Hoe een structureel begrensde toezichthouder, een keurmerken-ecosysteem zonder juridische AVG-betekenis, een gedocumenteerde commerciële tracking-casus en een politieke verwevenheidslaag samen verklaren waarom de wet niet gehandhaafd wordt, en wie daarvoor betaalt. Dit is het koepel-dossier dat de losse onderzoeken (113.nl, Belastingdienst, Pels Rijcken, DigiD) verbindt tot één systeemanalyse, op basis van 27 maanden onderzoek (maart 2024 tot juni 2026).
Over deze versie. Dit is versie 2.0 (11 juni 2026), het resultaat van een externe validatieronde waarin alle kernclaims aan primaire bronnen zijn getoetst. De hoofdtekst bevat uitsluitend claims met klasse ✓ (hard bewezen: primaire openbare bron met vindplaats) en, spaarzaam en expliciet gemarkeerd, ◆ (sterk circumstantieel, met de redenering erbij). Wat die toets niet doorstaat, staat als open vraag in de onderzoeksagenda (bijlage C). Elke ✓-claim draagt een bronverwijzing [Bn] die onderaan in bijlage D resolveert; elk cijfer komt overeen met bijlage A. Alle wijzigingen ten opzichte van versie 1.0 (10 mei 2026, vervangen) zijn verantwoord in het changelog onderaan. Onderzoeksperiode: maart 2024 tot juni 2026. Legal governance: Mr. Vincent Mans.
Samenvatting en kernbevindingen
Nederland heeft op papier een van de strengste privacy-regimes ter wereld. In de praktijk wordt het niet gehandhaafd op het terrein waar de meeste burgers het vaakst worden geraakt: online tracking. Dit dossier documenteert waarom, met uitsluitend verifieerbare bronnen.
✓ De meting. Negen Nederlandse hulpverleningssites, van zelfmoordpreventie tot slachtofferhulp, laden trackers en delen bezoekersdata met commerciële partijen, ook nadat de bezoeker op weigeren heeft geklikt. In een bredere meting van 100 sites stopte geen enkele van de 44 aangetroffen weigerknoppen de tracking feitelijk (0 op 44). Drie wettelijke kaders worden daarbij gelijktijdig geschonden: Tw 11.7a, AVG artikel 7 lid 3 en AVG artikel 9 [B59].
✓ Het vacuüm. De toezichthouder groeit, maar blijft ver onder elke onafhankelijke norm. De Autoriteit Persoonsgegevens groeide van 184 fte (2021) naar een bezetting van ruim 251 fte (eind 2023, formatie 260) en groeide in 2024 verder [B2]; het door het kabinet zelf bestelde KPMG-advies becijferde 470 fte en circa 66 miljoen euro per jaar als adequaat niveau [B3]. Het budget piekt op 55,8 miljoen euro (2025), zakt naar 53,5 miljoen in 2026 en daalt richting 51 miljoen in 2030 [B1]. Voor cookie-toezicht specifiek is 500.000 euro per jaar geoormerkt, vanaf 2027 structureel 350.000 euro [B5]. De aangenomen motie-Hijink (2021) om naar het KPMG-niveau te groeien werd niet uitgevoerd [B6][B8].
✓ De casus. Tegen de advertentie-infrastructuur waarop de grootste Nederlandse uitgever draait zijn drie civiele vonnissen gewezen wegens tracking zonder rechtsgeldige toestemming [B17][B18][B19]; de handhaving kwam van twee burgers met een advocaat, niet van de toezichthouder. De definitieve bestuursrechtelijke boete tegen DPG Media bedraagt 262.500 euro [B20]; de enige AP-cookieboete van betekenis (Kruidvat, 600.000 euro) smolt in bezwaar tot 50.000 euro [B21]. DPG Media realiseerde in 2025 een advertentie-omzet van 753 miljoen euro [B16] en ontving 220 miljoen euro aan EIB-leningen [B22][B23], terwijl houdstervennootschap Epifin over 2024 35 miljoen euro dividend uitkeerde [B25].
✓ De verwevenheid. Geen Nederlandse certificatie-instelling mag op dit moment AVG-certificaten uitgeven; dat zeggen de AP en de Raad voor Accreditatie zelf [B33]. Toch fungeren keurmerken in aanbestedingen en marketing als compliance-bewijs. In de Eerste Kamer nam een senator deel aan de werkgroep die de behandeling van het Europese Digitaal pakket (waaronder de Digital Omnibus, die de privacyregels wijzigt) voorbereidde, terwijl zij feitelijk al in dienst was van de grootste uitgever en het functieregister dat niet vermeldde [B37][B38]. De VVD-fractie leverde in beide schriftelijke inbrengrondes over de Omnibus geen inbreng [B37].
◆ De optelsom (sterk circumstantieel, redenering in hoofdstuk 2): geen van deze actoren hoeft onrechtmatig te handelen om gezamenlijk een stelsel in stand te houden waarin de wet niet gehandhaafd kán worden. De prijs wordt betaald door de meest kwetsbare bezoekers, op het moment dat zij hulp zoeken.
Dit dossier beweert niet dat dit mechanisme bewust is ontworpen. Het documenteert de schakels, elk afzonderlijk, met vindplaats.
1. Inleiding
1.1 Wat dit dossier is
Een kerndossier van het onderzoek naar het Nederlandse privacy-stelsel, gedestilleerd uit versie 1.0 (10 mei 2026, 75 pagina’s) na een externe validatieronde waarin de kernclaims aan primaire bronnen zijn getoetst. De hoofdtekst bevat uitsluitend hard bewezen materiaal en spaarzaam, expliciet gemarkeerd, sterk circumstantieel materiaal. De volledige scanner-methodologie staat in bijlage B, de cijfer-canon in bijlage A, de bronnen per claim in bijlage D, en alles wat (nog) niet aan de bewijslat voldoet in bijlage C als open onderzoeksvraag. Het Cloud Act-onderzoek uit v1.0 is afgesplitst naar het werkdocument Soevereiniteitstheater (deeldossier, v0.1).
1.2 Methodologie in het kort
De technische metingen zijn uitgevoerd met een eigen scanner (BeforeYouMick, v3.3.1 en v3.7) die elke site driemaal laadt: zonder interactie, na een klik op weigeren, en na een klik op accepteren, en die per sessie cookies, trackers, netwerkverkeer en CNAME-records vastlegt. De output is JSON per site, met SHA256-checksums en OpenTimestamps-verankering. Methode, beperkingen en integriteitsborging: bijlage B. Voor de niet-technische bevindingen is uitsluitend gewerkt met primaire openbare bronnen: jurisprudentie, Kamerstukken, jaarverslagen, registers en publicaties van de betrokken organisaties zelf.
1.3 Wat dit dossier expliciet niet beweert
- Geen specifieke persoon doet iets illegaals. Een minister mocht een aangenomen motie naast zich neerleggen. Een senator mag betaalde nevenfuncties hebben, mits gemeld. Het dossier wijst op de optelsom van legale handelingen, niet op individuele wetsovertreding.
- Aan Marjolein van der Linden worden geen persoonlijke uitspraken over versoepeling van privacyregels toegeschreven; die zijn niet aangetroffen. Het dossier beperkt zich tot drie gedocumenteerde feiten: haar werkgroep-lidmaatschap tijdens een nog niet geregistreerde dienstbetrekking, haar bestuursverantwoordelijkheid als NDP-vicevoorzitter voor het NDP-standpunt, en het uitblijven van schriftelijke VVD-inbreng in het Omnibus-dossier. Senaatsbijdragen van naamgenoot Lennart van der Linden (Eerste Kamerlid 2019-2023, FvD en later Fractie-Nanninga) staan los van haar [B39].
- Geen complot, wel patroon. Het stelsel werkt zonder dat de spelers hoeven samen te spannen; iedere speler verdedigt een legitiem functie-belang. Of het patroon bewust wordt onderhouden is niet vastgesteld en wordt hier niet beweerd.
2. Het mechanisme
Het stelsel rust op vier pijlers die elkaar versterken zonder centrale regie. Een toezichthouder die onder elke onafhankelijke capaciteitsnorm blijft (pijler 1) laat een gat vallen dat door commerciële keurmerken zonder juridische AVG-betekenis wordt gevuld (pijler 2). De feitelijke tracking-praktijk blijft daardoor ongemoeid; het best gedocumenteerde geval is de advertentie-infrastructuur rond de grootste uitgever (pijler 3). De wetgever die het toezichtsbudget bepaalt is via personen en standpunten verweven met de sector die van het gat profiteert (pijler 4). Elke pijler is afzonderlijk verdedigbaar; samen vormen ze een zichzelf in stand houdend geheel.
De versterking loopt langs een herkenbare keten (figuur 2), en elke schakel ervan is in dit dossier afzonderlijk gedocumenteerd. De toezichthouder mist capaciteit voor structurele handhaving (DEEL II). Organisaties en inkopers vallen terug op keurmerken; aanbestedingen vragen ‘een privacy-keurmerk’ of een informatiebeveiligingsnorm zonder juridische AVG-toets, terwijl volgens de toezichthouder zelf geen Nederlandse certificatie-instelling AVG-certificaten mag uitgeven (DEEL IV). De feitelijke praktijk in de browser blijft daardoor onaangetast: van de gemeten weigerknoppen stopte er nul de tracking (DEEL I). Bij een incident wijst de organisatie op het keurmerk, dat de feitelijke praktijk nooit toetste. En de wetgever die dit zou kunnen doorbreken is dezelfde die het toezichtsbudget al jaren onder de eigen KPMG-norm houdt, terwijl de branche haar standpunten tot in de Eerste Kamer vertegenwoordigd weet (DEEL IV). Terug naar het begin.
◆ De circulariteit zelf is een duiding en wordt als sterk circumstantieel gemarkeerd; dat de keten zichzelf in stand houdt volgt uit de gedocumenteerde schakels samen, niet uit één bron. Externe interventie heeft de keten tot nu toe als enige doorbroken: de rechter (drie Xandr-vonnissen, SyRI), niet de uitvoerende macht.
Pijler 1 · het vacuüm
Autoriteit Persoonsgegevens: budget 53,5 mln in 2026, dalend naar ±51 mln in 2030.
Bezetting 251+ fte (eind 2023), groeiend, maar ver onder de KPMG-norm van 470 fte / 66 mln.
Cookie-toezicht 0,5 mln per jaar, vanaf 2027: 0,35 mln. Motie-Hijink (2021) niet uitgevoerd.
Pijler 2 · keurmerken
Geen Nederlandse certificatie-instelling mag AVG-certificaten uitgeven (AP en RvA zelf).
Brand Compliance: criteria goedgekeurd, wacht op RvA-accreditatie.
Privacy Verified is een initiatief van ICTRecht.
Pijler 4 · de verwevenheid
Senator in de EK-werkgroep Digitaal pakket tijdens een onaangemeld DPG-dienstverband; register pas in april 2026 bijgewerkt.
NDP-standpunt: privacyregels 'te complex'. VVD-fractie: geen inbreng in beide EK-inbrengrondes over de Omnibus.
Pijler 3 · de casus
DPG Media: 753 mln advertentie-omzet in 2025. Trusted Web: 114 partners + ±50 dochters.
Drie civiele vonnissen over tracking zonder toestemming (2023-2025).
EIB-leningen 220 mln · Epifin-dividend 35 mln.
De wetgever
Tweede en Eerste Kamer bepalen het AP-budget (pijler 1) én de privacy-wetgeving, en zijn via personen en standpunten verbonden met de sector (pijler 4). Kabinet-Jetten heeft 22 van 75 zetels in de Eerste Kamer. Nuance: het non-paper van 8 april 2026 verzet zich juist tegen de AVG-versoepeling.
DEEL I · De meting
3. Technische bewijslast
3.1 De casus 113: het stelsel aan één website
Iemand opent ‘s nachts de website van 113 Zelfmoordpreventie. Niet om iets te kopen, maar om hulp te zoeken op een moment dat het er echt toe doet. Deze paragraaf volgt die ene klik, niet omdat 113 uniek slecht presteert (andere hulpverleningssites zijn vergelijkbaar of erger, zie 3.2), maar omdat één scherp uitgemeten site het hele mechanisme zichtbaar maakt.
✓ Op het moment dat de bezoeker de pagina opent, wordt het bezoek gedeeld met zes externe partijen. Ook nadat de bezoeker actief op weigeren heeft geklikt, gaan er vijf POST-requests uit naar advertentie- en analysepartijen [B59]. Een POST is geen technisch detail: het is het moment waarop informatie het toestel verlaat en bij een derde terechtkomt. De bezoeker heeft nee gezegd en wordt alsnog gevolgd.
