Artikel · 3 mei 2026

De Belastingdienst deelt zoekgedrag van toeslagenslachtoffers met een Amerikaans databedrijf

Ik bekeek wat de Belastingdienst doet qua cookies en tracking. Ik was enorm geschokt. We betalen belasting om bespioneerd te worden — en het is niet eens makkelijk te vinden. Tussen de tracker en Adobe USA zit een DNS-truc.

Ik bekeek wat de Belastingdienst doet qua cookies en tracking. Ik was enorm geschokt. (En dat is niet makkelijk.) Dit is simpelweg niet oké.

Dezelfde overheid die de toeslagenaffaire heeft veroorzaakt, geeft de slachtoffers nu opnieuw door aan Adobe, een Amerikaans bedrijf. Bewust geconfigureerd. In een aparte container.

We betalen belasting om bespioneerd te worden. En dat is niet eens makkelijk te vinden — er zit een DNS-truc tussen om het voor je te verbergen.

Spotprent: Belastingdienst-bestuurder schrikt, Adobe en Google bedanken voor de data — Hersteloperatie Toeslagen — powered by Adobe.

Wat ik vond

Op herstel.toeslagen.nl — de site voor slachtoffers van de toeslagenaffaire — staat een aparte Adobe-configuratie, met als datapunt naar de Verenigde Staten:

“Website voor gedupeerde ouders | Herstel Toeslagen (UHT)”

Met expliciete classificatie toeslagen-herstel-kot-nl. Adobe weet dus, op tag-niveau, dat dit een hersteloperatie-kinderopvangtoeslag-bezoeker is.

In december 2023 zei een Belastingdienst-woordvoerder publiekelijk dat de Adobe-cookie “uit voorzorg uitgeschakeld” was. In september 2023 schreef het kabinet aan de Tweede Kamer: “geen tracking op overheidssites, ongeacht toestemming”.

Zeventien maanden later: alles aan.

Wat ik vond op belastingdienst.nl en herstel.toeslagen.nl

Een DNS-truc waardoor tracker-blokkers en ad-blockers worden omzeild. Voor de browser lijkt het de Belastingdienst. Het is Adobe in de Verenigde Staten.
Een 38-cijferige Adobe-ID die twee jaar bewaard wordt, opgeslagen op drie plaatsen.
Wat je in de zoekbalk typt gaat letterlijk mee. “herstel operatie”, “toslagen”, “schuldsanering”, “echtscheiding aftrek” — direct naar Adobe USA.
Wat je naar de chatbot typt gaat mee.
Wat je in het feedback-veld schrijft gaat mee.
Foutmeldingen die persoonsgegevens kunnen bevatten gaan mee.
Geen banner. Geen consent. Geen waarschuwing.

Waarom dit ertoe doet

De Belastingdienst weet beter. Op mijn.toeslagen.nl, de geauthenticeerde inlogomgeving, staat geen tracking. Geen Adobe, geen Google, geen Meta, geen AB Tasty. Schoon. Dezelfde overheid, dezelfde technische kennis, en achter de inlogmuur koos men voor privacy. Op de publieke kant niet.

Wat er gebeurt: bij elk bezoek aan herstel.toeslagen.nl genereert Adobe een Experience Cloud ID (ECID): 38 cijfers, bewaartermijn twee jaar, opgeslagen op drie plaatsen. Per page-view gaan twintig tot zestig datapunten naar Adobe, waaronder:

Paginatitel: “Website voor gedupeerde ouders | Herstel Toeslagen (UHT)”
Classificatie: toeslagen-herstel-kot-nl — Adobe weet daarmee niet alleen dát iemand een hersteloperatie-pagina bezoekt, maar ook de specifieke categorie (kinderopvangtoeslag)
Zoekqueries: integraal naar de VS
Chatbot-input: vrije tekst die bezoekers naar de virtuele assistent typen
Feedback-tekst: wat gedupeerden in het feedback-formulier schrijven, ongecodeerd
Foutmeldingen: “BSN niet bekend”, “geboortedatum komt niet overeen” — indirecte persoonsgegevens

Dit alles via CNAME-cloaking: het subdomein adobe-analytics-dc.belastingdienst.nl wijst via CNAME naar wdbvhtupcp.data.adobedc.net. De browser ziet een first-party cookie; tracker-blokkers herkennen geen Adobe-domein; Safari ITP en Firefox ETP blokkeren dit niet. De Belastingdienst gebruikt daarvoor een eigen JavaScript-bibliotheek, bld-metrix.js, 44 KB, gebouwd in eigen huis, geserveerd vanaf het Belastingdienst-domein, die rechtstreeks events naar Adobe stuurt.

