Op woensdag 20 mei 2026, tussen 15:00 en 18:00 uur, houdt de vaste commissie voor Digitale Zaken van de Tweede Kamer een rondetafelgesprek over cyberveiligheid en informatiebeveiliging. Het gesprek vindt plaats in de Troelstrazaal en is via Debat Direct te volgen.

In het eerste blok, getiteld “Experts”, zat tot voor kort een vaste lijst toezichthouders en sectorvertegenwoordigers. Toen verscheen er een tweede herziene convocatie. Reden: “toevoeging spreker aan blok 1”. De toegevoegde spreker is Johan van Streun, Vice President Solution Engineering, Public Sector bij Salesforce.

Drie maanden eerder lekten via de Salesforce-omgeving van Odido de persoonsgegevens van 6,2 miljoen Nederlanders.

Dit artikel reconstrueert de feiten en formuleert de vragen die niet aan Salesforce gesteld zouden moeten worden, maar aan de commissie die Salesforce uitnodigde.

Wat er morgen gebeurt

De rondetafelbijeenkomst is opgedeeld in drie blokken:

Blok 1, Experts (15:00–16:00): Cyberveilig Nederland (Liesbeth Holterman), Digitale Dolle Mina’s (Chantal Stekelenburg), Z-CERT (Wim Hafkamp). En, in tweede herziene convocatie toegevoegd: Salesforce (Johan van Streun).

Blok 2, Casussen (16:00–17:00): Bevolkingsonderzoek Nederland (Elza den Hertog) en GGD GHOR Nederland (Fred Hoekstra). Twee organisaties uit de zorgketen die recent met grote cyberincidenten te maken hadden of risico lopen.

Blok 3, Toezicht en handhaving (17:00–18:00): Autoriteit Persoonsgegevens (Aleid Wolfsen), Nationaal Cyber Security Centrum (Matthijs van Amelsfort), Inspectie Gezondheidszorg en Jeugd (Janet Helder).

Twee dingen vallen op aan de samenstelling.

Het eerste is dat één commerciële leverancier in blok 1 zit naast publieke en non-profit experts, in plaats van in een apart casus-blok zoals Odido of KLM zouden krijgen. Het tweede is dat deze leverancier in tweede herziene convocatie is toegevoegd, dat wil zeggen: na de eerste convocatie, en na een eerste herziening. Wie het verzoek heeft gedaan om Salesforce als spreker toe te voegen, is uit de openbare documenten van de Kamer niet af te leiden.

Wat er drie maanden geleden gebeurde

In de eerste week van februari 2026 ontdekte Odido (voorheen T-Mobile) dat aanvallers hadden ingebroken in de Salesforce-omgeving die het bedrijf gebruikt voor klantregistraties. De aanval bleek tweetraps:

1. Klantenservicemedewerkers, waarschijnlijk werkzaam bij externe callcenters, kregen phishingmails. Wie op de link klikte en inlogde, gaf zijn of haar inloggegevens af.
2. Vervolgens belden de aanvallers diezelfde medewerkers. Ze deden zich voor als de ICT-afdeling van Odido en vroegen om de inlogpoging via tweefactorauthenticatie goed te keuren. Bij meerdere medewerkers werkte dat.

Eenmaal binnen koppelden de aanvallers een malafide “connected app” aan de Salesforce-omgeving, een digitale uitbreiding waarmee zij rechtstreeks toegang kregen tot de database. Met geautomatiseerde data­scrapers haalden zij vervolgens zoveel mogelijk klantgegevens binnen voordat verdachte activiteit werd opgemerkt.

De buit: persoonsgegevens van 6,2 miljoen huidige en voormalige Odido-klanten, inclusief klanten van dochterbedrijf Ben. Adressen, telefoonnummers, geboortedata, bankrekeningnummers. De hackersgroep Shinyhunters claimde de aanval en is later begonnen met het publiceren van de gestolen data, in delen, als drukmiddel om losgeld af te dwingen. Odido weigerde te betalen.

Uit eerder onderzoek dat ik publiceerde bleek dat de gelekte dataset niet alleen actuele klanten betrof, maar 17 miljoen dataregels omvatte, met records die tot 16 jaar oud waren. Tussen die records bevonden zich gegevens van 38 ministers, 5,5 miljoen burgers die formeel geen klant meer waren, en kwetsbare doelgroepen die volgens de bewaartermijn al lang verwijderd hadden moeten zijn. Zie ook mijn wetsvoorstel 2026Z04148 dat dit type onnodige private opslag wettelijk moet verbieden.

Salesforce waarschuwde meermaals voor exact deze methode

Dit is het deel dat morgen niet onbesproken kan blijven. Het patroon is namelijk niet nieuw, en Salesforce wist dat.

• Oktober 2025: Salesforce publiceert een officiële security-update over een opkomende campagne waarbij aanvallers, later geïdentificeerd als Shinyhunters, via phishingsites en telefonische manipulatie inloggegevens en MFA-codes proberen te stelen, met als doel toegang tot Salesforce-omgevingen.
• Najaar 2025: Beveiligingsbedrijf Mandiant (onderdeel van Google) en de FBI brengen vergelijkbare waarschuwingen uit. Meerdere grote Salesforce-klanten worden slachtoffer: KLM-Air France, Google, Palo Alto, allemaal via dezelfde methode.
• 30 januari 2026: Salesforce waarschuwt opnieuw, expliciet, voor een nieuwe golf van social engineering-aanvallen tegen Salesforce-omgevingen, waarbij aanvallers gebruikers verleiden om malafide apps toe te staan.
• Begin februari 2026: De Odido-hack vindt plaats. Op of kort voor 6 februari.

Tussen de laatste waarschuwing en de hack zat dus minder dan een week.

Salesforce zelf is in zijn publieke reactie consistent: “Deze gevallen hebben niets te maken met een inherent probleem in Salesforce. Deze aanvallen maken gebruik van social engineering en misleidende authenticatie­prompts.” Het platform zelf zou niet lek zijn; de zwakke plek zou liggen in de inrichting en het beheer door de klant.

Technisch klopt dat. Maar het is ook precies hier dat het verhaal ongemakkelijk wordt voor de Kamer-tafel waar deze leverancier morgen als expert zit.

Waarom “geen lek in onze software” niet genoeg is

Als één klant via social engineering wordt overrompeld, is dat een incident. Als KLM, Google, Palo Alto én Odido in nagenoeg dezelfde periode op dezelfde manier worden gepenetreerd via Salesforce-omgevingen, is dat geen serie incidenten meer. Dat is een structureel kenmerk van de wijze waarop het platform standaard wordt geleverd en geconfigureerd.

Concreet zijn er drie ontwerp- en governance­keuzes die Salesforce zelf maakt:

1. Wie mag een “connected app” toevoegen. In de Odido-zaak konden gewone klantenservicemedewerkers een externe applicatie koppelen aan de productie­database. In een veilig ingerichte omgeving zou dat alleen een beheerder mogen doen, na expliciete goedkeuring. Salesforce levert die strengere instelling niet als standaard.
2. Het rechtenmodel. Klantenservicemedewerkers met productie­toegang tot alle 6,2 miljoen records (niet alleen die van de klant aan de lijn) is een rechten­structuur die door de leverancier wordt aangereikt, geconfigureerd en (in veel implementaties) onderhouden.
3. Detectie van afwijkend gedrag. Een geautomatiseerde datascraper die in korte tijd miljoenen records ophaalt, is statistisch evident afwijkend gedrag. Dat dat detectiemechanisme niet automatisch is geactiveerd of niet effectief alert geeft, is een eigenschap van het platform, niet uitsluitend van de klant.

Met andere woorden: de stelling “de klant heeft het verkeerd ingericht” is alleen een verdedigbare positie als de leverancier aantoonbaar maximaal heeft geprobeerd te voorkomen dat klanten het verkeerd inrichten. Waarschuwen via een blogpost is dat niet. Niet als hetzelfde aanvalspatroon zich binnen één kalenderjaar bij vier grote klanten herhaalt.

De wet die morgen niet zonder Salesforce besproken wordt

Het is in deze context dat het rondetafelgesprek van morgen plaatsvindt. De Tweede Kamer heeft op 15 april 2026 de Cyberbeveiligingswet (Cbw) aangenomen, de Nederlandse implementatie van de Europese NIS2-richtlijn. De wet ligt nu bij de Eerste Kamer en de verwachte inwerkingtreding is 1 juli 2026. Parallel werkt het kabinet aan het Cyberbeveiligingsbesluit en aan ministeriële regelingen waarin de zorgplicht, de meldplicht en (relevant hier) de omgang met leveranciers verder wordt uitgewerkt.

De rondetafel van 20 mei valt precies in dat venster tussen wetsbehandeling en inwerkingtreding. Wat hier gezegd wordt over wat “werkt” in cyberveiligheid, kleurt mee in:

• De interpretatie en handhaving van de Cbw-zorgplicht;
• De definitieve teksten van de algemene maatregelen van bestuur;
• De manier waarop de toezichthouders (AP, NCSC, sectortoezichthouders) hun rol invullen;
• Het aankomende beleidsdebat over leveranciersaansprakelijkheid, een onderwerp dat in NIS2 nog grotendeels onontgonnen is en waar de Kamer in een volgende ronde aanvullende wetgeving zal moeten overwegen.

Salesforce zit precies op die uitlooppositie. Niet om uitgevraagd te worden over een lek, maar om, vanuit het label “Expert”, mee te vormen wat de Kamer onder een effectieve cyberveiligheidsaanpak verstaat.

De Autoriteit Persoonsgegevens zegt het zelf

In de position paper die de Autoriteit Persoonsgegevens op 13 mei 2026 ten behoeve van dit rondetafelgesprek heeft ingediend (kenmerk 2026Z09729), schrijft de toezichthouder dat bedrijven, overheden en ICT-leveranciers hun basisbeveiliging onvoldoende op orde hebben en dat de capaciteit voor toezicht ernstig tekortschiet. Volgens de AP werden in 2025 ruim 44.000 datalekken gemeld, tegenover circa 38.000 een jaar eerder.

Eén van de partijen die de AP daar (impliciet maar onmiskenbaar) in adresseert is een ICT-leverancier wiens omgeving in 2025–2026 het aanvalsoppervlak vormde voor minimaal vier grote datalekken. Dezelfde leverancier zit morgen, één blok eerder dan de AP, aan diezelfde tafel.

De vragen, niet aan Salesforce maar aan de commissie

Salesforce zal morgen vrijwel zeker drie dingen zeggen, in deze volgorde: “Onze software zelf was niet lek.” “Wij hebben de markt herhaaldelijk gewaarschuwd.” “Zero Trust is de oplossing voor dit type aanval.” Daar is op alle drie iets op af te dingen, en de andere experts aan tafel (Cyberveilig Nederland, Digitale Dolle Mina’s, Z-CERT) zijn ruimschoots in staat dat te doen.

De vragen die ontbreken, en die alleen door de commissie zelf gesteld kunnen worden, zijn:

Het zijn vragen die feitelijk te beantwoorden zijn. Antwoorden waarop de Kamer recht heeft, en het publiek met haar.

Wat dit zegt over de wetgevende keten

Het is gemakkelijk om dit weg te zetten als één rondetafelgesprek met één discutabele uitnodiging. Het is interessanter om het patroon te zien.

In het wetgevingsproces rond complexe digitale onderwerpen heeft het Nederlandse parlement zich de afgelopen jaren in toenemende mate laten informeren door partijen met directe commerciële belangen in de uitkomst. Bij DigiD/Solvinity, bij de Belastingdienst-Adobe-keten, bij de NU.nl/NOS-coalitie van adverteerders die “transparantie” definieert, en nu bij de Cyberbeveiligingswet. De woorden zijn telkens dezelfde: expertise, publiek-privaat partnership, toegevoegde waarde. De ongemakkelijke implicatie is dat de Kamer steeds vaker een markt­partij vraagt om de spelregels te helpen ontwerpen van het spel waarin diezelfde markt­partij meespeelt.

In andere sectoren noemen we dat regulatory capture en proberen we het juist te voorkomen. In de digitale sector lijken we het structureel als kennisbron te organiseren.

Het rondetafelgesprek van 20 mei is daarmee niet vreemd, het is exemplarisch.

Methode en bronnen

Dit artikel is gebaseerd op:

• De officiële convocatie van de Tweede Kamer voor het rondetafelgesprek (activiteit 2026A02097), inclusief de tweede herziene convocatie waarin Salesforce als spreker is toegevoegd.
• De LinkedIn-aankondiging van Bart Schellekens (Privacy & Responsible Tech), die als eerste de definitieve samenstelling van het rondetafelgesprek publiceerde.
• De position paper van de Autoriteit Persoonsgegevens (kenmerk 2026Z09729) van 13 mei 2026.
• Berichtgeving over het Odido-datalek door NOS, Security.NL, Tweakers, Nederland Digitaal, ICTMagazine.nl en Klantcontact.nl tussen 12 februari en 3 maart 2026.
• De publieke security-updates van Salesforce uit oktober 2025 en 30 januari 2026.
• De wetsstukken en parlementaire dossiers rond de Cyberbeveiligingswet en de NIS2-richtlijn, beschikbaar via tweedekamer.nl en de NCTV.
• Mijn eigen voorgaande publicaties over het Odido-datalek (forensische analyse, 17 miljoen dataregels, 38 ministers in dataset) en het bijbehorende wetsvoorstel 2026Z04148.

De primaire bronnen zijn op verzoek beschikbaar. Voor vragen, correcties of aanvullingen, ook van Salesforce of de commissie Digitale Zaken, gebruik het contactformulier.

Update zal volgen na het rondetafelgesprek van 20 mei. De position papers en het verslag zullen dan publiek beschikbaar zijn op tweedekamer.nl onder activiteit 2026A02097.

Op wie heb jij gestemd? En heb je daarmee ook op privacy gestemd?

Dat zijn niet altijd dezelfde keuzes. Op 18 mei 2026 heb ik zestien Nederlandse politieke-partijwebsites gemeten met dezelfde forensische methode die ik eerder toepaste op nieuwssites, ziekenhuizen, advocaten en hulpverleningsorganisaties. Drie scans per site: één zonder klik op de cookiebanner, één na alles weigeren, één na alles toestaan. Eén extra HAR-capture per site die de echte gebruikersflow nabootst — scrollen, klikken, formulieren openen. Wat overblijft is een meting die niemand op mijn woord hoeft aan te nemen: de raw scan-data en HAR-bestanden zijn beschikbaar, de scoring-logica is open-source, de drempels staan in code.

De uitkomst valt grofweg in drie groepen. Eén partij haalt de hoogste score in de gehele Nationale Privacy Index van 177 organisaties. Eén partij eindigt onderaan. Daartussen zit een grijs midden, en twee partijen die hun tracking-infrastructuur op eigen subdomeinen draaien — wat de adresbalk geruststellender maakt dan de werkelijkheid.

Vier verhalen springen eruit.

1. DENK — vijf sterren, met een caveat

DENK is de enige partij die vijf sterren scoort. Sterker: DENK is op de hele Nationale Privacy Index van 177 Nederlandse organisaties de enige vijf-sterren-meting tot nu toe.

Dat is geen vanzelfsprekendheid. Twee weken eerder, op 10 mei, droeg denk.nl (die doorverwijst naar www.bewegingdenk.nl) nog een Hotjar-installatie. Hotjar is een session-replay tool: het neemt muisbewegingen, scrollen en in veel gevallen formulier-input op, en speelt die af voor analyse-doeleinden. Voor een bezoeker van een politieke partij die iets typt en weer wist, is dat een direct privacy-relevant ingrediënt.

Tussen 10 en 17 mei stond Hotjar in elke meting nog actief — onder accept-modus laadde static.hotjar.com en script.hotjar.com mee. Op 18 mei niet meer. In geen enkele consent-conditie (noop, refuse, accept). Ook niet in een aanvullende headed-stealth meting met realistische gebruikersinteractie: cold visit, scroll, menu-hover, navigatie naar /contact/ en /vacatures-stages/, formulier-focus, idle-fase met geforceerde mouse-events. In 257 HAR-entries: nul requests naar Hotjar, nul WebSocket-verbindingen, nul Beacon-API-aanroepen, nul third-party POSTs.

Tegelijk is er een caveat die hier hoort. De Hotjar-snippet zelf — met hjid: 2154737 — staat nog steeds in de HTML van homepage, /contact/ en /vacatures-stages/. Het script wordt geblokkeerd door de GDPR-Cookie-Consent-plugin via twee mechanismen: het type="text/plain"-attribuut voorkomt browser-uitvoering, en data-cli-block="true" houdt de plugin het script geblokkeerd onder de geteste consent-condities. Het werkt — geen Hotjar-uitstuur — maar de aanwezigheid van de snippet betekent dat een plugin-update of een misclassificatie de blokkade kan ongedaan maken.

Het verschil tussen 10 mei en 18 mei is dus echt. Tegenspraak werkt. De vijf sterren gelden zolang de blokkade-configuratie staat. De aanbeveling — die ik aan DENK heb gemeld — is om de snippet uit de HTML te halen, niet alleen te blokkeren. Een tracker die er niet meer is, kan ook niet per ongeluk weer aanstaan.

De volledige verificatie staat in DENK_5STAR_VERIFICATIE.md, met HAR-bestand (22 MB) en netwerk-log als bewijsstukken.

2. PVV — vier sterren door de achterdeur

PVV op vier sterren. Onder de partij die het minst om internationale samenwerking vraagt, blijken ook de minste internationale dataverbindingen te bestaan. Geen trackers, geen externe domeinen, geen analytics. Een Joomla-sessiecookie, een lokaal-gehoste consent-plugin. Dat is het.

Toch geen vijf sterren. Reden: één van de zes sub-categorieën meet transport-beveiliging en HTTP-headers (HSTS, CSP, Referrer-Policy, cookie-flags). PVV heeft geen HSTS, geen CSP, en de sessiecookie staat zonder Secure-vlag. Dat trekt de gemiddelde score terug. De partij verzamelt geen data — maar beveiligt de minimale data die zij wél verwerken niet stevig genoeg om de top-score te halen.

Onverwacht voor een lezer die alleen op ideologie afgaat: deze meting bekijkt geen partijprogramma. Een privacy-meting kijkt naar wat een server feitelijk doet — wie er resources van ophaalt, welke cookies er worden gezet, wat er na een refuse-klik nog laadt. Niet naar wat partijleden over privacy zeggen of vinden. PVV zit op vier sterren omdat hun website technisch geen tracking heeft, niet omdat hun publieke standpunten over digitale rechten daarop wijzen.

3. Partij voor de Dieren — tracking onder eigen merknaam, infrastructuur in de VS

Partij voor de Dieren staat op twee sterren met het keurmerk Privacy Lek. Twee bevindingen vormen samen het verhaal.

De eerste: https://analytics.partijvoordedieren.nl/piwik.js laadt zodra een bezoeker de homepage opent. Vóór consent. De naam suggereert eigen infrastructuur — analytics.partijvoordedieren.nl is technisch een subdomein van de partij, en dus first-party in de adresbalk en first-party voor browsers die third-party-cookies blokkeren. Functioneel is het een Piwik/Matomo-tracker.

De tweede bevinding is wat het verhaal kantelt. De DNS-resolutie van dat subdomein wijst naar 52.174.88.89. Een whois-lookup brengt het toe aan Microsoft Corporation, AS8075, NetName MSFT. Het is een Microsoft Azure-IP-adres, gelokaliseerd in de Verenigde Staten.

Voor een bezoeker is dat onzichtbaar. Voor het AVG- en het Cloud Act-regime is het beslissend. Microsoft kan onder de Amerikaanse Cloud Act en FISA-702 worden verplicht om data af te staan aan Amerikaanse autoriteiten, ongeacht waar de data fysiek is opgeslagen, en zonder dat de Europese betrokkene of de Nederlandse organisatie daarvan op de hoogte hoeft te zijn. De “eigen analytics” van een Nederlandse politieke partij draait op infrastructuur die onder Amerikaans recht valt.

Dit is geen geïsoleerde casus. Het is het derde voorbeeld in een korte reeks dossiers op deze site die hetzelfde patroon laten zien: de Belastingdienst die Adobe-trackers inzet, de Mijn Toeslagen-app die naar een Azure-backend in de VS communiceert, en nu een politieke partij die haar bezoekersanalyse via dezelfde jurisdictie laat lopen. Het hoofddossier Het Nederlandse privacy-stelsel plaatst dit in de bredere context.

Daarnaast verzendt de site drie POST-requests met body-data naar sentry.yournext.agency. Sentry is een fouten-rapportagedienst die in principe persoonsgegevens kan bevatten (URL-paden, IP, user-agent, gebruikersacties als breadcrumbs). DNS-controle laat zien: deze host staat op Hetzner Duitsland — EU-jurisdictie, geen Cloud Act-issue. Wel een verwerker die in de privacyverklaring benoemd hoort te zijn.

De eerste bevinding wordt in de meet-methodiek geclassificeerd als KRITIEK (een tracker vóór consent op een eigen subdomein is normatief altijd een 2★-floor), de tweede als ERNSTIG. Daarmee komt PvdD op twee sterren.

4. NSC — geen meetbare site

nsc.nu doet sinds ten minste 16 mei 2026 een HTTP 302-redirect naar https://nordby.se — een Zweeds winkelcentrum. Bij elke meting (16, 17, 18 mei) was het patroon hetzelfde:

$ curl -sI https://nsc.nu/
HTTP/1.1 302 Moved Temporarily
Location: https://nordby.se

De scanner volgt de redirect en meet daar wat er gebeurt. Het resultaat — 78 first-party requests naar nordby.se, een Facebook Pixel met domain=nordby.se, Google Tag Manager, GA4, DoubleClick — is daardoor het gedrag van een Zweeds winkelcentrum, niet van Nieuw Sociaal Contract. Er bestaat op moment van publicatie geen NSC-meting die toerekenbaar is aan de partij zelf. nieuwsociaalcontract.nl blijkt een lege placeholder-pagina (zwart scherm, geen content).

In de Nationale Privacy Index staat bij NSC daarom een methodologische opmerking: geen meting beschikbaar zolang het officiële domein onbekend is. De partij is om opheldering gevraagd; bij identificatie van een feitelijk domein volgt een aparte meting.

Dit is in de eerste plaats geen privacy-feit maar een bestuurlijk feit. Een politieke partij waarvan het meest-getypte domeinnaam-adres ergens anders heen wijst — en die geen evident actieve eigen website-aanwezigheid heeft op het tweede voor de hand liggende adres — heeft een communicatie-probleem dat boven de scope van een privacy-meting uitstijgt.

Wat veranderde tussen 13 en 18 mei

Drie dingen.

Een. De scoring-logica is bijgesteld. Een KRITIEK-bevinding (een tracker vóór consent — een harde Telecommunicatiewet-overtreding) capt de eindscore nu hard op twee sterren, ongeacht hoe de andere sub-categorieën uitvallen. Eerder was die cap er niet, met het gevolg dat 51 sites met een KRITIEK-bevinding desondanks op drie sterren stonden. Onder die 51 zaten ook Partij voor de Dieren en SGP. De cap-fix staat in code op tools/build_ranking_hackedemia.py:1740-1748 en raakt naast de twee partijen ook 49 andere organisaties — advocaten, hulpverlening, energie, media, retail, ziekenhuizen, zorg-IT. De partij-update is een onderdeel van een bredere correctie, niet een op zichzelf staande aanval op specifieke partijen.

Twee. DENK ging omhoog na een melding. De Hotjar-installatie die op 10 en 17 mei nog actief was, was op 18 mei verdwenen — naar aanleiding van een melding over de bevinding. Die ene casus is reden om deze methode überhaupt te doen: meting → tegenspraak → correctie → reproduceerbare verificatie. Niet alle organisaties reageren zo. 113 Zelfmoordpreventie deed het eerder ook (dossier hier). DENK is een tweede voorbeeld dat dit type respons feitelijk mogelijk is.

