Artikelen

RSS

Artikelen, reacties, interviews en papers vanuit eigen onderzoek.


Artikelen

Onderzoeksartikelen: van bevindingen op specifieke organisaties tot systeemanalyses.

Editoriale illustratie: een voetbalsupporter met sjaal bij een toegangspoortje met gezichtsscanner houdt zijn telefoon vast met daarop zijn BSN en pasfoto; een pijl loopt omhoog naar een cloud met het BSN en de foto.
3 juli 2026
Bij registratie vertrekken je BSN en je pasfoto uit de chip naar de server van Siip op AWS, voordat je een ticket koopt

Bij registratie, voor enig ticket, stuurt de PEC Zwolle-app je BSN, je pasfoto uit de chip en de staatshandtekening van je paspoort in een upload naar onboarding.siip.io, de identiteitsbackend van Siip op AWS in Ierland. Een Amerikaanse aanbieder, en daarmee binnen bereik van de CLOUD Act. De app toont je dat je vijf velden deelt, de upload bevat er meer. Siips CEO stelt op schrift dat je identiteit het toestel niet verlaat. De meting laat het tegendeel zien, met het weerwoord van Siip volledig opgenomen.

Spotprent waarin koning Willem-Alexander naar Donald Trump wijst, met de tekst 'Dus jij bent die pauper die al onze data opkoopt'. Tekening door Mick Beer
2 juli 2026
Eind goed, al goed: de Belastingdienst erkent de privacyschending, meldt zichzelf bij de AP en bedankt de melder

De staatssecretaris van Financiën schrijft het zwart op wit aan de Tweede Kamer: het gebruik van Adobe Analytics in de betaalomgeving van de Belastingdienst was in strijd met de ePrivacy-regels en de AVG. De dienst zette de tracker binnen een week uit, meldde het datalek uit eigen beweging bij de Autoriteit Persoonsgegevens en bedankte de melder. Vier weken zaten er tussen mijn meting en die erkenning. Dit is de afronding van het dossier, met de complete tijdlijn en wat er nog openstaat.

Zwart-witbeeld: een voetballer met het label KNVB schopt een bal weg met het label Jouw privacy. Beeld door Mick Beer.
1 juli 2026
PEC Zwolle, FC Eindhoven, ADO en NAC willen je paspoort, de leverancier ziet er commercieel goud in

Om naar de wedstrijd te mogen koppel je je paspoort aan een app. Ik mat waar die identiteit heen gaat: een server-side profiel, telemetrie naar Google in de VS voordat je iets aanraakt, en hetzelfde sjabloon bij meerdere clubs. Leverancier Siip presenteert die geidentificeerde bezoeker in eigen woorden als commerciele kans: customized communication en exciting commercial opportunities. De DPIA die dit zou moeten afwegen is niet openbaar.

Illustratie: een man met een vergrootglas bekijkt negen websitekaarten met sterbeoordelingen onder de kop 'Sector Privacy-keurmerk/advies'. privacyfirst.nl vijf sterren, kiwa.com en dnv.com elk een ster, met een donkere wolk erboven. Tekening door Mick Beer
29 juni 2026
De partijen die privacy keuren, zakken zelf voor de toets

Certificeerders, keurmerk-uitgevers en privacy-adviseurs toetsen of anderen zich aan de privacyregels houden. In de Nationale Privacy Index van juni 2026 legde ik hun eigen websites langs dezelfde meetlat. Van de negen gemeten organisaties staan er drie op Privacy Lek, waaronder de twee grote internationale certificeerders Kiwa en DNV. Bij allebei werkt de weigerknop aantoonbaar niet. Eén partij scoort vlekkeloos: Privacy First.