Op deze ene handeling lopen drie wettelijke kaders tegelijk vast. De Telecommunicatiewet (artikel 11.7a) staat trackers pas toe na toestemming; hier draaien ze ervoor en erna. De AVG (artikel 7 lid 3) eist dat toestemming intrekken even eenvoudig is als geven; een genegeerde weigerknop voldoet daar niet aan. En de AVG (artikel 9) merkt gegevens over gezondheid aan als bijzondere persoonsgegevens met een verzwaard regime; het Hof van Justitie bevestigde in C-184/20 dat ook gegevens die een bijzondere categorie indirect kunnen onthullen onder dat regime vallen [B55]. Het bezoekgegeven van een zelfmoordpreventiesite valt binnen die ruime uitleg.
Waarom corrigeert niemand dit? De toezichthouder die hier zou moeten optreden heeft voor cookie-handhaving 500.000 euro per jaar (DEEL II) en geen capaciteit voor structureel onderzoek naar deze categorie [B5]. En het keurmerk aan de muur helpt de bezoeker niet: een organisatie kan gecertificeerd zijn en tegelijk haar bezoekers volgen zoals hierboven beschreven, omdat geen Nederlands keurmerk de feitelijke praktijk in de browser toetst en geen enkele certificatie-instelling juridisch geldige AVG-certificaten mag uitgeven (DEEL IV) [B33]. Vervang ‘113’ door de Kindertelefoon, het Centrum Seksueel Geweld of Humanitas en het patroon herhaalt zich; dat is wat de tabel in 3.2 laat zien.
Wie dit leest en zelf aan zelfmoord denkt, of zich zorgen maakt om iemand anders: 113 Zelfmoordpreventie is bereikbaar via 113 of 0800-0113.
3.2 Negen hulpverleningssites, drie wettelijke kaders
✓ Uit het burgerrapport van 104 sites (gemeten 9 en 10 mei 2026) [B59]:
| Hulpverleningssite | Kritiek | Ernstig | Externe partijen | Bijzonderheid |
|---|---|---|---|---|
| humanitas.nl | 5 | 8 | 18 | 6 POSTs na refuse |
| soaaids.nl | 1 | 4 | 9 | 8 POSTs na refuse |
| centrumseksueelgeweld.nl | 2 | 5 | 0 | 6 vermomde trackers |
| 113.nl (zelfmoordpreventie) | 0 | 6 | 5 | 5 POSTs na refuse |
| kindertelefoon.nl (kinderen <18) | 0 | 6 | 13 | 4 vermomde trackers |
| mindkorrelatie.nl (GGZ) | 1 | 9 | 6 | 3 POSTs na refuse |
| moedersvoormoeders.nl (zwangerschap) | 1 | 3 | 9 | 4 POSTs na refuse |
| veiligthuis.nl (huiselijk geweld) | 1 | 3 | 5 | 1 POST na refuse |
| slachtofferhulp.nl | 1 | 6 | 15 | 9 POSTs na refuse |
Een persoon in psychische nood die op humanitas.nl hulp zoekt, wordt op het moment van die klik door zes POST-requests aan advertentie-eindpunten gemeld. Een tiener die de Kindertelefoon bezoekt, wordt door dertien externe partijen herkend. Die personen weten dat niet. Op geen van de negen sites wordt aan de drie wettelijke eisen voldaan. Figuur 3 brengt de volledige keten in beeld, van bezoeker tot toezichthouder.
3.3 De cijfers van de brede meting
✓ De scan van 100 sites (2 mei 2026, 300 sessies: drie modi per site) [B59]:
| Meting | Resultaat |
|---|---|
| Totaal bevindingen | 455 |
| Kritiek (ernstige overtreding AVG of Tw) | 110 |
| Ernstig (sterke aanwijzing schending) | 252 |
| Let op (best practice-afwijking) | 93 |
| Sites met minstens één kritieke bevinding | 73 op 100 |
| Sites zonder enige bevinding | 2 op 100 (klm.com, zalando.nl) |
| Sites zonder herkenbare cookiebanner (neutrale sessie) | 92 op 100 |
| Sites met werkende weigerknop | 44 op 100 |
| Weigerknoppen die tracking feitelijk stoppen | 0 op 44 |
| Sites met first-party CNAME-cloaking | 49 op 100 |
✓ De vervolgmeting van 104 sites (9 en 10 mei 2026) gaf een vergelijkbare verdeling: 89 kritieke bevindingen, 383 ernstige, 138 let op, 115 CNAME-cloaking-detecties; 58 procent van de sites had minstens één kritieke bevinding [B59].
✓ De meest geladen trackers en tracking-cookies vóór enige toestemming, over de 100-sites-meting [B59]:
| Vóór consent aangetroffen | Sites (op 100) | Vendor en jurisdictie |
|---|---|---|
| googletagmanager.com | 90 | Google LLC, VS |
_ga-cookie (Google Analytics) |
73 | Google LLC, VS |
| region1.google-analytics.com | 28 | Google LLC, VS |
| pagead2.googlesyndication.com | 24 | Google Ads, VS |
VWO-cookies (_vwo_uuid_v2 e.a.) |
20 | Wingify, India |
DPG Media Snowplow (_sp_id.e23f) |
18 | DPG Media |
Piwik PRO-cookies (stg_*) |
13 | Piwik PRO (hosting: zie deeldossier) |
| OneTrust (cookielaw.org, geolocation) | 12 | OneTrust, VS |
Adobe Analytics (s_fid, s_vi) |
9 | Adobe, VS |
| Microsoft Clarity | 8 | Microsoft, VS |
✓ Google Tag Manager wordt vóór consent geladen op 90 van de 100 sites, inclusief overheidssites die in hun cookieverklaring beweren geen Google te gebruiken. Voor 90 van de 100 sites betekent dit een directe schending van Tw 11.7a, nog vóór er ook maar iets is aangeklikt [B59].
✓ De derde meting (106 organisaties, 10 mei 2026) bevestigt het beeld over de volle breedte: geen enkele organisatie haalde de hoogste waardering, en hulplijnen voor kwetsbare bezoekers scoorden als groep onder het midden. Veertien organisaties die zichzelf publiek profileren als privacybewust, certificeerder of toezichthouder, scoorden op deze meting middelmatig of lager [B59].
3.4 De weigerknop als placebo
✓ Op de 44 sites met een werkende weigerknop is per site vergeleken welke tracking-cookies en trackers actief blijven na de weigerklik. Het resultaat is unaniem: effectief (geen tracking persistent): 0 op 44; onwerkzaam: 44 op 44 [B59]. Niet één gemeten Nederlandse website honoreert een weigerklik zoals Tw 11.7a en AVG artikel 7 lid 3 dat vereisen: wie controle biedt om toestemming te geven, moet dezelfde controle bieden om haar te weigeren of in te trekken. Een knop die er staat maar niets stopt, voldoet niet. In eerder eigen cookie-onderzoek (maart 2026) gingen op een grote nieuwssite na een weigerklik tientallen POST-requests naar het adserver-eindpunt adnxs-simple.com; de meting van mei 2026 bevestigt dat patroon over de volle breedte [B59].
3.5 CNAME-cloaking: tracking vermomd als de site zelf
✓ Op 49 van de 100 sites is first-party CNAME-cloaking aangetroffen: een subdomein van de site zelf verwijst via DNS naar de infrastructuur van een tracking-vendor, waardoor browserbescherming (Safari ITP, Firefox ETP) en tracker-blockers het verkeer als eigen verkeer zien. De cookies staan onder het hoofddomein; voor de bezoeker en zijn software is de tracker onzichtbaar geworden [B59].
| Geclookte vendor (top) | Bevindingen | Sites |
|---|---|---|
| Criteo (proxied) | 21 | 10 |
| Piwik PRO Cloud (proxied) | 19 | 13 |
| Hotjar (proxied) | 18 | 14 |
| Adobe Audience Manager | 10 | 7 |
| ContentSquare (proxied) | 7 | 4 |
| Adobe Analytics (legacy-varianten) | 12 | 12 |
✓ Onder de sites met Adobe-cloaking via first-party CNAMEs: belastingdienst.nl, drie Volksbank-merken (ASN, SNS, Regiobank, alle drie via dezelfde Adobe-tenant), kpn.com en telegraaf.nl. Dertien sites cloaken Piwik PRO Cloud onder een eigen subdomein, waaronder statistiek.rijksoverheid.nl (CNAME naar rijksoverheid.piwik.pro) [B59]. Het soevereiniteitsvraagstuk daarachter is afgesplitst naar het deeldossier (zie de verwijzingen achterin).
3.6 Wat niet gemeten kon worden
Acht organisaties blokkeerden de browsertest via firewall, bot-detectie of een redirect-cyclus, waaronder solvinity.nl, mivd.nl, twee certificatie-instellingen en drie hulpverleningssites. Voor deze organisaties zijn geen scores vastgesteld; zij worden gerapporteerd als niet meetbaar met deze methode. Bot-detectie en geo-blokkades zijn staande beveiligingspraktijk en zeggen op zichzelf niets over de tracking-houding van een organisatie [B59].
DEEL II · Het vacuüm
4. De toezichthouder die niet kán handhaven
4.1 Budget en bezetting tegenover de eigen norm van het kabinet
✓ In november 2020 becijferde KPMG, in opdracht van het ministerie van Justitie en Veiligheid, dat de Autoriteit Persoonsgegevens 470 fte en circa 66 miljoen euro per jaar nodig heeft voor adequate uitvoering van haar wettelijke taken; de AP telde toen 184 fte [B3]. De AP zelf becijferde de structurele behoefte later op minimaal 100 miljoen euro per jaar [B4].
✓ De feiten sindsdien, beide kanten op. De bezetting groeide: van 184 fte (2021) naar een formatie van 260 en een feitelijke bezetting van ruim 251 fte eind 2023, met verdere groei in 2024 [B2]. Het budget groeide eerst mee, van 24,6 miljoen euro (2021) naar 55,8 miljoen (2025), maar zakt daarna: 53,5 miljoen in 2026, dalend richting 51 miljoen in 2030 volgens de Rijksbegroting [B1]. De AP blijft daarmee, ook na de groei, ruim onder de helft van de fte-norm die het kabinet zelf had laten opstellen, en het meerjarenbudget beweegt van de norm af in plaats van ernaartoe. In dezelfde periode kreeg de AP er wettelijke taken bij, waaronder het algoritmetoezicht (2023) en taken onder de DSA; de budgetgroei tot 2025 viel dus grotendeels samen met taakuitbreiding, en wat erbij kwam bleef onder elke norm [B1][B2]. Een waarschuwing bij het citeren van deze reeks: er circuleren parallelle meerjarenreeksen uit verschillende Miljoenennota-jaargangen (de reeks uit Prinsjesdag 2024 wijkt af van die uit Prinsjesdag 2025); dit dossier hanteert overal de jaargang-2026-reeks en vermeldt dat er ook bij [B1]. Het tekort tot het KPMG-budgetniveau is met de begroting voor 2026 ongeveer 12 miljoen euro per jaar [B1][B3]: op de schaal van de Rijksbegroting een afrondingsverschil. De Miljoenennota 2022 hield het AP-budget destijds ongewijzigd na de aangenomen motie [B8]. Dit is een prioriteitskeuze, geen budgetprobleem.
✓ De toezichthouder zelf heeft het tekort nooit verhuld. AP-voorzitter Aleid Wolfsen sprak eind 2020 in Trouw van “lachwekkende achterstanden”; AP-bestuurslid Mur stelde dat slechts 0,3 procent van de gemelde datalekken tot onderzoek leidt [B4].
✓ De vergelijking met andere rijkstoezichthouders, op de meest recente vergelijkbare peildata (bijlage A):
| Toezichthouder | Personele omvang | Budget/lasten | Bekostiging |
|---|---|---|---|
| AFM (financiële markten) | 918 fte begroot 2026 | 175,5 mln (2026) | sector (Wbft) [B11][B13] |
| ACM (mededinging, consument) | ~641 fte (2020) | 78,8 mln (2023) | begroting EZK [B14] |
| NVWA (voedsel en waren) | ~2.440 fte (2020) | n.v.t. hier | begroting LNV [B15] |
| AP (alle persoonsgegevensverwerking) | 251+ fte (eind 2023) | 53,5 mln (2026), dalend | begroting J&V [B1][B2] |
Het AVG-domein omvat iedere organisatie die persoonsgegevens verwerkt: in absolute termen een veelvoud van het AFM- of ACM-domein. De anomalie zit niet in het budget per medewerker, maar in de absolute omvang afgezet tegen het toezichtsveld, en in de richting: de AFM-begroting groeit met haar taken mee, de AP-meerjarenreeks daalt [B1][B11].
✓ Daar komt een structuurprobleem bij. De AP is een zelfstandig bestuursorgaan, maar valt budgettair onder het ministerie van Justitie en Veiligheid: hetzelfde departement waarvan zij ook de diensten moet controleren, en dezelfde portefeuille die het AP-budget jaar op jaar vaststelt. In de literatuur over toezichthouder-onafhankelijkheid geldt zo’n rapportagestructuur als problematisch [B1].