Drie. NSC bleek geen meting te ondersteunen. De oorspronkelijke meting op 16 mei werd toen toegerekend aan NSC; bij nadere DNS-controle op 18 mei bleek de redirect-keten. De Index is gecorrigeerd met een methodologische opmerking; de mailcorrespondentie met NSC is geherformuleerd tot een verzoek om opheldering, niet een beschuldiging.

Vijf partijen op twee sterren — drie patronen

De vijf partijen die op twee sterren staan, doen niet allemaal hetzelfde. Drie patronen:

Refuse-bypass — D66, ChristenUnie, NSC. De “alles weigeren”-knop op de cookiebanner laadt de tracker-set niet daadwerkelijk uit. Bij D66 blijven na een weiger-klik zeven trackers (YouTube-resources, Google) actief; bij ChristenUnie blijft Google Tag Manager en GA4 lopen; bij NSC (in de meting van de redirect-doelsite) springt het cookie-aantal van nul naar zeven na klik op weigeren. Onder de Telecommunicatiewet artikel 11.7a en AVG artikel 7(3) moet toestemming net zo eenvoudig in te trekken zijn als te geven. Een knop die de trackers niet stopt voldoet daar niet aan.

First-party hosted tracking — Partij voor de Dieren, SGP. Tracking-scripts worden geserveerd vanaf een eigen subdomein. Bij PvdD: analytics.partijvoordedieren.nl (Piwik). Bij SGP: ywt.sgp.nl (Google Analytics 4 en Google Tag Manager). DNS-controle bij SGP: ywt.sgp.nl resolved naar 31.14.97.74, een TransIP NL-IP — dus géén CNAME naar Google, maar een eigen reverse-proxy op Nederlandse infrastructuur die Google-scripts doorserveert onder de sgp.nl-domeinnaam. Of er via die proxy onderliggend third-party tracking-verkeer naar Google stroomt is technisch mogelijk, maar uit DNS alleen niet aan te tonen — dat zou een diepere meting vragen. Wat wel vaststaat: een tracker-script wordt vóór consent geladen en is voor browsers/blockers niet als zodanig herkenbaar omdat het van het eigen domein komt. Onder AVG artikel 5(1)(a) — transparantie — is dat de relevante bevinding.

CDA staat op één ster, om een andere reden. Niet door de cap-fix, niet door een specifieke KRITIEK-bevinding, maar door optelsom: negen externe hosts (CookieYes-CMP, Google Tag Manager, fonts, ReadSpeaker, een Cloudflare-distributiehost), fingerprinting-API’s in scripts, en third-party POST-requests met body. De score is een gemiddelde van zes sub-categorieën; bij CDA staan meerdere sub-scores laag tegelijk.

JA21 op twee sterren — geen cookiebanner. Bij JA21 mat de scanner één KRITIEK, zeven ERNSTIG en twee LET OP-bevindingen. Specifiek opvallend: er werd geen cookiebanner gedetecteerd, terwijl er wel tracking-cookies werden gezet voordat een bezoeker enige interactie kon hebben. Dat is direct in strijd met de Telecommunicatiewet artikel 11.7a.

Juridisch kader

Drie wettelijke kaders zijn hier relevant.

Telecommunicatiewet artikel 11.7a. Cookies en vergelijkbare technieken die geen “strikt noodzakelijke” functie vervullen mogen pas worden geplaatst nadat de gebruiker daarover is geïnformeerd en daarvoor toestemming heeft gegeven. Een knop om die toestemming te weigeren moet werken. Op de gemeten partijwebsites is aan ten minste één van deze voorwaarden niet voldaan bij ChristenUnie, D66, JA21, NSC-meting (op de redirect-doelsite), SGP, Partij voor de Dieren, CDA en VVD.

AVG artikel 5(1)(a) — transparantie. Persoonsgegevens moeten “rechtmatig, behoorlijk en transparant” worden verwerkt. First-party-hosting van extern-tracker-software op een eigen subdomein zonder dat in de privacyverklaring de feitelijke verwerker (Google, Matomo, Sentry, Microsoft) wordt benoemd, schuurt met de transparantie-eis. PvdD en SGP raken deze norm.

Cloud Act en FISA-702 (VS-recht, met EU-doorwerking). Persoonsgegevens die bij een Amerikaanse cloud-provider terechtkomen kunnen onder Amerikaans recht worden gevorderd, ongeacht waar het datacenter staat. Het Schrems II-arrest van het Hof van Justitie EU (2020) beperkt overdracht naar zulke jurisdicties scherp. Bij PvdD’s analytics.partijvoordedieren.nl (Microsoft Azure US) raakt deze norm direct. Het hoofddossier Het Nederlandse privacy-stelsel plaatst deze categorie in een breder verband.

Dit is geen juridisch advies. Het is een aanduiding van de normen waar de bevindingen tegenaan staan; een Autoriteit Persoonsgegevens-melding of een advocatenbrief zou de feiten zelfstandig moeten beoordelen.

Methodiek en reproduceerbaarheid

De zestien sites zijn gescand op 18 mei 2026 met BeforeYouMick versie 3.8 — een eigen, open-source meetinstrument. Per site drie modes (noop, refuse, accept), één HAR-capture-fase met realistische gebruikersinteractie, plus content-analyse van gedownloade tracker-bestanden. Stealth-modus aan (anti-bot-detectie), browser headed waar nodig.

De raw scan-data per partij staat in runs/2026-05-18_politieke-partijen_v3.8/ — per partij een JSON-bestand, een markdown-rapport en een HAR-bestand. De DENK-verificatie heeft een eigen aanvullende headed-stealth meting met HAR-bestand (22 MB) en netwerk-log; volledig beschreven in DENK_5STAR_VERIFICATIE.md.

De scoring-logica — sub-stars per categorie, KRITIEK/ERNSTIG/HOOG-caps, sterren-aggregatie — staat in tools/build_ranking_hackedemia.py. De audit-controle die de samenhang van meting, sub-scores, eindscore en gerenderde HTML verifieert staat in tools/audit_ranking.py en draait clean (0 issues, 177 sites) op de huidige Index-versie.

Iemand die deze meting wil reproduceren kan dat. De drempels staan in code, de scans zijn opgeslagen, de HARs zijn vastgelegd. Wie bij een partij een andere uitkomst meet, is uitgenodigd om dat met methode en data te onderbouwen — dat is hoe deze meting blijvend correct kan worden gemaakt.

Op wie heb je gestemd?

Een privacy-meting beoordeelt niet welk programma het beste is, welke fractie het meest representatief is, of welke ideologie het overtuigendst spreekt. Dat is jouw werk.

Een privacy-meting beoordeelt wel hoe de digitale infrastructuur van een partij zich gedraagt tegenover een bezoeker die nog niets gezegd heeft. Vóór de klik op “akkoord”, vóór de keuze om iets in te tikken. Of de partij vóór jouw consent al een tracker laadt. Of er een knop is waarmee je dat kunt stoppen. Of die knop werkt. Of de “eigen” infrastructuur ergens anders staat dan de naam doet vermoeden.

Dat is wat dit onderzoek meet. Niet wat ze zeggen. Wat ze doen.

Op wie heb jij gestemd? En had je dezelfde partij gekozen als je dit had geweten?

De volledige zestien-partij-meting met per-partij forensische analyse staat op mickbeer.com/nationale-privacy-index/ (klik op een partij voor het case-file). Het bredere verband — waarom Nederlandse organisaties zo systematisch op US-cloud-infrastructuur uitkomen, en wat dat betekent voor digitale soevereiniteit — staat in het hoofddossier Het Nederlandse privacy-stelsel.

Vragen, tegenspraak, of een interview-aanvraag: via mickbeer.com/contact/. De vijf partijen die in deze meting van drie naar twee sterren zakken zijn vooraf gemaild over de specifieke bevindingen, met een 48-uurs venster voor feitelijke reactie of aankondiging van een fix; reacties worden bij ontvangst in deze publicatie verwerkt.

Tussen de cookie-banners die alleen bestaan om de wet te ontwijken en marketingbureaus die elke meting opdrijven, zit een groep die het anders kiest. Niet uit verplichting, maar omdat het ergens schuurt. Ik sprak met Jesse van Heijningen van codebyjesse.com, zelfstandig privacy-first webbouwer, die om die reden de overstap maakte naar privacy-first analytics, en die het opvallend genoeg niet als verlies ervaart. Hoe ziet de overgang eruit aan de bouwkant, en wat zegt het over hoe Nederlandse organisaties hun digitale ethiek vormgeven?

Hij begon, zegt hij, eerder uit gemak met Google Analytics dan uit overtuiging. “Dit was meer uit gemak dan dat ik hier bewust mee bezig was. Met de bouw van mijn nieuwe website ben ik me gaan oriënteren op alternatieven, en zo op verschillende open-source, privacy-first tools gekomen.” Hij koos voor Plausible Analytics, een open-source platform dat geanonimiseerd meet zonder cookies of tracking-banner.

Niet juridisch, maar moreel

De wetgeving is een onderdeel, zegt hij, maar het draait om iets anders. “Ik vind mijn eigen integriteit erg belangrijk. Aangezien ik mijn eigen privacy waardeer vind ik dat ik die van mijn websitebezoekers ook moet respecteren. Als ik hier zelf in mee zou gaan, ben ik hypocriet.”

In de praktijk blijft het juridische risico nog wel het sterkste verkoopargument richting klanten. “Zeker om op zijn minst fatsoenlijke cookiebanners af te dwingen.” Maar in zijn eigen werk gaat de keuze dieper. De ondertoon in zijn verhaal is dat invasieve tracking wordt gemaakt onder vlaggen die het niet zijn: gemak, marketingdruk, “iedereen doet het”.

De marketing-partij als drijvende kracht

Wie blind aan de slag gaat met tracking is meestal niet de webbouwer, maar het marketingbureau dat ernaast loopt. “Vaak is dit een vereiste vanuit een marketingbureau. Ik denk dat veel marketingbureaus, for the sake of marketing, het privacyaspect snel uit het oog verliezen.”

En daaronder zit nog een laag die hij scherp benoemt: salesbureaus die de onwetendheid van klanten uitbuiten. “Bureaus die zogenaamde foutmeldingen rondslingeren om de lead maar bang te maken, of een nieuwe website aansmeren na X aantal jaar onder de noemer van een of andere foutmelding.”

Dat schept een keten waarin niemand zich verantwoordelijk voelt. De developer voert uit, de marketeer rapporteert op resultaat, de directie ziet alleen het rapport. Wie kijkt er dan nog naar wat er gebeurt aan de bezoekerskant?

Verantwoordelijkheid ligt bovenaan

Daar is hij stellig over: de eindbeslissing ligt bij de bestuurder. “De koers en de morele standaard van het bedrijf worden aan de top bepaald. Een developer kan wel adviseren, maar kan niet de strategische beslissing nemen om bijvoorbeeld omzet uit gerichte advertenties op te geven voor een betere privacystandaard. Dat is een directiebesluit.”

Wat hij wilt dat bestuurders zich realiseren: “Dat ‘gratis’ tools van big tech altijd een prijs hebben. Je betaalt met de data van je klanten en de autonomie over je eigen platform. Je bent in feite je eigen achtertuin aan het verhuren aan een partij die er vervolgens dingen mee doet die jij niet kunt controleren.”

Privacy als merkbeleving, niet als checklist

De grootste blinde vlek bij bestuurders zit volgens hem in het frame. “Het idee dat privacy een ‘IT-probleem’ of een ‘juridisch vinkje’ is. Ze beseffen niet dat het een essentieel onderdeel is van je merkbeleving en klantvertrouwen. Als je op je website al respectloos met de privacy van je bezoeker omgaat, wat zegt dat dan over de rest van je dienstverlening?”

Of zoals hij het samenvat in één zin: “Behandel de digitale data van je bezoeker met evenveel respect als wanneer ze fysiek bij je op kantoor op bezoek komen.”

“Iedereen doet het” als gevaarlijkste argument

Het meest verraderlijke argument om aan de oude manier vast te houden is volgens hem niet juridisch of technisch, maar sociaal. “‘Iedereen doet het, dus we kunnen niet achterblijven.’ Dit zorgt voor een neerwaartse spiraal waarin niemand de verantwoordelijkheid neemt om het beter te doen, terwijl er juist een enorme kans ligt om je als integere partij te onderscheiden.”

Dat onderscheid is ook commercieel relevant, denkt hij. Niet als marketingtruc, maar als langetermijn-positie. “Communiceren naar je klanten dat je hun privacy respecteert levert op de lange termijn veel meer op dan ongevraagd retargetingcampagnes draaien.”

De praktische stap

Het mooie aan zijn advies is dat het geen ingrijpende verbouwing vraagt. “Installeer naast je huidige analytics eens een privacyvriendelijke tool zoals Plausible of PostHog. Vergelijk de data na een maand en kijk of je die gedetailleerde tracking echt mist voor je dagelijkse beslissingen.”

Een test in de echte wereld, met je eigen verkeer en je eigen vragen. Geen ideologisch betoog vooraf, geen consultancybudget, gewoon kijken wat je werkelijk nodig hebt.

Hij sluit af met een zin die niet als marketing klinkt, maar als een persoonlijke standaard:

Echte integriteit online betekent dat je stopt met het verzamelen van data die je zelf ook niet zou willen afstaan.

Dit is het koepel-rapport dat losse dossiers — 113.nl, Toeslagen, DigiD, bol.com, ChipSoft — verbindt tot één systeemanalyse van het Nederlandse privacy-stelsel. 75 pagina’s, gebaseerd op 24 maanden onderzoek (maart 2024 – mei 2026).

Download het hoofddossier (PDF, 5,1 MB) ↓

Centrale these

Uitgehongerde Autoriteit Persoonsgegevens + ongereguleerd keurmerken-ecosysteem + commerciële tracking-cirkel rond het grootste mediabedrijf van Nederland + politieke lobbylaag = compliance-theater. Het rapport laat zien hoe deze vier lagen samenwerken om naleving te simuleren zonder dat er feitelijk wordt gehandhaafd.

Methode

• BeforeYouMick scanner v3.7+v3.8 — drie consent-modi (NOOP / REFUSE / ACCEPT), HAR-capture, file-analyse op tracker-IDs en fingerprinting-API’s
• HAR-captures als forensisch bewijs van wat er feitelijk over het netwerk gaat
• Jaarrekeningen, jurisprudentie en Kamerstukken voor de governance-laag
• Legal governance: Mr. Vincent Mans
• Bewijsclassificatie op vier niveaus: ✓ hard openbaar · ◆ sterk circumstantieel · ? vermoeden · ● kritiek aandachtspunt

Voor wie

• Autoriteit Persoonsgegevens — als startpunt voor handhavingsprioriteit
• Tweede en Eerste Kamer — als systeem-overzicht achter losse incidenten
• Onderzoeksjournalistiek — als bron, met SHA-geverifieerde primary-evidence
• Juristen en bestuurders — als blauwdruk van wat onder de motorkap zit

Wat erin staat

• De vier lagen van compliance-theater, met casuïstiek per laag
• 24 maanden meetdata op Nederlandse organisaties (Privacy Index 175 sites)
• Tijdlijn van de losse dossiers en hoe ze één systeem vormen
• Juridisch kader: AVG, Tw 11.7a, ePrivacy, Schrems II
• Concrete aanbevelingen per stakeholder

Verifieerbaarheid

• SHA-256-prefix: 8afee8b2…
• Bestandsgrootte: 5 383 344 bytes
• Datum publicatie: 17 mei 2026
• Permanente URL: mickbeer.com/papers/het-nederlandse-privacy-stelsel.pdf

Voor lezers die direct in de details willen — onderbouwing per casus zit in de losse artikelen onder Investigaties en Essays.

Geen enkele journalist heeft deze data gedeeld. Ik ook niet.

Wat ik wél deel: wat erin staat.

Een voorbeeld van één van de zoekopdrachten die ik gebruikte. Geen hackerskennis, gewoon grep:

grep -i "minister\|kamerlid" odido.txt | grep -c "BSN\|paspoort"

Wat ik vond — en wat nergens eerder is gepubliceerd

2.990 mensen met kwetsbare indicatoren in hun dossier — GGZ-patiënten, stalking-slachtoffers, mensen onder getuigenbescherming. Hun geheime adres. Gewoon opgeslagen.

4.249 MKB-eigenaren met KvK-nummer én privé-IBAN gekoppeld. Alles wat je nodig hebt voor CEO-fraude. Kant en klaar.

5,5 miljoen digital zombies — mensen die al jaren geen klant meer zijn. Hun data? Nog steeds aanwezig. AVG artikel 5. Gewoon genegeerd.

38 PPP’s — Politiek Prominente Personen (de officiële Wwft-term): ministers, Kamerleden, staatssecretarissen en hoge overheidsfunctionarissen, gecombineerd met BSN, paspoortnummer of IBAN. RTL rapporteerde 4 ministers. Mijn forensische analyse van de ruwe dataset vindt er 38.

47.662 oud-klanten zien hun incasso-gegevens, BSN, IBAN en woonadres nog steeds in de dataset staan — data uit de periode 2010–2024. Nooit gewist. Rechtstreeks in strijd met Odido’s eigen privacybeleid dat maximaal twee jaar retentie voorschrijft.

Dit is geen incident. Dit is een ontwerpfout.

Je kunt je BSN niet veranderen. Je kunt je geboortedatum niet veranderen. Je kunt je paspoortfoto niet veranderen.

En toch staat dit alles nog in een database.

Odido noemde het een “beheerst incident.”

De dataset noemt het 16 jaar ongecontroleerde opslag van data die er nooit had mogen zijn. Dit is geen slechte hacker. Geen zwak wachtwoord. Dit is een systeem dat bewaart wat het moet wissen.

Wat je niet hebt, kan niet lekken

Daarom heb ik Wetsvoorstel 2026Z04148 ingediend: een verbod op private opslag van ID-gegevens door bedrijven die daar geen wettelijke grond meer voor hebben. Het dossier ligt bij de Commissie Digitale Zaken.

Ik doe dit niet om te scoren. Maar omdat 17 miljoen Nederlanders het recht hebben om te weten dat hun meest permanente gegevens — BSN, paspoort, bankrekening — jarenlang worden bewaard door bedrijven die daar allang geen reden meer voor hebben.

De vraag aan de Kamer

Wanneer komt dit op de agenda?

De ontwerpfout die #CheckDontStore wettelijk verbiedt is precies wat hier is misgegaan. Wat je niet opslaat, kan niet lekken.

Eerdere publicatie over deze casus, inclusief methodologie en cijfers: Uw directie stond op de lijst — wat het Odido-lek onthult over uw eigen datakluis.

138 bedrijven krijgen jouw data als je NU.nl opent.

Dat zijn de partners die je apparaat tracken zodra je de site laadt:

• Oranje = jij
• Blauw = bekende namen (Google, Meta)
• Grijs = 130+ onbekende databrokers

Je klikt “Akkoord” en geeft onbekende bedrijven toegang tot:

• Je surfgedrag
• Je locatie
• Je apparaat-ID
• Je interesses

Ken jij deze bedrijven?

• Aarki, Inc. (Singapore mobile ad-tech)
• AdDefend GmbH (anti-adblocking, Duitsland)
• Adelaide Metrics Inc. (attention metrics, VS)
• Adform A/S (programmatic DSP, Denemarken)
• Adhese (Belgian ad server)
• Adnami Aps (high-impact ads, Denemarken)
• … en 132 meer.

Ik ook niet. Toch gaf ik ze toestemming door “Akkoord” te klikken.

Het probleem: “informed consent”

GDPR zegt: toestemming moet geïnformeerd zijn.

Maar hoe kun je informed consent geven aan bedrijven die je niet kent?

Je kunt niet. Dat is misinformed consent.

Wat ik deed

Twee weken technisch onderzoek — Firefox DevTools, HAR-files, reproduceerbaar.

Vandaag: formele melding bij de Autoriteit Persoonsgegevens.

Gemeld voor:

• NU.nl — dark pattern (8× moeilijker weigeren dan accepteren)
• NU.nl — 138 partners, 92% onbekend
• NOS.nl — pre-consent tracking (cookies vóór banner)

AP-precedenten

• Experian: €2,7 miljoen (vendor non-disclosure)
• Kruidvat: €600 000 (cookie wall)
• Coolblue: €40 000 (pre-consent tracking)

Geschat risico: €510 000 – €1,5 miljoen.

Volledig onderzoek

Het complete dossier (5 200 woorden) staat op /artikelen/101-advertentiepartners-het-probleem-met-informed-consent-op-nederlandse-nieuwssites/.

Inclusief:

• Complete lijst van 138 partners
• Juridische analyse (GDPR / ePrivacy)
• Dark-pattern-breakdown (accept- vs reject-flow)
• Evidence-package (screenshots; HAR-files alleen voor AP)
• Reproduceerbaarheid (30 min tests)

Je eigen actie

Gebruik je AVG-rechten. Artikel 15-21 geeft je recht op inzage, correctie en verwijdering.

Als duizend mensen hun GDPR-rechten uitoefenen:

• 138 000 verzoeken
• €414 000 administratieve overhead
• Industrie moet veranderen.

Economische druk werkt.

Pak je data terug.

Updates volg ik hier (AP-tijdslijn: 3–6 maanden).

Dit is geen juridisch advies.

Op 9 mei 2026 voerde ik een privacy-onderzoek uit op de website van Stichting 113 Zelfmoordpreventie. Eén ernstige bevinding springt eruit, en is inmiddels opgelost. Zes andere ernstige bevindingen staan nog open. Dit stuk legt uit wat er gemeten is, waarom het bij dit type organisatie zwaarder weegt dan elders, en hoe het verloop met 113 zelf eruitzag.

Wat er gevonden werd

De website is gescand in drie consent-modi: zonder klik op de cookiebanner, na klik op alles weigeren, en na klik op alles toestaan. Acht bevindingen kwamen uit de meting, waarvan zes als ernstig geclassificeerd.

Het meest opvallende: Microsoft Clarity, een session-replay-tool die muisbewegingen, kliks en in veel gevallen formulier-invoer registreert, werd geladen ná een klik op weigeren. Oorzaak: een verkeerd geconfigureerde Consent API, waarbij elke knop in de cookiebanner het consent-event triggerde — dus ook de weiger-knop.

Daarnaast laadden Google Tag Manager, Google AdSense en Google Analytics al vóór enige consent. Vijf bekende tracker-domeinen bleven actief ná een weiger-klik (cookiebot.com, googletagmanager.com, pagead2.googlesyndication.com, region1.google-analytics.com, en googleadservices.com). Vijf POST-requests met data verlieten de browser richting Google-eindpunten. In de tracker-bestanden werden tijdzone-uitlezingen aangetroffen — een ingrediënt van browser-fingerprinting.

Waarom dit bij 113 zwaarder weegt

Op de meeste sites is een tracker-stack een privacy-issue. Bij een suïcidepreventielijn raakt diezelfde tracker-stack een ander hoofdstuk van de wet.

AVG artikel 9 bestempelt gegevens over geestelijke gezondheid als bijzondere persoonsgegevens. Het laden van de hulppagina van 113 of het openen van het bel- of chatmenu kan op zichzelf een afgeleid bijzonder persoonsgegeven zijn. Dat is een hogere bewijslast voor de site-eigenaar en een hogere drempel voor wat überhaupt verzonden mag worden.

Organisaties die met kwetsbare bezoekers werken hebben daarmee een andere norm voor anonimiteit dan een willekeurige nieuwssite of webwinkel. Niet omdat ze het bewust slechter doen — vrijwel niemand op het web doet dit met opzet — maar omdat de standaard-tracker-stack die je via een paar GTM-tags binnenhaalt simpelweg niet past bij dit type bezoeker.

De disclosure

De bevindingen zijn niet via een advocatenbrief gemeld, maar in de open lucht — met de raw scan-data verifieerbaar achter een cryptografische hash, en het bestaan ervan op de Bitcoin-blockchain verankerd via OpenTimestamps. Niemand hoeft het op mijn woord aan te nemen.