Illustratie van Mick Beer: twee jonge mensen en een ANWB-wegenwachtmonteur kijken onder de openstaande motorkap van een blauwe auto waar groenige rook uit walmt, naast een gele ANWB-bus. Kop: ja, hier zit een luchtje aan.
15 juni 2026
Je betaalpagina scant je eigen computer, en ANWB trackt voor je cookiekeuze

Ik legde een doodgewone sessie op www.anwb.nl vast, twee keer: een keer met cookies geweigerd en een keer met alles geaccepteerd, tot en met een iDEAL-betaling. Twee dingen springen eruit. De iDEAL-betaalpagina vuurt 353 verzoeken naar poorten op je eigen computer, en dat gebeurt ongeacht je cookiekeuze. En ANWB stuurt al gedrag naar Google voordat je iets hebt aangeklikt, via een eigen subdomein dat trackerblokkers omzeilt. De zware advertentiepixels respecteren je weigering wel. Een netwerkanalyse, eerlijk over wat hard gemeten is en wat een gevolgtrekking is.

Illustratie: een man kijkt op zijn telefoon terwijl 9292, Marktplaats en Buienalarm elk een bod uitbrengen op zijn profiel, onder de kop 'Actieve verkoop van jouw gegevens op 9292, Marktplaats en Buienalarm'. Tekening door Mick Beer
12 juni 2026
Buienalarm, Marktplaats en 9292 sturen je profiel een veiling in

Een doodgewone Nederlander opent 's ochtends de weer-app, plant 's middags een reis en scrolt 's avonds over Marktplaats. Bij elk van die handelingen vertrekt, voordat je de advertentie ziet, een bid-request met je advertentie-ID, locatie en netwerkgegevens naar een advertentieveiling. Ik ving en ontcijferde die bid bij Buienalarm en Marktplaats, mat wat de advertentielaag je bundel kost, en houd eerlijk uit elkaar wat hard gemeten is en wat niet.

Mockup van een advertentie-doelgroep-export, audience_export_NL.xlsx, met segmenten als 'Vrouw, had gisteren seks' en 'Vrouw, probeert zwanger te worden', elk met een Buy profile-knop, en een bereik van ongeveer 1,5 miljoen vrouwen.
11 juni 2026
Wat Clue, Flo en Clover met je cyclusdata doen

Drie populaire menstruatie-apps, ontleed in één onderzoek. Clue houdt je gegevens grotendeels in Europa, Flo bouwt een echte privacy-laag bovenop de SDK's van Meta, TikTok en Google, en Clover stuurt analytics, login en betalingen tot in Rusland. Eigen statische analyse met live endpoint-verificatie, eerlijk over wat hard is en wat niet.

Een man kust teder een witte zonnepaneel-omvormer aan een kelderwand, met de tekst: Laat Mick maar praten, het is al goed schatje. Illustratie door Mick Beer.
11 juni 2026
Je zonnepanelen weten wanneer je huis leeg staat

Een Growatt- of Solis-omvormer met wifi-monitoring stuurt elke vijf minuten een gedetailleerd beeld van je huishouden naar de cloud, en die verbinding gaat twee kanten op. Eigen firmware-, app- en netwerk-analyse laat zien wat er vertrekt (tot een aanwezigheidskalender van je huis), waar het heen gaat (Alibaba Cloud in Frankfurt, de VS en China), en dat iemand op afstand aan je omvormer kan draaien. Met de Nederlandse context, het overheidsdossier, en wat je er zelf aan kunt doen zonder je panelen kwijt te raken. Deel drie in een reeks over slimme apparaten en privacy.

Het Nederlandse privacy-stelsel, hoofddossier versie 2.0
11 juni 2026
Het Nederlandse Privacy-Stelsel, Hoofddossier

Het volledige kerndossier (v2.0) als artikel. Vier pijlers die elkaar versterken, met uitsluitend hard bewezen materiaal in de hoofdtekst, plus bijlagen met cijfer-canon, methodologie, onderzoeksagenda, bronnen per claim en een volledig changelog.