4.2 Het cookie-budget
✓ Voor toezicht op cookies en online tracking, het terrein van vrijwel alle bevindingen in DEEL I, is een apart bedrag geoormerkt: 500.000 euro per jaar voor 2024 tot en met 2026, daarna structureel 350.000 euro per jaar (toezegging van staatssecretaris Van Huffelen, september 2023, door volgende kabinetten niet aangepast) [B5]. Dat halve miljoen moet het toezicht dekken op elke Nederlandse website, commercieel en publiek, inclusief de hulpverleningssites uit DEEL I.
4.3 De niet-uitgevoerde motie-Hijink, februari 2021
✓ De Tweede Kamer zag dit probleem en sprak zich uit. Op 9 februari 2021 nam de Kamer de motie-Hijink (Kamerstuk 27529-240) aan, die de regering vroeg het AP-budget te laten groeien naar het KPMG-niveau. De motietekst zelf noemt de kern: voor actieve opsporing van datalekken was “nog geen 0,2 fte” beschikbaar, en 27.000 gemelde datalekken stonden tegenover 2,9 fte [B6]. De motie kreeg 96 stemmen voor; alleen VVD, CDA en FvD stemden tegen [B7].
✓ Demissionair minister Sander Dekker (VVD, Rechtsbescherming) voerde de motie niet uit. In zijn brief van 1 maart 2021 (Kamerstuk 25268-197) schreef hij dat het KPMG-onderzoek geen concreet groeipad bevatte, dat de motie niet was voorzien van een financiële dekking, en dat hij de besluitvorming overliet aan een volgend kabinet [B8]. In het debat had hij eerder gevraagd “geen karikatuur” van de AP te maken: er werkten “ruim 180 mensen ongelofelijk hard” [B9]. SP-Kamerlid Van Nispen noemde het niet uitvoeren “een schoffering van alle Nederlanders die verwachten dat hun persoonsgegevens goed beschermd worden” [B10]. Geen daaropvolgend kabinet heeft het KPMG-niveau alsnog overgenomen [B1].
4.4 Het bekostigingscontrast: wie de sector laat betalen, groeit
✓ De Autoriteit Financiële Markten begroot voor 2026 175,5 miljoen euro aan lasten en 918 fte, tegen 878 fte in 2025 [B11]. De AFM wordt sinds de afschaffing van de overheidsbijdrage volledig bekostigd door de sector waarop zij toezicht houdt, op grond van de Wet bekostiging financieel toezicht [B13]; haar lasten groeiden tussen 2013 en 2025 van 85,3 naar 165,9 miljoen euro, gedreven door taakuitbreiding [B12]. De ACM werkte in 2023 met 78,8 miljoen euro [B14]. De AP is voor elke euro afhankelijk van de begroting van het ministerie van Justitie en Veiligheid, het departement waarvan zij ook de diensten moet controleren, en haar meerjarenreeks daalt [B1].
Het contrast is een beleidskeuze die nooit is voorgelegd: voor financieel toezicht accepteert Nederland het principe dat de onder toezicht staande sector de kosten draagt en het toezicht meegroeit met het veld. Voor gegevensbescherming, met een tracking-industrie van honderden miljoenen euro omzet als toezichtsveld, bestaat geen vergelijkbare bekostigingsgrondslag en is die ook nooit als wetsvoorstel verkend. Hoofdstuk 9 benoemt dit als hefboom.
DEEL III · De gedocumenteerde casus
5. DPG Media en de advertentie-infrastructuur
DPG is in dit deel de casus, niet het onderwerp: het patroon is sectorbreed, maar hier staat het het best op de openbare rol. De cijfers: geconsolideerde omzet 2,0 miljard euro (2025), advertentie-omzet 753 miljoen euro (print, radio, televisie en digitaal samen; de groei in 2025 kwam vooral door de RTL-overname, organisch bleef de advertentie-omzet vrijwel vlak), EBITDA 440 miljoen, nettowinst 238 miljoen [B16]. De RTL-overname (1,1 miljard euro) kreeg ACM-goedkeuring op 27 juni 2025 [B61].
5.1 Drie civiele vonnissen over tracking zonder toestemming
✓ Tussen december 2023 en februari 2025 oordeelden Nederlandse rechters driemaal over het plaatsen en uitlezen van tracking-cookies zonder rechtsgeldige toestemming door Microsoft Ireland Operations Ltd. en Xandr Inc., de adserver-laag waarop ook het advertentieplatform van DPG draait:
| Datum | Instantie | Vindplaats |
|---|---|---|
| 5 december 2023 | Hof Amsterdam | ECLI:NL:GHAMS:2023:2971 [B17] |
| 7 juni 2024 | Rb Amsterdam | ECLI:NL:RBAMS:2024:3331 [B18] |
| 12 februari 2025 | Rb Amsterdam (vzr) | ECLI:NL:RBAMS:2025:885 [B19] |
✓ De handhaving kwam niet van de toezichthouder maar van twee burgers, met mr. M.H.L. Hemmer (Rotterdam) als gemachtigde; als technisch bewijs dienden in de derde zaak deskundigenrapporten van M. Stoter (Collective Shift, 20 december 2024). De voorzieningenrechter verbond aan de veroordeling een dwangsom van 500 euro per overtreding of 1.000 euro per dag, met een maximum van 50.000 euro per gedaagde (het vonnis van juni 2024 hanteerde nog een maximum van 25.000 euro). En de rechter kwalificeerde het gedrag, in rechtsoverweging 4.34, zo [B19]:
Het willens en wetens niet nakomen van de wettelijke toestemmingsverplichting (in de EU, althans Nederland) omdat nakoming, kort gezegd, het verdienmodel zou aantasten, is geen rechtens te beschermen belang.
Deze details zijn voor deze versie geverifieerd in de gepubliceerde vonnistekst zelf (rechtspraak.nl, geraadpleegd 10 juni 2026).
Een naamgevingsactualisering: Microsoft trok de merknaam Xandr in juni 2023 in en sloot het buy-side product Xandr Invest per begin 2026; de adserver-functie die voor uitgevers relevant is valt onder Microsoft Advertising [B62]. Dit dossier schrijft kortheidshalve ‘Xandr’, zoals de vonnissen doen.
5.2 De bestuursrechtelijke boete: gehalveerd
✓ Op 24 september 2025 bevestigde de Afdeling bestuursrechtspraak van de Raad van State een AVG-boete tegen DPG Media (ECLI:NL:RVS:2025:4562): bij inzage- en verwijderverzoeken werd structureel een kopie van het identiteitsbewijs gevraagd, een onnodige drempel voor wie zijn privacyrechten wil uitoefenen (artikel 12 AVG). De oorspronkelijke AP-boete van 525.000 euro (februari 2022) werd in beroep gehalveerd tot 262.500 euro definitief [B20].
5.3 De cookie-boete die smolt: Kruidvat
✓ De enige recente AP-boete voor tracking zonder rechtsgeldige toestemming op een grote consumentensite is die aan A.S. Watson (Kruidvat), opgelegd in juli 2024: 600.000 euro voor tracking-cookies op kruidvat.nl met vooraf aangevinkte vakjes [B21]. In het besluit op bezwaar van 12 juni 2025 is die boete verlaagd naar 50.000 euro, onder meer wegens de lange procedureduur en de door de AP gewogen ernst [B21]. Dat is een reductie van ruim 90 procent op de enige zaak in haar soort: het scherpste gedocumenteerde voorbeeld van de sanctie als routine-kostenpost.
5.4 Publiek geld in, privaat dividend uit
✓ De Europese Investeringsbank verstrekte DPG twee leningen, samen 220 miljoen euro:
| Lening | Bedrag | Doel volgens EIB |
|---|---|---|
| aangekondigd januari 2022 | 100 mln, 8 jaar | digitalisering; deel van investeringsplan 244 mln voor Belgische en Nederlandse mediaplatforms [B23] |
| ondertekend 19 december 2024; publiek aangekondigd 12 februari 2025 (persbericht 2025-076) | 120 mln, 8 jaar | verdere digitalisering en innovatie; circa 30 procent van het investeringsplan 392 mln 2024-2026; verdeling 69,6 mln Belgische en 50,4 mln Nederlandse activiteiten [B22] |
✓ Volgens FTM-onderzoek is circa 50 miljoen euro daarvan bestemd voor Trusted Web, het eigen advertentieplatform; EIB-vicepresident Robert de Groot omschreef de financiering publiek als ‘keurmerk’ voor DPG [B24][B22]. De officiële EIB-motivering is het versterken van Europese media tegen de dominantie van Amerikaanse Big Tech-platforms. Het gefinancierde platform draait intussen op een adserver van Microsoft [B62]: de Europese lening versterkt zo feitelijk een tracking-infrastructuur die afhankelijk is van Amerikaanse technologie en die door Nederlandse rechters drie keer is veroordeeld (5.1).
✓ Aan de andere kant van de balans: houdstervennootschap Epifin, die DPG Media controleert, keerde over boekjaar 2024 een dividend van 35 miljoen euro uit; cumulatief sinds 2012 circa 409 miljoen euro bruto [B25]. Publiek gefinancierde digitalisering aan de ene kant, privaat dividend aan de andere: dat is de geldstroom van deze casus in één boekhoudkundige beweging.
5.5 Het platform en de prijs die de jury eraan gaf
✓ Trusted Web telt volgens FTM-onderzoek 114 advertentiepartners, met doorlevering binnen circa 50 DPG-dochterbedrijven [B27]. Bits of Freedom kende DPG Media de expert-Big Brother Award 2024 toe voor het dagelijks tracken en profileren van miljoenen nieuwsconsumenten; de publieksprijs ging dat jaar naar de minister van Financiën [B26]. Figuur 4 zet de geldstromen en de correctie-route van deze casus in één beeld.
5.6 De verhouding
Het geoormerkte cookie-handhavingsbudget van de Autoriteit Persoonsgegevens bedraagt 500.000 euro per jaar (2024-2026) en daalt vanaf 2027 naar 350.000 euro structureel [B5]. De totale advertentie-omzet van alleen al DPG Media bedroeg in 2025 753 miljoen euro — print, radio, televisie en digitaal samen; de digitale deelomzet wordt niet apart gepubliceerd [B16]. Welke deelomzet men ook neemt: het toezichtbudget en de te controleren omzet verschillen drie ordes van grootte, en die verhouding verslechtert na 2026 aan beide kanten.
DEEL IV · De verwevenheid
6. Keurmerken, personen en standpunten
6.1 Keurmerken zonder AVG-betekenis
✓ In Nederland mag op dit moment geen enkele certificatie-instelling AVG-certificaten uitgeven. Dat is geen interpretatie van dit dossier; het is de letterlijke tekst van de toezichthouder en de accreditatie-autoriteit zelf. De Raad voor Accreditatie: “Op dit moment zijn er in Nederland nog geen geaccrediteerde CI’s voor het afgeven van AVG-certificaten in het kader van de verwerking van persoonsgegevens.” De AP: “A certificate issued by a non-accredited organisation will not be considered a GDPR certificate.” [B33]
✓ Brand Compliance is de enige Nederlandse certificatie-instelling waarvan de AP de criteria heeft goedgekeurd (BC 5701:2023, oktober 2023; EU-variant door de EDPB goedgekeurd in december 2024), maar zij wacht per juni 2026 nog op RvA-accreditatie en mag tot die tijd geen formele AVG-certificaten uitgeven [B34]. Privacy Verified, het bekendste commerciële privacy-keurmerk, is een initiatief van ICTRecht; de audits worden door ICTRecht uitgevoerd en het certificaat loopt via Privacy Verified [B35]. Toch fungeren zulke keurmerken, naast informatiebeveiligingsnormen als ISO 27701 en NEN 7510 die geen AVG-certificering zijn, in aanbestedingen en marketing als privacy-bewijs. In aanbestedingen komt dat bewijs in drie smaken: hard verplichte informatiebeveiligingsnormen (NEN 7510 voor de zorg, BIO voor rijksleveranciers, geen van beide AVG-certificering), regelmatig gevraagde benchmarks (ISO 27001, ISO 27701 als add-on), en zachte formuleringen (‘een privacy-keurmerk’, ‘aantoonbaar AVG-compliant’) die de leverancier de ruimte geven een willekeurig commercieel keurmerk te overleggen zonder dat de inkoper de juridische betekenis kan toetsen. Een aanbesteding die een AVG artikel 42-erkend certificaat zou eisen, zou per definitie geen aanbieder kunnen vinden [B33].
Het keurmerk aan de muur zegt daarmee niets over de feitelijke praktijk in de browser; DEEL I levert daarvoor het bewijs. Een organisatie kan aantoonbaar gecertificeerd zijn en tegelijk een website draaien die bezoekers na een weigerklik blijft doormelden aan advertentie-eindpunten. De certificering toetst het managementsysteem en het papierwerk, niet de live site. Daarmee verifieert het enige signaal waarop een burger, inkoper of bestuurder zou kunnen afgaan om te denken ‘dit zit goed’ precies het verkeerde.
6.2 Werkgever en wetgever: de Van der Linden-drieslag
Drie afzonderlijk gedocumenteerde feiten, in dezelfde periode.
