Artikelen, reacties, interviews en papers vanuit eigen onderzoek.
Onderzoeksartikelen: van bevindingen op specifieke organisaties tot systeemanalyses.

Bij registratie, voor enig ticket, stuurt de PEC Zwolle-app je BSN, je pasfoto uit de chip en de staatshandtekening van je paspoort in een upload naar onboarding.siip.io, de identiteitsbackend van Siip op AWS in Ierland. Een Amerikaanse aanbieder, en daarmee binnen bereik van de CLOUD Act. De app toont je dat je vijf velden deelt, de upload bevat er meer. Siips CEO stelt op schrift dat je identiteit het toestel niet verlaat. De meting laat het tegendeel zien, met het weerwoord van Siip volledig opgenomen.

De staatssecretaris van Financiën schrijft het zwart op wit aan de Tweede Kamer: het gebruik van Adobe Analytics in de betaalomgeving van de Belastingdienst was in strijd met de ePrivacy-regels en de AVG. De dienst zette de tracker binnen een week uit, meldde het datalek uit eigen beweging bij de Autoriteit Persoonsgegevens en bedankte de melder. Vier weken zaten er tussen mijn meting en die erkenning. Dit is de afronding van het dossier, met de complete tijdlijn en wat er nog openstaat.

Om naar de wedstrijd te mogen koppel je je paspoort aan een app. Ik mat waar die identiteit heen gaat: een server-side profiel, telemetrie naar Google in de VS voordat je iets aanraakt, en hetzelfde sjabloon bij meerdere clubs. Leverancier Siip presenteert die geidentificeerde bezoeker in eigen woorden als commerciele kans: customized communication en exciting commercial opportunities. De DPIA die dit zou moeten afwegen is niet openbaar.

Certificeerders, keurmerk-uitgevers en privacy-adviseurs toetsen of anderen zich aan de privacyregels houden. In de Nationale Privacy Index van juni 2026 legde ik hun eigen websites langs dezelfde meetlat. Van de negen gemeten organisaties staan er drie op Privacy Lek, waaronder de twee grote internationale certificeerders Kiwa en DNV. Bij allebei werkt de weigerknop aantoonbaar niet. Eén partij scoort vlekkeloos: Privacy First.

Ik legde een doodgewone sessie op www.anwb.nl vast, twee keer: een keer met cookies geweigerd en een keer met alles geaccepteerd, tot en met een iDEAL-betaling. Twee dingen springen eruit. De iDEAL-betaalpagina vuurt 353 verzoeken naar poorten op je eigen computer, en dat gebeurt ongeacht je cookiekeuze. En ANWB stuurt al gedrag naar Google voordat je iets hebt aangeklikt, via een eigen subdomein dat trackerblokkers omzeilt. De zware advertentiepixels respecteren je weigering wel. Een netwerkanalyse, eerlijk over wat hard gemeten is en wat een gevolgtrekking is.

Een doodgewone Nederlander opent 's ochtends de weer-app, plant 's middags een reis en scrolt 's avonds over Marktplaats. Bij elk van die handelingen vertrekt, voordat je de advertentie ziet, een bid-request met je advertentie-ID, locatie en netwerkgegevens naar een advertentieveiling. Ik ving en ontcijferde die bid bij Buienalarm en Marktplaats, mat wat de advertentielaag je bundel kost, en houd eerlijk uit elkaar wat hard gemeten is en wat niet.

Drie populaire menstruatie-apps, ontleed in één onderzoek. Clue houdt je gegevens grotendeels in Europa, Flo bouwt een echte privacy-laag bovenop de SDK's van Meta, TikTok en Google, en Clover stuurt analytics, login en betalingen tot in Rusland. Eigen statische analyse met live endpoint-verificatie, eerlijk over wat hard is en wat niet.

Een Growatt- of Solis-omvormer met wifi-monitoring stuurt elke vijf minuten een gedetailleerd beeld van je huishouden naar de cloud, en die verbinding gaat twee kanten op. Eigen firmware-, app- en netwerk-analyse laat zien wat er vertrekt (tot een aanwezigheidskalender van je huis), waar het heen gaat (Alibaba Cloud in Frankfurt, de VS en China), en dat iemand op afstand aan je omvormer kan draaien. Met de Nederlandse context, het overheidsdossier, en wat je er zelf aan kunt doen zonder je panelen kwijt te raken. Deel drie in een reeks over slimme apparaten en privacy.

Het volledige kerndossier (v2.0) als artikel. Vier pijlers die elkaar versterken, met uitsluitend hard bewezen materiaal in de hoofdtekst, plus bijlagen met cijfer-canon, methodologie, onderzoeksagenda, bronnen per claim en een volledig changelog.