Bewerkte illustratie in de stijl van een Ring-deurbelbeeld: een figuur met tablet bij een Nederlandse bushalte, met de tekst 'Wil je slim huis of niet'. Illustratie door Mick Beer
7 juni 2026
Jouw huis praat met vreemden. En jij hebt nooit getekend.

Hoe data uit een slim apparaat in een Nederlandse woonkamer, een deurbel, een lamp van een tientje, een tv, via attributie-SDK's en advertentieveilingen belandt bij bedrijven die zich in de Verenigde Staten zélf als datahandelaar registreren, en bij servers in China. Een forensische uiteenzetting van een keten die al jaren in openbaar onderzoek ligt, maar die niemand nog van begin tot eind had doorgetrokken voor de Nederlandse gebruiker. Getoetst aan het P-SEP-model. Deel twee in een reeks over slimme apparaten en privacy.

Illustratie in dossier-stijl met de kop 'META's brilletje doet iets meer dan het voordoet', een persoon met een Ray-Ban Meta-zonnebril op. Tekening door Mick Beer
6 juni 2026
Ray-Ban Meta: jouw gezicht is hun trainingsdata. En jij hebt nooit getekend.

Hoe een modebril van 419 euro een wandelend opnamestation werd dat data naar de cloud, naar onderaannemers in Nairobi en naar een gezichtsherkenningsdatabase stuurt. Waarom jij, de voorbijganger, het slachtoffer bent dat nergens voor heeft getekend, en waarom dit apparaat verboden hoort te zijn voor wie bij de AIVD, de MIVD, het leger of de vitale infrastructuur werkt. Een forensische uiteenzetting van wat er feitelijk gebeurt, getoetst aan het P-SEP-model.

Vrijgegeven interne e-mail van het EDPB-secretariaat, 27 oktober 2020, aan de Europese privacytoezichthouders, met als onderwerp '[TF101] Internal working document and Investigation questions'. Vrijwel alle namen en adressen zijn weggelakt onder vrijstellingsgrond 5.1.2.e.
3 juni 2026
Drie jaar lang wist de privacywaakhond het zelf niet: wat 1096 vrijgegeven pagina's onthullen over de AP en Google

De Autoriteit Persoonsgegevens moest van miljoenen Nederlanders bepalen of Google Analytics nog mocht. Een Woo-verzoek dwong 1096 pagina's interne stukken naar buiten. Daarin: een toezichthouder die het zelf niet wist, de advocaat van Google die om verwijdering vroeg, en een lakfout die per ongeluk een naam liet staan. Een uitleg voor wie geen jurist is.

Illustratie: een man aan een tafel met koffie wordt aan zijn shirt achteruit getrokken door een figuur met een rood Adobe-logo als hoofd. Bovenaan de tekst 'niet zo tracken'. Tekening door Mick Beer
3 juni 2026
Het houdt niet op bij de Belastingdienst: twee sites van Defensie leveren je herkenningsnummer aan de advertentiemarkt

De Tweede Kamer eist opheldering over de Adobe-tracking bij de Belastingdienst, naar aanleiding van mijn vorige artikel. En het houdt daar niet op: twee websites van het Ministerie van Defensie leveren je herkenningsnummer rechtstreeks aan een advertentie-inkoopplatform, en drie merken van de staatsbank Volksbank poolen je bezoekersprofiel. De Belastingdienst zelf doet dat laatste juist níét, en dat verschil hoort er glashelder bij. Met de echte hostnamen en een harde grens om wat ik niet kan bewijzen.