✓ Eén: de werkgroep tijdens een onaangemeld dienstverband. Op 1 december 2025 begon Marjolein van der Linden, sinds 14 januari 2025 Eerste Kamerlid voor de VVD [B40] en sinds 2003 vicevoorzitter van branchevereniging NDP Nieuwsmedia [B39], feitelijk met haar werkzaamheden als manager public affairs bij DPG Media; de formele arbeidsovereenkomst ging 1 mei 2026 in, maar “in de praktijk” was zij vanaf december begonnen, na de overname van RTL door DPG, zo erkende zij zelf [B38]. Op 16 december 2025 stelden de gecombineerde Eerste Kamercommissies Digitalisering en EZ/KGG een werkgroep in voor de behandeling van het Digitaal pakket van de Europese Commissie, het pakket waarvan het e-dossier zelf vermeldt dat de Digitale Omnibus ook de privacyregels wijzigt. Leden: Kluit (GroenLinks-PvdA), Fiers (GroenLinks-PvdA), Van Langen-Visbeek (BBB), Van der Linden (VVD) en Van de Sanden. De werkgroep inventariseerde op 13 januari 2026 de informatiebehoefte en werd op 20 januari 2026 van haar taak ontheven [B37]. Gedurende die volledige werkgroep-periode vermeldde het functieregister van de Eerste Kamer nog “COO RTL Nederland”; de wijziging naar de DPG-functie volgde pas in april 2026, na persvragen van GeenStijl. Haar eigen reactie: “Ik realiseer me door uw vragen dat deze overgangssituatie vragen kan oproepen.” [B38]
✓ Twee: de bestuursverantwoordelijkheid voor het sectorstandpunt. Op 4 februari 2026, vier dagen na de presentatie van het coalitieakkoord, publiceerde NDP Nieuwsmedia haar positie over de Digital Omnibus: de branche verwelkomt vereenvoudiging, noemt de bestaande privacywetgeving “te complex en niet risicogericht genoeg”, maakt bezwaar tegen toestemming-als-enige-grondslag voor cookies, en noemt de voorziene uitzondering voor media service providers “in de praktijk onvoldoende” [B41]. Die lijn is niet nieuw: al in 2013 waarschuwden NDP en de Europese koepel ENPA tegen de ontwerp-Verordening Dataprotectie met als kernargument dat “behoud van mogelijkheden voor profiling bijdraagt aan verdienmodellen voor online journalistiek” [B42]. NDP staat voor digitale dossiers (EMFA, AI Act, DSA, DMA en andere) in het EU-transparantieregister [B43]. Dit dossier schrijft Van der Linden geen persoonlijke uitspraken toe; wat haar wél toe te rekenen valt is bestuursverantwoordelijkheid: het standpunt van 4 februari 2026 is het standpunt van een organisatie waarvan zij 22 jaar onafgebroken het op één na hoogste bestuurslid is [B39].
✓ Drie: de stilte van de fractie. In de twee schriftelijke inbrengrondes van de Eerste Kamer over de Omnibus leverde de VVD-fractie geen inbreng. Op 10 februari 2026 stelden GroenLinks-PvdA, BBB, D66 (mede namens PvdD), PVV, Volt en Fractie-Van de Sanden vragen; op 7 april 2026 deden GroenLinks-PvdA, D66, PVV en Fractie-Van de Sanden dat opnieuw [B37].
◆ De optelsom (sterk circumstantieel, en zo gemarkeerd): stilte is geen bewijs van beïnvloeding, en dit dossier beweert dat ook niet. Maar in een dossier waarin vrijwel alle andere fracties de regering schriftelijk bevroegen over de afzwakking van de AVG, zette de fractie van de senator die feitelijk in dienst was van de grootste belanghebbende niets op schrift. Schriftelijke vragen zijn openbaar en citeerbaar; stilte niet. Wat overblijft is de stem: de Eerste Kamer behandelt het Brusselse onderhandelingsresultaat naar verwachting in de tweede helft van 2026 of begin 2027, het kabinet heeft daar 22 van de 75 zetels [B48], en in die stemming stemt ook senator Van der Linden, dan ruim een jaar feitelijk in dienst van DPG Media. Geen bepaling in het Reglement van Orde verbiedt deze combinatie. Het is institutioneel verwijtbaar, niet juridisch onrechtmatig. Dat is het patroon van het hele dossier in één geval.
Haar formele verweer, dat zij geen lid is van de commissie OCW en daarom geen dossiers behandelt die haar hoofdfunctie raken [B38], is voor dit dossier dubbel onvoldoende: de Omnibus wordt in de Eerste Kamer niet door OCW behandeld maar door de commissies Digitalisering en EZ/KGG, en het e-dossier documenteert haar voorbereidende rol in precies dat dossier [B37].
6.3 De sector en de formatie: wat er wél en niet vaststaat
✓ Op 18 november 2025 stuurde een brede mediacoalitie op initiatief van Stichting Democratie en Media (SDM) een brandbrief aan informateur Buma. Ondertekenaars: vrijwel de hele mediasector, waaronder NOS, NPO, RTL Nederland, Talpa, DPG Media, Mediahuis, ANP, FD Mediagroep, NDP Nieuwsmedia, NLPO, RPO en NVJ. De brief bepleit een bewindspersoon voor Media en Technologie, geïntegreerd mediabeleid, snelle implementatie van EU-wetgeving zoals de AI Act, en strengere regels tegen illegale datascraping [B44]. De brief bevat geen expliciete vraag om versoepeling van cookie-regels. SDM, de initiatiefnemer, is zelf met 14,27 procent mede-eigenaar van DPG Media [B44]: een pleitbezorger met een direct financieel belang in de sector waarvoor zij pleit. Of en hoe de brandbrief-wensen in het coalitieakkoord ‘Aan de slag’ (30 januari 2026) zijn geland, vergt directe inzage in de akkoordtekst en staat als open vraag in bijlage C.
✓ Het feitelijke kabinetsoptreden in Brussel beweegt intussen niet met de sectorinzet mee, maar ertegenin: het BNC-fiche van 12 december 2025 uit “grote zorgen” dat de Omnibus-wijzigingen “het beschermingsniveau van grondrechten wezenlijk verminderen zonder effectief bij te dragen aan lastenverlichting”, en op 8 april 2026 stuurde staatssecretaris Van Bruggen (D66, J&V) een non-paper naar Brussel waarin het kabinet zich verzet tegen de AVG-versoepelingen en pleit voor het schrappen van de meest omstreden artikelen [B46].
✓ Verdere gedocumenteerde sector-overheid-verbindingen: de collectieve beheersorganisatie Stichting Organisatie voor PersuitgeversRecht (OPR), die het persuitgeversrecht beheert namens elf Nederlandse uitgevers en omroepen (onder wie DPG Media, Mediahuis, RTL Nederland, NPO en RPO; directeur Pim Stouten), sloot een licentieovereenkomst met Google onder het Extended News Previews-programma, publiek aangekondigd op 15 en 16 april 2025; bedrag en voorwaarden zijn niet openbaar [B49][B50]. Voor een collectieve regeling die de financiële verhouding tussen de volledige nieuwssector en Google vastlegt, is dat transparantieniveau zelf een bevinding. En de personele continuïteit in de branche zelf: Frits Campagne was voorzitter van NDP Nieuwsmedia van juni 2014 tot juni 2020, destijds CEO van De Persgroep Nederland (nu DPG Media); hij werd opgevolgd door Rien van Beemen, CEO van Mediahuis Nederland [B45]. De brancheorganisatie wordt dus afwisselend voorgezeten door bestuurders van de twee grootste uitgevers; NDP Nieuwsmedia behoorde tot de ondertekenaars van de brandbrief [B44].
✓ Tot slot de personele lijn op de toezichtsposities, beperkt tot wat per persoon hard vaststaat:
| Persoon (VVD) | Positie | Gedocumenteerde handeling |
|---|---|---|
| Sander Dekker | minister Rechtsbescherming, Rutte III | voerde de aangenomen motie-Hijink niet uit (Kamerstuk 25268-197) [B8] |
| Dilan Yeşilgöz | minister J&V Rutte IV; nu minister van Defensie en eerste viceminister-president (Jetten) | won de publieksprijs Big Brother Awards 2023 (42%) wegens de terreurlijst/NCTV-kwestie; de expertprijs ging dat jaar naar Meta, X en Telegram [B26][B47] |
| David van Weel | minister J&V, Schoof en Jetten | beantwoordde in augustus 2025 een expliciete Kamervraag over Palantir-gebruik ontkennend terwijl het contract intern bekend was; informeerde de Kamer op 20 april 2026 alsnog [B30] |
| Eric van der Burg | staatssecretaris BZK (Logius/DigiD valt onder BZK) | gaf eind maart 2026 toestemming voor verlenging van het Solvinity-DigiD-contract; de aangenomen motie-Kathmann c.s. om niet te verlengen werd niet gevolgd [B51] |
| Marjolein van der Linden | Eerste Kamerlid | zie 6.2 [B37][B38] |
Sander Dekker · VVD
Minister Rechtsbescherming (Rutte III).
Voerde de aangenomen motie-Hijink (9 feb 2021) niet uit: 'geen financiële dekking', besluit doorgeschoven naar een volgend kabinet.
Dilan Yeşilgöz · VVD
Minister J&V (Rutte IV); nu minister van Defensie en eerste viceminister-president (Jetten).
Big Brother Awards 2023: publieksprijs (terreurlijst/NCTV-kwestie).
David van Weel · VVD
Minister J&V (Schoof en Jetten).
Beantwoordde in aug 2025 een expliciete Kamervraag over Palantir ontkennend terwijl het contract intern bekend was; Kamer pas 20 apr 2026 alsnog geïnformeerd.
Eric van der Burg · VVD
Staatssecretaris BZK (Logius/DigiD).
Gaf eind maart 2026 toestemming voor de Solvinity-verlenging; de aangenomen motie om niet te verlengen werd niet gevolgd.
Marjolein van der Linden · VVD
Eerste Kamerlid sinds 14 jan 2025; vicevoorzitter NDP sinds 2003.
EK-werkgroep Digitaal pakket tijdens onaangemeld DPG-dienstverband; register pas in april 2026 bijgewerkt; VVD-fractie leverde in beide Omnibus-inbrengrondes geen inbreng.
De branchelijn
NDP-voorzitterschap: Campagne (CEO De Persgroep) 2014-2020, daarna Van Beemen (CEO Mediahuis).
18 nov 2025: brandbrief van de mediacoalitie aan informateur Buma, initiatief van SDM, zelf 14,27% aandeelhouder van DPG Media.
Wat dit wel en niet is
De continuïteit van één partij op de posities die het AP-budget en de privacy-dossiers raken is een gedocumenteerd feit; een gecoördineerde strategie is niet aangetoond en wordt niet beweerd. Nuance die de andere kant op wijst: het non-paper van 8 april 2026 verzet zich juist tegen de AVG-versoepeling.
Wat dit dossier hieruit concludeert is beperkt en expliciet: de continuïteit van één partij op de posities die het AP-budget en de privacy-dossiers raken is een feit; een gecoördineerde strategie is daarmee niet aangetoond en wordt niet beweerd. De begrotingskeuze rond de AP is bovendien door alle coalities sinds 2021, met wisselende samenstelling, geaccepteerd [B1].
7. De parallelle overheid
✓ Hetzelfde handhavingsvacuüm raakt de overheid zelf. De AP beboette de Belastingdienst tweemaal: 2,75 miljoen euro (december 2021) voor discriminerende risicoprofielen bij de kinderopvangtoeslag op basis van onder meer dubbele nationaliteit, en 3,7 miljoen euro (april 2022) voor de Fraude Signalering Voorziening, een zwarte lijst die sinds 2001 274.000 mensen registreerde, met onder meer nationaliteit en anonieme tips als aanwijzing; de AP constateerde zes overtredingen tegelijk [B58]. AP-voorzitter Wolfsen bij die tweede boete: “Je kunt niet besluiten om je toeslagen maar ergens anders aan te vragen of je belastingaangifte ergens anders te doen.” [B58] Beide boetes liepen van overheidskas naar overheidskas, zonder gevolg voor enige verantwoordelijke: het bedrag wordt afgeschreven van het werkbudget van de Belastingdienst en keert via het CJIB terug in dezelfde schatkist. SyRI werd in 2020 niet door de politiek maar door de rechter gestopt (ECLI:NL:RBDHA:2020:865) [B57]. Nixon Digital stelde in maart 2026 vast dat 207 van 339 gemeenten (61 procent) Big Tech-diensten laden vóór toestemming, 70 gemeenten Google Analytics [B28].