Tijdlijn, compact:

• 9 mei 2026, 23:49 UTC — eerste scan op 113.nl met BeforeYouMick v3.7. Drie modi, acht bevindingen. SHA-256 hash gegenereerd. OpenTimestamps-stempel aangevraagd.
• 9 mei 2026 — eerste publieke melding van de Microsoft Clarity-bevinding. Cryptografische hash en methodologie publiek toegankelijk.
• 10 mei 2026, binnen enkele uren — Stichting 113 reageert publiek onder de LinkedIn-post. Intern onderzoek gestart, externe deskundigen ingeschakeld, Microsoft Clarity verwijderd.
• 11 mei 2026, 20:15 UTC — herhalingsmeting met scanner v3.8. Clarity-domeinen verschijnen niet meer in de scan-output. De zes overige ernstige bevindingen staan nog open.
• 12 mei 2026 — raw scan-data (88 KB, 10 bestanden) cryptografisch verzegeld en geleverd aan 113 voor onafhankelijke verificatie.
• 9 juni 2026 — tweede onderzoekscyclus voorzien.

Het volledige verloop, met alle technische bewijzen, staat in het dossier-PDF.

Hoe 113 het aanpakte

Drie dingen vielen op aan de reactie van 113.

Snelheid. Binnen enkele uren een publieke reactie. Geen tussenkomst van een woordvoerder die eerst van alles moet afstemmen, geen bureaucratische vertraging. Wel een directe erkenning.

Transparantie. Geen toedekken van wat er stond, geen relativering van de bevinding. 113 erkende publiek dat er iets niet klopte, gaf aan dat ze het serieus onderzochten, en deelde dat ze externe deskundigen inschakelden.

Daadwerkelijke remediatie. Niet alleen een belofte voor de toekomst, maar feitelijke verwijdering van de aansprekendste bevinding voordat de herhalingsmeting plaatsvond. Cryptografisch verifieerbaar: Clarity-domeinen verschenen op 11 mei niet meer in de scan-output.

Dat de zes overige bevindingen op de herhalingsmeting nog stonden, doet niets af aan de toon. 113 heeft aangekondigd dat het interne onderzoek doorloopt en dat zij naar deze elementen kijken. Het sectorbeeld in Nederland kent veel organisaties die een advocatenbrief sturen of in stilte hopen dat het overwaait. 113 is een tegenvoorbeeld van uitzonderlijk niveau.

Wat het breed te lezen gaf

De casus is door meerdere redacties opgepakt. Niet als security-curiositeit, wel als een verhaal over wat er bij goedbedoelende organisaties onder de motorkap zit. Onder andere:

• BNR — in de tech-innovatie-sectie
• Hart van Nederland
• Stichting Donateursbelangen
• Ziptone (Engelstalig)
• Tweakers

Dat dit breder werd opgepakt dan alleen het security-publiek zegt iets. Bezoekers en donateurs van een hulpverleningsorganisatie willen weten of de site die zij vertrouwen niet — bedoeld of onbedoeld — hun gedrag aan derden doorgeeft.

Wat ik er zelf van vind

Drie dingen tegelijk.

Eén: de specifieke bevinding op deze site, op deze doelgroep, op deze klasse van data — dat schuurt. Niet doordat 113 of de leverancier daarvan iets kwalijk te verwijten valt, wel doordat het de standaard-stack illustreert. Iedereen plakt dezelfde drie tags op zijn site (GA4, GTM, AdSense) zonder per se te overwegen wat het verschil is tussen een bezoeker aan een nieuwswebsite en een bezoeker aan een suïcidepreventielijn. De configuratie volgt het marketing-script. Het marketing-script volgt geen onderscheid naar context.

Twee: de afhandeling door 113 was klasse. Snelheid, openheid, daadwerkelijke actie. Het is mogelijk om constructief om te gaan met een privacy-bevinding zonder reflexmatige verdediging. Deze casus is daarvan een blauwdruk.

Drie: het principe achter dit en vergelijkbaar werk — #CheckDontStore. Bewaar niet wat je niet nodig hebt. Verzend niet wat je niet nodig hebt. Bij hulpverleningsorganisaties is “niet nodig” een breder begrip dan bij commerciële sites; de bewijslast voor “wel nodig” ligt hoger. Dat principe geldt elders ook.

Het volledige dossier — bevindingen, methodologie, wettelijk kader, tijdlijn, verificatie-hashes — staat op mickbeer.com/papers/hackedemia-113nl-dossier.pdf.

Er zijn van die regels die geen interpretatie nodig hebben.

Op de site van De Kiesraad — de onafhankelijke commissie die de organisatie en uitslagen van de Nederlandse verkiezingen bewaakt — laadt de tracking-infrastructuur met deze configuratie:

"respectVisitorsPrivacy": false,

Niet eens een retorische vraag. Geen abstracte tracker-flow. Eén veld in een config, expliciet ingesteld op false.

Wat de scan vond

Bij elk bezoek aan kiesraad.nl, vóór enige toestemming, zonder cookiebanner:

5 tracking-cookies geplaatst:

• stg_traffic_source_priority
• stg_last_interaction
• stg_returning_visitor
• _pk_id.75718efd-…
• _pk_ses.75718efd-…

Tracker geladen: statistiek.rijksoverheid.nl → Piwik PRO.

Maar statistiek.rijksoverheid.nl is geen Rijksoverheid-server. Via DNS:

statistiek.rijksoverheid.nl  →  rijksoverheid.piwik.pro

Klassieke CNAME-cloaking: het subdomein lijkt first-party (rijksoverheid.nl), maar resolved naar een externe Piwik-tenant. De browser ziet een first-party cookie; tracker-blokkers herkennen geen Piwik-domein. Identiek aan wat de Belastingdienst doet met Adobe.

Daarbij: 6 POST-requests met body naar statistiek.rijksoverheid.nl (Piwik-ingest) tijdens een gewone pagina-load. Data wordt actief verzonden, niet alleen geladen.

Waarom dit ertoe doet

De Kiesraad is geen commerciële uitgever. Het is het orgaan dat:

• de uitslagen van Tweede Kamer-, Eerste Kamer- en Europese verkiezingen vaststelt
• adviseert over de organisatie van het kiesproces
• de onafhankelijkheid van het stemproces moet uitstralen

Wie het verkiezingsproces wil snappen, of wie wil weten waar ze moeten stemmen, gaat naar kiesraad.nl. Dat bezoek wordt nu zonder toestemming gelogd en met persistente identifier doorgegeven aan een tracking-platform.

Beleidscontext

• Telecommunicatiewet art. 11.7a — vereist toestemming vóór het plaatsen van cookies. Kiesraad: 5 cookies, geen banner.
• AVG art. 5(1)(a) — transparantie + art. 13 — CNAME-cloaking verbergt actief wie de verwerker is. Bezoekers kunnen niet wéten wat er gebeurt als het ontwerp dit voor hen verbergt.
• AVG art. 6 — grondslag — respectVisitorsPrivacy: false is geen rechtsgrondslag.
• Kamerbrief Van Huffelen + Adriaansens, 5 september 2023 (Kamerstuk 32 761-286) — “geen third-party cookies of andere tracking op overheidssites, ongeacht het verkrijgen van toestemming”.

Twintig maanden later staat de truc nog steeds aan op de Kiesraad-site. Met letterlijk respectVisitorsPrivacy: false als configuratie-waarde.

Wat er moet gebeuren

1. Trekker uit. Geen Piwik PRO op kiesraad.nl tot er een geldige rechtsgrondslag en een functionele consent-flow is.
2. CNAME-cloaking weg uit het Rijksoverheid-DNS-bestand. Een *.rijksoverheid.nl-subdomein dat extern resolved is een misleiding van de bezoeker.
3. Documenteer per overheidssite welke trackers actief zijn, naar welke partij ze versturen, en onder welke rechtsgrondslag. Publiek leesbaar, met datum.
4. Honor de Kamerbrief. De toezegging “geen tracking ongeacht toestemming” is van september 2023. Het is mei 2026.

De volledige scan-output (BeforeYouMick v3.8, gemeten 14 mei 2026) is op aanvraag beschikbaar.

Tijdlijn onderzoek 113.nl: bevindingen opgelost d.d. 14 mei 2026.

Update 13 mei, 15:47uur: Stichting 113 Zelfmoordpreventie is open en transparant met ons in contact getreden, en we hebben onze bevindingen en rapportages met hen gedeeld. In een constructieve kennismaking is door hen toegelicht welke acties voor nu zijn ondernemen om een veilig en juist bezoek aan 113.nl te garanderen. We blijven met elkaar in contact om in de nabije toekomst een duurzame oplossing te borgen.

Dank voor jullie voortvarendheid en goede werk!

Forensische privacyaudit

Op 9 mei 2026 voerde ik een geautomatiseerde forensische privacyaudit uit op 113.nl in drie toestemmingsmodi: NOOP (geen klik), REFUSE (weigeren) en ACCEPT (toestaan). Elke meting startte vanuit een schone browsercontext. Resultaten zijn SHA-256-geverifieerd en cryptografisch verankerd op de Bitcoin-blockchain via OpenTimestamps.

De audit legde negen bevindingen vast: één kritiek (inmiddels verholpen), zes ernstig (donveranderd), twee aandachtspunten. De ernstige bevindingen vormen herhaalde schendingen van AVG-bepalingen.

Wat gebeurde er

Bevinding 1 — Microsoft Clarity actief na weiger-klik [KRITIEK

— VERHOLPEN]

Op 113.nl liep Microsoft Clarity op het moment van de audit actief nadat bezoekers expliciete toestemming weigerden. Clarity is een session-recording- en heatmaptool die muisbewegingen, klikgedrag en scrollpatronen vastlegt. Op een website voor bezoekers in acute psychische nood is session-recording bijzonder gevoelig: navigatiepatronen op een suïcidepreventielijn kunnen herleidbaar zijn tot gezondheidsdata in de zin van AVG artikel 9.

Pre-consent tracking via Microsoft Clarity De Clarity-scripts activeerden vóórdat bezoekers hun cookievoorkeuren instelden. De cookiewet (implementatie van de ePrivacy-richtlijn) vereist actieve, geïnformeerde toestemming voor het plaatsen van trackingtechnologieën. Pre-consent-tracking is geen grijs gebied — het is onrechtmatig.

Dode weiger-knop De ‘weiger’-knop werkte niet. Na het klikken op ‘Nee’ bleef de Clarity-cookie actief.

Een vals gevoel van controle voor de bezoeker, terwijl tracking gewoon doorliep. De AVG stelt in artikel 7(3) dat toestemming even gemakkelijk moet kunnen worden ingetrokken als gegeven.

Browser fingerprinting De audit documenteerde fingerprinting-technieken: het verzamelen van tijdzone- informatie om gebruikers te identificeren zonder cookies. Bijzonder verontrustend in de context van een suïcidepreventielijn: meerdere crisissessies kunnen worden gekoppeld zonder toestemming.

Obfuscatie van gezondheidsdataverwerking 113.nl classificeert als verwerkingsverantwoordelijke voor bijzondere categorieën persoonsgegevens onder AVG artikel 9. De forensische audit stelde vast dat de verwerking via Clarity niet was gedocumenteerd in het register van verwerkingsactiviteiten (AVG artikel 30), niet was opgenomen in het cookiebeleid, en niet was voorzien van een DPIA — wettelijk verplicht onder AVG artikel 35 voor systemische verwerking van gezondheidsgegevens.

Status hermeting 11 mei: Clarity verwijderd. Bevinding opgelost.

Bevinding 2 — Google Tag Manager, AdSense en Analytics

geladen vóór toestemming [ERNSTIG— VERHOLPEN]

In NOOP-modus — vóór enige interactie — laden zonder rechtmatige grondslag: Google Tag Manager (GTM-MQ7B2P5), Google Analytics 4 (G-NSYB6F1YZJ, met actieve /g/collect-data-verzending), Google Ads conversion-tags (AW-793289595 en AW-938136512), Floodlight / Google Marketing Platform (DC-6063336) en DoubleClick (pagead2.googlesyndication.com). Tracking zonder rechtmatige grondslag is niet toegestaan onder Telecommunicatiewet artikel 11.7a en AVG artikelen 6 en 7.

Status hermeting 14 mei: Opgelost.

Bevinding 3 — Vijf trackerdomeinen actief na weigering

[ERNSTIG— VERHOLPEN]

Na een expliciete weiger-klik blijven vier Google-trackerdomeinen actief: Google Tag Manager, Google Analytics, Google Ads en DoubleClick. Cookiebot, het Consent Management Platform, blijft eveneens geladen omdat het de gebruikerskeuze moet onthouden, maar de Cookiebot-configuratie blokkeert de andere trackers feitelijk niet.

Van toepassing: Telecommunicatiewet artikel 11.7a, AVG artikel 7 lid 3.

Status hermeting 14 mei: Opgelost.

Bevinding 4 — gtm.js (GTM-MQ7B2P5) actief na weigering

[ERNSTIG— VERHOLPEN]

Het GTM-script voor container GTM-MQ7B2P5 blijft geladen na een weiger-klik. GTM fungeert als verzamelaar voor tags; activiteit van de container na weigering betekent dat de volledige tagstructuur buiten het toestemmingsregime opereert. Van toepassing: Tw 11.7a.

Status hermeting 14 mei: Opgelost.

Bevinding 5 — Vijf POST-verzoeken met body naar derde

partijen [ERNSTIG— VERHOLPEN]

In NOOP-modus verstuurt de browser vijf POST-verzoeken met body naar externe servers: drie naar Google-advertentie-endpoints (pagead2.googlesyndication.com, Google Ads / DoubleClick), twee naar Google Analytics (region1.google- analytics.com/g/collect). Op een suïcidepreventielijn raakt dit potentieel aan AVG artikel 9 (bijzondere persoonsgegevens). Van toepassing: AVG 6, 9.

Status hermeting 14 mei: Opgelost.

Bevinding 6 — Fingerprinting-indicator in GTM-bestanden

[ERNSTIG— VERHOLPEN]

De audit documenteerde een fingerprinting-indicator in de Google Tag Manager- bestanden: tijdzone-uitlezing. In combinatie met andere browser-eigenschappen kan dit ingrediënt voor identificatie zonder cookies vormen. Van toepassing: AVG 9, 13, EDPB GL 02/2023.

Status hermeting 14 mei: Opgelost.

Bevinding 7 — Obfuscatiepatroon in trackerbestand

[AANDACHTSPUNT— VERHOLPEN]

In een actief trackerbestand is een combinatie van atob en eval/Function aangetroffen. Code die zich tegen inzicht verzet, staat op gespannen voet met het transparantiebeginsel van AVG artikel 5 lid 1 sub a.

Status hermeting 14 mei: Opgelost.

L1 — Referrer-Policy: no-referrer-when-downgrade

[AANDACHTSPUNT— VERHOLPEN]

De huidige instelling kan ertoe leiden dat volledige URL’s — inclusief paginapaden die de aard van het bezoek onthullen — worden doorgegeven aan externe partijen. Op een website voor suïcidepreventie zijn paginapaden gevoelig. Advies: strict- origin-when-cross-origin. Van toepassing: AVG 32.

Status hermeting 14 mei: Opgelost.

L2 — Acht unieke trackeridentificatoren in scripts

[AANDACHTSPUNT— VERHOLPEN]

De audit identificeerde acht unieke trackeridentificatoren. Verificatie aan de hand van twee onafhankelijke HAR-captures (9 mei en 11 mei) toont dat vijf hiervan actieve productie-traffic genereren: GTM-MQ7B2P5, GA4 G-NSYB6F1YZJ, AW-793289595, AW-938136512 en Floodlight DC-6063336. Drie identificatoren — GTM-5N44BF4, G- 9LJGQ20WLQ en UA-10657158-3 — zijn aangetroffen in scriptcontent maar verzonden geen eigen requests; Deze zijn vermoedelijk legacy-restanten in de container-configuratie. Onder AVG artikel 30 hoort het verwerkingsregister voor alle acht verklaring te bieden. Op grond van het Fashion ID-arrest (HvJ-EU C-40/17, 2019) kan 113 als gezamenlijk verwerkingsverantwoordelijke worden aangemerkt voor de fase van gegevensverzameling door scripteigenaren van de vijf actieve trackers.

Status hermeting 14 mei: Opgelost.

Juridisch kader

Artikel Toepassing AVG artikel 6 Verwerking zonder rechtsgeldige grondslag AVG artikel 7 Toestemming moet even gemakkelijk intrekbaar zijn AVG artikel 9 Bijzondere categorieën — verhoogde beschermingsplicht AVG artikel 13 Informatieplicht bij gegevensverzameling AVG artikel 17 Recht op verwijdering — dode weiger-knop blokkeert dit AVG artikel 30 Register van verwerkingsactiviteiten ontbreekt AVG artikel 35 DPIA verplicht voor systematische gezondheidsdataverwerking ePrivacy-richtlijn Pre-consent tracking is onrechtmatig

Hoe 113.nl wél reageerde — sectorvoorbeeld

Binnen uren na verantwoording was Microsoft Clarity verwijderd. 113 vroeg actief om de ruwe auditgegevens om onafhankelijke verificatie mogelijk te maken. Geen juridisch verweer, geen ontkenning, geen communicatieteam dat de bevindingen probeerde te marginaliseren. Dat is bestuurlijke volwassenheid. Instructioneel voor de sector.

Update 13 mei: Stichting 113 Zelfmoordpreventie is open en transparant met ons in dialoog gegaan, ook nadat wij onze bevindingen en rapportages met hen hadden gedeeld. In een constructieve kennismaking is door hen toegelicht welke acties voor nu zijn ondernemen om een veilig en juist bezoek aan 113.nl te garanderen. We blijven met elkaar in contact om in de nabije toekomst een duurzame oplossing te borgen.

Het bredere landschap — systeemprobleem, geen incident

De DPG Media-brief onderzocht hulpverleningssites breed. Resultaat: 9 sites, 44 weiger-knoppen getest, 0 functioneel. De vraag dringt zich op wat er draait op: GGZ-portalen waar patiënten diagnostische tests doen en behandelplannen inzien EPD-toegangspoorten met embedded third-party scripts Huisartsenplatforms met online intakeformulieren en consultatie-tools Ziekenhuiswebsites met afsprakenportalen en pre- consultatievragenlijsten Gemeenschappelijke noemer: zorgorganisaties willen compliant zijn maar missen technische capaciteit. Third-party scripts worden toegevoegd door marketingbureaus die de privacy-implicaties niet doorgronden.

De CLOUD Act-dimensie

Bijna alle grote analytics-tools zijn Amerikaans. Onder de CLOUD Act (2018) kunnen Amerikaanse autoriteiten direct toegang vorderen tot data bij Amerikaanse cloudproviders zonder dat de gebruiker wordt geïnformeerd, zonder dat de Europese overheid hoeft te worden gewaarschuwd. Voor Nederlandse gezondheidsdata onder AVG-artikel 9 is dit een verzwegen risico dat in vrijwel geen DPIA wordt meegenomen.

Waarom het ertoe doet

113.nl bedient bezoekers in acute psychische nood. Paginabezoek, navigatiepatronen en sessieduur op deze website kunnen direct herleidbaar zijn tot de geestelijke gezondheidstoestand van de bezoeker: bijzondere persoonsgegevens in de zin van AVG artikel 9 met een verhoogde beschermingsgraad. De combinatie van een kwetsbare doelgroep en de aangetroffen verwerkingen activeert ook een wettelijke DPIA-plicht onder AVG artikel 35.

De Autoriteit Persoonsgegevens (187 FTE) waarschuwde in april 2025 vijftig Nederlandse organisaties formeel voor exact dezelfde configuratiepatronen, met een handhavingsdreigement binnen drie maanden. De AP beschikt per 2025 over extra budget voor toezicht op tracking-technologie. De bevindingen op 113.nl komen overeen met de typen schendingen die de AP in dat traject documenteerde.

Het juridische kader omvat Telecommunicatiewet artikel 11.7a, AVG artikelen 6, 7(3), 9, 13, 26, 28, 30, 32 en 35, en het Fashion ID-arrest van het HvJ-EU (C-40/17, 2019).

Nederlandse rechters hebben in een reeks kort gedingen tussen 2023 en 2025 geoordeeld dat tracking zonder geldige voorafgaande toestemming onrechtmatig is en dat ook de derde partij (niet alleen de site-eigenaar) verwerkingsverantwoordelijk is. 113 heeft snel en constructief gereageerd: publieke erkenning binnen 24 uur na onze eerste melding, intern onderzoek gestart, externe experts ingeschakeld, en Microsoft Clarity feitelijk verwijderd. Geen advocatenbrief, geen ontkenning. De hermeting van 11 mei bevestigt de verwijdering van Clarity. Dat is de constructieve norm voor de sector. Het herstelwerk is inmiddels voltooid: ook de zes resterende bevindingen zijn gewijzigd.

Actiepunten

1. Implementeer een werkende Consent Management Platform- configuratie. De huidige cookiebanner heeft geen meetbaar effect op trackeractiviteit. Consent Mode v2 voor GTM en Analytics kan tracking blokkeren totdat de bezoeker toestemming geeft. Technisch oplosbaar binnen dagen. 2. Voer een DPIA uit conform AVG artikel 35. De combinatie van bijzondere persoonsgegevens en een kwetsbare doelgroep maakt deze verwerking hoog-risico. Een gegevensbeschermingseffectbeoordeling is wettelijk verplicht. 3. Saneer de trackerstack. Beoordeel per script of aanwezigheid noodzakelijk en proportioneel is voor de primaire hulpfunctie. Veel aangetroffen trackers zijn gericht op fondsenwerving en marketing: weeg dat af tegen het dataminimalisatiebeginsel van AVG artikel 5 lid 1c. 4. Laat een onafhankelijke audit uitvoeren na implementatie van de CMP.

Laat de werking van de nieuwe configuratie toetsen door een partij zonder commerciële relatie met de leveranciers van de gebruikte tracking-tools. 5. Actualiseer de privacyverklaring. Alle acht trackeridentificatoren moeten expliciet vermeld staan met doelen, ontvangers en bewaartermijnen conform AVG artikel 13. 6. Onderzoek gezamenlijk verwerkingsverantwoordelijkheid. In het licht van Fashion ID: beoordeel de joint controllership-verhoudingen met Google en Microsoft en verwerk dit in het privacybeleid en het verwerkingsregister.

Checklist voor zorgbestuurders — technische privacyaudit

1. Consent Mode v2 implementatie. Controleer of uw CMP correct is geconfigureerd zodat tracking-scripts pas activeren ná expliciete toestemming — niet eerder. 2. DPIA-plicht voor gezondheidsdata. Voer een gegevensbeschermingseffectbeoordeling uit voor alle verwerkingen waarbij AVG-artikel 9-gegevens betrokken zijn. Dit is geen keuze maar een wettelijke verplichting. 3. Tracker-stack opschonen. Inventariseer elk third-party script op uw zorgplatform. Verwijder wat geen directe functionele noodzaak heeft. Elk extern script is een potentieel dataverwerkingsrisico. 4. Joint controllership-check. Beoordeel uw verwerkersrelaties in het licht van het Fashion ID-arrest. Indien u scripts insluit van derden, bent u mogelijk gezamenlijk verwerkingsverantwoordelijke. 5. Cloud Act-blootstelling meten. Beoordeel welke van uw tools en leveranciers onder Amerikaanse jurisdictie vallen. Documenteer dit expliciet in uw DPIA. 6. Onafhankelijk audit-protocol. Laat uw privacyconfiguratie periodiek forensisch controleren door een partij zonder commercieel belang bij uw tool-stack.

Beleidskader — EU-wetgeving en uitvoering in Nederland

De relevante wetgeving vormt een gelaagd kader: de AVG (van kracht sinds 2018) als horizontale privacywet, de ePrivacy-richtlijn (2009) als specifieke grondslag voor tracking-technologie, en de NIS2-richtlijn (geïmplementeerd in Nederland per 2026) voor netwerk- en informatiebeveiliging in vitale sectoren waaronder de zorg.

