Artikel · 17 mei 2026

Het 113-dossier: wat er fout ging, en wat er goed ging

Een privacy-onderzoek op de website van Stichting 113 Zelfmoordpreventie bracht een ernstige bevinding aan het licht. De manier waarop 113 reageerde, mag een sector-voorbeeld heten.

Voorblad van het 113-dossier — case-recap over de privacyschending op de nationale zelfmoordpreventielijn en hoe 113 erop reageerde.
113-dossier — case-recap over wat er fout ging, en wat er goed ging. Een sector-voorbeeld in hoe een hulplijn op een melding hoort te reageren.

Op 9 mei 2026 voerde ik een privacy-onderzoek uit op de website van Stichting 113 Zelfmoordpreventie. Eén ernstige bevinding springt eruit, en is inmiddels opgelost. Zes andere ernstige bevindingen staan nog open. Dit stuk legt uit wat er gemeten is, waarom het bij dit type organisatie zwaarder weegt dan elders, en hoe het verloop met 113 zelf eruitzag.

Wat er gevonden werd

De website is gescand in drie consent-modi: zonder klik op de cookiebanner, na klik op alles weigeren, en na klik op alles toestaan. Acht bevindingen kwamen uit de meting, waarvan zes als ernstig geclassificeerd.

Het meest opvallende: Microsoft Clarity, een session-replay-tool die muisbewegingen, kliks en in veel gevallen formulier-invoer registreert, werd geladen een klik op weigeren. Oorzaak: een verkeerd geconfigureerde Consent API, waarbij elke knop in de cookiebanner het consent-event triggerde — dus ook de weiger-knop.

Daarnaast laadden Google Tag Manager, Google AdSense en Google Analytics al vóór enige consent. Vijf bekende tracker-domeinen bleven actief ná een weiger-klik (cookiebot.com, googletagmanager.com, pagead2.googlesyndication.com, region1.google-analytics.com, en googleadservices.com). Vijf POST-requests met data verlieten de browser richting Google-eindpunten. In de tracker-bestanden werden tijdzone-uitlezingen aangetroffen — een ingrediënt van browser-fingerprinting.

Waarom dit bij 113 zwaarder weegt

Op de meeste sites is een tracker-stack een privacy-issue. Bij een suïcidepreventielijn raakt diezelfde tracker-stack een ander hoofdstuk van de wet.

AVG artikel 9 bestempelt gegevens over geestelijke gezondheid als bijzondere persoonsgegevens. Het laden van de hulppagina van 113 of het openen van het bel- of chatmenu kan op zichzelf een afgeleid bijzonder persoonsgegeven zijn. Dat is een hogere bewijslast voor de site-eigenaar en een hogere drempel voor wat überhaupt verzonden mag worden.

Organisaties die met kwetsbare bezoekers werken hebben daarmee een andere norm voor anonimiteit dan een willekeurige nieuwssite of webwinkel. Niet omdat ze het bewust slechter doen — vrijwel niemand op het web doet dit met opzet — maar omdat de standaard-tracker-stack die je via een paar GTM-tags binnenhaalt simpelweg niet past bij dit type bezoeker.

De disclosure

De bevindingen zijn niet via een advocatenbrief gemeld, maar in de open lucht — met de raw scan-data verifieerbaar achter een cryptografische hash, en het bestaan ervan op de Bitcoin-blockchain verankerd via OpenTimestamps. Niemand hoeft het op mijn woord aan te nemen.

Tijdlijn, compact:

Het volledige verloop, met alle technische bewijzen, staat in het dossier-PDF.

Hoe 113 het aanpakte

Drie dingen vielen op aan de reactie van 113.

Snelheid. Binnen enkele uren een publieke reactie. Geen tussenkomst van een woordvoerder die eerst van alles moet afstemmen, geen bureaucratische vertraging. Wel een directe erkenning.

Transparantie. Geen toedekken van wat er stond, geen relativering van de bevinding. 113 erkende publiek dat er iets niet klopte, gaf aan dat ze het serieus onderzochten, en deelde dat ze externe deskundigen inschakelden.

Daadwerkelijke remediatie. Niet alleen een belofte voor de toekomst, maar feitelijke verwijdering van de aansprekendste bevinding voordat de herhalingsmeting plaatsvond. Cryptografisch verifieerbaar: Clarity-domeinen verschenen op 11 mei niet meer in de scan-output.

Dat de zes overige bevindingen op de herhalingsmeting nog stonden, doet niets af aan de toon. 113 heeft aangekondigd dat het interne onderzoek doorloopt en dat zij naar deze elementen kijken. Het sectorbeeld in Nederland kent veel organisaties die een advocatenbrief sturen of in stilte hopen dat het overwaait. 113 is een tegenvoorbeeld van uitzonderlijk niveau.

Wat het breed te lezen gaf

De casus is door meerdere redacties opgepakt. Niet als security-curiositeit, wel als een verhaal over wat er bij goedbedoelende organisaties onder de motorkap zit. Onder andere:

Dat dit breder werd opgepakt dan alleen het security-publiek zegt iets. Bezoekers en donateurs van een hulpverleningsorganisatie willen weten of de site die zij vertrouwen niet — bedoeld of onbedoeld — hun gedrag aan derden doorgeeft.

Wat ik er zelf van vind

Drie dingen tegelijk.

Eén: de specifieke bevinding op deze site, op deze doelgroep, op deze klasse van data — dat schuurt. Niet doordat 113 of de leverancier daarvan iets kwalijk te verwijten valt, wel doordat het de standaard-stack illustreert. Iedereen plakt dezelfde drie tags op zijn site (GA4, GTM, AdSense) zonder per se te overwegen wat het verschil is tussen een bezoeker aan een nieuwswebsite en een bezoeker aan een suïcidepreventielijn. De configuratie volgt het marketing-script. Het marketing-script volgt geen onderscheid naar context.

Twee: de afhandeling door 113 was klasse. Snelheid, openheid, daadwerkelijke actie. Het is mogelijk om constructief om te gaan met een privacy-bevinding zonder reflexmatige verdediging. Deze casus is daarvan een blauwdruk.

Drie: het principe achter dit en vergelijkbaar werk — #CheckDontStore. Bewaar niet wat je niet nodig hebt. Verzend niet wat je niet nodig hebt. Bij hulpverleningsorganisaties is “niet nodig” een breder begrip dan bij commerciële sites; de bewijslast voor “wel nodig” ligt hoger. Dat principe geldt elders ook.

Het volledige dossier — bevindingen, methodologie, wettelijk kader, tijdlijn, verificatie-hashes — staat op mickbeer.com/papers/hackedemia-113nl-dossier.pdf.

← terug naar artikelen