✓ En het ministerie van Justitie en Veiligheid zelf: Follow the Money onthulde op 25 april 2026, op basis van Woo-documenten, een Palantir-contract uit 2014 (gesloten via de Programmadirectie Identiteitsmanagement en Immigratie), gebruikt door de Koninklijke Marechaussee van circa mei 2009 tot maart 2015; een vrijgegeven offerte noemt 162.527,08 euro voor drie maanden huurlicenties. Minister Van Weel had in augustus 2025 ontkennend geantwoord op een expliciete Kamervraag, terwijl een NCTV-ambtenaar het contract op 24 juli 2025 intern had rondgemaild; de Kamer werd op 20 april 2026 alsnog geïnformeerd [B30]. De politie gebruikt Palantir sinds 2011, Defensie sinds 2010 [B32]. Nieuwe Kamervragen (2026Z09077) vragen de minister inmiddels expliciet of zijn eerdere antwoord “correct en compleet” was, en om een integraal overzicht van alle Palantir-contracten van de Nederlandse overheid [B31]. Figuur 5 plaatst de dossiers naast elkaar, met de toezichthouder als gemeenschappelijke factor.
8. Internationale inbedding
✓ Het Nederlandse patroon staat niet op zichzelf. Het Irish Council for Civil Liberties becijferde in 2022 dat de gemiddelde Europese internetgebruiker 376 keer per dag voorkomt in Real-Time Bidding-veilingen waarin bedrijven surfgedrag, locatie en interesses ontvangen [B53]; de Nederlandse nieuwssites uit DEEL I en III zijn op die keten aangesloten. Het Hof van Justitie oordeelde in C-604/22 (maart 2024) dat de TC-string van het IAB Europe Transparency and Consent Framework, het standaard toestemmingsmechanisme van vrijwel alle Nederlandse nieuwssites, een persoonsgegeven is en dat IAB Europe als (gezamenlijk) verwerkingsverantwoordelijke kwalificeert; het framework werd niet integraal onwettig verklaard, maar valt daarmee volledig binnen de AVG, en het Brusselse Marktenhof nuanceerde de onderliggende Belgische beslissing in 2025 deels [B54]. Sinds het arrest is in Nederland geen handhavingsactie tegen TCF-gebruikers ingesteld. Over de Digital Omnibus zelf publiceerden de EDPB en de EDPS in januari en februari 2026 kritische gezamenlijke opinies (1/2026 en 2/2026), in lijn met de zorgen die het Nederlandse kabinet in het BNC-fiche en non-paper uitte [B37][B46]. Een onderzoeksteam van onder meer IMDEA Networks, de Radboud Universiteit en de KU Leuven toonde aan dat Meta en Yandex jarenlang via localhost-poorten meeluisterden met mobiele browsers; beide bedrijven staakten de praktijk op 3 juni 2025, kort na openbaarmaking, zonder Europese handhavingsreactie [B56]. En de BNR/Secura-aankoop van Nederlandse locatiedata (80+ GB via Datarade, vanaf 2.000 dollar per maand, met traces tot in de Frederikkazerne; de claim dat het om bijna de helft van de Nederlandse telefoons gaat is een marketingclaim van leverancier Datastream) laat zien hoe dezelfde dataketen doorverkoopt aan wie betaalt [B29]. De juridische basis voor handhaving is er; de handhaving niet.
9. Hefbomen en handelingsperspectief
Voor de Autoriteit Persoonsgegevens, zonder extra budget. De meting in DEEL I is met bestaande bevoegdheden te herhalen; de hulpverleningssites vormen onder AVG artikel 9, in de ruime uitleg van C-184/20 [B55], de juridisch sterkste en maatschappelijk urgentste categorie voor één gerichte handhavingsactie met sectorbrede signaalwerking.
Voor de Tweede Kamer. Drie vragen liggen klaar. Eén: waarom daalt het geoormerkte cookie-budget naar 350.000 euro terwijl de eigen Kamer in 2021 per motie om het KPMG-niveau vroeg [B5][B6]? Twee: is het kabinet bereid een bekostigingsgrondslag naar het model van de Wet bekostiging financieel toezicht te verkennen, waarbij de datasector, zoals de financiële sector bij de AFM, bijdraagt aan het toezicht dat haar betreft [B13]? Drie: het integrale Palantir-overzicht waar Kamervragen 2026Z09077 om vragen [B31].
Voor de Eerste Kamer. De Omnibus-behandeling (tweede helft 2026 of begin 2027) is het beslismoment; het kabinet heeft er een minderheid van 22 van 75 zetels [B48]. De vraag of senator Van der Linden zich bij die stemming zal verschonen is per 10 juni 2026 onbeantwoord; geen regel verplicht haar daartoe. Dit dossier noteert het beslismoment, niet de uitkomst.
Voor onderzoeksjournalistiek. Vijf gedocumenteerde aanknopingspunten met open eindes: de letterlijke media- en privacypassages in het coalitieakkoord (bijlage C), de inhoud van de OPR-Google-overeenkomst [B49], de registertelling van Privacy Verified (bijlage C), de DPIA-status van de rijksbrede statistiekvoorziening (deeldossier), en de uitkomst van de BTI-toets op de Solvinity-overname [B51].
Voor burgers en de civiele route. De drie Xandr-zaken bewijzen dat twee burgers met een advocaat kunnen afdwingen wat de toezichthouder laat liggen, inclusief de principe-overweging van r.o. 4.34 [B19]. Dat model is herhaalbaar voor iedere site uit DEEL I.
10. Tijdlijn
| Datum | Gebeurtenis |
|---|---|
| nov 2020 | KPMG-rapport: AP heeft 470 fte / ca. 66 mln nodig; bezetting dan 184 fte [B3] |
| 9 feb 2021 | Motie-Hijink aangenomen (96 voor; VVD, CDA en FvD tegen) [B6][B7] |
| 1 mrt 2021 | Dekker voert de motie niet uit (Kamerstuk 25268-197) [B8] |
| jan 2022 | EIB-lening 1 aan DPG: 100 mln [B23] |
| 7 dec 2021 / 12 apr 2022 | AP-boetes Belastingdienst: 2,75 mln en 3,7 mln [B58] |
| 5 dec 2023 | Eerste Xandr-vonnis (Hof Amsterdam) [B17] |
| jan 2024 | BNR/Secura kopen Nederlandse locatiedata, traces tot in de Frederikkazerne [B29] |
| mrt 2024 | HvJ C-604/22: TC-string is persoonsgegeven; IAB Europe medeverantwoordelijk [B54] |
| 7 jun 2024 | Tweede Xandr-vonnis [B18] |
| jul 2024 | AP beboet Kruidvat: 600.000 euro [B21] |
| 19 dec 2024 | EIB-lening 2 ondertekend: 120 mln (publiek aangekondigd 12 feb 2025) [B22] |
| 12 feb 2025 | Derde Xandr-vonnis (vzr): r.o. 4.34; dwangsom max 50.000 per gedaagde [B19] |
| 15/16 apr 2025 | OPR-Google ENP-overeenkomst publiek aangekondigd; voorwaarden niet openbaar [B49] |
| 27 jun 2025 | ACM keurt DPG-RTL-overname (1,1 mld) goed [B61] |
| 24 sep 2025 | RvS bevestigt DPG-boete: 262.500 definitief [B20] |
| 18 nov 2025 | Brandbrief mediacoalitie (SDM-initiatief) aan informateur Buma [B44] |
| 1 dec 2025 | Van der Linden feitelijk aan de slag bij DPG; register vermeldt nog COO RTL [B38] |
| 12 dec 2025 | BNC-fiche: grote zorgen over AVG-versoepeling Omnibus [B46] |
| 16 dec 2025 | EK-werkgroep Digitaal pakket ingesteld, met Van der Linden [B37] |
| 13 jan 2026 | Werkgroep inventariseert informatiebehoefte Omnibus [B37] |
| 20 jan 2026 | Werkgroep van taak ontheven; rapporteurs worden later Van de Sanden, Fiers, Panman [B37] |
| 20 jan / 10 feb 2026 | Kritische EDPB/EDPS-opinies over Omnibus AI en Digital Omnibus [B37] |
| 30 jan 2026 | Coalitieakkoord ‘Aan de slag’ gepresenteerd (inhoud media/privacy-passages: bijlage C) |
| 4 feb 2026 | NDP-standpunt Digital Omnibus: privacywetgeving “te complex en niet risicogericht genoeg” [B41] |
| 10 feb 2026 | Eerste EK-inbrengronde Omnibus; geen VVD-inbreng [B37] |
| 23 feb 2026 | Kabinet-Jetten beëdigd; EK-minderheid 22/75 [B47][B48] |
| 24 feb / 24 mrt 2026 | Eerste Kamer plaatst parlementair behandelvoorbehoud bij de omnibussen en heft het na informatieafspraken op [B37] |
| 17 mrt 2026 | Nixon Digital: 61% van gemeenten deelt data met Big Tech vóór consent [B28] |
| eind mrt 2026 | Van der Burg (stas BZK) geeft toestemming Solvinity-verlenging [B51] |
| 7 apr 2026 | Tweede EK-inbrengronde Omnibus; opnieuw geen VVD-inbreng [B37] |
| 8 apr 2026 | Non-paper: kabinet verzet zich in Brussel tegen AVG-versoepelingen [B46] |
| apr 2026 | Functieregister EK aangepast na persvragen GeenStijl [B38] |
| 20 apr 2026 | Van Weel informeert Kamer alsnog over Palantir-Woo-besluit [B30] |
| 25 apr 2026 | FTM publiceert Palantir-Marechaussee-onderzoek [B30] |
| 2-10 mei 2026 | Eigen scans: 100 sites, 104 sites, 106 organisaties [B59] |
| 6 mei 2026 | Kort geding Solvinity afgewezen (ECLI:NL:RBDHA:2026:12862); contract 2 jaar verlengd [B52] |
| 12 jun 2025* | Kruidvat-boete in bezwaar verlaagd naar 50.000 euro [B21] |
| 10 jun 2026 | Externe validatieronde verwerkt; deze versie 2.0 |
*chronologisch hoort 12 juni 2025 tussen de OPR-aankondiging en de RvS-uitspraak; hier uitgelicht naast de oorspronkelijke boete.
Slot
De kern van dit dossier is niet dat individuele partijen de wet overtreden; overtredingen worden overal begaan en soms bestraft. De kern is dat de wet op dit terrein structureel niet gehandhaafd kán worden, en dat elke schakel van die onmacht afzonderlijk verdedigbaar is. Een kabinet kan uitleggen waarom een motie financiële dekking miste [B8]. Een toezichthouder kan uitleggen waarom zij prioriteert [B4]. Een certificeerder kan uitleggen dat hij het managementsysteem toetst en niet de website [B33]. Een senator kan uitleggen dat geen regel haar combinatie van functies verbiedt [B38]. Elk van die uitleggen klopt. De optelsom is dat een bezoeker van een zelfmoordpreventiesite om 02.00 uur ‘s nachts wordt doorgemeld aan commerciële advertentie-eindpunten, nadat hij nee heeft geklikt, zonder dat enige instantie dat structureel onderzoekt [B59].
Versie 1.0 van dit dossier eindigde met de zin dat het dossier het mechanisme zichtbaar maakt, en dat wat ermee gebeurt een vraag is voor wie het leest. Die zin blijft staan. Deze versie voegt er de validatie aan toe: elke claim die deze conclusie draagt is nu hard gemaakt of expliciet als open vraag gemarkeerd. Het mechanisme is er niet zwakker op geworden; het is er controleerbaarder op geworden.
Verwijzingen
De verantwoording is achterin dit document opgenomen:
- Bijlage A · cijfers (single source of truth)
- Bijlage B · scanner-methodologie, scoringskader en integriteitsborging (SHA256 + OpenTimestamps)
- Bijlage C · onderzoeksagenda: alle openstaande en niet-verifieerbare punten, als vraag geformuleerd
- Bijlage D · bronnen per claim ([B1]-[B62])
- Changelog · alle wijzigingen ten opzichte van versie 1.0, met reden en bestemming
Het deeldossier Soevereiniteitstheater (Cloud Act-blootstelling van de Nederlandse digitale overheid: Piwik PRO/DPC, Solvinity-DigiD, soevereine-cloudclaims) is een afzonderlijk werkdocument (v0.1) en volgt apart.
Colofon
Het Nederlandse privacy-stelsel, versie 2.0 · werkdocument, 10 juni 2026. Auteur: Mick Beer (mickbeer.com · mijnoverheid.us). Legal governance: Mr. Vincent Mans. Versie 1.0 verscheen op 10 mei 2026 (75 pp). Op 10 juni 2026 is een externe validatieronde uitgevoerd waarin de kernclaims aan primaire bronnen zijn getoetst; het daaruit voortgekomen erratum (E1 t/m E11) en de aanvullende verificaties zijn in deze versie 2.0 integraal verwerkt. De wijzigingen ten opzichte van v1.0 zijn per onderdeel gedocumenteerd in CHANGELOG-v2.0. Niets uit v1.0 is weggegooid: geschrapt materiaal staat traceerbaar in het deeldossier, de bijlagen of de onderzoeksagenda.