De handhavingsbevoegdheden zijn substantieel. Artikel 82 AVG regelt aansprakelijkheid voor schade als gevolg van onrechtmatige verwerking — ook voor verwerkers. Artikel 83 AVG voorziet in administratieve boetes tot €20 miljoen of 4% van de wereldwijde jaaromzet. De Autoriteit Persoonsgegevens beschikt over 187 FTE voor toezicht op miljoenen Nederlandse organisaties. Dat capaciteitsdeficit is reëel: structureel toezicht op alle zorgaanbieders is feitelijk onmogelijk.

De conclusie is onvermijdelijk: toezicht alleen is ontoereikend. Zorgbestuurders moeten eigen compliance-engineering doen, niet omdat de Autoriteit Persoonsgegevens kijkt: die handhaaft slechts wetgeving. De zorgbestuurder is eindverantwoordelijk voor een data-ethische, digitale omgeving waarin de bezoeker zich veilig kan bewegen én veilig mag wanen. Technische privacy is een randvoorwaarde voor vertrouwen, en vertrouwen is de randvoorwaarde voor effectieve hulpverlening.

SLOTSOM

Voor een zorginstelling waar anonimiteit van levensbelang is, zou digitale privacy geen keuze, maar een randvoorwaarde moeten zijn — zonder commerciële trackers van partijen als Google. De verwijdering van Microsoft Clarity binnen 24 uur na onze eerste melding heeft de Microsoft- aanwezigheid teruggebracht tot de Advertising-pixel die alleen ná uitdrukkelijke toestemming laadt. De snelheid en transparantie van de respons — publieke erkenning, intern onderzoek, externe expertise, daadwerkelijke verwijdering van Clarity binnen 24 uur — is van uitzonderlijk niveau in de Nederlandse hulpverleningssector.

Update: ook de zes ernstige bevindingen zijn inmiddels verholpen. Op een website voor mensen in acute psychische nood is dat knap en voortvarend gedaan, juist voor de mensen die 113.nl het hardst nodig hebben.

Een vervolgmeting volgt rond 9 juni 2026 om eventuele structurele verbeteringen aantoonbaar te maken. De volledige 22-pagina forensische audit is beschikbaar voor relevante autoriteiten en pers — schrijf via /contact/.

12 mei 2026 — Mick Beer.

Op humanitas.nl draait een session-replay tool die elke muisbeweging, klik, scroll en formulier-input van bezoekers vastlegt. Een opname van wat je doet, wat je intypt, hoe lang je hapert.

Op een platform voor mensen die hulp zoeken bij eenzaamheid, rouw, schulden, mantelzorg.

Waarom?

Geen functionele reden. Microsoft Clarity is een marketing- en UX-tool, niet noodzakelijk voor het verlenen van sociale hulp. De opnames gaan naar Microsoft Corporation in de Verenigde Staten, onder CLOUD Act-jurisdictie.

En Clarity is één van achttien externe domeinen die data ontvangen bij elk bezoek aan humanitas.nl.

Achttien endpoints, zeven unieke ontvangende partijen. De meerderheid is marketing-, analytics- of advertising-infrastructuur.

De kernbevinding

Klikken op ‘weigeren’ plaatst juist een nieuwe cookie. Bezoekers die hun privacy proberen te beschermen, krijgen extra tracking als gevolg van hun weigering.

AVG artikel 7 lid 3 vereist het tegenovergestelde.

Nederlandse rechters hebben in de Xandr-trilogie (Hof en Rechtbank Amsterdam, 2023–2025) vastgesteld dat tracking zonder of tegen geldige toestemming onrechtmatig is.

Bezoek aan specifieke onderdelen van humanitas.nl kan afgeleide gezondheidsdata onthullen die onder AVG artikel 9 (bijzondere persoonsgegevens) vallen.

Hoor en wederhoor

Hackedemia heeft Humanitas voorafgaand schriftelijk om wederhoor gevraagd via de persvoorlichter, met deadline 12 mei 14:00. Er is geen reactie ontvangen. De uitnodiging blijft openstaan; bij ontvangst worden de bevindingen aangevuld.

Wat volgt

Het volledige rapport volgt later deze week op hackedemia.nl. Het sectorrapport over negen Nederlandse hulpverleningssites volgt parallel.

De vrijwilligersdiensten van Humanitas — luisterend oor, mantelzorgondersteuning, rouwverwerking — gaan via aparte kanalen (telefoon, persoonlijk contact) en blijven bereikbaar.

We gaan ook naar andere zorginstellingen kijken de komende periode; patiëntveiligheid moet immers ook in het “digitale ziekenhuis” geborgd zijn.

Wat er in de app zit

De officiële Mijn Toeslagen-app — gepubliceerd door de Belastingdienst in de Google Play Store, gedownload door ouders die hun kinderopvangtoeslag beheren — communiceert met een Microsoft Azure-backend op mdl- api.azurewebsites.net/MTB/. Dat is geen zijingang, geen analytics-cookie, geen tijdelijke testomgeving. Het is de structurele backend voor wat de code zelf omschrijft als MijnToeslagenBackend (MTB). Een live .NET JSON-API, gehost op Microsoft- infrastructuur in de Verenigde Staten, diep verweven in een primair uitvoeringsproces.

Op 2 oktober 2025 schreef staatssecretaris Heijnen aan de Tweede Kamer: “De applicaties en dataopslag van de primaire processen voor de heffing en de inning blijven draaien in het eigen datacentrum in Apeldoorn.” De toekenning, betaling en herziening van kinderopvangtoeslag is een primair proces. Dat dit primair proces deels via een Azure-backend loopt, was niet aan de Kamer gemeld.

Dit rapport bevat in totaal 12 bevindingen op basis van passieve analyse van zeven publiek beschikbare Belastingdienst-apps. Geen credentials, geen schrijfacties, geen exploitatie — uitsluitend APK-decompilatie en niet-invasieve HTTPS GET-probes. De vier zwaarste bevindingen zijn hieronder uitgewerkt. Het volledige rapport met technisch appendix is beschikbaar via hackedemia.nl.

Bevinding 1 — De Azure-backend: een primair proces in de VS

De Mijn Toeslagen-app (package nl.belastingdienst.mkt) verstuurt productieverkeer naar mdl-api.azurewebsites.net/MTB/. De endpoint reageert met HTTP 200-responses en serverheaders die wijzen op Microsoft-IIS en Azure App Service. Dit is bevestigd via directe HTTPS GET-probe.

In de app-code zijn strings terug te vinden die direct verwijzen naar de algoritmische logica die centraal stond in de Toeslagenaffaire: “hebben wij deze uren omgerekend naar een hele maand.” Dit is de sleutelformulering die tot onterechte terugvorderingen leidde. Dezelfde algoritmische mechaniek, voor dezelfde populatie ouders, nu draaiend via een Azure-backend in de Verenigde Staten — en rechtstreeks doorverwijzend naar de FIOD in de eigen privacy-tekst van de app.

Heijnen’s Kamerbelofte was helder. De technische realiteit wijkt ervan af. De combinatie is een politiek feit.

Bevinding 2 — Microsoft documenteert het zelf: alle data naar de

VS, medewerkers hebben toegang

Drie Belastingdienst-apps — Berichtenbox, Mijn Belastingdienst en Mijn Toeslagen — gebruiken Microsoft App Center voor telemetrie. Microsoft legt op de eigen documentatiesite woordelijk vast: “App Center operates almost entirely in the United States. All data and processing for Apps, Users, Organizations, Build, Distribution, Analytics and Diagnostics occurs in the United States. There’s no option available for hosting this customer data in any other country/region.” En: “From time to time, Microsoft employees need access to customer data stored within App Center.” En: “App Center is a multi-tenant system. All customer data is held within one set of data stores. There’s no option to hold a customer’s data in a separate or isolated set of data stores.” Dit is geen interpretatie, geen uitleg van een contractor. Dit is Microsoft dat zijn eigen product documenteert. Belastingdienst-app-telemetrie zit in dezelfde multi-tenant datastores als die van willekeurige andere App Center-klanten, gaat naar de VS, en anonieme Microsoft-medewerkers kunnen er onder bepaalde omstandigheden in kijken. Heijnen schrijft in zijn Kamervragen-antwoord van 12 februari 2026: “Ik ben niet naïef over de mogelijkheid dat de informatie waarover de Belastingdienst beschikt interessant kan zijn voor de Amerikaanse overheid.” Hij erkent het risico. Hij zet de uitrol voort.

Bevinding 3 — Geen externe audits, geen publieke DPIA

Microsoft documenteert ook: “App Center hasn’t pursued external audits (such as SOC 2 or ISO 27001), or external penetration testing.” Een dienst zonder SOC 2, zonder ISO 27001, zonder externe penetratietest, waarover anonieme medewerkers in de VS toegang hebben — en waarop Nederlandse overheidstelemetrie draait.

Onder AVG artikel 35 is een DPIA verplicht voor hoog-risicoverwerkingen. Toeslagen kwalificeert onmiskenbaar: de Parlementaire Enquêtecommissie legde vast dat etnisch profileren hier systematisch plaatsvond. Het Adviescollege ICT-toetsing wees in maart 2024 al op het ontbreken van een DPIA voor TVS, het systeem dat 95% van de Toeslagen-verwerkingen uitvoert. Voor de Azure-backend in de Mijn Toeslagen- app, voor het App Center-gebruik in Berichtenbox en Mijn Belastingdienst, is geen publieke DPIA vindbaar. Dat is een Wob/Woo-vraag die de Kamer nu kan stellen.

Bevinding 4 — De Toeslagen-echo: dezelfde logica, een nieuwe

infrastructuur

De Toeslagenaffaire kostte naar schatting 9 tot 14 miljard euro aan compensatie. De diagnose van de Parlementaire Ondervragingscommissie: ondoorzichtige algoritmische besluitvorming, afwezigheid van menselijke controle, systematische verwijdering van de burger uit het feitenrelaas. De app die nu via Azure draait bevat strings die precies die besluitvorming spiegelen. De ouders die in de app hun toeslagen beheren zijn deels dezelfde ouders die door de affaire zijn geraakt.

Dit is geen bewijs van een nieuwe affaire. Het is een uitlegbaarheidsprobleem van de eerste orde: hoe legt de overheid aan gedupeerde ouders uit dat hun toeslagdata via een Microsoft Azure-backend in de VS worden verwerkt, op een afgedankt product (App Center is per 31 maart 2025 gedeprecieerd), zonder externe audit, en zonder dat de Kamer hierover volledig is geïnformeerd?

Het volledige rapport bevat 12 bevindingen — waaronder hardcoded App Center secrets in productie-APK’s, een 8 jaar oude OkHttp-stack in de Berichtenbox-app (waarmee 13 miljoen Nederlanders hun overheidspost ontvangen), SHA-1 certificaat- pinning, en een gedeprecieerde Genesys-component in de aangifte-app. Het technisch appendix is beschikbaar voor journalisten en onderzoekers via hackedemia.nl.

Dit dossier raakt Den Haag op drie niveaus. Juridisch: AVG-compliance, ontbrekende DPIA’s, doorgifte naar derde landen onder de CLOUD Act. Politiek: een Kamerbelofte over Apeldoorn die technisch niet wordt nagekomen. Institutioneel: een Belastingdienst die twee jaar na de PEC-conclusies dezelfde populatie ouders bedient via infrastructuur die zij niet volledig publiek verantwoordt.

Eelco Eerenberg draagt als huidig staatssecretaris Fiscaliteit, Belastingdienst en Toeslagen-uitvoering de systeemverantwoordelijkheid. De vragen liggen klaar.

SLOTSOM De Belastingdienst beloofde de Tweede Kamer dat primaire processen in eigen beheer blijven. De werkelijkheid: Mijn Toeslagen draait op Microsoft Azure, data gaat naar de VS, er is geen externe audit en geen publieke DPIA. Dit is geen technisch detail — het raakt dezelfde populatie gedupeerde ouders wier gegevens opnieuw buiten democratisch toezicht belanden. Twaalf bevindingen, één conclusie: de digitale belofte aan de Kamer is gebroken.

Auteur: Mick Beer, onafhankelijk security/privacy-onderzoeker.

Dezelfde overheid die de toeslagenaffaire heeft veroorzaakt, geeft de slachtoffers nu opnieuw door aan Adobe, een Amerikaans bedrijf. Bewust geconfigureerd. In een aparte container.

We betalen belasting om bespioneerd te worden. En dat is niet eens makkelijk te vinden — er zit een DNS-truc tussen om het voor je te verbergen.

Wat ik vond

Op herstel.toeslagen.nl — de site voor slachtoffers van de toeslagenaffaire — staat een aparte Adobe-configuratie, met als datapunt naar de Verenigde Staten:

“Website voor gedupeerde ouders | Herstel Toeslagen (UHT)”

Met expliciete classificatie toeslagen-herstel-kot-nl. Adobe weet dus, op tag-niveau, dat dit een hersteloperatie-kinderopvangtoeslag-bezoeker is.

In december 2023 zei een Belastingdienst-woordvoerder publiekelijk dat de Adobe-cookie “uit voorzorg uitgeschakeld” was. In september 2023 schreef het kabinet aan de Tweede Kamer: “geen tracking op overheidssites, ongeacht toestemming”.

Zeventien maanden later: alles aan.

Wat ik vond op belastingdienst.nl en herstel.toeslagen.nl

1. Een DNS-truc waardoor tracker-blokkers en ad-blockers worden omzeild. Voor de browser lijkt het de Belastingdienst. Het is Adobe in de Verenigde Staten.
2. Een 38-cijferige Adobe-ID die twee jaar bewaard wordt, opgeslagen op drie plaatsen.
3. Wat je in de zoekbalk typt gaat letterlijk mee. “herstel operatie”, “toslagen”, “schuldsanering”, “echtscheiding aftrek” — direct naar Adobe USA.
4. Wat je naar de chatbot typt gaat mee.
5. Wat je in het feedback-veld schrijft gaat mee.
6. Foutmeldingen die persoonsgegevens kunnen bevatten gaan mee.
7. Geen banner. Geen consent. Geen waarschuwing.

Waarom dit ertoe doet

De Belastingdienst weet beter. Op mijn.toeslagen.nl, de geauthenticeerde inlogomgeving, staat geen tracking. Geen Adobe, geen Google, geen Meta, geen AB Tasty. Schoon. Dezelfde overheid, dezelfde technische kennis, en achter de inlogmuur koos men voor privacy. Op de publieke kant niet.

Wat er gebeurt: bij elk bezoek aan herstel.toeslagen.nl genereert Adobe een Experience Cloud ID (ECID): 38 cijfers, bewaartermijn twee jaar, opgeslagen op drie plaatsen. Per page-view gaan twintig tot zestig datapunten naar Adobe, waaronder:

• Paginatitel: “Website voor gedupeerde ouders | Herstel Toeslagen (UHT)”
• Classificatie: toeslagen-herstel-kot-nl — Adobe weet daarmee niet alleen dát iemand een hersteloperatie-pagina bezoekt, maar ook de specifieke categorie (kinderopvangtoeslag)
• Zoekqueries: integraal naar de VS
• Chatbot-input: vrije tekst die bezoekers naar de virtuele assistent typen
• Feedback-tekst: wat gedupeerden in het feedback-formulier schrijven, ongecodeerd
• Foutmeldingen: “BSN niet bekend”, “geboortedatum komt niet overeen” — indirecte persoonsgegevens

Dit alles via CNAME-cloaking: het subdomein adobe-analytics-dc.belastingdienst.nl wijst via CNAME naar wdbvhtupcp.data.adobedc.net. De browser ziet een first-party cookie; tracker-blokkers herkennen geen Adobe-domein; Safari ITP en Firefox ETP blokkeren dit niet. De Belastingdienst gebruikt daarvoor een eigen JavaScript-bibliotheek, bld-metrix.js, 44 KB, gebouwd in eigen huis, geserveerd vanaf het Belastingdienst-domein, die rechtstreeks events naar Adobe stuurt.

Sandra Palmen: van klokkenluider naar bewindspersoon

De ironie rondom Sandra Palmen-Schlangen is een van de scherpste verhalen in dit dossier. In 2017 schreef zij als jurist bij de Belastingdienst een intern advies — het later bekende “memo Palmen” — waarin zij stelde dat de Belastingdienst en Toeslagen “laakbaar” hadden gehandeld. Haar advies werd genegeerd, het memo verdween in een la. In een interview met NOS Met het Oog op Morgen vertelde Palmen later dat zij overwoog klokkenluider te worden, maar dit niet deed: “Dan zou ik zelf het probleem zijn geworden.”

Volgens parlement.com is Sandra Palmen-Schlangen sinds december 2024 aangetreden als staatssecretaris Fiscaliteit, Belastingdienst, Toeslagen-uitvoering en Douane en continueert in kabinet-Jetten (beëdigd 23 februari 2026). In april 2026 bleek bovendien dat de Belastingdienst opnieuw een datakluis met miljoenen documenten over de toeslagenaffaire had ontdekt, wat de situatie pijnlijk actueel houdt.

Op haar bureau ligt nu een dossier dat de spanning tussen herstelbelofte en uitvoeringspraktijk concreet maakt: de ambtenaar die alarm sloeg over onrecht draagt nu politieke verantwoordelijkheid voor een hersteloperatie die de slachtoffers van datzelfde onrecht opnieuw doorgeeft aan een Amerikaans bedrijf.

Beleidscontext

• AVG artikelen 6, 32, 44-49 — rechtsgrondslag, beveiligingsplicht en doorgifte buiten de EU. Geen van de zes gronden uit artikel 6 is van toepassing op de doorgifte van zoekgedrag aan Adobe.
• ePrivacy Richtlijn 2002/58/EG artikel 5(3) — vereist ondubbelzinnige toestemming vóór plaatsing van trackingcookies. Belastingdienst.nl toont géén consent-dialog.
• AP-rapport 2020 (FSV-fraudemodel) — concludeerde dat de Belastingdienst systematisch en onrechtmatig persoonsgegevens verwerkte. Dit dossier toont een vergelijkbaar patroon via tracking.
• Kamerbrief Van Huffelen + Adriaansens, 5 september 2023 (Kamerstuk 32 761-286) — “geen third-party cookies of andere tracking, ongeacht het verkrijgen van toestemming”.
• SDBN-massaclaim (Rechtbank Rotterdam C/10/668332, ECLI:NL:RBROT:2025:6254, tussenvonnis 28 mei 2025) — collectieve vordering tegen grootschalige trackingpraktijken. Dit dossier levert aanvullend bewijsmateriaal.

Wat moet er morgen gebeuren

1. De Belastingdienst zet de Adobe-cookie daadwerkelijk uit, conform de Kamerbrief.
2. Vrije-tekst-events (chatbot-input, feedback-tekst, foutmeldingen) gaan direct uit de tracking-laag.
3. Bestuurlijke verantwoording over de discrepantie tussen de woordvoerder-verklaring van december 2023 en de meetdata van mei 2026.
4. Een DPIA voor herstel.toeslagen.nl openbaar maken — of alsnog uitvoeren onder AVG artikel 35.

Slotsom

De eigen cookieverklaring op belastingdienst.nl/.../cookies beweert dat cookies geen persoonsgegevens bevatten (geraadpleegd 1 mei 2026). Onder de Breyer-uitspraak (HvJ EU C-582/14) kwalificeert een unieke 38-cijferige identifier met twee jaar levensduur als persoonsgegeven. De claim is aantoonbaar onjuist.

De Autoriteit Persoonsgegevens onder Aleid Wolfsen is de afgelopen twee jaar actiever gaan handhaven tegen overheden. De AP legde op 16 juli 2024 een boete van €600.000 op aan Kruidvat — dat is precedent. Een bewuste schending van een Kamertoezegging door een bestuursorgaan is precies het type casus waar de AP een voorbeeldboete op zet.

Het volledige forensische rapport — inclusief 12 HAR-captures, DNS-verificaties, broncode-analyse en juridische referenties — is gepubliceerd via Hackedemia. De Belastingdienst, Dienst Toeslagen, Adobe Nederland, Stichting Data Bescherming Nederland en de Autoriteit Persoonsgegevens zijn voor hoor en wederhoor benaderd. Reacties komen in een vervolgpublicatie.

De vraag voor de bestuurstafel is niet óf dit politiek wordt, maar hoe snel.

Hoe wist Mark dit allemaal?

Het korte antwoord: omdat jij — én je moeder — websites bezoeken die geld verdienen aan tracking pixels. En omdat geen enkele bestuurder van die websites weet wat die pixels precies doen.

Dit artikel legt de keten bloot. Het is geen samenzwering. Het is geen hack. Het is hoe het systeem op dit moment werkt.

De keten in zeven stappen

Stap 1 — Jij bezoekt een vertrouwde website. Een Nederlandse krant, webshop, verzekeraar, of ziekenhuissite. Tracking pixels vuren soms af voordat je ergens op klikt.

Stap 2 — De pagina deelt je data met tientallen partijen. IP-adres, browsertype, klikgedrag, soms ingevulde formuliervelden. By design onzichtbaar. De FTC en EFF hebben dit gerapporteerd: gemiddeld 18-47 tracker-pixels per pagina op vertrouwde bedrijfssites.

Stap 3 — Adtech-bedrijven aggregeren. Meta, Google, ad-exchanges combineren duizenden datapunten tot één profiel over weken en maanden.

Stap 4 — Databrokers verrijken met offline data. Acxiom, Epsilon, kredietinformatiebureaus koppelen online profielen aan kadaster, autobezit, abonnementen, gezinssamenstelling. Duizenden datapunten per persoon.

Stap 5 — Het profiel wordt verkocht of gestolen. Legaal aan marketeers en verzekeraars. Illegaal via datalekken en Telegram-handel. Het OM Noord-Nederland eiste in april 2026 celstraffen tot vier jaar tegen handelaren in lijsten als “106 vrouw 65 plus” — profielen die exact zo samengesteld waren.

Stap 6 — De scammer bouwt zijn aanval. Met échte naam, geboortedatum, bank, gezinsleden wordt bankhelpdeskfraude overtuigend. De FBI IC3 rapporteert dat meer dan de helft van fraudezaken tegen ouderen direct verband houdt met blootgestelde data.

Stap 7 — De betalende oma. Het eindresultaat van de keten: een kwetsbaar slachtoffer verliest geld aan bankhelpdeskfraude. Oma verliest €28.000. De website van stap 1 weet van niets — en draagt toch verantwoordelijkheid voor de keten die zij in gang zette.

Waarom dit ertoe doet

Drie Zweedse IMY-zaken uit 2024–2025 illustreren wat “onwetendheid” de markt kost.

Apohem (online apotheek): Meta Pixel deelde namen, e-mails, telefoonnummers en aankoopgeschiedenis. Geen DPIA, geen risicoanalyse. 8 miljoen SEK boete. Het probleem: marketing vroeg de pixel aan, IT zette hem in via Google Tag Manager, de privacy-officer zag het niet, het bestuur tekende af op “AVG-compliant”. Niemand controleerde wat er feitelijk werd verzonden.

Avanza Bank: marketing zette per ongeluk Meta’s “Automatic Advanced Matching” aan. Leningbedragen en rekeningnummers vlogen naar Meta. 15 miljoen SEK boete. Zweedse IMY: “Dit zijn financiële gegevens. De bank was aansprakelijk, zelfs al wisten zij niet dat het gebeurde.”

Apoteket AB: persoonsnummers en gezondheidsgerelateerde data lekten ondanks filters. 37 miljoen SEK boete. Dit was geen hack — het systeem werkte zoals ontworpen.

Onwetendheid is geen excuus. De verwerkingsverantwoordelijke — in dit geval de website — is aansprakelijk voor de gehele verwerkingsketen die zij in gang zet.

— Zweedse IMY

Meta zelf betaalde €1,2 miljard aan de Ierse DPC in 2023 voor onrechtmatige datatransfers naar de VS.

Beleidscontext

AVG artikel 6 — rechtmatige grondslag voor verwerking. “Gerechtvaardigd belang” voor marketing is een veelgebruikte route, maar de verwerking mag niet onevenredig inbreuk maken op de rechten van betrokkenen.

