool gebruiken:

• 10.000 × 138 = 1.380.000 verzoeken
• Overhead: €4.140.000 tot €6.900.000

Bij deze volumes wordt non-compliance economisch onhoudbaar.

De industrie zal gedwongen worden om: 1. Aantal partners drastisch te reduceren 2. Transparantie te verbeteren 3. Dark patterns te verwijderen 4. Compliance serieus te nemen

Dit is economische druk die werkt.

4. Melding Bij De AP

Je kunt ook zelf een melding maken bij de Autoriteit Persoonsgegevens:

https://www.autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/klacht-indienen

Wat te melden: - Welke site (NU.nl, NOS.nl, andere) - Welke overtreding (dark pattern, pre-consent, uninformed consent) - Evidence (screenshots van cookie banner)

De AP neemt klachten serieus, vooral als er meerdere meldingen zijn over hetzelfde bedrijf.

Evidence & Reproduceerbaarheid

Dit onderzoek is volledig reproduceerbaar. Alle tests kunnen herhaald worden in 30 minuten totaal.

Test NOS.nl Pre-Consent (15 minuten)

Benodigdheden: - Firefox browser - Schone browser state (private mode of cache leegmaken)

Stappen: 1. Open Firefox DevTools (F12) 2. Open “Storage” tab 3. Open “Network” tab 4. Navigate naar nos.nl 5. DON’T CLICK op cookie banner 6. Observe: Cookies verschijnen AL in Storage tab 7. Observe: Network requests naar ContentInsights 8. Screenshot + timestamp

Verwacht resultaat: Cookies + tracking vóór consent

Test NU.nl Dark Pattern (15 minuten)

Stappen: 1. Navigate naar nu.nl 2. Count clicks voor accept flow 3. Count clicks voor reject flow 4. Screenshot banner (geen directe “Weigeren”) 5. Screenshot privacy-instellingen (101 partners)

Verwacht resultaat: 8:1 accept/reject ratio

Evidence Package

Voor volledige transparantie heb ik alle evidence beschikbaar:

• Screenshots (Cookie banners, privacy settings, DevTools)
• HAR files (Network traffic logs)
• JSON exports (Cookie data voor/na weigering)
• Reproductie-instructies (Stap-voor-stap)

Beschikbaar enkel voor NOS/NU.nl en AP.

De Diepere Vraag: Wat Is “Informed Consent” Eigenlijk?

Dit onderzoek stelt een fundamentele vraag:

Als je niet weet wat een bedrijf doet, kun je dan toestemming geven voor wat ze met je data doen?

De wet zegt: Nee. Toestemming moet “geïnformeerd” zijn (GDPR Art. 4.11).

Maar de realiteit is complexer:

Scenario 1: Technische Compliance - NU.nl toont 101 partnernamen - Voldoet letterlijk aan GDPR Art. 13.1.e (disclosure van ontvangers)

Scenario 2: Praktische Realiteit - 92% van partners is onbekend bij gemiddelde gebruiker - Geen uitleg wat partners doen - Geen context, geen links, geen informatie

Vraag: Is dit “informed consent”?

Juridisch antwoord: Grijs gebied. GDPR vereist disclosure, maar de kwaliteit van die disclosure is debatabel.

Praktisch antwoord: Nee. Informed consent vereist begrip, niet alleen disclosure.

Analogie:

Stel je voor dat een arts je een medicijn voorschrijft:

Scenario A (NU.nl’s aanpak):

“Dit medicijn bevat 101 chemische stoffen: Acetaminophen, Benzocaine, Chlorpheniramine, Dextromethorphan, … [97 meer]. Hier is de volledige lijst. Akkoord?”

Scenario B (Informed consent):

“Dit is een pijnstiller met paracetamol. Het werkt door … Bijwerkingen kunnen zijn … Alternatieven zijn … Begrijpt u dit? Heeft u vragen?”

NU.nl doet Scenario A. Informed consent vereist Scenario B.

Call To Action: Pak Je Data Terug

Dit is niet alleen een theoretisch probleem. Dit raakt 20+ miljoen Nederlandse internetgebruikers dagelijks.

Jouw data wordt gedeeld met bedrijven die je niet kent, voor doeleinden die je niet begrijpt, met consequenties die je niet overziet.

Maar je hebt macht. De AVG (GDPR) geeft je wettelijke rechten. Gebruik ze.

Wat Je NU Kan Doen

Stap 1: Bewustwording - Deel dit artikel (LinkedIn, Twitter, email) - Informeer familie en vrienden - Praat erover

Stap 2: Actie - Gebruik de opt-out tool: https://apolloccrypt.github.io/nl-data-optout/ - Oefen je GDPR rechten uit (Art. 21, 17, 15) - Verstuur de gegenereerde emails

Stap 3: Druk - Meld bij AP als je niet-compliance ziet - Review nieuwssites op Trustpilot/Google - Stem met je aandacht (kies sites die privacy respecteren)

Stap 4: Politiek - Contact je Tweede Kamer lid - Ondersteun privacy-wetgeving - Vraag om strengere handhaving

De Economische Realiteit

1.000 mensen × 138 bedrijven = 138.000 GDPR verzoeken = €414k-€690k overhead

Bij deze volumes wordt non-compliance economisch onhoudbaar. De industrie zal MOETEN veranderen.

Dit is niet alleen een privacy-kwestie. Dit is economische druk die werkt.

Conclusie

We leven in een tijd waarin “Akkoord” klikken je data deelt met 138 bedrijven die je niet kent.

We leven in een tijd waarin publieke omroepen gefinancierd met belastinggeld actief je privacy schenden.

We leven in een tijd waarin dark patterns je 8× moeilijker maken om je privacy te beschermen dan om het weg te geven.

Maar we leven ook in een tijd waarin de wet aan onze kant staat.

GDPR Art. 21, 17, 15 geven je macht. Gebruik die macht.

Als genoeg mensen hun rechten uitoefenen, zal de industrie gedwongen worden te veranderen.

Pak je data terug.

Bronnen & Verder Lezen

Wetgeving: - GDPR Volledige Tekst (https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32016R0679) - ePrivacy Richtlijn (https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32002L0058) - Telecommunicatiewet (https://wetten.overheid.nl/BWBR0009950)

Jurisprudentie: - HvJ EU Planet49 (C-673/17) (https://curia.europa.eu/juris/document/document.jsf?docid=218462) - EDPB Guidelines 05/2020 on Consent (https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en)

AP Resources: - AP Cookie Richtsnoeren (https://autoriteitpersoonsgegevens.nl/themas/internet-telefoon-post/cookies) - AP Boetes Database (https://autoriteitpersoonsgegevens.nl/nl/zaken) - Klacht Indienen (https://www.autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/klacht-indienen)

Tools: - NL Data Opt-Out Tool (https://apolloccrypt.github.io/nl-data-optout/) - GitHub Repository (https://github.com/Apolloccrypt/nl-data-optout)

Over de auteur:

Mick Beer is security architect en onderzoeker met focus op privacy compliance. Dit artikel is onderdeel van een wetenschappelijk thesis over cookie compliance op Nederlandse websites. Alle bevindingen zijn gebaseerd op reproduceerbaar technisch onderzoek.

Disclaimer:

Dit artikel is geen juridisch advies. Voor juridische vragen over GDPR/AVG compliance, raadpleeg een privacy-advocaat of de Autoriteit Persoonsgegevens.