Bijlage A · Cijfers (single source of truth)
Alle cijfers in het hoofddossier verwijzen naar deze tabel en moeten hiermee overeenstemmen. Bij conflict tussen een passage en deze bijlage wint deze bijlage. Bronverwijzingen [Bn] resolveren in bijlage D.
| Grootheid | Waarde | Peildatum | Bron |
|---|---|---|---|
| AP-budget | 24,6 mln → 55,8 mln → 53,5 mln → ~51 mln | 2021 / 2025 / 2026 / 2030 | [B1] Miljoenennota’s, iBestuur |
| AP-fte | 184 (2021) → formatie 260, bezetting 251+ (eind 2023); in 2024 verder gegroeid (106 nieuwe collega’s) | 2021 / eind 2023 / 2024 | [B2] AP-jaarverslagen |
| KPMG-norm | 470 fte / ca. 66 mln per jaar | rapport nov 2020 | [B3] Kamerstuk 25268-192 |
| AP-eigen behoefte | minimaal 100 mln per jaar | 2021 / herhaald 2024 | [B4] |
| Cookie-toezichtbudget | 0,5 mln per jaar (2024-2026), structureel 0,35 mln vanaf 2027 | toezegging sept 2023 | [B5] Kamerbrief Van Huffelen |
| Motie-Hijink | Kamerstuk 27529-240; aangenomen 9 feb 2021, 96 stemmen voor; tegen: VVD, CDA, FvD | feb 2021 | [B6][B7] |
| Weigeringsbrief Dekker | 1 maart 2021, Kamerstuk 25268-197 | mrt 2021 | [B8] |
| AFM | lasten 175,5 mln, 918 fte begroot (878 in 2025); sectorbekostigd (Wbft); groei 85,3 → 165,9 mln over 2013-2025 | begroting 2026 | [B11][B12][B13] |
| ACM | 74 mln (2020) / 78,8 mln (2023); ~641 fte (peiljaar 2020) | 2020/2023 | [B14] |
| NVWA | ~2.440 fte | peiljaar 2020 | [B15] |
| DPG Media | omzet 2,0 mld; advertentie-omzet 753 mln (print+rtv+digitaal samen; groei door RTL, organisch vlak); EBITDA 440 mln; nettowinst 238 mln | boekjaar 2025 | [B16] |
| RTL-overname | 1,1 mld; ACM-goedkeuring 27 juni 2025 | 2025 | [B61] |
| EIB-leningen DPG | 100 mln (aangekondigd jan 2022) + 120 mln (ondertekend 19 dec 2024, publiek aangekondigd 12 feb 2025, persbericht 2025-076); totaalplan 392 mln 2024-2026, ~30% EIB; ~50 mln voor Trusted Web | 2022-2025 | [B22][B23][B24] |
| Epifin-dividend | 35 mln over boekjaar 2024; cumulatief ~409 mln bruto sinds 2012 | 2025 | [B25] |
| RvS-boete DPG | 525.000 (AP, feb 2022) → 262.500 definitief (RvS 24 sept 2025) | 2022-2025 | [B20] ECLI:NL:RVS:2025:4562 |
| Kruidvat-boete | 600.000 (AP, juli 2024) → 50.000 in bezwaar (12 juni 2025) | 2024-2025 | [B21] |
| Xandr-vonnissen | ECLI:NL:GHAMS:2023:2971 (5 dec 2023); ECLI:NL:RBAMS:2024:3331 (7 jun 2024, max dwangsom 25.000); ECLI:NL:RBAMS:2025:885 (vzr 12 feb 2025: 500 per overtreding of 1.000 per dag, max 50.000 per gedaagde; r.o. 4.34; deskundigenrapporten M. Stoter, Collective Shift, 20 dec 2024; eisers twee burgers, gemachtigde mr. M.H.L. Hemmer) | 2023-2025 | [B17][B18][B19], vonnistekst :885 integraal geraadpleegd 10 juni 2026 |
| Trusted Web | 114 advertentiepartners + ~50 DPG-dochterbedrijven | 2024/2025 | [B27] FTM; [B26] BBA-jury |
| BBA 2024 | expertprijs: DPG Media (tracken/profileren nieuwsconsumenten); publieksprijs: Minister van Financiën | jan 2025 (uitreiking over 2024) | [B26] |
| BBA 2023 | publieksprijs (42%): Yeşilgöz (terreurlijst/NCTV); expertprijs: Meta, X en Telegram | dec 2023/jan 2024 | [B26] |
| Piwik PRO bij rijksoverheid | ten minste 600 sites, via DPC, sinds 2013 | 2025 | [B36] piwik.pro success story |
| Gemeenten | 207 van 339 (61%) laden Big Tech vóór consent; 70 met Google Analytics; 99,5% Google | 17 mrt 2026 | [B28] Nixon Digital |
| BNR/Secura-locatiedata | 80+ GB via Datarade, leveranciers Datastream Group (VS) en Factori.ai (SGP), vanaf 2.000 dollar/mnd; traces incl. Frederikkazerne; “bijna de helft van de Nederlandse telefoons” is een Datastream-marketingclaim | jan 2024 | [B29] |
| Palantir-Marechaussee | contract 2014 via Programmadirectie IDMI; KMar-gebruik ±mei 2009 - mrt 2015; offerte 162.527,08 (3 mnd, ‘Elise en Palantir’); Kamer onvolledig geantwoord aug 2025; Woo-besluit gemeld 20 apr 2026; vervolg-Kamervragen 2026Z09077 | apr-jun 2026 | [B30][B31] |
| Politie/Defensie Palantir | Politie sinds 2011, Defensie sinds 2010 | onthuld 2025 | [B32] |
| Belastingdienst-boetes | 2,75 mln (7 dec 2021, kinderopvangtoeslag) + 3,7 mln (12 apr 2022, FSV: 274.000 mensen) | 2021-2022 | [B58] |
| SyRI | onverbindend 5 feb 2020, ECLI:NL:RBDHA:2020:865 (EVRM art. 8) | 2020 | [B57] |
| Solvinity-DigiD | kort geding afgewezen 6 mei 2026, ECLI:NL:RBDHA:2026:12862; contract 2 jaar verlengd; motie-Kathmann c.s. aangenomen, niet gevolgd; BTI/Vifo-toets loopt | mei-jun 2026 | [B51][B52] |
| SDM-belang DPG | 14,27% (en 10% De Correspondent) | actueel | [B44] sdm.nl |
| Brandbrief | 18 november 2025, SDM-initiatief (dir. Nienke Venema) aan informateur Buma; inhoud: bewindspersoon Media en Technologie, geïntegreerd mediabeleid, snelle AI Act-implementatie, regels tegen illegale datascraping; GEEN cookie-versoepelingsvraag | 18 nov 2025 | [B44] sdm.nl, itenrecht.nl |
| OPR-Google | ENP-licentieovereenkomst, publiek aangekondigd 15/16 april 2025; bedrag/voorwaarden niet openbaar; elf aangesloten uitgevers/omroepen | apr 2025 | [B49][B50] |
| Kabinet-Jetten | beëdigd 23 feb 2026 (D66/VVD/CDA-minderheid); EK 22/75, TK 66/150; Van Weel (VVD) J&V; Van Bruggen (D66) stas J&V; Heerma (CDA) BZK; Van der Burg (VVD) stas BZK (Logius/DigiD onder BZK); Heinen (VVD) Financiën; Yeşilgöz (VVD) Defensie + 1e viceminister-president; Aerdts (D66) stas Digitale Economie en Soevereiniteit | feb 2026 | [B47][B48] |
| Van der Linden | EK-lid VVD sinds 14 jan 2025; vicevoorzitter NDP sinds 2003; DPG-functie feitelijk 1 dec 2025, formeel 1 mei 2026, register aangepast apr 2026 na persvragen; lid EK-werkgroep Digitaal pakket 16 dec 2025 - 20 jan 2026 | 2025-2026 | [B37][B38][B39][B40] |
| EK-inbrengrondes Omnibus | 10 feb 2026 (GL-PvdA, BBB, D66 mede PvdD, PVV, Volt, Fractie-Van de Sanden) en 7 apr 2026 (GL-PvdA, D66, PVV, Fractie-Van de Sanden); geen VVD-inbreng in beide | 2026 | [B37] |
| Non-paper | 8 april 2026, NL-kabinet verzet zich tegen AVG-versoepelingen Digital Omnibus; BNC-fiche 12 dec 2025 (36.890-A): wijzigingen “kunnen het beschermingsniveau van grondrechten wezenlijk verminderen zonder effectief bij te dragen aan lastenverlichting” | 2025-2026 | [B46] |
| Campagne/Van Beemen | Campagne voorzitter NDP 19 jun 2014 - 23 jun 2020 (destijds CEO De Persgroep Nederland); opgevolgd door Van Beemen (CEO Mediahuis Nederland) | 2014-2020 | [B45] |
| Scans | 100 sites (2 mei 2026): 455 bevindingen (110 kritiek, 252 ernstig, 93 let op), 73/100 ≥1 kritiek, refuse effectief 0/44, CNAME-cloaking 49/100; 104 sites (9-10 mei): 89 kritiek, 383 ernstig, 138 let op, 115 CNAME; 106 organisaties (10 mei) | mei 2026 | [B59] eigen scans, OTS-geborgd |
| ICCL/RTB | 376 RTB-veilingen per gebruiker per dag (EU) | 2022 | [B53] |
| HvJ C-604/22 | TC-string = persoonsgegeven; IAB Europe (gezamenlijk) verwerkingsverantwoordelijk; framework niet integraal onwettig verklaard; Marktenhof 2025 nuanceerde deels | mrt 2024 / 2025 | [B54] |
| HvJ C-184/20 | ruime uitleg van gegevens die een bijzondere categorie “onthullen” (art. 9 AVG) | aug 2022 | [B55] |
| Xandr-merk | merknaam ingetrokken juni 2023; buy-side Invest gesloten per begin 2026; adserver-functie onder Microsoft Advertising | 2023-2026 | [B62] |
NB-context, niet in hoofdtekst gebruiken zonder aparte verificatie: De Rijkste Belgen meldt over boekjaar 2025 een Epifin-recorddividend van 90 mln [B25-NB].
Bijlage B · Methodologie en integriteitsborging
B.1 Scanner-methodologie (verplaatst uit hoofdtekst v1.0, §1.3-1.4)
De technische bewijslast is verzameld met de BeforeYouMick-scanner (100-sites-meting: v3.3.1, 2 mei 2026, 23:05-00:02 CEST; 104-sites-meting: v3.7, 9-10 mei 2026; 106-organisaties-meting: v3.7/v3.8, 10 mei 2026). De scanner is een Python-Playwright-tool: headless Chromium (build 1217), DNS-resolver Cloudflare 1.1.1.1, schone browsercontext per sessie (geen cookies, geen storage, geen extensies, geen profieldata).
Per site worden drie sessies uitgevoerd:
- noop · laad de pagina, klik niets aan, registreer wat de site uit zichzelf zet;
- refuse · laad de pagina, zoek heuristisch een knop met tekst zoals ‘weigeren’, ‘afwijzen’, ‘alleen noodzakelijk’, klik die aan, registreer wat blijft draaien;
- accept · laad de pagina, klik ‘accepteren’, registreer de volledige tracking-stack.
Per sessie worden vastgelegd: cookies (naam, domein, levensduur, samesite, secure, httpOnly, first/third party), localStorage en sessionStorage, alle netwerkrequests met externe-domeintellingen, gedetecteerde trackerscripts en pixels, response-headers, en aanwezigheid plus zichtbaarheid van de consentbanner. Voor elk subdomein wordt een DNS CNAME-lookup uitgevoerd tegen een vendordatabase (onder meer Adobe data.adobedc.net, demdex.net, omtrdc.net; Piwik PRO; Hotjar; Criteo; ContentSquare) om first-party cloaking te detecteren. De drie modi worden per site vergeleken om te bepalen welke trackers persistent blijven na een weigerklik; een weigerknop die het probleem niet oplost wordt expliciet gerapporteerd.
Beperkingen. De scan meet wat browserzijdig waarneembaar is. De serverzijdige configuratie (welke cloudregio, welke sleutels, welke contractuele waarborgen) is niet openbaar en wordt door deze methode niet ontsloten. Sites die de test blokkeren (firewall, bot-detectie, redirect-cyclus) worden gerapporteerd als niet meetbaar met deze methode; blokkade is staande beveiligingspraktijk en wordt niet als bevinding tegen de organisatie geteld.
Voor de niet-technische bevindingen is uitsluitend gewerkt met primaire openbare bronnen (jurisprudentie, Kamerstukken, jaarverslagen, registers, vendor-eigen publicaties); iedere claim in het hoofddossier draagt een [Bn]-verwijzing naar bijlage D.
B.2 Bewijsklassen
- ✓ Hard bewezen openbaar · primaire openbare bron met vindplaats; door iedere lezer binnen minuten na te trekken.
- ◆ Sterk circumstantieel · combinatie van openbare bronnen tot een conclusie die geen van de bronnen afzonderlijk uitspreekt, of eigen technische meting, reproduceerbaar met dezelfde methode; in de hoofdtekst altijd expliciet gemarkeerd, met de redenering erbij.