AVG artikel 32 — veiligheidsniveaus. Controleer wat je pixels verspreiden, niet alleen dat ze geladen worden.

AVG artikel 35 — DPIA verplicht voor risicovolle verwerking. De Apohem-zaak werd gewonnen door Noyb omdat Apohem géén DPIA had gemaakt voor Meta Pixel.

AVG artikel 44-49 — internationale datatransfers. Veel trackers sturen data naar de VS. Na Schrems II (HvJ EU, 2020) is dat juridisch risicovol zonder aanvullende waarborgen.

AVG artikel 82 — schadevergoeding. Sinds C-300/21 (HvJ EU, 2023) kunnen slachtoffers rechtstreeks aansprakelijkheid eisen. Oma kan de eerste website aanklagen voor schadevergoeding — zelfs als de directe oorzaak een scammer was — zolang te bewijzen valt dat de datablootstelling de fraude mogelijk maakte.

In Nederland heeft de Autoriteit Persoonsgegevens sinds 2023 standaard-AVG-vervolgingen tegen databrokers ingesteld, en behandelt het OM datalekken steeds vaker als strafrecht.

Wat kunt u morgen doen

Voer deze week een pixel-audit uit. Laat IT inventariseren welke trackers op jullie sites en apps draaien en naar welke partijen ze data sturen. Gebruik browser-tools als The Markup Blacklight of een Google Tag Manager-export. Leg een spreadsheet aan: tracker → ontvanger → data → rechtsgrond.

Eis een DPIA per marketing-tracker. Onder AVG artikel 35 is dit verplicht. Elke Meta Pixel, elke Google Analytics-integratie verdient een eigen risicoanalyse. Laat twee vragen beantwoorden: welke persoonsgegevens verlaten ons domein, en wat kunnen die ontvangers ermee doen?

Schrap elke tracker die je niet in een zin kunt uitleggen. Vraag commercial: waar gaat deze data naartoe en waarom? Kunnen zij het niet beantwoorden in dertig seconden, haal hem weg. Dit is een verwerkingsbeslissing met persoonlijke aansprakelijkheid.

Breng je verwerkersketen tot het einde in kaart. Niet alleen wie je data ontvangt, maar wat zij ermee doen, aan wie zij doorverkopen, en of die partijen in de adtech/databroker-keten zitten. De AVG maakt jou aansprakelijk voor de gehele keten.

Zet tracking op de bestuurstafel. Een pixel plaatsen is een verwerkingsbeslissing met persoonlijke aansprakelijkheid voor bestuurders. Onderzoek: dekt je D&O-verzekering AVG-boetes? Vaker niet dan wel.

Persoonlijke actiepunten

Zoek je naam op via Google en people-search-sites. Schrik niet. Dit is in de publieke adtech-keten beschikbaar.

Gebruik je AVG-rechten. Artikel 15-21 geeft je recht op inzage, correctie en verwijdering.

Beperk wat je deelt. Loyaliteitskaarten, online quizzes, “gratis” apps zijn datakanalen.

Praat met je ouders. Bankhelpdeskfraude richt zich op 65+. Als zij weten dat bellers hun gegevens kunnen hebben zonder hen te kennen, herkennen zij de truc sneller.

7 april 2026. ChipSoft — leverancier van het HiX EPD-systeem dat 76 procent van alle Nederlandse ziekenhuizen draait, plus huisartsenpraktijken, tbs-klinieken en revalidatiecentra — constateert een cyberaanval. De eerste publieke verklaring spreekt van een “data-incident” met “mogelijke ongeautoriseerde toegang.” Z-CERT informeert zijn zorgklanten rechtstreeks: ransomware.

Nota bene: onderaan het artikel tref je de complete beslisboom met de zeven beslismomenten in de ChipSoft response: hoe het ging vs. hoe het had gemoeten.

De aanvaller is Embargo. Geen scriptkiddie-collectief: een professionele Ransomware-as-a-Service-operatie met een door TRM Labs geschatte crypto-omzet van 34 miljoen dollar. Vermoedelijk een rebrand van BlackCat/ALPHV — de Conti- spinoff die zijn eigen affiliates oplichtte voor 22 miljoen dollar voordat het deed alsof het door handhaving was opgerold. Rust-based malware, double extortion, politiek getinte berichten op de leak site. Dát is de tegenpartij waarmee ChipSoft heeft onderhandeld over uw patiëntdossiers.

De tijdlijn spreekt voor zich. Patiëntportalen bleven aanvankelijk online — pas na de komst van externe security-experts gingen ze offline. Ziekenhuizen moesten zeven dagen na de aanval alsnog alle ChipSoft-supportaccounts en digitale sleutels roteren, wat aangeeft dat de initiële forensische analyse de blast radius had onderschat. Op 16 april volgde bevestiging dat medische persoonsgegevens waren buitgemacht. Op 23 april plaatste Embargo aftelklokken op het darkweb; ChipSoft bevestigde aan NOS dat er “onderhandeld” werd. Op 28 april verscheen een LinkedIn-post met de mededeling dat de gestolen data “op technisch juiste wijze vernietigd” was — zonder toelichting, en zonder antwoord op de vraag of er losgeld betaald is.

Meer dan 60 datalekmeldingen zijn ingediend bij de Autoriteit Persoonsgegevens.

Getroffen instellingen omvatten Rijndam, Basalt, Van der Hoeven Kliniek (forensische zorg), Franciscus Gasthuis, Meander MC en Albert Schweitzer Ziekenhuis.

Waarom dit ertoe doet

ChipSoft beheert patiëntdossiers die u nooit bewust aan hen heeft toevertrouwd.

Diagnoses, medicatie, psychiatrische voorgeschieden, forensische rapporten — geconcentreerd bij één leverancier met 76 procent marktaandeel, licentiekosten van anderhalf tot twee miljoen euro per ziekenhuis, en een winstmarge van 42 procent op 107 miljoen euro omzet in 2019. De kaspositie bedraagt naar schatting 360 miljoen euro.

Dat marktaandeel is niet het resultaat van kwaliteitscompetitie. De ACM waarschuwde in 2022 al voor vendor lock-in in de zorgsector. ChipSoft probeerde het kritische rapport destijds via de rechter te blokkeren. UMCG, Ommelander en Treant werken inmiddels aan exit-routes — niet omdat ze dat graag willen, maar omdat ze geen alternatief meer voelen. Het betaal-dilemma De argumenten voor betalen zijn reëel. Als criminelen daadwerkelijk data vernietigen in ruil voor betaling, beperkt u de directe schade voor patiënten wier meest gevoelige gegevens op het spel staan. Een civiele procedure duurt jaren; Data op het darkweb zijn permanent.

De argumenten tegen zijn minstens even zwaar. Elke betaling financiert de volgende aanval op het volgende ziekenhuis. Geen “deletion certificate” van een crimineel collectief is verifieerbaar: TRM Labs documenteerde dat Embargo eerder zijn eigen affiliates oplichtte. Er is geen reden aan te nemen dat destructiebeloften betrouwbaarder zijn dan betalingsbeloften. Elke betaling normaliseert de businesscase van ransomware in de zorgsector.

Hackedemia’s positie: de vraag is niet óf u betaalt, maar waarom u in die positie zit.

Een leverancier met 76 procent marktaandeel en 360 miljoen euro cash heeft de middelen om weerbaarheid te bouwen. Dat dit niet is gebeurd, is de bestuurlijk relevante conclusie.

Beleidscontext

NIS2-meldplicht. De Nederlandse implementatie van NIS2 brengt de zorgsector onder de essentiële sectoren met een 24-uurs meldplicht voor significante incidenten en supply chain-vereisten voor kritische leveranciers. Een EPD-leverancier die drie weken nodig heeft om te bevestigen dat medische gegevens zijn buitgemaakt, voldoet niet aan de norm die NIS2 stelt. Bestuurdersaansprakelijkheid. ** NIS2 introduceert persoonlijke aansprakelijkheid voor bestuurders van essentiële entiteiten. “Wij wisten het niet” werkt niet meer als verweer. Bestuurders zijn verplicht aantoonbare kennis te hebben van de cybersecuritypositie van hun organisatie en kritische leveranciers — inclusief hun incidentrespons-procedures en meldtijdlijnen. DORA voor zorgverzekeraars. De Digital Operational Resilience Act geldt primair voor financiële instellingen, maar raakt zorgverzekeraars via de ICT-risicobeheervereisten voor derde partijen. De relatie tussen zorgverzekeraars en EPD-leveranciers is een directe testcase voor de supply chain-bepalingen van DORA. AVG: verwerker versus verantwoordelijke.** ChipSoft is verwerker; de zorginstelling is verwerkingsverantwoordelijke. De 72-uurs meldplicht bij de AP rust op de instelling — ook als de breach bij de verwerker zat. Instellingen die pas weken na de aanval voldoende informatie kregen om hun melding in te dienen, staan juridisch kwetsbaar.

De AP ontving meer dan 60 afzonderlijke meldingen: dat is precies hoe de AVG- structuur uitpakt bij een monopolistische leverancier die informatieverstrekking controleert.

Onderaan het artikel tref je de complete beslisboom met de zeven beslismomenten in de ChipSoft response: hoe het ging vs. hoe het had gemoeten.

Wat kunt u morgen doen?

Eis transparantie over ransomware-protocollen van uw kritieke ICT- leveranciers. Vraag elke leverancier van wie u operationele of patiëntengegevens beheert, schriftelijk om hun ransomware-protocol: Hoe snel wordt u geïnformeerd bij een incident? Wie onderhandelt er indien nodig? Wordt er een deletion certificate geboden? Als het antwoord onduidelijk is, ontbreekt er een essentiële contractuele en beleidsmatige laag. Actualiseer uw DPIA’s en risico-inventarisaties met concrete ransomware-scenario’s. Voeg aan elke DPIA voor kritieke ICT- leveranciers een scenario toe waarin die leverancier wordt getroffen: Hoe beperkt u de schade? Wie neemt welke beslissingen en binnen welk tijdsbestek? Concrete antwoorden op concrete scenario’s — geen generieke clausules. Maak ransomware-risico een vast bestuurlijk thema, ongeacht of u direct bent getroffen. NIS2 maakt supply chain-cybersecurity een bestuurdersverantwoordelijkheid. Het gaat niet om de vraag óf u betaalt — dat is een illusie van keuze. Het gaat om de vraag: was uw leverancier voorbereid? En zo niet, wat doet u daar nu aan?

Wat is er gebeurd?

7 april 2026. ChipSoft — leverancier van het HiX EPD-systeem dat 76 procent van alle Nederlandse ziekenhuizen draait, plus huisartsenpraktijken, tbs-klinieken en revalidatiecentra — constateert een cyberaanval. De eerste publieke verklaring spreekt van een “data-incident” met “mogelijke ongeautoriseerde toegang.” Z-CERT informeert zijn zorgklanten rechtstreeks: ransomware.

Nota bene: onderaan het artikel tref je de complete beslisboom met de zeven beslismomenten in de ChipSoft response: hoe het ging vs. hoe het had gemoeten.

De aanvaller is Embargo. Geen scriptkiddie-collectief: een professionele Ransomware-as-a-Service-operatie met een door TRM Labs geschatte crypto-omzet van 34 miljoen dollar. Vermoedelijk een rebrand van BlackCat/ALPHV — de Conti- spinoff die zijn eigen affiliates oplichtte voor 22 miljoen dollar voordat het deed alsof het door handhaving was opgerold. Rust-based malware, double extortion, politiek getinte berichten op de leak site. Dát is de tegenpartij waarmee ChipSoft heeft onderhandeld over uw patiëntdossiers.

De tijdlijn spreekt voor zich. Patiëntportalen bleven aanvankelijk online — pas na de komst van externe security-experts gingen ze offline. Ziekenhuizen moesten zeven dagen na de aanval alsnog alle ChipSoft-supportaccounts en digitale sleutels roteren, wat aangeeft dat de initiële forensische analyse de blast radius had onderschat. Op 16 april volgde bevestiging dat medische persoonsgegevens waren buitgemacht. Op 23 april plaatste Embargo aftelklokken op het darkweb; ChipSoft bevestigde aan NOS dat er “onderhandeld” werd. Op 28 april verscheen een LinkedIn-post met de mededeling dat de gestolen data “op technisch juiste wijze vernietigd” was — zonder toelichting, en zonder antwoord op de vraag of er losgeld betaald is.

Meer dan 60 datalekmeldingen zijn ingediend bij de Autoriteit Persoonsgegevens.

Getroffen instellingen omvatten Rijndam, Basalt, Van der Hoeven Kliniek (forensische zorg), Franciscus Gasthuis, Meander MC en Albert Schweitzer Ziekenhuis.

Waarom dit ertoe doet

ChipSoft beheert patiëntdossiers die u nooit bewust aan hen heeft toevertrouwd.

Diagnoses, medicatie, psychiatrische voorgeschieden, forensische rapporten — geconcentreerd bij één leverancier met 76 procent marktaandeel, licentiekosten van anderhalf tot twee miljoen euro per ziekenhuis, en een winstmarge van 42 procent op 107 miljoen euro omzet in 2019. De kaspositie bedraagt naar schatting 360 miljoen euro.

Dat marktaandeel is niet het resultaat van kwaliteitscompetitie. De ACM waarschuwde in 2022 al voor vendor lock-in in de zorgsector. ChipSoft probeerde het kritische rapport destijds via de rechter te blokkeren. UMCG, Ommelander en Treant werken inmiddels aan exit-routes — niet omdat ze dat graag willen, maar omdat ze geen alternatief meer voelen.

Het betaal-dilemma De argumenten voor betalen zijn reëel. Als criminelen daadwerkelijk data vernietigen in ruil voor betaling, beperkt u de directe schade voor patiënten wier meest gevoelige gegevens op het spel staan. Een civiele procedure duurt jaren; Data op het darkweb zijn permanent.

De argumenten tegen zijn minstens even zwaar. Elke betaling financiert de volgende aanval op het volgende ziekenhuis. Geen “deletion certificate” van een crimineel collectief is verifieerbaar: TRM Labs documenteerde dat Embargo eerder zijn eigen affiliates oplichtte. Er is geen reden aan te nemen dat destructiebeloften betrouwbaarder zijn dan betalingsbeloften. Elke betaling normaliseert de businesscase van ransomware in de zorgsector.

Hackedemia’s positie: de vraag is niet óf u betaalt, maar waarom u in die positie zit.

Een leverancier met 76 procent marktaandeel en 360 miljoen euro cash heeft de middelen om weerbaarheid te bouwen. Dat dit niet is gebeurd, is de bestuurlijk relevante conclusie.

Beleidscontext

NIS2-meldplicht. De Nederlandse implementatie van NIS2 brengt de zorgsector onder de essentiële sectoren met een 24-uurs meldplicht voor significante incidenten en supply chain-vereisten voor kritische leveranciers. Een EPD-leverancier die drie weken nodig heeft om te bevestigen dat medische gegevens zijn buitgemaakt, voldoet niet aan de norm die NIS2 stelt. Bestuurdersaansprakelijkheid. NIS2 introduceert persoonlijke aansprakelijkheid voor bestuurders van essentiële entiteiten. “Wij wisten het niet” werkt niet meer als verweer. Bestuurders zijn verplicht aantoonbare kennis te hebben van de cybersecuritypositie van hun organisatie en kritische leveranciers — inclusief hun incidentrespons-procedures en meldtijdlijnen. DORA voor zorgverzekeraars. De Digital Operational Resilience Act geldt primair voor financiële instellingen, maar raakt zorgverzekeraars via de ICT-risicobeheervereisten voor derde partijen. De relatie tussen zorgverzekeraars en EPD-leveranciers is een directe testcase voor de supply chain-bepalingen van DORA. AVG: verwerker versus verantwoordelijke. ChipSoft is verwerker; de zorginstelling is verwerkingsverantwoordelijke. De 72-uurs meldplicht bij de AP rust op de instelling — ook als de breach bij de verwerker zat. Instellingen die pas weken na de aanval voldoende informatie kregen om hun melding in te dienen, staan juridisch kwetsbaar.

De AP ontving meer dan 60 afzonderlijke meldingen: dat is precies hoe de AVG- structuur uitpakt bij een monopolistische leverancier die informatieverstrekking controleert.

Onderaan het artikel tref je de complete beslisboom met de zeven beslismomenten in de ChipSoft response: hoe het ging vs. hoe het had gemoeten.

Wat kunt u morgen doen?

Eis transparantie over ransomware-protocollen van uw kritieke ICT-leveranciers. Vraag elke leverancier van wie u operationele of patiëntengegevens beheert, schriftelijk om hun ransomware- protocol: Hoe snel wordt u geïnformeerd bij een incident? Wie onderhandelt er indien nodig? Wordt er een deletion certificate geboden? Als het antwoord onduidelijk is, ontbreekt er een essentiële contractuele en beleidsmatige laag.

Actualiseer uw DPIA’s en risico-inventarisaties met concrete ransomware-scenario’s. Voeg aan elke DPIA voor kritieke ICT- leveranciers een scenario toe waarin die leverancier wordt getroffen: Hoe beperkt u de schade? Wie neemt welke beslissingen en binnen welk tijdsbestek? Concrete antwoorden op concrete scenario’s — geen generieke clausules.

Maak ransomware-risico een vast bestuurlijk thema, ongeacht of u direct bent getroffen. NIS2 maakt supply chain- cybersecurity een bestuurdersverantwoordelijkheid. Het gaat niet om de vraag óf u betaalt — dat is een illusie van keuze. Het gaat om de vraag: was uw leverancier voorbereid? En zo niet, wat doet u daar nu aan?

SLOTSOM De ChipSoft-case is geen uitzondering. Het is een patroon. Een monopolistische leverancier met 76 procent marktaandeel, 360 miljoen euro cash en een winstmarge van 42 procent had de middelen om robuuste weerbaarheid op te bouwen. Dat dit niet is gebeurd, is geen technisch falen — het is bestuurlijk falen met patiëntdossiers als inzet.

De vraag is niet óf er losgeld is betaald. De vraag is waarom de organisatie die het meest gevoelige datatype van Nederlandse burgers beheert, niet beter voorbereid was. Ransomware is structurele kostenpost voor Critical Information Infrastructure Operators. NIS2 schrijft dat voor, maar handhaving blijft uit.

Totdat een Dutch Hospital Group-bestuurder persoonlijk aansprakelijk wordt gesteld wegens nalatigheid in leveranciersbeheer, verandert er niets.

Hackedemia verwacht dat het volgende major incident in de zorgsector opnieuw een leverancier met vergelijkbaar marktaandeel zal treffen. De vraag is niet of, maar wanneer. En of u dan beter voorbereid bent dan ChipSoft.

BESLISBOOM · INCIDENT RESPONSE

Hoe het ging vs. hoe het had gemoeten

Zeven beslismomenten in de ChipSoft-respons. Bij elk: de route die genomen is, en de route die op tafel lag. De optelsom verklaart waarom dit incident eindigt in Kamervragen in plaats van een gecontroleerde melding.

WAT CHIPSOFT DEED WAT HAD GEMOETEN BESLISMOMENT 01 7 APRIL · RANSOMWARE ONTDEKT Erkennen als ransomware in de eerste publieke verklaring?

NEE Geframed als ‘data-incident’ met ‘mogelijke ongeautoriseerde toegang’.

Z-CERT moest het echte verhaal vertellen.

JA Bevestig ransomware, noem (zodra bekend) de actor: Embargo.

Klanten kunnen scope-acties nemen, pers verstoort niet.

BESLISMOMENT 02 Patiëntportalen direct offline halen?

NEE 11 ziekenhuizen halen op eigen initiatief portalen offline.

ChipSoft volgt pas na druk van externen.

JA Centrale isolatie binnen uren, niet dagen.

Verkeer tussen dossier en internet liep via ChipSoft-servers.

BESLISMOMENT 03 Externe forensics inzetten vanaf uur één?

NEE Pas na vier dagen externen erbij. Direct daarna massale rotatie van sleutels en supportaccounts.

Bewijs dat de blast radius was onderschat.

JA Externe IR-firma plus Z-CERT vanaf moment één.

Scope-onzekerheid wordt minuten, geen dagen.

BESLISMOMENT 04 · HET KANTELPUNT Onderhandelen met de afperser?

JA Bevestigde onderhandelingen met Embargo — vermoedelijk een BlackCat- successor.

Patiënten zaten niet aan tafel.

NEE NCSC, politie en AP inschakelen; aangifte van afpersing.

Geen funding van de volgende aanval. Strafrechtelijk spoor blijft open.

BESLISMOMENT 05 Patiënten direct en gecoördineerd informeren?

NEE Doorverwezen naar ‘uw eigen huisarts of zorgverlener’. 60+ losse meldingen, patiënten in de mist, persberichten als infobron.

JA Eén centrale informatiepagina; klanten krijgen kant-en-klare patiëntcommunicatie binnen 72 uur.

AVG-meldplicht ingevuld, geen versplintering.

BESLISMOMENT 06 Openheid over een eventuele losgeldbetaling?

NEE ‘Geen mededelingen’ over betaling. Een non-position die enkel zin heeft als het antwoord ja is.

Vertrouwensschade groter dan de claim zelf.

JA Volledige disclosure aan AP, klanten en (vertrouwelijk) politie. Wallet-ID’s vastleggen voor forensisch spoor.

Voldoet aan zorgplicht, maakt sancties-screening mogelijk.

BESLISMOMENT 07 Vertrouwen op het ‘data vernietigd’-bewijs van de afperser?

JA LinkedIn-post: ‘vernietigd op technisch juiste wijze’. Geen forensisch rapport, geen onafhankelijke verificatie.

Een ‘deletion certificate’ van een crimineel is geen control.

NEE Aanname: data circuleert. Patiënten waarschuwen voor phishing/identiteitsfraude, monitoring activeren.

Threat-modelling op basis van werkelijkheid, niet hoop.

EINDSTATION

Twee routes, twee bestemmingen

GENOMEN ROUTE

Kamervragen, AP-

onderzoek,

vertrouwensschade

60+ datalekmeldingen, versplinterd Mogelijke betaling aan BlackCat-successor Politiek momentum voor exit- routes ALTERNATIEVE ROUTE

Gecontroleerd incident,

vertrouwen behouden

Eén heldere meldingstroom, AVG-conform Geen funding van criminelen Strafrechtelijk spoor blijft open Patiënten weten waar ze aan toe zijn

Op 22 april 2026 nam de Tweede Kamer — met een meerderheid van GroenLinks- PvdA, SP en andere partijen — een motie aan die het kabinet dringend opriep het DigiD-contract bij Solvinity weg te halen zodra de overname door het Amerikaanse Kyndryl doorgaat. Drie dagen later, op 25 april, informeerde staatssecretaris Eric van der Burg (BZK) de Kamer dat dit niet zou gebeuren. Het contract wordt twee jaar verlengd. Pas in 2028 komt er een nieuwe aanbesteding.

DigiD is de digitale identiteitsinfrastructuur van Nederland. Via dit systeem regelen 14 tot 18 miljoen burgers hun belastingaangifte, zorgpolis, uitkering, pensioen en studiefinanciering. Logius — het agentschap van het ministerie van BZK — beheert DigiD operationeel. De feitelijke cloudhosting en dataopslag waren jarenlang in handen van Solvinity, oorspronkelijk een Nederlands bedrijf. Solvinity is inmiddels al deels Brits. De volgende stap — overname door het Amerikaanse Kyndryl — zou de data van alle Nederlanders juridisch onder de Amerikaanse CLOUD Act brengen.

De CLOUD Act (Clarifying Lawful Overseas Use of Data, 2018) verplicht Amerikaanse bedrijven om op verzoek van de Amerikaanse overheid data te verstrekken, ongeacht waar die data fysiek is opgeslagen. Voor DigiD-data — burgerservicenummers, fiscale informatie, zorggegevens — betekent dit dat een buitenlandse mogendheid juridisch aanspraak kan maken op informatie over iedere ingezetene van Nederland. Wat het diagram laat zien. Logius publiceert op haar eigen site een architectuurdiagram van DigiD. Dat diagram toont twee flows: (A) DigiD aanvragen en (B) Inloggen met DigiD. Centraal in beide flows staat één oranje blok: “Infrastructuur platform beheerd door Solvinity.” Zowel de aanvraagflow als de inlogflow — elk bestaande uit drie stappen — passeren dit platform. Elke aanvraag, elke identiteitscontrole, elke inlogsessie gaat er doorheen.