Spotprent waarin koning Willem-Alexander naar Donald Trump wijst, met de tekst 'Dus jij bent die pauper die al onze data opkoopt'. Tekening door Mick Beer
2 juni 2026
Een Amerikaans reclamebedrijf krijgt een verslag van elke klik terwijl jij je belasting betaalt

Ik heb mijn eigen betaling bij de Belastingdienst van begin tot eind vastgelegd, ingelogd achter DigiD, met de antwoorden van de servers erbij. Bij die ene betaling vertrok een handeling-voor-handeling verslag naar Adobe in de Verenigde Staten: welke aanslag ik openhad, dat ik voor iDEAL koos, het exacte moment dat ik op betalen klikte, en dat ik daarna annuleerde. Eraan vast hing een nummer dat twee jaar blijft staan en mij over websites heen herkenbaar maakt. Hieronder staat de complete lijst van wat er werd verstuurd, met de echte waarden uit mijn sessie.

Spotprent: een scholier met rugzak staat stil terwijl vier figuren met logohoofden (Google, Ahrefs, HubSpot en een grijze Skynet-widget) aan zijn kleren trekken alsof het touwtrekken is. Boven de tekening staat in grote letters 'laat onze studenten met rust'. Tekening door Mick Beer
1 juni 2026
Verplichte schoolsoftware, met een Amerikaanse marketingmachine aan de voordeur

De onderwijssector haalt op de Nationale Privacy Index gemiddeld 3,7 sterren. Dat lijkt netjes, maar het gemiddelde is sterk bimodaal. Magister en itslearning, beide van Sanoma Learning, laden vóór je iets aanklikt een volledige HubSpot-marketingsuite, Piwik PRO, Ahrefs en een Amerikaanse accessibility-widget. Wie 'akkoord' klikt, krijgt er LinkedIn-advertentietracking bij. Kennisnet, een publiek bekostigd orgaan, zet vóór toestemming een Google Analytics-cookie van 399 dagen. En de drie portalen die schoon ogen, zijn deels simpelweg niet te meten. Dit is een dossier over wat er gebeurt, wat eraan fout is, en waarom het juist hier niet te verdedigen valt.

Infographic 'Het Odido-datalek: officieel narratief naast bewijs'. Bovenste rij toont wat Odido publiek deelt over zeven onderwerpen (detectie, reactie, aanvallers, password_c, inlogwachtwoorden, klantnotities, retentie); de onderste rij toont per onderwerp wat het bewijs laat zien, met een kleurgecodeerde taxonomie van hard contradictie tot staat overeind.
24 mei 2026
De Odido-reconstructie: tegengeluid met keihard bewijs

Forensische naast-elkaar-zetting van Odido's publieke verklaringen over het datalek van februari 2026 en wat met openbare bronnen daadwerkelijk vast te stellen is. Tien claims geclassificeerd, plus zes omissies die Odido onbenoemd laat.

Twee gespierde armen, één in een wit overhemd en één in een rood shirt, die elkaar in een vaste, hechte handdruk omklemmen. Beeldtaal: 'Epic Handshake'-meme, gebruikt als beeld voor een onverwachte alliantie tussen partijen die elkaar in het publieke debat juist zouden moeten controleren.
19 mei 2026
Salesforce zit morgen aan de Kamer-tafel over cyberveiligheid, drie maanden na het Odido-lek via hun platform

De vaste Kamercommissie Digitale Zaken houdt morgen een rondetafelgesprek over cyberveiligheid. In tweede herziene convocatie is aan blok 1 (Experts) Salesforce toegevoegd. De leverancier wiens platform drie maanden eerder de poort was waarlangs 6,2 miljoen Nederlanders hun gegevens verloren. Een feitelijke reconstructie en de vragen die de commissie zou moeten stellen.

Drie partijleiders in collage: Geert Wilders (PVV), de leider van 50PLUS in purper sjaal, en Stephan van Baarle (DENK) onderin.
19 mei 2026
Politieke partijen op privacy

Eén partij haalt vijf sterren. Twee verbergen hun tracking achter een eigen merknaam. NSC heeft geen meetbare website. CDA staat onderaan. Wat ik vond op de zestien partij-websites, en wat het over jouw stem zegt.