- ? Vermoeden · plausibel op basis van patroonherkenning, zonder hard bewijs. Komt in de hoofdtekst van v2.0 niet voor; alle ?-punten staan als onderzoeksvraag in bijlage C.
B.3 Privacy Schending Coëfficiënt (PSC), verplaatst uit hoofdtekst
De PSC is een eigen, interne scoringsformule die scanbevindingen weegt naar ernst (kritiek/ernstig/let op), persistentie na weigeren, en gevoeligheid van de context, en die vertaalt naar een categorie (Sound, Concern, Risk, Lek) met een sterrenwaardering. De formule dient voor rangschikking en triage binnen het eigen onderzoek; zij is geen juridische maatstaf en wordt daarom in de hoofdtekst van v2.0 niet meer als bewijs aangevoerd. Referentiewaarden uit de meting van mei 2026: autoriteitpersoonsgegevens.nl PSC 2 (Sound); humanitas.nl PSC 200 (Concern); centrumseksueelgeweld.nl PSC 367 (Risk).
B.4 Integriteitsborging (samenvatting van Bijlage A uit v1.0)
De rauwe scanner-output is JSON per site. Van ieder bestand is een SHA256-checksum berekend; de checksums zijn verankerd via OpenTimestamps (Bitcoin-blockchain-anker, gedateerd 10 mei 2026). Wie later aan de scan-data twijfelt hoeft de auteur niet te vertrouwen: een sha256sum op de geleverde JSON, een ots verify op de bijbehorende .ots en een blockchain-lookup geven samen een onafhankelijk integriteitsbewijs. De borging bewijst integriteit en ouderdom van de output; zij bewijst niet dat de scanner foutloos is of dat bevindingen juridisch standhouden. Dat blijft inhoudelijk onderzoek. Scanner-output is beschikbaar op verzoek via mickbeer.com.
Aanvullend geborgd voor deze versie: een screenshot met tijdstempel van de LinkedIn-getuigenis van 7 mei 2026 (deeldossier, casus 1), verankerd via OpenTimestamps, omdat social-media-bronnen kunnen verdwijnen.
Bijlage C · Onderzoeksagenda
Alle punten die de bewijslat van de hoofdtekst (✓, spaarzaam ◆) niet halen, geformuleerd als open onderzoeksvraag. Niets hiervan wordt in de hoofdtekst als bevinding gepresenteerd. Per vraag: wat er al wél ligt, en wat de vraag beslecht.
C.1 Politiek en formatie
- Wat staat er letterlijk in het coalitieakkoord ‘Aan de slag’ (30 januari 2026) over media, cookies, AVG en de Digital Omnibus? Ligt er al: de brandbrief van 18 november 2025 (inhoud geverifieerd) en het BNC-fiche/non-paper-traject (pro-bescherming). Beslecht door: directe inzage in de akkoordtekst. Tot die tijd wordt elke claim dat sectorwensen “gehonoreerd” zijn niet gedaan.
- Is Marjolein van der Linden bestuurslid van Stichting OPR (geweest)? Ligt er al: haar gedocumenteerde DPG-lobbyfunctie en de registerkwestie; de OPR-bestuursclaim uit v1.0 kon niet worden bevestigd. Beslecht door: OPR-jaarstukken of KvK-uittreksel van de stichting.
- Wie ondertekenden de brandbrief van 18 november 2025 op persoonsniveau? De organisatielijst is geverifieerd; individuele namen (Van Beemen, Sauvé, Wolswinkel en andere) niet. Beslecht door: de brieftekst zelf (itenrecht.nl-pdf) per naam na te lopen.
- Sprak het ministerie van Financiën bij het AFM-cryptodossier (2024) letterlijk van een “politiek niet haalbare” overheidsbijdrage? Beslecht door: vindplaats in de FD-berichtgeving of AFM-correspondentie; tot dan blijft het Wbft-contrast in DEEL II beperkt tot de wettelijke systematiek zelf.
- Exacte besluit- en debatdata Solvinity-verlenging: gaf staatssecretaris Van der Burg op precies 27 maart 2026 toestemming, en bleef die toestemming in het Kamerdebat van 21 april 2026 onvermeld? “Eind maart” en de aangenomen motie zijn geverifieerd; de exacte data en het debatverloop niet. Beslecht door: het stenogram en de besluitenlijst.
C.2 Keurmerken en vendors
- Hoeveel organisaties staan er feitelijk in het publieke Privacy Verified-register, en hoe verhoudt zich dat tot de marketingclaim van “meer dan 90 deelnemers”? De v1.0-telling (17, per 10 mei 2026) is niet onafhankelijk herhaald. Beslecht door: een gedateerde registertelling met archive.org-snapshot.
- Is ICTRecht sinds 18 december 2019 op Enterprise-niveau door Privacy Verified gecertificeerd? De initiatief-relatie (Privacy Verified = ICTRecht) is geverifieerd; dit detail niet. Beslecht door: certificaatregister of bedrijfseigen publicatie.
- Heeft Piwik PRO drie gelijktijdige rollen (partner, klant, leverancier) ten opzichte van Privacy Verified? Beslecht door: de /deelnemers-pagina, de cases-pagina en een nieuwe scan van privacyverified.nl, elk met snapshot.
- Is Piwik PRO sinds eind 2023 eigendom van Kirk Kapital, en wat is de feitelijke hostingkeuze van DPC (Azure-regio of Elastx)? De vendor-eigen hostingquotes zijn geborgd (deeldossier); eigendom en feitelijke configuratie niet. Beslecht door: KRS/handelsregister-uittreksel respectievelijk een Woo-verzoek aan DPC.
- Bestaat er een DPIA en een openbare aanbestedingsgeschiedenis voor dertien jaar rijksbrede Piwik PRO-inzet (ten minste 600 sites)? Beslecht door: Woo-verzoek aan AZ/DPC; het AVG-verwerkingsregister van de rijksoverheid is het startpunt.
C.3 De casus DPG
- Hoeveel advertentiepartners zijn actief op NU.nl, en klopt de eigen claim van 104? De v1.0-meting (138) is niet onafhankelijk bevestigd; het geverifieerde sectorcijfer is 114 Trusted Web-partners (FTM). Beslecht door: een reproduceerbare partner-telling met HAR-bewijs en snapshot van de eigen partnerlijst.
- Hanteren Trusted Web-partners bewaartermijnen tot 12 jaar? Door de BBA-jury genoemd, niet zelfstandig geverifieerd. Beslecht door: de partnervoorwaarden zelf.
- Wat is de digitale deel-advertentie-omzet van DPG? Wordt niet apart gepubliceerd; relevant voor elke verhoudingsberekening. Beslecht door: segmentinformatie in toekomstige jaarverslagen of uitspraken van het bedrijf zelf.
C.4 Inlichtingen- en locatiedata
- Wie waren de onderzoekers van het BNR/Secura-traject precies (de naam “Pols” is in één bron onzeker; elders wordt Eric van den Berg genoemd)? Beslecht door: de oorspronkelijke BNR-publicatie. Tot dan noemt het hoofddossier alleen BNR/Secura en Moonen niet-essentieel.
- Koopt of kocht de MIVD zelf commerciële locatiedata? Publiek niet bevestigd of ontkend; het Woo-verzoek hierover is onbeantwoord. Beslecht door: Woo-afhandeling of CTIVD-onderzoek.
C.5 Stelselvragen (de ?-claims uit v1.0)
- Functioneert de optelsom van vacuüm, keurmerken en verwevenheid als bewust onderhouden geheel? Het dossier documenteert de schakels en beweert geen opzet. Beslecht door: interne stukken (Woo), parlementaire reconstructie of klokkenluiders; zie als precedent de derde instantie van het mechanisme (Google Analytics-traject, AP-Woo 22 juli 2025) in het vervolgdossier-in-voorbereiding.
- EIB-referentie “2022-029” voor de eerste DPG-lening: de aankondiging van januari 2022 is geverifieerd, dit persberichtnummer niet. Beslecht door: de EIB-projectpagina.
- Defensiegroei-vergelijkingen (figuur 9.7 uit v1.0): de reeks “AP groeide 34 mln, Defensie 19,5 mld (2015-2026)” steunde op een eigen optelling over Miljoenennota’s heen en is bij de destillatie vervallen. Beslecht door: een herleidbare reeks per begrotingsjaar met jaargang-vermelding, conform de waarschuwing dat parallelle reeksen (Prinsjesdag 2024 versus 2025) verwarring geven.
C.6 Reeds opgelost in deze ronde (ter administratie)
- Kruidvat-boete: AP, niet ACM; en in bezwaar verlaagd naar 50.000 euro (12 juni 2025) → DEEL III.
- Brandbrief: 18 november 2025; geen cookie-versoepelingsvraag → DEEL IV.
- Campagne: voorzitter NDP 2014-2020; “VVD-aanverwant” geschrapt (geen bron).
- Yeşilgöz: BBA 2023 = publieksprijs (terreurlijst/NCTV); geen vicepremier onder Schoof.
- Xandr-vonnisdetails (r.o. 4.34, Hemmer, Stoter, dwangsom 50.000): geverifieerd in de vonnistekst van ECLI:NL:RBAMS:2025:885, 10 juni 2026 → DEEL III.
- Non-paper 8 april 2026: pro-bescherming, tegen AVG-versoepeling → DEEL IV.
- AP-fte: bezetting 251+ (eind 2023), formatie 260; “187 fte” vervallen → DEEL II.
- Van Oordt: ontslag bevestigd in landelijke media → deeldossier.
Bijlage D · Bronnen per claim
Alle bronnen zijn openbaar; toegang vereist geen abonnement of autorisatie. Nummering [Bn] correspondeert met de verwijzingen in het hoofddossier, de bijlagen en het deeldossier.
Toezichthouder en begroting
- [B1] Miljoenennota 2026 / Rijksbegroting (Prinsjesdag 2025), begrotingshoofdstuk VI (J&V), rijksfinancien.nl; iBestuur, september 2025 (“daalt van 55,8 miljoen in 2025 naar 53,5 miljoen in 2026 (…) naar een kleine 51 miljoen euro in 2030”); Binnenlands Bestuur. NB: vermeld altijd de jaargang van de Miljoenennota; de reeks uit Prinsjesdag 2024 wijkt af.
- [B2] AP-jaarverslag 2023 (formatie 238 → 260 fte; feitelijke bezetting 251+ fte; 2024: 106 nieuwe collega’s), autoriteitpersoonsgegevens.nl; AP-persbericht over 184 fte (2021).
- [B3] KPMG, Onderzoek taken en capaciteit AP (november 2020), bijlage bij Kamerstuk 25268/32761, nr. 192 (470 fte; circa 66 mln per jaar; 184 fte bij rapportdatum).
- [B4] AP-position paper kabinetsformatie 2021 en latere AP-uitingen (≥100 mln per jaar); Trouw-interview Wolfsen (november 2020, “lachwekkende achterstanden”), aangehaald via VPNGids; uitspraak bestuurslid Mur (0,3% van datalekmeldingen onderzocht).
- [B5] Kamerbrief staatssecretaris Van Huffelen, september 2023 (cookie-toezicht: 0,5 mln per jaar 2024-2026; structureel 0,35 mln vanaf 2027); iBestuur; security.nl.
- [B6] Motie-Hijink, Kamerstuk 27529-240 (ingediend 3 februari, aangenomen 9 februari 2021), zoek.officielebekendmakingen.nl/kst-27529-240.html
- [B7] Stemmingsuitslag: Handelingen II 2020/21, nr. 54; VPNGids, 2 maart 2021 (96 voor; VVD, CDA en FvD tegen).
- [B8] Brief minister Dekker, 1 maart 2021, Kamerstuk 25268-197, zoek.officielebekendmakingen.nl/kst-25268-197.html
- [B9] Handelingen II 2020/21, nr. 52 (debat 3 februari 2021); NJB-blog, 17 februari 2021 (“geen karikatuur”; “ruim 180 mensen werken ongelofelijk hard”).
- [B10] AG Connect (Van Nispen: “een schoffering van alle Nederlanders die verwachten dat hun persoonsgegevens goed beschermd worden”).
- [B11] AFM Agenda 2026 (lasten 175,5 mln; 878 → 918 fte), afm.nl; adfiz.nl.
- [B12] AFM, Onze kosten en baten in balans (april 2025), verslaggeving.afm.nl (85,3 → 165,9 mln over 2013-2025).
- [B13] Wet bekostiging financieel toezicht; Kamerstuk 34870-E, zoek.officielebekendmakingen.nl/kst-34870-E.html (volledige sectorbekostiging na afschaffing overheidsbijdrage).
- [B14] ACM-jaarstukken (74 mln in 2020; 78,8 mln in 2023; ~641 fte, peiljaar 2020).
- [B15] NVWA-jaarstukken (~2.440 fte, peiljaar 2020).