Hoe data uit een slim apparaat in een Nederlandse woonkamer, een deurbel, een lamp van een tientje, een tv, via attributie-SDK's en advertentieveilingen belandt bij bedrijven die zich in de Verenigde Staten zélf als datahandelaar registreren, en bij servers in China. Een forensische uiteenzetting van een keten die al jaren in openbaar onderzoek ligt, maar die niemand nog van begin tot eind had doorgetrokken voor de Nederlandse gebruiker. Getoetst aan het P-SEP-model. Deel twee in een reeks over slimme apparaten en privacy.

Hoe een modebril van 419 euro een wandelend opnamestation werd dat data naar de cloud, naar onderaannemers in Nairobi en naar een gezichtsherkenningsdatabase stuurt. Waarom jij, de voorbijganger, het slachtoffer bent dat nergens voor heeft getekend, en waarom dit apparaat verboden hoort te zijn voor wie bij de AIVD, de MIVD, het leger of de vitale infrastructuur werkt. Een forensische uiteenzetting van wat er feitelijk gebeurt, getoetst aan het P-SEP-model.
![Vrijgegeven interne e-mail van het EDPB-secretariaat, 27 oktober 2020, aan de Europese privacytoezichthouders, met als onderwerp '[TF101] Internal working document and Investigation questions'. Vrijwel alle namen en adressen zijn weggelakt onder vrijstellingsgrond 5.1.2.e.](/images/blog/ap-woo-edpb-taskforce-email.webp)
De Autoriteit Persoonsgegevens moest van miljoenen Nederlanders bepalen of Google Analytics nog mocht. Een Woo-verzoek dwong 1096 pagina's interne stukken naar buiten. Daarin: een toezichthouder die het zelf niet wist, de advocaat van Google die om verwijdering vroeg, en een lakfout die per ongeluk een naam liet staan. Een uitleg voor wie geen jurist is.

De Tweede Kamer eist opheldering over de Adobe-tracking bij de Belastingdienst, naar aanleiding van mijn vorige artikel. En het houdt daar niet op: twee websites van het Ministerie van Defensie leveren je herkenningsnummer rechtstreeks aan een advertentie-inkoopplatform, en drie merken van de staatsbank Volksbank poolen je bezoekersprofiel. De Belastingdienst zelf doet dat laatste juist níét, en dat verschil hoort er glashelder bij. Met de echte hostnamen en een harde grens om wat ik niet kan bewijzen.

Ik heb mijn eigen betaling bij de Belastingdienst van begin tot eind vastgelegd, ingelogd achter DigiD, met de antwoorden van de servers erbij. Bij die ene betaling vertrok een handeling-voor-handeling verslag naar Adobe in de Verenigde Staten: welke aanslag ik openhad, dat ik voor iDEAL koos, het exacte moment dat ik op betalen klikte, en dat ik daarna annuleerde. Eraan vast hing een nummer dat twee jaar blijft staan en mij over websites heen herkenbaar maakt. Hieronder staat de complete lijst van wat er werd verstuurd, met de echte waarden uit mijn sessie.
De onderwijssector haalt op de Nationale Privacy Index gemiddeld 3,7 sterren. Dat lijkt netjes, maar het gemiddelde is sterk bimodaal. Magister en itslearning, beide van Sanoma Learning, laden vóór je iets aanklikt een volledige HubSpot-marketingsuite, Piwik PRO, Ahrefs en een Amerikaanse accessibility-widget. Wie 'akkoord' klikt, krijgt er LinkedIn-advertentietracking bij. Kennisnet, een publiek bekostigd orgaan, zet vóór toestemming een Google Analytics-cookie van 399 dagen. En de drie portalen die schoon ogen, zijn deels simpelweg niet te meten. Dit is een dossier over wat er gebeurt, wat eraan fout is, en waarom het juist hier niet te verdedigen valt.

Forensische naast-elkaar-zetting van Odido's publieke verklaringen over het datalek van februari 2026 en wat met openbare bronnen daadwerkelijk vast te stellen is. Tien claims geclassificeerd, plus zes omissies die Odido onbenoemd laat.

De vaste Kamercommissie Digitale Zaken houdt morgen een rondetafelgesprek over cyberveiligheid. In tweede herziene convocatie is aan blok 1 (Experts) Salesforce toegevoegd. De leverancier wiens platform drie maanden eerder de poort was waarlangs 6,2 miljoen Nederlanders hun gegevens verloren. Een feitelijke reconstructie en de vragen die de commissie zou moeten stellen.

Eén partij haalt vijf sterren. Twee verbergen hun tracking achter een eigen merknaam. NSC heeft geen meetbare website. CDA staat onderaan. Wat ik vond op de zestien partij-websites, en wat het over jouw stem zegt.

Forensische analyse van het Odido-lek. PPP's, MKB-ondernemers, kwetsbare personen, 16 jaar opslag van data die nooit bewaard had mogen blijven. En waarom Wetsvoorstel 2026Z04148 dit moet verbieden.

