Op 25 juni 2026 beantwoordde staatssecretaris Eerenberg van Financiën de Kamervragen over de Adobe-tracker in de betaalomgeving van de Belastingdienst. De kern van dat antwoord staat er zonder omhaal:
Het gebruik van Adobe Analytics was niet in lijn met de geldende ePrivacy-regels en de Algemene verordening gegevensbescherming.
Daarmee is de cirkel rond. Op 2 juni publiceerde ik wat er feitelijk over de lijn ging toen ik, ingelogd met mijn eigen DigiD, een aanslag wilde betalen: een handeling-voor-handeling verslag naar Adobe in de Verenigde Staten, met een herkenningsnummer van twee jaar eraan vast. Vier weken later is de tracker uit, is het datalek door de dienst zelf bij de Autoriteit Persoonsgegevens gemeld, is de schending door het kabinet erkend, en ben ik als melder bedankt en beloond.
Dit dossier eindigt zoals een dossier hoort te eindigen: gemeten, gemeld, gestopt en erkend.
De tijdlijn: van meting tot erkenning in vier weken
| Datum | Wat er gebeurde |
|---|---|
| 30 mei en 1 juni | Metingen in mijn eigen betaalomgeving, vastgelegd met de antwoorden van de servers erbij |
| 2 juni | Publicatie van het dossier met de letterlijke velden uit mijn sessie |
| 3 juni | JA21-Kamerlid Van den Berg stelt twaalf schriftelijke vragen (2026Z11812) aan de staatssecretarissen van Financiën en van Economische Zaken en Klimaat |
| 6 juni | De Belastingdienst laat weten dat de Adobe-meting is uitgezet; mijn eigen nulmeting bevestigt dat |
| 10 juni | De uitschakeling wordt publiek; NRC, Tweakers en Security.NL berichten erover |
| 12 juni | Kamerbrief (2026Z12920): de dienst heeft uit eigen beweging een datalekmelding gedaan bij de Autoriteit Persoonsgegevens |
| 25 juni | Antwoorden op de Kamervragen: het gebruik was in strijd met de ePrivacy-regels en de AVG |
| 26 t/m 29 juni | Tweede persgolf, van Security.NL tot iBestuur en de fiscale vakpers |
Die twaalf Kamervragen verdienen een eigen alinea, want ze zijn het resultaat van een directe samenwerking met JA21-Kamerlid Daniël van den Berg. Ik leverde de meting en de technische onderbouwing, hij vertaalde die naar precieze, goed getimede vragen en tilde het debat daarmee een niveau hoger in de Kamer. Vraag voor vraag zat er techniek onder: van de ECID-cookie en de verhulde DNS-omleiding tot de rolverdeling tussen verwerkingsverantwoordelijke en verwerker. Die combinatie van meetwerk en politiek vakmanschap is de reden dat dit dossier in vier weken van bevinding naar erkenning ging.
Wat de staatssecretaris erkent
De antwoorden op de Kamervragen bevestigen de bevinding op alle hoofdpunten, en voegen er een paar dingen aan toe die ik zelf niet kon vaststellen.
Ten eerste de rechtmatigheid. Het kabinet erkent dat de tracking in strijd was met de ePrivacy-regels en de AVG, en dat vooraf niet is beoordeeld of het verwerken van persoonsgegevens noodzakelijk was. Er lag geen afgeronde beoordeling onder een systeem dat meekeek met burgers in de meest verplichte omgeving die de overheid kent.
Ten tweede de reikwijdte. Vast staat dat in elk geval IP-adressen naar Adobe zijn verstuurd, naast de gedragsgegevens die ik documenteerde: de specifieke vordering, de geopende aanslag, de stap in de betaalfunnel. En er blijft een onbekende rest: wat gebruikers hebben ingetypt in vrije tekstvelden en zoekfuncties is achteraf niet meer volledig te reconstrueren. Die onzekerheid is precies waarom dit als datalek is gemeld.
Ten derde de voorwaarden voor de toekomst. De verwerking is gestopt en wordt pas hervat als de rechtmatigheid en proportionaliteit zijn beoordeeld en geborgd, met eerst een DPIA en sluitende verwerkersafspraken.