Sandra Palmen: van klokkenluider naar bewindspersoon

De ironie rondom Sandra Palmen-Schlangen is een van de scherpste verhalen in dit dossier. In 2017 schreef zij als jurist bij de Belastingdienst een intern advies — het later bekende “memo Palmen” — waarin zij stelde dat de Belastingdienst en Toeslagen “laakbaar” hadden gehandeld. Haar advies werd genegeerd, het memo verdween in een la. In een interview met NOS Met het Oog op Morgen vertelde Palmen later dat zij overwoog klokkenluider te worden, maar dit niet deed: “Dan zou ik zelf het probleem zijn geworden.”

Volgens parlement.com is Sandra Palmen-Schlangen sinds december 2024 aangetreden als staatssecretaris Fiscaliteit, Belastingdienst, Toeslagen-uitvoering en Douane en continueert in kabinet-Jetten (beëdigd 23 februari 2026). In april 2026 bleek bovendien dat de Belastingdienst opnieuw een datakluis met miljoenen documenten over de toeslagenaffaire had ontdekt, wat de situatie pijnlijk actueel houdt.

Op haar bureau ligt nu een dossier dat de spanning tussen herstelbelofte en uitvoeringspraktijk concreet maakt: de ambtenaar die alarm sloeg over onrecht draagt nu politieke verantwoordelijkheid voor een hersteloperatie die de slachtoffers van datzelfde onrecht opnieuw doorgeeft aan een Amerikaans bedrijf.

Beleidscontext

AVG artikelen 6, 32, 44-49 — rechtsgrondslag, beveiligingsplicht en doorgifte buiten de EU. Geen van de zes gronden uit artikel 6 is van toepassing op de doorgifte van zoekgedrag aan Adobe.
ePrivacy Richtlijn 2002/58/EG artikel 5(3) — vereist ondubbelzinnige toestemming vóór plaatsing van trackingcookies. Belastingdienst.nl toont géén consent-dialog.
AP-rapport 2020 (FSV-fraudemodel) — concludeerde dat de Belastingdienst systematisch en onrechtmatig persoonsgegevens verwerkte. Dit dossier toont een vergelijkbaar patroon via tracking.
Kamerbrief Van Huffelen + Adriaansens, 5 september 2023 (Kamerstuk 32 761-286) — “geen third-party cookies of andere tracking, ongeacht het verkrijgen van toestemming”.
SDBN-massaclaim (Rechtbank Rotterdam C/10/668332, ECLI:NL:RBROT:2025:6254, tussenvonnis 28 mei 2025) — collectieve vordering tegen grootschalige trackingpraktijken. Dit dossier levert aanvullend bewijsmateriaal.

Wat moet er morgen gebeuren

De Belastingdienst zet de Adobe-cookie daadwerkelijk uit, conform de Kamerbrief.
Vrije-tekst-events (chatbot-input, feedback-tekst, foutmeldingen) gaan direct uit de tracking-laag.
Bestuurlijke verantwoording over de discrepantie tussen de woordvoerder-verklaring van december 2023 en de meetdata van mei 2026.
Een DPIA voor herstel.toeslagen.nl openbaar maken — of alsnog uitvoeren onder AVG artikel 35.

Slotsom

De eigen cookieverklaring op belastingdienst.nl/.../cookies beweert dat cookies geen persoonsgegevens bevatten (geraadpleegd 1 mei 2026). Onder de Breyer-uitspraak (HvJ EU C-582/14) kwalificeert een unieke 38-cijferige identifier met twee jaar levensduur als persoonsgegeven. De claim is aantoonbaar onjuist.

De Autoriteit Persoonsgegevens onder Aleid Wolfsen is de afgelopen twee jaar actiever gaan handhaven tegen overheden. De AP legde op 16 juli 2024 een boete van €600.000 op aan Kruidvat — dat is precedent. Een bewuste schending van een Kamertoezegging door een bestuursorgaan is precies het type casus waar de AP een voorbeeldboete op zet.

Het volledige forensische rapport — inclusief 12 HAR-captures, DNS-verificaties, broncode-analyse en juridische referenties — is gepubliceerd via Hackedemia. De Belastingdienst, Dienst Toeslagen, Adobe Nederland, Stichting Data Bescherming Nederland en de Autoriteit Persoonsgegevens zijn voor hoor en wederhoor benaderd. Reacties komen in een vervolgpublicatie.

De vraag voor de bestuurstafel is niet óf dit politiek wordt, maar hoe snel.

← terug naar artikelen