Diezelfde Logius-pagina stelt: “Solvinity levert het platform waar DigiD op draait… Dit maakt Solvinity een leverancier van DigiD, niet eigenaar.” En: “Solvinity ontvangt het IP-adres en e-mailadressen van mensen met een DigiD-account.” Een platform dat elke aanvraag en elke inlogsessie van 14 miljoen burgers verwerkt is geen randverschijnsel. Het is de ruggengraat. De bagatelliserende tekst en het diagram vertellen een ander verhaal. Intern bij Solvinity: onrust en advocaten. Volgens berichtgeving in Trouw werd de CPO van Solvinity ontslagen. Er lekten interne documenten naar het ministerie van BZK. Strafrechtadvocaten zijn ingeschakeld. De details zijn nog schaars — maar de timing en de aard van de signalen passen in een patroon van een organisatie onder druk, juist op het moment dat haar toekomst als DigiD-ruggengraat ter discussie staat.

Waarom dit ertoe doet

Dit is niet alleen een technisch inkoopvraagstuk. Het is een democratisch probleem, een privacyprobleem en een soevereiniteitsprobleem tegelijk. De democratische doorbreking. Een meerderheid van de Tweede Kamer heeft expliciet gevraagd het contract niet te verlengen. De staatssecretaris heeft dit genegeerd. Dit is parlementair gezien problematisch: de uitvoerende macht passeert de controlerende functie van de Kamer in een zaak die raakt aan de digitale grondrechten van alle burgers. Vijf jaar zonder volwaardige DPIA — en Logius erkent het zelf. Gastexpert Mick Beer, onafhankelijk privacyonderzoeker, publiceerde op 17 april 2026 bevindingen die een structureel ander beeld schetsen van hoe Logius met privacywetgeving omgaat.

In het eigen document “Gegevensverwerkingen DigiD” stelt Logius letterlijk: “Na invoering van de AVG, in 2018, is er niet direct een nieuwe DPIA uitgevoerd, omdat de eerder uitgevoerde PIA’s voldoende inzicht gaven.” Die PIA’s dateerden uit 2017 — gemaakt vóór de AVG, onder de Wet bescherming persoonsgegevens. AVG art. 35 verplicht een volwaardige privacy-impactanalyse voor verwerkingen met hoog risico.

DigiD verwerkt de digitale identiteit van de gehele Nederlandse bevolking. Het risicoprofiel is buiten kijf.

Een DPIA-achtig document is weliswaar opgenomen in het AVG-register rijksoverheid — maar dit verwijst vrijwel zeker naar dezelfde pre-AVG documentatie. De nuance: Logius kan formeel claimen “er was een assessment”. Materieel was het geen AVG- conforme DPIA. Beer’s conclusie — vijf jaar zonder volwaardige AVG-DPIA — is correct. Pas in 2023 kondigde Logius een nieuwe DPIA aan. Per april 2026 is die niet publiek beschikbaar. Tracking zonder toestemming. Beer documenteerde bovendien dat digid.nl Matomo trackingcookies plaatst (_pk_id, levensduur 13 maanden) bij het eerste bezoek — vóór enige interactie of toestemming. Er is geen cookiebanner, geen opt-in. De tracking volgt de gebruiker door de volledige journey: homepage → inlogpagina → MFA → MijnDigiD-dashboard.

Dit is direct in strijd met Telecommunicatiewet art. 11.7a, die opt-in vereist voor niet- functionele cookies. De CLOUD Act-blootstelling. Zodra Kyndryl eigenaar wordt van Solvinity, valt alle data die Solvinity beheert potentieel onder de Amerikaanse CLOUD Act. Er zijn geen contractuele clausules of GDPR-bepalingen die een formeel Amerikaans rechtelijk verzoek volledig blokkeren. Het kabinet heeft geen juridische redenering gepubliceerd waarom dit risico acceptabel is. Het signaaleffect. De keuze om de Kamer te passeren én het contract te verlengen stuurt een duidelijk signaal naar de markt: er zijn geen consequenties voor het niet-voldoen aan soevereiniteitseisen. Dat verzwakt elk toekomstig aanbestedingsbeleid.

Beleidscontext

Vier juridische en beleidsmatige kaders bepalen de context. AVG art. 35 en de ontbrekende DPIA. De AVG verplicht verwerkingsverantwoordelijken tot een data protection impact assessment bij verwerkingen met hoog risico. Logius had deze verplichting na mei 2018 direct moeten naleven. In plaats daarvan opereerde het systeem vijf jaar op pre-AVG documentatie. De toezichthouder — de Autoriteit Persoonsgegevens — heeft tot op heden geen handhavingsactie gepubliceerd. Dat is een open vraag voor de AP. Telecommunicatiewet art. 11.7a. Dit artikel verbiedt het plaatsen van niet- functionele cookies zonder voorafgaande toestemming. Trackingcookies met een levensduur van 13 maanden, geplaatst vóór enige interactie, vallen hieronder. De DDTC (Digital Trust Center) en ACM zijn de handhavende instanties. De bevinding van Beer is concreet genoeg voor een klacht. NIS2-richtlijn (Network and Information Security Directive 2). Per oktober 2024 verplicht NIS2 aanbieders van essentiële diensten tot aantoonbaar risicomanagement van hun leveranciersketen. DigiD kwalificeert onmiskenbaar als essentiële dienst. Het structureel uitbesteden van DigiD-hosting aan een entiteit met CLOUD Act- blootstelling verdient een expliciete NIS2-risicobeoordeling — die het kabinet niet publiek heeft gemaakt. EU digitale autonomie-agenda. De Europese Commissie heeft in haar Digital Decade-strategie (2030) en de European Chips Act expliciete doelen voor digitale soevereiniteit geformuleerd. GAIA-X — het Europese cloudproject — is deels een reactie op precies dit soort afhankelijkheden. Nederland is formeel mede- initiatiefnemer van GAIA-X. Het verlengen van een contract dat potentieel CLOUD Act- blootstelling creëert, staat haaks op de positie die Nederland in Brussel inneemt.

Wat kunt u morgen doen?

Audit uw eigen CLOUD Act-blootstelling binnen 30 dagen. Inventariseer welke bedrijfsprocessen en klantdata lopen via Amerikaanse cloudproviders of dochtermaatschappijen van Amerikaanse bedrijven.

Stel uw juridisch team de vraag: zijn er contractuele waarborgen die een CLOUD Act-verzoek blokkeren? Zo niet, breng dit als risico op de agenda van de Raad van Bestuur. De DigiD-casus maakt duidelijk dat zelfs de overheid dit risico jarenlang heeft onderschat.

Audit uw cookiebeleid en DPIA-status. De bevindingen van Mick Beer bij DigiD zijn niet uniek. Veel organisaties die publieke digitale diensten aanbieden hebben dezelfde structurele gebreken: cookies zonder opt-in, PIA’s die niet zijn geactualiseerd na de AVG (2018), en DPIA’s die formeel geregistreerd zijn maar materieel verouderd. Laat uw DPO een gap- analyse uitvoeren: zijn uw DPIA’s AVG-conform? Worden er tracking- cookies geplaatst vóór toestemming? Dit zijn geen hypothetische risico’s — het zijn de exacte issues waarop toezichthouders handhaven.

Volg de aanbesteding 2028 actief als kans of als risico. Het kabinet heeft aangekondigd dat per 2028 een nieuwe aanbesteding komt voor DigiD- hosting. Voor IT-dienstverleners en juridische adviseurs is dit een concrete marktkans. Voor organisaties die afhankelijk zijn van DigiD- integraties — zorgverzekeraars, pensioenfondsen, gemeenten — begin nu de gesprekken met Logius over wat continuïteit en eventuele migratie betekent voor uw systemen. Twee jaar gaat snel wanneer het om kritieke authenticatie-infrastructuur gaat.

Wat is er gebeurd?

Op 22 april 2026 nam de Tweede Kamer — met een meerderheid van GroenLinks- PvdA, SP en andere partijen — een motie aan die het kabinet dringend opriep het DigiD-contract bij Solvinity weg te halen zodra de overname door het Amerikaanse Kyndryl doorgaat. Drie dagen later, op 25 april, informeerde staatssecretaris Eric van der Burg (BZK) de Kamer dat dit niet zou gebeuren. Het contract wordt twee jaar verlengd. Pas in 2028 komt er een nieuwe aanbesteding.

DigiD is de digitale identiteitsinfrastructuur van Nederland. Via dit systeem regelen 14 tot 18 miljoen burgers hun belastingaangifte, zorgpolis, uitkering, pensioen en studiefinanciering. Logius — het agentschap van het ministerie van BZK — beheert DigiD operationeel. De feitelijke cloudhosting en dataopslag waren jarenlang in handen van Solvinity, oorspronkelijk een Nederlands bedrijf. Solvinity is inmiddels al deels Brits. De volgende stap — overname door het Amerikaanse Kyndryl — zou de data van alle Nederlanders juridisch onder de Amerikaanse CLOUD Act brengen.

De CLOUD Act (Clarifying Lawful Overseas Use of Data, 2018) verplicht Amerikaanse bedrijven om op verzoek van de Amerikaanse overheid data te verstrekken, ongeacht waar die data fysiek is opgeslagen. Voor DigiD-data — burgerservicenummers, fiscale informatie, zorggegevens — betekent dit dat een buitenlandse mogendheid juridisch aanspraak kan maken op informatie over iedere ingezetene van Nederland.

Wat het diagram laat zien.

Logius publiceert op haar eigen site een architectuurdiagram van DigiD. Dat diagram toont twee flows: (A) DigiD aanvragen en (B) Inloggen met DigiD. Centraal in beide flows staat één oranje blok: “Infrastructuur platform beheerd door Solvinity.” Zowel de aanvraagflow als de inlogflow — elk bestaande uit drie stappen — passeren dit platform. Elke aanvraag, elke identiteitscontrole, elke inlogsessie gaat er doorheen.

Diezelfde Logius-pagina stelt: “Solvinity levert het platform waar DigiD op draait… Dit maakt Solvinity een leverancier van DigiD, niet eigenaar.” En: “Solvinity ontvangt het IP-adres en e-mailadressen van mensen met een DigiD-account.” Een platform dat elke aanvraag en elke inlogsessie van 14 miljoen burgers verwerkt is geen randverschijnsel. Het is de ruggengraat. De bagatelliserende tekst en het diagram vertellen een ander verhaal.

Intern bij Solvinity: onrust en advocaten.

Volgens berichtgeving in Trouw werd de CPO van Solvinity ontslagen. Er lekten interne documenten naar het ministerie van BZK. Strafrechtadvocaten zijn ingeschakeld. De details zijn nog schaars — maar de timing en de aard van de signalen passen in een patroon van een organisatie onder druk, juist op het moment dat haar toekomst als DigiD-ruggengraat ter discussie staat.

Waarom dit ertoe doet

Dit is niet alleen een technisch inkoopvraagstuk. Het is een democratisch probleem, een privacyprobleem en een soevereiniteitsprobleem tegelijk.

De democratische doorbreking. Een meerderheid van de Tweede Kamer heeft expliciet gevraagd het contract niet te verlengen. De staatssecretaris heeft dit genegeerd. Dit is parlementair gezien problematisch: de uitvoerende macht passeert de controlerende functie van de Kamer in een zaak die raakt aan de digitale grondrechten van alle burgers.

Vijf jaar zonder volwaardige DPIA — en Logius erkent het zelf.

Gastexpert Mick Beer, onafhankelijk privacyonderzoeker, publiceerde op 17 april 2026 bevindingen die een structureel ander beeld schetsen van hoe Logius met privacywetgeving omgaat.

In het eigen document “Gegevensverwerkingen DigiD” stelt Logius letterlijk: “Na invoering van de AVG, in 2018, is er niet direct een nieuwe DPIA uitgevoerd, omdat de eerder uitgevoerde PIA’s voldoende inzicht gaven.” Die PIA’s dateerden uit 2017 — gemaakt vóór de AVG, onder de Wet bescherming persoonsgegevens. AVG art. 35 verplicht een volwaardige privacy-impactanalyse voor verwerkingen met hoog risico.

DigiD verwerkt de digitale identiteit van de gehele Nederlandse bevolking. Het risicoprofiel is buiten kijf.

Een DPIA-achtig document is weliswaar opgenomen in het AVG-register rijksoverheid — maar dit verwijst vrijwel zeker naar dezelfde pre-AVG documentatie. De nuance: Logius kan formeel claimen “er was een assessment”. Materieel was het geen AVG- conforme DPIA. Beer’s conclusie — vijf jaar zonder volwaardige AVG-DPIA — is correct. Pas in 2023 kondigde Logius een nieuwe DPIA aan. Per april 2026 is die niet publiek beschikbaar.

Tracking zonder toestemming.

Beer documenteerde bovendien dat digid.nl Matomo trackingcookies plaatst (pkid, levensduur 13 maanden) bij het eerste bezoek — vóór enige interactie of toestemming. Er is geen cookiebanner, geen opt-in. De tracking volgt de gebruiker door de volledige journey: homepage → inlogpagina → MFA → MijnDigiD-dashboard.

Dit is direct in strijd met Telecommunicatiewet art. 11.7a, die opt-in vereist voor niet- functionele cookies.

De CLOUD Act-blootstelling. Zodra Kyndryl eigenaar wordt van Solvinity, valt alle data die Solvinity beheert potentieel onder de Amerikaanse CLOUD Act. Er zijn geen contractuele clausules of GDPR-bepalingen die een formeel Amerikaans rechtelijk verzoek volledig blokkeren. Het kabinet heeft geen juridische redenering gepubliceerd waarom dit risico acceptabel is.

Het signaaleffect. De keuze om de Kamer te passeren én het contract te verlengen stuurt een duidelijk signaal naar de markt: er zijn geen consequenties voor het niet- voldoen aan soevereiniteitseisen. Dat verzwakt elk toekomstig aanbestedingsbeleid.

Beleidscontext

Vier juridische en beleidsmatige kaders bepalen de context.

AVG art. 35 en de ontbrekende DPIA. De AVG verplicht verwerkingsverantwoordelijken tot een data protection impact assessment bij verwerkingen met hoog risico. Logius had deze verplichting na mei 2018 direct moeten naleven. In plaats daarvan opereerde het systeem vijf jaar op pre-AVG documentatie. De toezichthouder — de Autoriteit Persoonsgegevens — heeft tot op heden geen handhavingsactie gepubliceerd. Dat is een open vraag voor de AP.

Telecommunicatiewet art. 11.7a. Dit artikel verbiedt het plaatsen van niet-functionele cookies zonder voorafgaande toestemming. Trackingcookies met een levensduur van 13 maanden, geplaatst vóór enige interactie, vallen hieronder. De DDTC (Digital Trust Center) en ACM zijn de handhavende instanties. De bevinding van Beer is concreet genoeg voor een klacht.

NIS2-richtlijn (Network and Information Security Directive 2). Per oktober 2024 verplicht NIS2 aanbieders van essentiële diensten tot aantoonbaar risicomanagement van hun leveranciersketen. DigiD kwalificeert onmiskenbaar als essentiële dienst. Het structureel uitbesteden van DigiD-hosting aan een entiteit met CLOUD Act- blootstelling verdient een expliciete NIS2-risicobeoordeling — die het kabinet niet publiek heeft gemaakt.

EU digitale autonomie-agenda. De Europese Commissie heeft in haar Digital Decade- strategie (2030) en de European Chips Act expliciete doelen voor digitale soevereiniteit geformuleerd. GAIA-X — het Europese cloudproject — is deels een reactie op precies dit soort afhankelijkheden. Nederland is formeel mede- initiatiefnemer van GAIA-X. Het verlengen van een contract dat potentieel CLOUD Act- blootstelling creëert, staat haaks op de positie die Nederland in Brussel inneemt.

Wat kunt u morgen doen?

Audit uw eigen CLOUD Act-blootstelling binnen 30 dagen.

Inventariseer welke bedrijfsprocessen en klantdata lopen via Amerikaanse cloudproviders of dochtermaatschappijen van Amerikaanse bedrijven. Stel uw juridisch team de vraag: zijn er contractuele waarborgen die een CLOUD Act-verzoek blokkeren? Zo niet, breng dit als risico op de agenda van de Raad van Bestuur. De DigiD-casus maakt duidelijk dat zelfs de overheid dit risico jarenlang heeft onderschat.

Audit uw cookiebeleid en DPIA-status. De bevindingen van Mick Beer bij DigiD zijn niet uniek. Veel organisaties die publieke digitale diensten aanbieden hebben dezelfde structurele gebreken: cookies zonder opt-in, PIA’s die niet zijn geactualiseerd na de AVG (2018), en DPIA’s die formeel geregistreerd zijn maar materieel verouderd. Laat uw DPO een gap-analyse uitvoeren: zijn uw DPIA’s AVG-conform? Worden er tracking-cookies geplaatst vóór toestemming? Dit zijn geen hypothetische risico’s — het zijn de exacte issues waarop toezichthouders handhaven.

Volg de aanbesteding 2028 actief als kans of als risico. Het kabinet heeft aangekondigd dat per 2028 een nieuwe aanbesteding komt voor DigiD-hosting. Voor IT-dienstverleners en juridische adviseurs is dit een concrete marktkans. Voor organisaties die afhankelijk zijn van DigiD-integraties — zorgverzekeraars, pensioenfondsen, gemeenten — begin nu de gesprekken met Logius over wat continuïteit en eventuele migratie betekent voor uw systemen. Twee jaar gaat snel wanneer het om kritieke authenticatie-infrastructuur gaat.

De lijst bevatte een naam die er niet in had mogen staan: de CEO van Odido zelf. Niet als bijvangst, niet als gevolg van een onvoorziene kwetsbaarheid — maar als logisch gevolg van het systeem dat zijn eigen bedrijf had gebouwd.

Op 3 maart 2026 bevestigde Odido dat bij een cyberaanval gegevens van klanten waren buitgemaakt. Daniël Verlaan en Jasper Bunskoek van RTL Nieuws onthulden vervolgens de werkelijke omvang: geen 6,2 miljoen accounts, maar 17 miljoen dataregels. Gegevens die teruggaan tot 2010. Zestien jaar aan informatie die — op grond van Odido’s eigen privacyverklaring — al jaren had moeten zijn vernietigd.

Dat is de eigenlijke schok voor elke bestuurskamer in Nederland. Niet het lek zelf — lekken zijn een operationeel risico. De schok is de architectonische keuze die eraan voorafging: data bewaren omdat het kan, zonder te vragen of het mag. Wie gegevens opslaat die hij niet nodig heeft, schept een gevaar dat hij niet kan beheersen. “Data die u bewaart is geen asset. Het is aansprakelijkheid — en bij dit lek ook persoonlijk gevaar voor de directie.” Odido’s directie stond op de lijst. Als de mensen die het systeem bouwden en goedkeurden er zelf niet veilig in zijn, is het systeem niet onveilig door pech. Het systeem is kapot door ontwerp.

De systeemfout: data als toxic asset

Het Odido-lek is geen verhaal over een zwakke firewall of een onoplettende medewerker. Het is een verhaal over een bedrijfsmodel dat data behandelt als bezit, zonder te erkennen dat bezit ook verplichting inhoudt.

Mijn forensische analyse van de gelekte dataset toont 5,5 miljoen “digital zombies”: voormalige Odido-klanten van wie het contract al jaren — in sommige gevallen meer dan een decennium — geleden afliep, maar wiens volledige klantprofiel intact was gebleven. Naam, adres, geboortedatum, BSN, paspoortkopie — bewaard tot 2010 terug, in structurele strijd met Odido’s eigen beleid dat een maximale bewaartermijn van twee jaar hanteert.

Deze data was geen vergissing. Databases worden niet vanzelf twaalf jaar groot. Dat vereist actieve keuzes: géén opschoonprocedure inrichten, géén technische waarborgen bouwen die afdwingen wat de privacyverklaring belooft. De kloof tussen beleid en praktijk — in dit geval meer dan een decennium breed — is het bewijs dat retentiebeleid in veel organisaties een document is, geen systeem. 17 mln dataregels in de gelekte dataset (niet 6,2 mln accounts) 5,5 mln digital zombies — ex-klanten tot 2010, buiten retentiebeleid bewaard €6,3 mrd maatschappelijke schadelast per jaar (Kamerdossier 2026Z04148, conservatief) €155 gemiddelde kosten per gelekt record (IBM Cost of a Data Breach Report 2024) De financiële impact is kwantificeerbaar. Kamerdossier 2026Z04148/2026D09561 — in behandeling bij de Tweede Kamer Commissie Digitale Zaken — becijfert de maatschappelijke schadelast op €6,3 miljard per jaar. Conservatief. Meer dan het volledige jaarbudget van de Nationale Politie. Elke bestuurder die de schade van dit lek als “een zaak van Odido” beschouwt, onderschat de systemische reikwijdte van de keuze die eraan ten grondslag ligt.

Nationale veiligheidslaag: dit is geen consumentenkwestie

Beveiligingsincidenten bij telecomproviders worden doorgaans behandeld als consumentenproblemen. Het Odido-lek is dat niet. De dataset bevat een veiligheidslaag die de vraag van consumentenbescherming ver overstijgt.

Mijn analyse identificeert 38 Politiek Prominente Personen (PPP’s) — personen met publieke of politieke functies — wier BSN-nummer en paspoortkopie zijn blootgesteld.

Meer dan 16.000 medewerkers van vitale sectoren werden getroffen: 161 ASML- medewerkers, meer dan 570 politie- en defensiemedewerkers, en personeel van Philips, NXP, Schiphol en drinkwaterbedrijven. Gegevens die bij de verkeerde partijen direct operationeel zijn in te zetten voor spionage, social engineering of gerichte chantage.

Follow the Money reconstrueerde dit patroon in zijn analyse van 5 maart 2026: vitale sectoren zijn systematisch blootgesteld, niet incidenteel. Dat maakt dit lek tot een veiligheidsvraagstuk dat op bestuursniveau van de getroffen organisaties — niet alleen bij Odido — aandacht verdient. 2.990 kwetsbare personen — GGZ-patiënten, slachtoffers van stalking, mensen onder getuigenbescherming — wier locatiegegevens en contactinformatie in de dataset zitten. 300.000 zakelijke dossiers met privé-IBAN-nummers: kant-en-klare infrastructuur voor CEO-fraude. 4.249 MKB-eigenaren traceerbaar op zowel KvK-nummer als privé- bankrekening.

De vraag die elke CISO en bestuurder zich moet stellen, is niet “zijn wij gehackt?” maar “welke data over onze medewerkers, klanten en relaties bewaren wíj die bij een lek nationale veiligheidsimplicaties heeft?”

Juridische aardverschuiving: de basis voor paspoortkopieën

wankelt

Naast de veiligheidsdimensie openbaart het Odido-lek een juridisch vraagstuk dat de hele markt raakt: de grondslag waarop Nederlandse organisaties al jaren paspoortkopieën verzamelen en bewaren, is juridisch zwakker dan aangenomen.

Artikel 33 van de Wwft verplicht organisaties de identiteit van klanten vast te stellen.

Wat de wet niet vereist — en dit is juridisch cruciaal — is dat een kopie van het identiteitsbewijs wordt bewaard. Verificatie is een alternatief voor kopie, niet een aanvulling daarop. Organisaties die dit jarenlang verkeerd hebben geïmplementeerd, bewaren documenten die zij wettelijk nooit hoefden te bewaren.

Danny Mekić onderzocht in 2024 voor de TU Delft de juridische status van paspoortkopieën in Nederland. Zijn conclusie: een paspoortkopie vormt een ernstiger privacyschending dan een losse combinatie van persoonsgegevens, omdat het één document verstrekt waarmee meerdere vormen van identiteitsfraude gelijktijdig mogelijk zijn.