Mijn eigen meetnuance blijft daarbij overeind staan, want daar hecht ik aan: het bedrag, het BSN, het IBAN en het betalingskenmerk gingen aantoonbaar niet mee. Wat wegvloeide was je gedrag eromheen, gekoppeld aan een nummer dat twee jaar blijft staan. De erkenning gaat over precies dat.
De dienst meldde zichzelf
Het opvallendste aan deze afloop is de volgorde. De Autoriteit Persoonsgegevens hoefde er niet aan te pas te komen om dit boven water te krijgen: de Belastingdienst deed uit eigen beweging een datalekmelding bij de toezichthouder, en de staatssecretaris informeerde de Kamer daar zelf over.
In diezelfde Kamerbrief richt de staatssecretaris zich rechtstreeks tot de melder:
Ik ben dankbaar dat deze ethisch hacker de Belastingdienst hierop heeft gewezen.
En het bleef niet bij woorden: voor de melding kreeg ik van de Belastingdienst een beker. Een echte, met het logo van de dienst in de lauwerkrans, een handdruk op de voorkant, en op het voetstuk een opschrift met gevoel voor humor: “I hacked the Dutch Tax Office and never got a refund”. Dat vermeld ik hier met plezier, omdat het laat zien hoe een overheidsdienst met een melder om kan gaan: serieus nemen, rechtzetten, en de boodschapper bedanken in plaats van hem als tegenstander te behandelen.
Wat de pers ervan maakte
De antwoorden van 25 juni leverden een tweede golf berichtgeving op, na de eerste golf rond de uitschakeling:
- Security.NL en PrivacyNieuws: “Belastingdienst schond privacywetgeving”
- iBestuur en Binnenlands Bestuur: “Belastingdienst schond AVG met gebruik van Adobe Analytics”
- NieuwRechts: “Persoonsgegevens belastingbetalers doorgestuurd naar Amerikaans bedrijf”
- De fiscale vakpers (Taxence, TaxLive): het gebruik is gestopt en het datalek gemeld
Alle vermeldingen staan gebundeld op de pers-pagina, met de links naar de originele publicaties en de Kamerstukken.
Waarom dit een succesverhaal is
Elk onderdeel van het stelsel deed waarvoor het bestaat. De meting bracht een verborgen datastroom aan het licht. De Kamer stelde er binnen een dag vragen over. De dienst zette de tracker binnen een week uit, controleerde niet alleen de betaalomgeving maar inventariseert soortgelijke tooling breder, en meldde zichzelf bij de toezichthouder. Het kabinet erkende de schending zwart op wit. En de melder werd bedankt.
Het verwijt over de oorspronkelijke situatie blijft staan: jarenlang kreeg een Amerikaans reclamebedrijf een klik-voor-klik verslag mee van burgers die hun belasting betaalden, zonder grondslag en zonder dat iemand dat vooraf had getoetst. Dat is en blijft de bevinding, en die staat volledig gedocumenteerd met de echte waarden uit mijn sessie.
Wat openstaat, benoem ik ook. De uitschakeling is formeel voorlopig: hervatting kan na een DPIA en verwerkersafspraken, en dat moment verdient een nieuwe meting. En de vraag wat er in de vrije tekstvelden richting Adobe is gegaan, blijft per definitie onbeantwoord. Zodra de betaalomgeving opnieuw gaat meten, meet ik mee.
Aan iedere onderzoeker die iets ziet: meld het
Dit is waar dit artikel eigenlijk om draait. Zit je als onderzoeker op een bevinding, bij de overheid of daarbuiten, en twijfel je of melden zin heeft: dit dossier is het antwoord. De Belastingdienst ging er van begin tot eind goed mee om. De melding werd serieus genomen, de tracker ging binnen dagen uit, de dienst meldde zichzelf bij de toezichthouder, de staatssecretaris bedankte de melder in een brief aan de Kamer, en er stond een prijs tegenover.
Zo bouw je vertrouwen tussen onderzoekers en overheid: de melder wordt behandeld als bondgenoot, en de volgende bevinding komt daardoor wéér binnen via de voordeur. Melden loont, voor jou, voor de dienst en voor iedereen wiens gegevens het betreft.
Dus doe die melding. Dit is hoe het hoort te gaan, van begin tot eind. Eind goed, al goed.