Schilderij in de stijl van Magritte: een man met bolhoed houdt een opengeslagen krant voor zijn gezicht. De kop luidt 'Geen nieuws: 38 AIVD'ers, MIVD'ers en Tweede Kamerleden, niet in het nieuws'. Achter hem staat groot het woord ODIDO op de muur geschilderd.
17 mei 2026
Ik vond 38 PPP's in de Odido-dataset, en 5,5 miljoen mensen die er allang niet meer hoorden te zijn

Forensische analyse van het Odido-lek. PPP's, MKB-ondernemers, kwetsbare personen, 16 jaar opslag van data die nooit bewaard had mogen blijven. En waarom Wetsvoorstel 2026Z04148 dit moet verbieden.

Cirkel-visualisatie: één oranje stip (jij), 8 blauwe (bekende namen), 130+ grijze (onbekende databrokers)
17 mei 2026
138 bedrijven krijgen jouw data als je NU.nl opent

138 partners, 92% onbekend. NU.nl en NOS.nl gemeld bij de Autoriteit Persoonsgegevens. Wat ik vond, wat ik deed, en hoe jij je data terugpakt.

"respectVisitorsPrivacy": false, wat staat er écht in de Kiesraad-config?
14 mei 2026
"respectVisitorsPrivacy": false, wat staat er écht in de Kiesraad-config?

Op kiesraad.nl draait Piwik PRO via CNAME-cloaking. Vijf tracking-cookies vóór toestemming, geen cookiebanner. In de config staat letterlijk respectVisitorsPrivacy false.

Screenshot van de homepage van humanitas.nl, met de oproep
10 mei 2026
Humanitas heeft een session-replay tool. Op een hulpverleningsplatform.

Op humanitas.nl draait Microsoft Clarity, session-replay op een platform voor mensen die hulp zoeken bij eenzaamheid, rouw, schulden en mantelzorg. Eén van achttien externe partijen die bij elk bezoek data ontvangen.

Cover: de Toeslagen-app draait op een Azure-backend in de VS
6 mei 2026
Mijn Toeslagen van Belastingdienst, powered by Microsoft USA

Een live Azure-backend in een primair toeslagenproces, terwijl Heijnen de Kamer beloofde dat het in Apeldoorn zou blijven.

Spotprent: Belastingdienst-bestuurder schrikt, Adobe en Google bedanken voor de data
3 mei 2026
De Belastingdienst deelt zoekgedrag van toeslagenslachtoffers met een Amerikaans databedrijf

Ik bekeek wat de Belastingdienst doet qua cookies en tracking. Ik was enorm geschokt. We betalen belasting om bespioneerd te worden, en het is niet eens makkelijk te vinden. Tussen de tracker en Adobe USA zit een DNS-truc.

Cover: DigiD-contract verlengd terwijl de Tweede Kamer wordt gepasseerd
26 april 2026
Het kabinet verlengt DigiD-contract terwijl Kamer passeert, privacylekken opstapelen en soevereiniteit op spel staat

Het kabinet verlengt het Solvinity-contract, en passeert daarmee de Tweede Kamer. Onderzoek toont DPIA-gat en pre-consent tracking bij DigiD.

Cover: het Odido-datalek, zestien jaar bewaard en de directie stond erin
24 april 2026
Uw directie stond op de lijst, wat het Odido-lek onthult over uw eigen datakluis

Niet 6,2 miljoen accounts, 17 miljoen dataregels, zestien jaar bewaard. Odido's eigen directie stond erin. Als de architecten van het systeem zichzelf niet beschermen, is het systeem kapot.

Cover: 'alles weigeren' werkt niet, getest bij De Volkskrant en De Telegraaf
24 maart 2026
"Alles weigeren" werkt niet: deel 2, Volkskrant en Telegraaf

Onderzoek naar AVG-compliance bij Nederlandse nieuwssites: technische tests van De Volkskrant (DPG Media) en De Telegraaf (Mediahuis).