AVG artikel 5 — het dataminimalisatiebeginsel — verbiedt het bewaren van meer gegevens dan noodzakelijk voor het doel waarvoor ze zijn verzameld. Zestien jaar bewaartermijn voor voormalige telecomklanten is hiermee onverzoenbaar. De Autoriteit Persoonsgegevens heeft instrumenten om dit te handhaven. De vraag is niet óf maar wanneer.

Wetsvoorstel 2026Z04148 — op 13 maart 2026 geaccepteerd door de Commissie Digitale Zaken — beoogt het Check Don’t Store-principe wettelijk afdwingbaar te maken: verificatie van identiteit zonder opslag van documenten. De EUDI Wallet, die eind 2026 in Nederland verplicht wordt, biedt de technische infrastructuur voor precies dit model. “De juridische richting is helder. Wie nu begint met afbouwen van onnodige documentopslag, loopt voor op wat wetgeving straks afdwingt.”

Wat uw organisatie vandaag moet doen

Het Odido-lek vraagt om vier concrete acties — ongeacht sector of omvang.

Audit uw identiteitsgegevens. Welke persoonsdocumenten bewaart u? Van wie, en waarom? Wat is de juridische grondslag per categorie? Veel organisaties hebben nooit een systematische inventarisatie gemaakt van de documenten die zij routinematig opslaan als onderdeel van onboarding-processen, HR-procedures of leveranciersbeheer. Begin daar.

Confronteer uw retentiebeleid met de werkelijkheid. Uw privacyverklaring belooft iets. Uw systemen doen mogelijk iets anders — al jarenlang. Uw Functionaris voor Gegevensbescherming moet kunnen aantonen dat wat beloofd wordt ook technisch wordt afgedwongen, niet slechts beschreven. Het Odido-lek toont wat er gebeurt als die kloof tien jaar lang niet gedicht wordt.

Verken alternatieven voor kopie-opslag. iDIN, DigiD en eIDAS bieden vandaag al verificatieoplossingen die identiteit bevestigen zonder documentopslag. Bits of Freedom heeft de Check Don’t Store-aanpak gevalideerd als technisch en juridisch uitvoerbaar voor een groot deel van de huidige toepassingen. Voor veel processen waarbij paspoortkopieën worden bewaard, bestaat al een privacy-veilig alternatief.

Begin nu met EUDI Wallet-voorbereiding. De verplichting om de Europese digitale identiteitsportemonnee te accepteren als verificatiemiddel treedt eind 2026 in werking. Organisaties die nu beginnen, vermijden een rush-implementatie later — en positioneren zichzelf als koplopers in een markt die toch die kant opgaat.

Conclusie: wat u niet opslaat, kan niet lekken

MFA-beleid en zero-trust architectuur zijn zinvolle maatregelen — maar ze beschermen niet tegen een datalek van gegevens die twaalf jaar zijn bewaard zonder operationeel doel. Als de data er niet was geweest, was de schade er niet geweest. “Wat je niet opslaat, kan niet lekken.” Check Don’t Store is geen slogan — het is het enige verdedigingsmechanisme dat werkt voor data die er nooit had mogen zijn. Wetsvoorstel 2026Z04148 ligt bij de Tweede Kamer. Bits of Freedom valideert de aanpak. De EUDI Wallet maakt hem infrastructureel mogelijk. Den Haag is aan zet.

Maar bestuurders hoeven niet te wachten op wetgeving om te stoppen met het bewaren van data die zij niet nodig hebben. De keuze om de datakluis te lichten is al van u.

LinkedIn-connecties, collega’s in cybersecurity, privacy, zorg, IT en digitalisering,

Vorige week gebeurde het weer. Drie grote datalekken, bijna gelijktijdig:

• 7 april 2026: ransomware bij ChipSoft
• 13 april 2026: datalek bij Basic-Fit — 200.000 Nederlandse leden
• 13 april 2026: datalek bij Booking.com — boekingsdata van (nog) onbekend aantal klanten

Op zichzelf al ernstig. Maar als je in alle drie voorkomt — en de kans daarop is reëel — heeft een criminele actor een bijna compleet digitaal levensdossier van je.

Dit is geen incident.

Dit is een fundamenteel probleem hoe we als samenleving met bedrijven, transacties en data omgaan.

De feiten

• Basic-Fit: naam, adres, e-mail, telefoon, geboortedatum, IBAN + incassomachtiging, lidmaatschaps- en bezoekgegevens. Exact 200.000 Nederlanders.

• Booking.com: naam, e-mail, telefoon, adres, volledige boekingshistorie inclusief data, locaties en persoonlijke notities aan hotels.

• ChipSoft: software in 76 % van alle Nederlandse ziekenhuizen. Risico op naam, adres, BSN, volledige medische geschiedenis (diagnoses, medicijnen, behandelingen, zorgplannen) en verzekeringsdata.

Berekening: hoeveel mensen raken alle drie?

Nederland: ± 18,45 miljoen inwoners (CBS/Worldometers, april 2026).

• p(Basic-Fit) = 1,08 %
• p(ChipSoft) ≈ 55 % (conservatief, op basis van marktaandeel + zorggebruik)
• p(Booking.com) ≈ 35 % (realistische schatting reizende volwassenen)

p(all 3) = 0,0108 × 0,55 × 0,35 = 0,208 %

→ ± 38.000 mensen (midden-scenario).

Bij alleen de Basic-Fit-slachtoffers al ligt de overlap tussen 40.000 en 80.000 Nederlanders.

Wat weet een actor dan precies — en waarom dit ZO gevaarlijk is

Een gecoördineerde aanvaller heeft NU:

• Volledige identiteit (naam + BSN + geboortedatum + adres + contact)
• Financiële gegevens (IBAN + incasso)
• Medisch dossier (diagnoses, medicijnen, behandelingen)
• Reisgedrag (wanneer je weg bent, waarheen, wat je aan hotels hebt doorgegeven)

Dit is geen “gewoon datalek”. Dit is een kant-en-klaar profiel voor identiteitsfraude op topniveau, gerichte afpersing, hyperrealistische phishing of verkoop als premium-lead op de darkweb.

De combinatie maakt het levensgevaarlijk: iemand weet niet alleen wie je bent en waar je bankt, maar ook wanneer je ziek bent én wanneer je huis leegstaat. Dat is het niveau van een staatsactor of een zeer goed georganiseerde criminele groep.

Dit is geen ‘hack’-probleem. Dit is systeemfalen.

Hacks zijn alleen het symptoom. Het echte probleem zit in hoe we als samenleving data organiseren:

• Extreme centralisatie (één leverancier domineert 76 % van de zorg → single point of failure)
• Datahoarding (bedrijven bewaren jarenlang veel meer dan nodig)
• Ontbrekende privacy by design
• Een economisch model waarin persoonlijke data het verdienmodel is
• Te grote afhankelijkheid van een handjevol dominante spelers in kritieke sectoren

Zolang we dit model niet fundamenteel veranderen — met echte data-minimalisatie, vendor-diversiteit, strengere eisen aan kritieke infrastructuur en een maatschappelijke discussie over wat bedrijven eigenlijk van ons mogen weten — blijft dit elke paar weken gebeuren.

Het is geen pech. Het is hoe we als samenleving met bedrijven, transacties en data zijn gaan omgaan.

Wat nu?

• Check je meldingen bij Basic-Fit, Booking.com en je zorgaanbieder.
• Activeer 2FA overal en minimaliseer waar mogelijk je data. (en overweeg te stoppen)
• Voor organisaties: stop met datahoarding en begin met echte privacy by design.
• Voor beleidsmakers: tijd voor wetgeving die single points of failure in kritieke sectoren aanpakt.

Laten we dit geen “weer een lek” noemen. Laten we het een wake-up call noemen voor een structurele verandering in ons datamodel.

Wie kun je aansprakelijk stellen en waarom je dit moet doen

Basic-Fit, Booking.com en — voor de ChipSoft-systemen — de Nederlandse ziekenhuizen en huisartsenpraktijken zijn de verwerkingsverantwoordelijken. Zij bepalen zelf welke persoonsgegevens ze verzamelen, hoe lang ze die bewaren en of ze meer data opslaan dan strikt noodzakelijk is.

Wanneer deze organisaties onnodig veel gegevens hamsteren — een IBAN bij een sportschool, volledige boekingsnotities met persoonlijke details, of complete medische dossiers zonder directe noodzaak — overtreden ze het kernbeginsel van dataminimalisatie uit de AVG (artikel 5 lid 1 sub c).

Als gedupeerde kun je deze organisaties rechtstreeks aansprakelijk stellen op grond van artikel 82 AVG. Daarin staat letterlijk dat iedereen die schade heeft geleden ten gevolge van een inbreuk op deze verordening het recht heeft op schadevergoeding van de verwerkingsverantwoordelijke.

“If nothing changes, nothing changes.”

Neem actie!

Gebruik om je kant en klare bezwaarschrift in te dienen:

nl-data-optout/

Cybersecurity #Privacy #Datalek #GDPR #Digitalisering #ZorgIT #FundamentalProblem #Nederland

Bronnen

• ChipSoft: Z-CERT officiële update (8 april 2026) + M&I/Partners EPD-landschap 2026
• Basic-Fit: officiële persbericht + Reuters/Tweakers (13 april 2026)
• Booking.com: officiële klantmelding + TechCrunch/NL Times (13 april 2026)
• Bevolkingscijfers & berekeningen: CBS & eigen onafhankelijke overlap-schatting (april 2026)

(Alle informatie is openbaar en geverifieerd op het moment van schrijven.)

Maker of Paramant.app · Post-Quantum Data Transfer Protocol · Privacy & Security Researcher · mickbeer.com

Blockchain became synonymous with cryptocurrency, but the underlying breakthrough was about trust without intermediaries. The same principle applies to file transfer, yet this problem remains unsolved.

The unsolved trust problem in data transport

Daily across Europe, sensitive data moves between hospitals and specialists, lawyers and counterparties, industrial systems and control centers, financial institutions and regulators. All face the same challenge: proving transfer occurred, wasn’t tampered with, and arrived—without relying on vendors or servers to confirm truth.

Current solutions store audit trails on their own servers, requiring trust in platforms that may be breached, acquired, or subject to court orders. “This is not a theoretical concern. It is the operational reality of every major file transfer platform in use today.”

The same math. A different problem.

Ghost Pipe applies Merkle tree architecture to file transport with a fundamental difference: “the content is never stored anywhere.” Each transfer creates a leaf in a Merkle tree. The relay hashes the transfer, appends it to the log, and signs the resulting root with a post-quantum ML-DSA-65 key. The log is append-only and public—anyone can verify a transfer occurred at a specific time without knowing what was transferred.

The file exists in RAM only and is destroyed after one read. What remains is pure mathematical proof requiring no trust in Paramant, vendors, or authorities.

Why quantum changes everything, and why we built this now

Blockchain’s cryptographic foundations face quantum vulnerability. “Bitcoin’s ECDSA signatures can be broken by Shor’s algorithm.” Ghost Pipe avoided this mistake.

The system uses ML-KEM-768 (NIST FIPS 203, finalized August 2024) for key exchange and ML-DSA-65 (NIST FIPS 204) for signatures—both post-quantum standards mathematically immune to Shor’s algorithm. “An adversary who records Ghost Pipe traffic today cannot decrypt it after Q-Day.” The Harvest Now, Decrypt Later strategy is eliminated by design.

What we actually shipped

This is running infrastructure, not theoretical documentation:

• Ghost Pipe relay: post-quantum encrypted transport with RAM-only, burn-on-read architecture. Five sector relays live: healthcare, legal, finance, industrial IoT, and general. Free managed relay at paramant.app or self-hostable in under two minutes.

• Public CT log: live Merkle audit log at paramant.app/ct showing every registered relay and transfer proof. Publicly verifiable without account requirements.

• 44 CLI tools: sector-specific workflows for healthcare (NEN 7510, DICOM), legal (eIDAS), industrial OT (IEC 62443), finance (NIS2/DORA), and government.

• ParamantOS: bootable relay server. Plug in USB, boot, and a hardened post-quantum relay runs with no configuration or Docker knowledge needed.

• Python and JavaScript SDKs: with full inclusion proof support for cryptographic delivery verification.

• Compliance documentation: mapped to NIS2, NEN 7510, IEC 62443, eIDAS, and GDPR Art. 28 requirements—technical documentation, not marketing claims.

• Full source code: auditable, forkable, self-hostable. No vendor dependency, no US infrastructure. Hetzner Frankfurt only. No US CLOUD Act exposure.

The EU sovereignty angle

Blockchain’s trust model is global and stateless, creating sovereignty problems. Ghost Pipe differs by design: “You run it in your own jurisdiction. On your own server. With your own keys.” The managed relay runs on Hetzner in Frankfurt under German law and EU jurisdiction, with no American cloud provider in the stack.

For European healthcare providers, legal institutions, industrial operators, and government agencies, jurisdiction matters. “GDPR Art. 28 requires documented processor agreements. NIS2 requires EU-jurisdiction infrastructure. Ghost Pipe satisfies both by default.”

The EU invested billions in digital sovereignty programs. “The missing piece was not policy or funding. It was infrastructure that actually worked this way by design, not by compliance checkbox.”

Why this should have existed a decade ago

The Merkle tree was published in 1979. Certificate Transparency applied it to TLS certificates in 2013. It took until 2026 for application to file transport with post-quantum cryptography and zero-storage architecture.

“Every organization in Europe that handles sensitive data, medical, legal, financial, critical infrastructure, is currently using file transfer software built on an architecture that will be broken by quantum computers, stores data on servers that can be seized, and provides audit trails controlled by vendors.”

Ghost Pipe is the alternative: free, open source, EU sovereign, quantum-safe, and running now.

https://paramant.app

Better a warrior in a garden than a gardener in a war.

Dit artikel documenteert technische tests van twee Nederlandse nieuwssites op naleving van privacyregels rond cookie-toestemming. De auteur onderzocht De Volkskrant (DPG Media) en De Telegraaf (Mediahuis) met dezelfde methodologie als eerder onderzoek naar NOS.nl en NU.nl.

Testmethodologie

Voor beide sites voerde de auteur uit:

• Wissen van alle cookies via Firefox
• Laden in schoon browserprofiel
• Opnemen van HAR-bestanden (volledig netwerkverkeer)
• Exporteren van cookiestore na “Alles weigeren”
• Inspectie van opslag via DevTools

De Volkskrant: bevindingen

De Volkskrant gebruikt hetzelfde consent-platform als NU.nl: myprivacy.dpgmedia.nl. Het consent-scherm vertoont:

• Primaire “Akkoord”-knop (geel, groot)
• “Instellen”-knop (grijs, vergt extra klik voor weigeropties)
• Aankondiging van 106 partners, maar slechts 103 daadwerkelijk in de lijst (−3 verschil)

Na “Alles weigeren” bleven 16 cookies aanwezig, waaronder:

• TID_ID: Tracking identifier zonder gedocumenteerd doel, aanwezig ondanks weigering
• _ain_uid: Advertising Intelligence user ID, aanwezig ondanks weigering
• _vwo_uuid_v2: A/B-test cookie van Wingify, aanwezig uitsluitend in weiger-dump (suggereert pre-consent plaatsing)

HAR-analyse toonde 40 verzoeken naar AppNexus’ non-personalized variant (adnxs-simple.com) na weigering, zonder transparantie hierover in het consent-scherm.

De Telegraaf: bevindingen

De Telegraaf (Mediahuis) gebruikt Didomi-platform en vertoont gelijkaardige problemen:

• 130 partners aangekondigd, maar slechts 127 unieke entries (duplicaten: GumGum, Instagram, Youtube)
• Ook hier −3 discrepantie
• Geen directe weigerknop op eerste laag

Cookies aanwezig na weigering:

• _mhtc_cId: Mediahuis tracking ID
• cs_fpid: ContentSquare fingerprint ID met 34-jaar looptijd
• ab-test-bc-357-variant: A/B-test cookie uitsluitend in weiger-dump

Google Analytics cookies werden correct verwijderd na weigering, wat aantoont dat het systeem selectief cookies kan blokkeren.

Breder patroon

Dezelfde −3 partner-discrepantie verscheen bij alle drie commerciële sites (NU.nl: 104→101, Volkskrant: 106→103, Telegraaf: 130→127). Dit patroon over meerdere eigenaren en platforms suggereert een gedeelde praktijk in de industrie.

Alle vier geteste sites (NOS.nl, NU.nl, Volkskrant, Telegraaf) missen directe weigerknop op eerste laag. Gezamenlijk bereik: 2,6 miljard bezoeken per jaar.

Juridische schendingen

Geïdentificeerde overtredingen:

• AVG artikel 4 lid 11 (toestemming): Drie-klik UX voor weigeren ondermijnt vrijwilligheid
• AVG artikel 5 lid 1 sub a (transparantie): Partner-discrepanties en niet-opengevallen overschakeling naar contextual advertising
• AVG artikel 25 lid 2 (privacy by default): Cookies geplaatst vóór consent-keuze
• Richtlijn 2002/58/EG artikel 5 lid 3: Vereist ondubbelzinnige toestemming voordat cookies worden geplaatst

Boete-risico’s

Op basis van traffic volume en ernst van schendingen werden geschatte boete-ranges gegeven:

• NOS.nl: €800k–€2M
• NU.nl: €800k–€2M
• Volkskrant: €400k–€1M
• Telegraaf: €600k–€1.5M

DPG Media ontving eerder een boete van €525k (later €300k in hoger beroep) voor gelijkaardige schendingen bij NU.nl, wat recidive-risico verhoogt.

Aanbevelingen aan Autoriteit Persoonsgegevens

De auteur adviseert:

• Verplichten van gelijkwaardige UX (één klik accepteren = één klik weigeren)
• Verplichte transparantie over advertentieverzoeken na weigering
• Onderzoek naar partner-lijsten en pre-consent plaatsing
• Sector-breed audit van Nederlandse nieuwssites
• Noodprocedure voor systematische DPG-schendingen gegeven recidive

Reproduceerbaarheid

Alle bevindingen zijn reproduceerbaar met Firefox, DevTools, Cookie Editor-extensie en HAR-export. Testbestanden beschikbaar op aanvraag voor peer review.

De auteur kondigde aan verdere tests uit te voeren op AD.nl en andere sites, en meldde bevindingen op 25 maart aan de AP met referentie 7cb0–9871.

Een diepgaand onderzoek naar cookie compliance bij NU.nl, NOS.nl en de illusie van privacy op het Nederlandse internet

door Mick Beer | 22 maart 2026

Je opent NU.nl. Een cookie banner verschijnt:

“We gebruiken cookies… Onze 104 advertentiepartners gebruiken cookies voor gepersonaliseerde advertenties.”

Je klikt “Akkoord” — zoals 95% van alle Nederlanders doet.

Maar weet je met wie je je data zojuist hebt gedeeld?

Pop quiz: Ken je deze bedrijven? - Aarki, Inc. - AdDefend GmbH - Adelaide Metrics Inc. - Adform A/S - Adhese - Adnami Aps

Nee? Ik ook niet. En dat is exact het probleem.

Het Experiment

Ik ben security architect en werkzaam als onderzoeker aan een wetenschappelijk thesis over privacy compliance. Gedurende twee weken heb ik vijf grote Nederlandse nieuwssites getest op naleving van de Algemene Verordening Gegevensbescherming (AVG/GDPR) en de ePrivacy Richtlijn.

Test setup: - Fresh Fedora Linux installatie (geen cookies, geen geschiedenis) - Firefox 124.0 met standaard instellingen (geen extensions) - DevTools Storage Inspector + Network tab - Tijdsperiode: 15–22 maart 2026

Geteste sites: 1. NU.nl (DPG Media) — Commercieel, 12M unieke bezoekers/maand 2. NOS.nl (Nederlandse Omroep Stichting) — Publiek, 7,5M unieke bezoekers/maand 3. Bol.com — E-commerce benchmark (beste praktijk)

De resultaten waren schokkend.

Bevinding 1: De 101 Onbekende Bedrijven

NU.nl’s cookie banner claimt:

“104 advertentiepartners”

In de privacy-instellingen (na 5 kliks diep graven) vind je een lijst:

“101 partner(s)”

IAB TCF Advertentiepartners (101):

Aarki Inc., AdDefend GmbH, Adelaide Metrics Inc, Adform A/S, Adhese, Adnami Aps, Adobe Advertising Cloud, Adobe Audience Manager, Adpone SL, adsquare GmbH, Adswizz INC, Affle Iberia SL, Amazon Ads, Bannerflow AB, BeeswaxIO Corporation, BIDSWITCH GmbH, BidTheatre AB, Blis Global Limited, Blockthrough Inc., Brand Metrics Sweden AB, Captify Technologies Limited, Cavai AS, Celtra Inc., Comcast International France SAS/FreeWheel Media, Comscore B.V., Criteo SA, Dailymotion Video Player, Delta Projects AB, Dentsu A/S, digitalAudience B.V., DoubleVerify Inc., Dynata LLC, emetriq GmbH, Epsilon (Lotame), Experian LTD, Eyeota Pte Ltd, Flashtalking, Gamned, Genius Sports UK Limited, GfK GmbH, Google Advertising Products, GumGum Inc., illuma technology limited, Index Exchange Inc., Integral Ad Science, Jivox Corporation, LinkedIn Ireland Unlimited Company, Localsensor B.V., Microsoft Advertising, MiQ Digital Ltd, Newsroom AI Ltd, Nielsen International SA, Nielsen Media Research Ltd., On Device Research Limited, OneTag Limited, OpenX, Opt Out Advertising B.V., OS Data Solutions GmbH, Otto GmbH & Co. KGaA, Permutive Limited, Pexi B.V., Piano Software Inc., Publicis Media GmbH, PulsePoint Inc., Quantcast, Readpeak Oy, Relay42 Netherlands B.V., RTB House S.A., Semasio GmbH, SMADEX S.L.U., smartclip Europe GmbH, Ströer SSP GmbH, The Kantar Group Limited, The Neuron Holdings INC, The UK Trade Desk Ltd, travel audience GmbH, Triton Digital Canada Inc., Vistar Media EMEA BV, Weborama, WPP Media, Xandr Inc., xpln.ai SAS, Yieldlab (Virtual Minds GmbH).

Plus 17 niet-IAB partners: Adcombi, Akamai, Alion, AppLovin Corp., AppsFlyer, Bannerwise, BDSK Handels GmbH, Booking.com, Cloudflare, ebuilders, GroupM, IBM, Kinesso, Meta, Netflix, TrustArc, Vodafone GmbH.

Plus 3 “functionele” partners (niet uitschakelbaar): Adjust Digital A/S, Polar Mobile Group Inc., Seenthis AB.

Plus 4 mediapartners: Google, Meta, Microsoft, TikTok.

Plus 13 externe media partners: Dutch Selection, Google Maps, Knight Lab, Meta, Omny, Snap Inc., Soundcloud, Spotify AB, Streamable, TikTok, Truth Social, X Corp., YouTube.

Totaal: 138 partijen krijgen toegang tot jouw data.

Het Probleem Met “Informed Consent”

De AVG (GDPR) Artikel 4.11 definieert toestemming als:

“elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting”

Let op dat woord: geïnformeerd.

Volgens de European Data Protection Board (EDPB) Guidelines 05/2020 betekent “geïnformeerd”:

“Being ‘informed’ relates to the controller’s duty to provide certain minimum information to enable individuals to make informed decisions.”

Hier is de kritieke vraag:

Kun jij een “informed decision” maken over bedrijven die je niet kent?

Van de 138 partijen, hoeveel ken je?

Gemiddelde gebruiker kent (~10–15): - Google - Meta/Facebook - Microsoft - Amazon - LinkedIn - TikTok - Spotify - YouTube - X/Twitter - Snapchat

Gemiddelde gebruiker kent NIET (~123–128): - Aarki, Inc. — Mobile ad-tech platform (Singapore) - AdDefend GmbH — Anti-adblocking technologie (Duitsland) - Adelaide Metrics Inc. — Attention measurement platform (VS) - Adform A/S — DSP/SSP programmatic advertising (Denemarken) - Adhese — Belgian ad server - Adnami Aps — High-impact ad formats (Denemarken) - … + 117 meer

Ratio: ~8% bekend, 92% onbekend.