138 partners, 92% onbekend. NU.nl en NOS.nl gemeld bij de Autoriteit Persoonsgegevens. Wat ik vond, wat ik deed, en hoe jij je data terugpakt.

Op kiesraad.nl draait Piwik PRO via CNAME-cloaking. Vijf tracking-cookies vóór toestemming, geen cookiebanner. In de config staat letterlijk respectVisitorsPrivacy false.

Op humanitas.nl draait Microsoft Clarity, session-replay op een platform voor mensen die hulp zoeken bij eenzaamheid, rouw, schulden en mantelzorg. Eén van achttien externe partijen die bij elk bezoek data ontvangen.

Een live Azure-backend in een primair toeslagenproces, terwijl Heijnen de Kamer beloofde dat het in Apeldoorn zou blijven.

Ik bekeek wat de Belastingdienst doet qua cookies en tracking. Ik was enorm geschokt. We betalen belasting om bespioneerd te worden, en het is niet eens makkelijk te vinden. Tussen de tracker en Adobe USA zit een DNS-truc.

Het kabinet verlengt het Solvinity-contract, en passeert daarmee de Tweede Kamer. Onderzoek toont DPIA-gat en pre-consent tracking bij DigiD.

Niet 6,2 miljoen accounts, 17 miljoen dataregels, zestien jaar bewaard. Odido's eigen directie stond erin. Als de architecten van het systeem zichzelf niet beschermen, is het systeem kapot.

Onderzoek naar AVG-compliance bij Nederlandse nieuwssites: technische tests van De Volkskrant (DPG Media) en De Telegraaf (Mediahuis).

Een diepgaand onderzoek naar cookie compliance bij NU.nl, NOS.nl en de illusie van privacy op het Nederlandse internet.
Weerwoord en replieken op berichtgeving en publieke verklaringen, met verifieerbare onderbouwing.

Pels Rijcken sprak op 22 mei publiekelijk over slordigheden met YouTube-embeds, opgelost via een dagelijkse Cookiebot-scan. Een meting van 27 mei toont een bredere werkelijkheid: onafgebroken Google Analytics tot elf jaar tien maanden op vijf domeinen die Pels Rijcken zelf onder zijn privacyverklaring schaart, vandaag nog actief op drie ervan, met 399-dagen cookies vóór toestemming op pgwoo.nl en pgawb.nl.

Pels Rijcken citeert het cybersecurity-bedrijf Northwave om twee bevindingen te weerleggen. Het CNAME-punt was al vóór publicatie gecorrigeerd en stond niet in het BNR-artikel; het jurisdictie-punt mist de CLOUD Act-laag die het hele Schrems II-debat definieert. Het overgrote deel van de bevindingen blijft onweerlegd, en is door Pels Rijcken zelf erkend en geremedieerd.
Gesprekken met collega-onderzoekers en bouwers.

In gesprek met Stella de Zwart, auteur van Armoede krijg je gratis, over ruim een half miljoen Nederlanders in armoede, de spiraal die niemand ziet, en wat eruit helpt.
Interview met Jesse van codebyjesse.com over zijn keuze voor privacy-first analytics en wat dat zegt over digitale ethiek in Nederland.
Volledige forensische audits, casus-recaps en bredere verhalen met methode, juridisch kader en verifieerbare bevindingen.

Wilders deelde een interne mail van het COA en lakte de namen zwart. Toch waren er drie voornamen leesbaar en kon ik de afzender achterhalen, inclusief LinkedIn. Een analyse over slordige redactie op een uiterst gevoelig dossier, en over twee grondrechten die allebei tellen.

Een kaart van vier jaar Tweede Kamer, twintig partijen en één simpele vraag: wie verdedigt jouw privacy, en wie liever de surveillance-staat? Met per as exact welke bronnen en wegingen onder de scores zitten.

Een privacy-onderzoek op de website van Stichting 113 Zelfmoordpreventie bracht een ernstige bevinding aan het licht. De manier waarop 113 reageerde, mag een sector-voorbeeld heten.

Forensisch trackingonderzoek op de nationale suïcidepreventielijn, bevindingen, juridische context en actiepunten.
Tracking pixels op vertrouwde websites delen persoonsgegevens met tientallen partijen. Die data worden verrijkt door databrokers en landen, legaal of gestolen, in scam-arsenalen. Hoe de keten van cookie naar oma's bankrekening werkt.

Op 7 april 2026 trof een professionele ransomware-aanval het Nederlandse EPD-bedrijf ChipSoft. Honderd gigabyte aan medische gegevens werd buitgemaakt door Embargo.

Drie datalekken in één week: waarom 40.000–80.000 Nederlanders nu een levensgevaarlijk compleet profiel op de darkweb kunnen hebben.

In 2008 solved Satoshi Nakamoto trust without intermediaries via Merkle trees. Ghost Pipe applies the same math to file transport with post-quantum cryptography.