Cover: 101 advertentiepartners worden geactiveerd vóór toestemming op Nederlandse nieuwssites
23 maart 2026
101 Advertentiepartners: Het Probleem Met "Informed Consent" op Nederlandse Nieuwssites

Een diepgaand onderzoek naar cookie compliance bij NU.nl, NOS.nl en de illusie van privacy op het Nederlandse internet.

Reacties

Weerwoord en replieken op berichtgeving en publieke verklaringen, met verifieerbare onderbouwing.

Interviews

Gesprekken met collega-onderzoekers en bouwers.

Papers

Volledige forensische audits, casus-recaps en bredere verhalen met methode, juridisch kader en verifieerbare bevindingen.

Illustratie door Mick Beer: portret van Geert Wilders met een zwarte redactiebalk over zijn ogen, onder de kop Onherkenbaar.
18 juni 2026
Hoe een slecht weggelakte interne mail de hele persoon prijsgeeft

Wilders deelde een interne mail van het COA en lakte de namen zwart. Toch waren er drie voornamen leesbaar en kon ik de afzender achterhalen, inclusief LinkedIn. Een analyse over slordige redactie op een uiterst gevoelig dossier, en over twee grondrechten die allebei tellen.

Privacy Kieswijzer, twintig Nederlandse partijen en fracties uitgezet op een kaart van privacy-bescherming tegen surveillance-houding, Tweede Kamer 2021–2026.
21 mei 2026
Privacy Kieswijzer: hoe stemmen Nederlandse partijen écht over jouw digitale grondrechten?

Een kaart van vier jaar Tweede Kamer, twintig partijen en één simpele vraag: wie verdedigt jouw privacy, en wie liever de surveillance-staat? Met per as exact welke bronnen en wegingen onder de scores zitten.

Voorblad van het 113-dossier, case-recap over de privacyschending op de nationale zelfmoordpreventielijn en hoe 113 erop reageerde.
17 mei 2026
Het 113-dossier: wat er fout ging, en wat er goed ging

Een privacy-onderzoek op de website van Stichting 113 Zelfmoordpreventie bracht een ernstige bevinding aan het licht. De manier waarop 113 reageerde, mag een sector-voorbeeld heten.

Screenshot van de homepage van 113.nl met het rode hulpvraagblok
12 mei 2026
113.nl: structurele privacyschending in digitale zorgverlening

Forensisch trackingonderzoek op de nationale suïcidepreventielijn, bevindingen, juridische context en actiepunten.

De keten van tracking pixel tot bankhelpdeskfraude in zeven stappen
29 april 2026
Van cookie naar bankhelpdeskfraude: de keten die niemand wil zien

Tracking pixels op vertrouwde websites delen persoonsgegevens met tientallen partijen. Die data worden verrijkt door databrokers en landen, legaal of gestolen, in scam-arsenalen. Hoe de keten van cookie naar oma's bankrekening werkt.

Cover: ChipSoft betaalde na de ransomware-aanval, de vraag is waarom het zover kwam
29 april 2026
ChipSoft betaalde. De vraag is waarom het zover kwam.

Op 7 april 2026 trof een professionele ransomware-aanval het Nederlandse EPD-bedrijf ChipSoft. Honderd gigabyte aan medische gegevens werd buitgemaakt door Embargo.

Cover: drie datalekken in één week, weekbrief editie 3
16 april 2026
Editie 3: Drie datalekken in week 15 op 16 van 2026. WTF!

Drie datalekken in één week: waarom 40.000–80.000 Nederlanders nu een levensgevaarlijk compleet profiel op de darkweb kunnen hebben.

Cover: de trust-wiskunde van blockchain toegepast op bestandstransport
15 april 2026
Blockchain solved trust for money. We applied the same math to your files, and made it quantum-safe.

In 2008 solved Satoshi Nakamoto trust without intermediaries via Merkle trees. Ghost Pipe applies the same math to file transport with post-quantum cryptography.