Wat Doen Deze Bedrijven Eigenlijk?

Laten we drie willekeurige partners analyseren:

Aarki, Inc.

• Activiteit: Mobile advertising platform voor in-app ads
• Locatie: Singapore
• Data: Device IDs, app usage, location, behavioral data
• Privacy policy: 12 pagina’s juridisch Engels
• Opt-out: Via NAI/DAA mechanisme (VS-systeem)

AdDefend GmbH

• Activiteit: Anti-adblocking technologie
• Locatie: Duitsland
• Strategie: Detecteert adblockers, toont anti-adblock boodschappen
• Ironie: Je geeft toestemming aan bedrijf dat je toestemming wil omzeilen

Adelaide Metrics Inc.

• Activiteit: “Attention measurement” — meet hoe lang je naar ads kijkt
• Data: Eye-tracking proxies, scroll depth, dwell time
• Techniek: Analyse viewport position, mouse movements, page visibility

Niemand kent deze bedrijven. Niemand begrijpt wat ze doen. Toch geeft 95% van Nederland ze toestemming.

Dit is geen “informed consent”;

Dit is misinformed consent.

Bevinding 2: Het Dark Pattern (8:1 Obstruction Ratio)

GDPR Artikel 7.4 stelt:

“Bij de beoordeling of de toestemming vrij is gegeven, wordt in de grootst mogelijke mate rekening gehouden met […]”

Het Hof van Justitie EU besliste in Planet49 (C-673/17, r.o. 62):

“Het moet even gemakkelijk zijn om toestemming in te trekken als om deze te geven”

NU.nl faalt deze test spectaculair.

De Accept Flow (toestemming geven)

Stap 1: Cookie banner verschijnt
Stap 2: Klik grote oranje "AKKOORD" knop (180×50px, high-contrast)
Stap 3: Klaar

Totaal: 1 klik, 2 seconden

De Reject Flow (toestemming weigeren)

Stap 1: Cookie banner verschijnt
Stap 2: Zoek kleine grijze "Instellen" knop (120×40px, low-contrast)
Stap 3: Klik "Instellen"
Stap 4: Complex modal opent met 6 tabs
Stap 5: Klik tab "Doeleinden"
Stap 6: Lees technische jargon ("Targeted Advertising", "Precise Geolocation")
Stap 7: Klik tab "Partners"
Stap 8: Scroll door 101-partner lijst
Stap 9: Klik "Alles weigeren" (onderaan lijst)
Stap 10: Klik "Voorkeuren opslaan"
Stap 11: Klaar

Totaal: 8–10 kliks, 45–60 seconden

Obstruction ratio: 8:1

Weigeren is acht keer moeilijker dan accepteren.

Waarom Dit Illegaal Is

De Autoriteit Persoonsgegevens (AP) heeft in 2025–2026 een actieve cookie banner campagne gevoerd. Tussen april en november 2025 werden 200+ waarschuwingen uitgegeven aan Nederlandse websites voor exact dit probleem.

AP richtlijnen (2025): “Cookie banners MOETEN een directe ‘Alles weigeren’ knop bevatten op het eerste niveau, gelijkwaardig aan de ‘Akkoord’ knop.”

NU.nl heeft deze waarschuwingen genegeerd. 75% van gewaarschuwde sites paste hun banners aan. NU.nl behoort tot de resterende 25% die nu in de handhavingsfase zitten.

EDPB Guidelines 05/2020, para 38–41: “Consent interfaces must not give more prominence to the option to accept than to the option to refuse.”

NU.nl’s banner geeft 8× meer prominence aan accept.

Dit is geen grijs gebied. Dit is een duidelijke overtreding.

Bevinding 3: NOS.nl Tracking Vóór Consent (Pre-Consent Tracking)

NOS.nl — de Nederlandse publieke omroep, gefinancierd met belastinggeld — schendt de ePrivacy Richtlijn op de meest fundamentele manier.

De Timeline

Ik opende nos.nl met Firefox DevTools actief. Zonder te klikken op de cookie banner observeerde ik het volgende:

T = 0s: Browser laadt nos.nl
T = 2s: COOKIES VERSCHIJNEN
 • _sotmpid (Smartocto analytics)
 • _sotmsid (Smartocto session)
 • CCM_ID (Cookie Consent Manager)
 • nos_npo_tag_session (NOS JWT token, 373 bytes)
T = 4s: TRACKING REQUESTS STARTEN
 POST https://ingestion.contentinsights.com/beacon
 Status: 204
 Payload: {
 "pageView": true,
 "userId": "…",
 "sessionId": "…"
 }
T = 5s: COOKIE BANNER VERSCHIJNT
 "NOS gebruikt cookies…"

Volgorde: van NOS

Cookies → Tracking → Banner

Volgorde: hoe het hoort:

Banner → Consent → Cookies → Tracking

Waarom Dit Illegaal Is

ePrivacy Richtlijn 2002/58/EG Artikel 5.3:

“Het opslaan van informatie […] in de randapparatuur […] is alleen toegestaan […] mits de betrokken […] gebruiker […] toestemming heeft gegeven”

Let op: “mits” = voorwaarde. Toestemming is VEREIST VOORDAT cookies worden geplaatst.

Telecommunicatiewet Art. 11.7a lid 3 (Nederlandse implementatie):

“Het is verboden […] informatie op te slaan of toegang te verkrijgen tot informatie die reeds is opgeslagen […] tenzij […] toestemming heeft verleend”

Het Hof van Justitie EU besliste in Planet49 (C-673/17, r.o. 63):

“Analytics cookies zijn NIET ‘strictly necessary’ en vereisen voorafgaande toestemming“

NOS.nl plaatst analytics cookies (Smartocto, ContentInsights) zonder voorafgaande toestemming.

De Ironie

NOS.nl is gefinancierd met Nederlands belastinggeld. We betalen collectief ~€800 miljoen per jaar aan de publieke omroep.

De burger betaalt dus tweemaal: 1. Belasting — NPO funding via Rijksbegroting 2. Privacy — Illegale tracking door NOS.nl

Een publieke instelling die zich presenteert als “onafhankelijk, betrouwbaar, voor iedereen” schendt actief de privacy van haar gebruikers.

AP Precedent

De Autoriteit Persoonsgegevens heeft Coolblue in 2023 een boete van €40.000 opgelegd voor exact dezelfde schending: pre-consent tracking.

NOS.nl doet hetzelfde, maar op grotere schaal: - Coolblue: ~5M unieke bezoekers/maand - NOS.nl: ~7,5M unieke bezoekers/maand - NOS.nl impact: ~90 miljoen illegale tracking events per jaar

Als Coolblue €40k krijgt voor 60M events/jaar, zou NOS.nl logischerwijs €60k-€300k moeten krijgen.

Bevinding 4: De “Functionele” Cookie Wall

NU.nl’s privacy-instellingen bevatten een verborgen categorie:

“Overige advertentiepartners”

Deze advertentiepartners verwerken slechts een beperkte set gegevens voor functionele doeleinden. Je kan deze partners daarom niet uitschakelen.

3 partner(s): - Adjust Digital A/S - Polar Mobile Group Inc. - Seenthis AB

Dit roept twee vragen op:

1. Zijn dit werkelijk “functionele” partners?
2. Is “niet uitschakelen” legaal?

Analyse: Adjust Digital A/S

Officiële beschrijving: “Mobile attribution tracking platform“

Wat doen ze echt: - Track app downloads via cookies - Cross-device attribution (welke ad leidde tot welke app install) - Retargeting campagnes - Fraud detection (legitiem)

Vraag: Is attribution tracking “functioneel”?

ePrivacy definitie “strictly necessary”: Cookies die technisch noodzakelijk zijn voor de functionaliteit die de gebruiker expliciet vraagt.

Voorbeelden strictly necessary: - Sessie cookies (ingelogd blijven) - Winkelwagen cookies (e-commerce) - Beveiligings-tokens (CSRF protection)

Adjust attribution tracking: - Niet nodig om nieuws te lezen - Niet nodig voor site functionaliteit - Enkel nodig voor DPG’s marketing attribution

Conclusie: NIET strictly necessary.

Analyse: Polar Mobile Group Inc.

Officiële beschrijving: “Mobile engagement platform”

Wat doen ze echt: - Push notifications - In-app messaging - User analytics - A/B testing

Vraag: Zijn push notifications “functioneel”?

Alleen als de gebruiker expliciet om notificaties vraagt. MAAR Polar draait VOORDAT de gebruiker die keuze maakt.

Conclusie: NIET strictly necessary.

De Cookie Wall In Vermomming

AP precedent: Kruidvat €600.000 boete (2020) voor cookie wall.

Definitie cookie wall:

Toegang tot website afhankelijk maken van toestemming voor niet-noodzakelijke cookies.

Kruidvat’s wall: “Accept cookies of verlaat de site”

NU.nl’s wall: “Deze partners zijn niet uitschakelbaar“

Het verschil is subtiel maar belangrijk: - Kruidvat: Expliciete blokkade - NU.nl: Impliciete verplichting

Juridisch effect: Hetzelfde. Geen vrije keuze.

GDPR Art. 7.4: “Bij de beoordeling of de toestemming vrij is gegeven, wordt […] rekening gehouden met de vraag of […] de uitvoering van een overeenkomst […] afhankelijk is gesteld van toestemming”

Als “advertentiepartners” niet uitschakelbaar zijn, is toestemming niet vrij gegeven.

Contrast: Bol.com Best Practice

Niet alle Nederlandse websites falen.

Bol.com — de grootste e-commerce site van Nederland — laat zien dat compliance WEL mogelijk is:

Bol.com’s aanpak: - 13 partners (vs NU.nl’s 138) - Direct “Weigeren” knop (gelijkwaardig aan “Accepteren”) - Transparante uitleg per partner: - Google Analytics: “Voor het analyseren van websiteverkeer” - Meta Pixel: “Voor het meten van advertentie-effectiviteit” - Microsoft Bing: “Voor het tonen van relevante advertenties” - + Link naar privacy policy per partner - Geen pre-consent tracking - Geen “functionele” advertentiepartners

Resultaat: - GDPR compliant - Transparant - Gebruiksvriendelijk - Bewijs dat compliance MOGELIJK is

NU.nl en NOS.nl hebben geen excuus. Bol.com bewijst dat het kan.

Juridische Impact & AP Handhaving

De Autoriteit Persoonsgegevens heeft in de afgelopen jaren meerdere precedenten gecreëerd:

Recente AP Boetes (Privacy/Cookies)

Experian Nederland — €2.700.000 (oktober 2025) - Overtreding: Vendor non-disclosure, data delen zonder consent - Schaal: Miljoenen Nederlandse consumenten - Aggraverende factor: Data broker (commercieel gewin)

Kruidvat — €600.000 (2020) - Overtreding: Cookie wall - Schaal: Landelijke winkelketen - Les: “Niet uitschakelbaar” = geen vrije toestemming

Coolblue — €40.000 (2023) - Overtreding: Pre-consent tracking - Schaal: 5M unique visitors/maand - Les: ePrivacy timing vereisten strikt

Fine Risk Assessment: NU.nl & NOS.nl

Op basis van bovenstaande precedenten:

NOS.nl (pre-consent tracking): - Vergelijkbaar met Coolblue (€40k) - Grotere schaal: 7,5M vs 5M visitors - Aggraverende factor: Publieke sector (belastinggeld) - Geschat risico: €60.000 — €300.000

NU.nl (dark pattern + uninformed consent + functionele wall): - Dark pattern: Vergelijkbaar met AP campagne (200+ warnings) - Uninformed consent: Vergelijkbaar met Experian (vendor non-disclosure) - Schaal: 12M unique visitors/maand, 144M pageviews/jaar - DPG Media: Eerder AP-contact (€525k→€300k boete 2022) - Geschat risico: €450.000 — €1.200.000

Totaal geschat risico: €510.000 — €1.500.000

Dit zijn conservatieve schattingen. De AP heeft de discretie om hoger te gaan bij systematische, hardnekkige overtredingen.

Systematisch Patroon in de Industrie

Dit is geen toevallig probleem. Dit is design-level non-compliance.

Patroon: - Commercieel (NU.nl): Maximale data extractie, dark patterns - Publiek (NOS.nl): Pre-consent tracking, gebrek aan technische compliance - Best practice (Bol.com): Transparantie, gebruiksvriendelijk

Conclusie:

Compliance is MOGELIJK (Bol.com bewijst dit), maar de nieuwsindustrie kiest bewust voor non-compliance.

Wat Kun Je Doen?

Je hebt wettelijke rechten onder de AVG (GDPR). Hier is hoe je ze uitoefent:

1. Gebruik Je GDPR Rechten

Art. 21 AVG — Recht van bezwaar: Je hebt het recht bezwaar te maken tegen verwerking van je persoonsgegevens

Art. 17 AVG — Recht op verwijdering (“recht om vergeten te worden”): Je hebt het recht te vragen om verwijdering van je persoonsgegevens

Art. 15 AVG — Recht van inzage: Je hebt het recht te vragen welke gegevens een bedrijf over je heeft

2. De Tool: NL Data Opt-Out

Ik heb een gratis tool gebouwd die je helpt deze rechten uit te oefenen voor alle (bekende) 101+ Nederlandse data brokers:

https://apolloccrypt.github.io/nl-data-optout/

Wat doet de tool: - Genereert gepersonaliseerde bezwaar-emails (Art. 21) - Genereert verwijder-verzoeken (Art. 17) - Genereert inzage-verzoeken (Art. 15) - Voor ALLE 138 partners van NU.nl + extra Nederlandse data brokers - 100% gratis, open source, geen data collectie

Hoe werkt het: 1. Vul je naam en email in (wordt NIET opgeslagen) 2. Kies je rechten (bezwaar, verwijdering, inzage) 3. Download zip met emails (of copy-paste de enkel email) 4. Verstuur via je eigen email client 5. Klaar (1–5 minuten totaal)

3. De Impact Van Massa-Verzoeken

Als 1.000 mensen deze tool gebruiken:

• 1.000 verzoeken × 138 bedrijven = 138.000 GDPR verzoeken
• Elk verzoek kost ~€3-€5 administratieve tijd
• Totale overhead: €414.000 — €690.000

Als 10.000 mensen deze tool gebruiken:

• 10.000 × 138 = 1.380.000 verzoeken
• Overhead: €4.140.000 — €6.900.000

Bij deze volumes wordt non-compliance economisch onhoudbaar.

De industrie zal gedwongen worden om: 1. Aantal partners drastisch te reduceren 2. Transparantie te verbeteren 3. Dark patterns te verwijderen 4. Compliance serieus te nemen

Dit is economische druk die werkt.

4. Melding Bij De AP

Je kunt ook zelf een melding maken bij de Autoriteit Persoonsgegevens:

https://www.autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/klacht-indienen

Wat te melden: - Welke site (NU.nl, NOS.nl, andere) - Welke overtreding (dark pattern, pre-consent, uninformed consent) - Evidence (screenshots van cookie banner)

De AP neemt klachten serieus, vooral als er meerdere meldingen zijn over hetzelfde bedrijf.

Evidence & Reproduceerbaarheid

Dit onderzoek is volledig reproduceerbaar. Alle tests kunnen herhaald worden in 30 minuten totaal.

Test NOS.nl Pre-Consent (15 minuten)

Benodigdheden: - Firefox browser - Schone browser state (private mode of cache leegmaken)

Stappen: 1. Open Firefox DevTools (F12) 2. Open “Storage” tab 3. Open “Network” tab 4. Navigate naar nos.nl 5. DON’T CLICK op cookie banner 6. Observe: Cookies verschijnen AL in Storage tab 7. Observe: Network requests naar ContentInsights 8. Screenshot + timestamp

Verwacht resultaat: Cookies + tracking vóór consent

Test NU.nl Dark Pattern (15 minuten)

Stappen: 1. Navigate naar nu.nl 2. Count clicks voor accept flow 3. Count clicks voor reject flow 4. Screenshot banner (geen directe “Weigeren”) 5. Screenshot privacy-instellingen (101 partners)

Verwacht resultaat: 8:1 accept/reject ratio

Evidence Package

Voor volledige transparantie heb ik alle evidence beschikbaar:

• Screenshots (Cookie banners, privacy settings, DevTools)
• HAR files (Network traffic logs)
• JSON exports (Cookie data voor/na weigering)
• Reproductie-instructies (Stap-voor-stap)

Beschikbaar enkel voor NOS/NU.nl en AP.

De Diepere Vraag: Wat Is “Informed Consent” Eigenlijk?

Dit onderzoek stelt een fundamentele vraag:

Als je niet weet wat een bedrijf doet, kun je dan toestemming geven voor wat ze met je data doen?

De wet zegt: Nee. Toestemming moet “geïnformeerd” zijn (GDPR Art. 4.11).

Maar de realiteit is complexer:

Scenario 1: Technische Compliance - NU.nl toont 101 partnernamen - Voldoet letterlijk aan GDPR Art. 13.1.e (disclosure van ontvangers)

Scenario 2: Praktische Realiteit - 92% van partners is onbekend bij gemiddelde gebruiker - Geen uitleg wat partners doen - Geen context, geen links, geen informatie

Vraag: Is dit “informed consent”?

Juridisch antwoord: Grijs gebied. GDPR vereist disclosure, maar de kwaliteit van die disclosure is debatabel.

Praktisch antwoord: Nee. Informed consent vereist begrip, niet alleen disclosure.

Analogie:

Stel je voor dat een arts je een medicijn voorschrijft:

Scenario A (NU.nl’s aanpak):

“Dit medicijn bevat 101 chemische stoffen: Acetaminophen, Benzocaine, Chlorpheniramine, Dextromethorphan, … [97 meer]. Hier is de volledige lijst. Akkoord?”

Scenario B (Informed consent):

“Dit is een pijnstiller met paracetamol. Het werkt door … Bijwerkingen kunnen zijn … Alternatieven zijn … Begrijpt u dit? Heeft u vragen?”

NU.nl doet Scenario A. Informed consent vereist Scenario B.

Call To Action: Pak Je Data Terug

Dit is niet alleen een theoretisch probleem. Dit raakt 20+ miljoen Nederlandse internetgebruikers dagelijks.

Jouw data wordt gedeeld met bedrijven die je niet kent, voor doeleinden die je niet begrijpt, met consequenties die je niet overziet.

Maar je hebt macht. De AVG (GDPR) geeft je wettelijke rechten. Gebruik ze.

Wat Je NU Kan Doen

Stap 1: Bewustwording - Deel dit artikel (LinkedIn, Twitter, email) - Informeer familie en vrienden - Praat erover

Stap 2: Actie - Gebruik de opt-out tool: https://apolloccrypt.github.io/nl-data-optout/ - Oefen je GDPR rechten uit (Art. 21, 17, 15) - Verstuur de gegenereerde emails

Stap 3: Druk - Meld bij AP als je niet-compliance ziet - Review nieuwssites op Trustpilot/Google - Stem met je aandacht (kies sites die privacy respecteren)

Stap 4: Politiek - Contact je Tweede Kamer lid - Ondersteun privacy-wetgeving - Vraag om strengere handhaving

De Economische Realiteit

1.000 mensen × 138 bedrijven = 138.000 GDPR verzoeken = €414k-€690k overhead

Bij deze volumes wordt non-compliance economisch onhoudbaar. De industrie zal MOETEN veranderen.

Dit is niet alleen een privacy-kwestie. Dit is economische druk die werkt.

Conclusie

We leven in een tijd waarin “Akkoord” klikken je data deelt met 138 bedrijven die je niet kent.

We leven in een tijd waarin publieke omroepen gefinancierd met belastinggeld actief je privacy schenden.

We leven in een tijd waarin dark patterns je 8× moeilijker maken om je privacy te beschermen dan om het weg te geven.

Maar we leven ook in een tijd waarin de wet aan onze kant staat.

GDPR Art. 21, 17, 15 geven je macht. Gebruik die macht.

Als genoeg mensen hun rechten uitoefenen, zal de industrie gedwongen worden te veranderen.

Pak je data terug.

Bronnen & Verder Lezen

Wetgeving: - GDPR Volledige Tekst (https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32016R0679) - ePrivacy Richtlijn (https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32002L0058) - Telecommunicatiewet (https://wetten.overheid.nl/BWBR0009950)

Jurisprudentie: - HvJ EU Planet49 (C-673/17) (https://curia.europa.eu/juris/document/document.jsf?docid=218462) - EDPB Guidelines 05/2020 on Consent (https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en)

AP Resources: - AP Cookie Richtsnoeren (https://autoriteitpersoonsgegevens.nl/themas/internet-telefoon-post/cookies) - AP Boetes Database (https://autoriteitpersoonsgegevens.nl/nl/zaken) - Klacht Indienen (https://www.autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/klacht-indienen)

Tools: - NL Data Opt-Out Tool (https://apolloccrypt.github.io/nl-data-optout/) - GitHub Repository (https://github.com/Apolloccrypt/nl-data-optout)

Over de auteur:

Mick Beer is security architect en onderzoeker met focus op privacy compliance. Dit artikel is onderdeel van een wetenschappelijk thesis over cookie compliance op Nederlandse websites. Alle bevindingen zijn gebaseerd op reproduceerbaar technisch onderzoek.

Disclaimer:

Dit artikel is geen juridisch advies. Voor juridische vragen over GDPR/AVG compliance, raadpleeg een privacy-advocaat of de Autoriteit Persoonsgegevens.

Het is officieel: de Tweede Kamer behandelt mijn wetsvoorstel tegen de paspoort-kopie-gekte.

Eerder deze maand is mijn dossier (2026Z04148 / 2026D09561) officieel geaccepteerd door de Commissie Digitale Zaken. Dit is geen vrijblijvend advies, maar een technisch en financieel onderbouwd plan om de onveilige private opslag van onze identiteits­gegevens wettelijk te verbieden.

De bewijslast

Als security-architect en pentester analyseerde ik de ruwe dataset van het Odido-lek. De conclusie is bikkelhard: het systeem is lek aan de bron. In de data bevinden zich niet alleen miljoenen burgers, maar ook de volledige paspoort­gegevens van de eigen directie van het telecombedrijf.

Als zelfs de top van een tech-reus hun eigen data niet veilig kan houden onder de huidige wetgeving, is het bewijs geleverd: interne beveiliging is kansloos tegen deze systeemfout.

Wat je niet opslaat, kan niet lekken.

De oplossing: Check, don’t store

Mijn voorstel dwingt een nieuwe technologische standaard af: verifieer de identiteit, bewaar de data niet. We slopen de digitale honeypots die Nederland nu kwetsbaar maken.

De kernpunten van het wetsvoorstel

€6,3 miljard risicoreductie. Een enorme besparing op maatschappelijke schadelast, fraude en herstelkosten voor de BV Nederland. Conservatieve berekening, gebaseerd op AP-cijfers en de IBM Cost of a Data Breach Report.

Expert-validatie. De architectuur van dit plan wordt door privacy-experts en burgerrechten­organisaties zoals Bits of Freedom onderschreven als de enige weg naar een veilig digitaal fundament. iDIN, DigiD en eIDAS leveren vandaag al verificatie zonder document-opslag; de techniek is volwassen.

Wettelijk verbod. Een einde aan de verplichte afgifte van paspoort­kopieën aan private partijen die de veiligheid niet kunnen garanderen. De Wwft eist identiteits­vaststelling, niet opslag — dat onderscheid wordt nu wettelijk afgedwongen.

Wat nu

De politiek heeft de stukken. De techniek staat klaar. De noodzaak is pijnlijk duidelijk. Zes miljoen Nederlanders wachten op een oplossing.

Updates volgen hier zodra de commissie een besluit publiceert.

Wil je weten waarom dit nodig is? Lees de forensische analyse van het Odido-lek of 38 ministers in de Odido-dataset.