De casus DPG
- [B16] DPG Media-jaarcijfers 2025 via Marketing Report en MarketingTribune (maart 2026): omzet 2,0 mld; advertentie-omzet 753 mln (groei door RTL-consolidatie, organisch vrijwel vlak); EBITDA 440 mln; nettowinst 238 mln.
- [B17] Hof Amsterdam 5 december 2023, ECLI:NL:GHAMS:2023:2971, uitspraken.rechtspraak.nl.
- [B18] Rb Amsterdam 7 juni 2024, ECLI:NL:RBAMS:2024:3331 (maximum dwangsom 25.000), uitspraken.rechtspraak.nl.
- [B19] Rb Amsterdam (vzr) 12 februari 2025, ECLI:NL:RBAMS:2025:885: r.o. 4.34; gemachtigde mr. M.H.L. Hemmer; deskundigenrapporten M. Stoter (Collective Shift, 20 december 2024); dwangsom 500/overtreding of 1.000/dag, max 50.000 per gedaagde; gedaagden Microsoft Ireland Operations Ltd. en Xandr Inc. Vonnistekst integraal geraadpleegd via data.rechtspraak.nl op 10 juni 2026.
- [B20] ABRvS 24 september 2025, ECLI:NL:RVS:2025:4562 (DPG-boete 525.000 → 262.500 definitief); handhavingsrecht.nl; NRC; Security.NL.
- [B21] AP-boetebesluit A.S. Watson (Health & Beauty Continental Europe B.V., Kruidvat), juli 2024 (600.000; art. 6 lid 1 jo. 5 lid 1 sub a AVG) en besluit op bezwaar 12 juni 2025 (verlaging naar 50.000), autoriteitpersoonsgegevens.nl; Ius Mentis.
- [B22] EIB-persbericht 2025-076, “DPG Media signs new loan agreement with EIB”, 12 februari 2025 (ondertekening 19 december 2024; 120 mln; verdeling 69,6 BE / 50,4 NL; vicepresident Robert de Groot), eib.org; Villamedia 12 februari 2025.
- [B23] EIB-aankondiging eerste DPG-lening, januari 2022 (100 mln; investeringsplan 244 mln), eib.org.
- [B24] FTM (Mark Koster), “In de strijd tegen Big Tech misbruikt uitgever DPG Europese miljoenen” (2025): ~50 mln EIB-geld voor Trusted Web.
- [B25] De Rijkste Belgen (Epifin: dividend 35 mln over 2024; cumulatief 409 mln bruto sinds 2012); Brussels Signal. NB-context: over boekjaar 2025 wordt een recorddividend van 90 mln gemeld (niet in hoofdtekst gebruikt).
- [B26] Bits of Freedom, Big Brother Awards: juryrapport 2024 (expertprijs DPG Media; publieksprijs minister van Financiën); editie 2023 (publieksprijs 42% Yeşilgöz, terreurlijst/NCTV; expertprijs Meta, X en Telegram), bitsoffreedom.nl; Emerce 16 januari 2024; VPNGids 7 december 2023.
- [B27] FTM-onderzoek Trusted Web (114 advertentiepartners; doorlevering binnen ~50 DPG-dochterbedrijven).
- [B61] De Rijkste Belgen; Marketing Report (RTL-overname 1,1 mld; ACM-goedkeuring 27 juni 2025).
- [B62] Microsoft Advertising-blog, juni 2023 (intrekking merknaam Xandr); Campaign Asia / Adweek, januari 2026 (sluiting buy-side Xandr Invest per begin 2026).
Overheid en inlichtingen
- [B28] Nixon Digital, onderzoek gemeentewebsites (gepubliceerd 17 maart 2026, i.o.v. De Telegraaf): 207/339 gemeenten (61%) laden Big Tech vóór consent; 70 met Google Analytics; 99,5% Google; nixondigital.io; ICTMagazine; Security.NL.
- [B29] BNR/Secura-onderzoek, januari 2024: 80+ GB Nederlandse locatiedata via Datarade.ai van Datastream Group (VS) en Factori.ai (Singapore), vanaf 2.000 dollar/maand; traces incl. Frederikkazerne; “bijna de helft van de Nederlandse telefoons” is een Datastream-promotieclaim; privacy-web (PONT), VPNGids, ICTMagazine.
- [B30] FTM, 25 april 2026 (Palantir-contract 2014 via Programmadirectie IDMI; KMar-gebruik ±mei 2009 - maart 2015; offerte 162.527,08 euro; NCTV-mail 24 juli 2025; Kamerbrief 20 april 2026), ftm.nl.
- [B31] Kamervragen 2026Z09077 (correct-en-compleet-vraag; integraal Palantir-contractenoverzicht incl. ZBO’s), tweedekamer.nl.
- [B32] FTM en Volkskrant (2025): politie gebruikt Palantir sinds 2011 (dataplatform “de Raffinaderij”), Defensie sinds 2010.
- [B57] Rb Den Haag 5 februari 2020, ECLI:NL:RBDHA:2020:865 (SyRI onverbindend; EVRM art. 8; eisers FNV, Privacy First, NJCM).
- [B58] AP-boetebesluiten Belastingdienst: 7 december 2021 (2,75 mln, kinderopvangtoeslag) en 12 april 2022 (3,7 mln, FSV; 274.000 personen), autoriteitpersoonsgegevens.nl.
Keurmerken
- [B33] rva.nl/nieuws/avg-certificatie (“nog geen geaccrediteerde CI’s voor het afgeven van AVG-certificaten”); autoriteitpersoonsgegevens.nl, GDPR certificate (“A certificate issued by a non-accredited organisation will not be considered a GDPR certificate”).
- [B34] AP-goedkeuring criteria BC 5701:2023 (oktober 2023); EDPB-goedkeuring BC (EU) 5701:2024 (december 2024); accreditatiestatus: brandcompliance.com, rva.nl.
- [B35] privacyverified.nl (“Privacy Verified is een initiatief van ICTRecht”); ictrecht.nl.
- [B36] Piwik PRO success story rijksoverheid/DPC (“as many as 600 websites using the platform now”; inzet sinds 2013), piwik.pro; avgregisterrijksoverheid.nl; platformrijksoverheidonline.nl.
Politiek en verwevenheid
- [B37] Eerste Kamer, e-dossier E260003 (Digitaal pakket): korte aantekeningen 16 december 2025 (instelling werkgroep: Kluit, Fiers, Van Langen-Visbeek, Van der Linden, Van de Sanden), 13 januari 2026, 20 januari 2026 (taak ontheven; rapporteurs Van de Sanden, Fiers, Panman, 36.890-F), 10 februari 2026 en 7 april 2026 (inbrengrondes; geen VVD-inbreng); behandelvoorbehoud 36.890-E/M-O; eerstekamer.nl.
- [B38] GeenStijl, 15 april 2026 (registerkwestie; citaat “Ik realiseer me door uw vragen dat deze overgangssituatie vragen kan oproepen”; feitelijke aanvang 1 december 2025, formeel 1 mei 2026; OCW-verweer); NieuwRechts, 16 april 2026.
- [B39] Nevenfunctiesregister Eerste Kamer, persoonspagina M.N.J. van der Linden (VVD), eerstekamer.nl (o.a. vicevoorzitterschap NDP Nieuwsmedia sinds 2003). Naamgenoot-disambiguatie: persoonspagina L.P. van der Linden (EK-lid 11 juni 2019 - 13 juni 2023, FvD → Fractie-Van Pareren → Fractie-Nanninga), eerstekamer.nl.
- [B40] Eerste Kamer, beëdiging 14 januari 2025, eerstekamer.nl/nieuws; parlement.com.
- [B41] NDP Nieuwsmedia, “Digital Omnibus moet journalistiek beter beschermen”, 4 februari 2026, ndpnieuwsmedia.nl (“bestaande privacywetgeving te complex en niet risicogericht genoeg”; media-uitzondering “in de praktijk onvoldoende”).
- [B42] NDP Nieuwsmedia-jaarverslag 2013, ndpnieuwsmediajaarverslag.nl (“behoud van mogelijkheden voor profiling draagt bij aan verdienmodellen voor online journalistiek”); ENPA Athene-resolutie november 2013.
- [B43] EU-transparantieregister, datacard NDP Nieuwsmedia, lobbyfacts.eu (dossiers o.a. EMFA, AI Act, DSA, DMA, Copyright Directive).
- [B44] Stichting Democratie en Media: brandbrief aan informateur Buma, 18 november 2025 (initiatief SDM, directeur Nienke Venema; pleidooi bewindspersoon Media en Technologie, geïntegreerd mediabeleid, AI Act-implementatie, regels tegen illegale datascraping), sdm.nl; brieftekst via itenrecht.nl; SDM-belang DPG 14,27% (en 10% De Correspondent), sdm.nl.
- [B45] NDP Nieuwsmedia, 19 juni 2014 (benoeming Frits Campagne, toen CEO De Persgroep Nederland, opvolger van Jacques Kuyf), ndpnieuwsmedia.nl; inct.nl 25 juni 2020 en Villamedia 24 juni 2020 (opvolging door Rien van Beemen, 23 juni 2020; zes jaar voorzitterschap).
- [B46] Non-paper “Non-paper by the NL, on the proposed far-reaching changes to the GDPR in the Digital Omnibus”, 8 april 2026, rijksoverheid.nl (Kamerstuk 2026Z07356 / 2026D16485); BNC-fiche omnibusvoorstellen, 12 december 2025, Eerste Kamer 36.890-A (“kunnen het beschermingsniveau van grondrechten wezenlijk verminderen zonder effectief bij te dragen aan lastenverlichting”).
- [B47] Samenstelling kabinet-Jetten (beëdigd 23 februari 2026), rijksoverheid.nl; parlement.com: Van Weel (VVD) J&V; Van Bruggen (D66) stas J&V; Heerma (CDA) BZK; Van der Burg (VVD) stas BZK, Logius/DigiD onder BZK; Heinen (VVD) Financiën; Yeşilgöz (VVD) Defensie en eerste viceminister-president; Aerdts (D66) stas Digitale Economie en Soevereiniteit.
- [B48] Zetelverdeling: coalitie 22/75 Eerste Kamer, 66/150 Tweede Kamer, parlement.com.
- [B49] OPR-Google ENP-licentieovereenkomst, publiek aangekondigd 15/16 april 2025; bedrag en voorwaarden niet openbaar; nos.nl; ndpnieuwsmedia.nl; blog.google.
- [B50] Stichting Organisatie voor PersuitgeversRecht, stichtingopr.nl (elf aangesloten uitgevers/omroepen; directeur Pim Stouten).
- [B51] Van Oordt-dossier en Solvinity-besluitvorming: Techzine; Computable; AG Connect; Volkskrant 16 april 2026 (alarm, eigen kort geding, ontslag; toestemming verlenging eind maart 2026; motie-Kathmann/Stoffer/Vermeer aangenomen en niet gevolgd; BTI/Vifo-toets loopt).
- [B52] Rb Den Haag (vzr) 6 mei 2026, ECLI:NL:RBDHA:2026:12862 (afwijzing kort geding; motivering gepubliceerd), uitspraken.rechtspraak.nl; rechtspraak.nl-persbericht.
Internationaal
- [B53] Irish Council for Civil Liberties, The Biggest Data Breach (2022, hoofdauteur Johnny Ryan): 376 RTB-broadcasts per gebruiker per dag in de EU.
- [B54] HvJ EU 7 maart 2024, C-604/22 (IAB Europe), curia.europa.eu; vervolguitspraak Marktenhof Brussel 2025 (gedeeltelijke nuancering van de Belgische beslissing).
- [B55] HvJ EU 1 augustus 2022, C-184/20 (OT), curia.europa.eu (ruime uitleg van gegevens die een bijzondere categorie “onthullen”).
- [B56] USENIX Security 2026: localhost-trackingonderzoek Meta/Yandex door onderzoekers van IMDEA Networks, Radboud Universiteit en KU Leuven; praktijk gestaakt 3 juni 2025; usenix.org/conference/usenixsecurity26
- [B60] DDMA-kennisbankanalyse Digital Omnibus en cookiewet, ddma.nl (achtergrond bij de media-uitzondering; niet in de hoofdtekst aangehaald).
Eigen metingen
- [B59] BeforeYouMick-scans: forensisch dossier 100 sites (2 mei 2026, scanner v3.3.1); burgerrapport 104 sites (9-10 mei 2026, v3.7); 106-organisatiesmeting (10 mei 2026, v3.7/v3.8); eerder cookie-onderzoek van de auteur (maart 2026). Methode, beperkingen en integriteitsborging (SHA256 + OpenTimestamps): bijlage B. Rapporten via mickbeer.com en mijnoverheid.us; ruwe JSON-output op verzoek.
CHANGELOG v1.0 → v2.0
Leesbaar voor derden: per wijziging staat wat er stond, wat ermee is gebeurd, waarom, en waarheen verplaatst materiaal is gegaan. Bronverwijzingen [Bn] resolveren in bijlage D. Niets is weggegooid: v1.0 blijft ongewijzigd gearchiveerd (75 pp, SHA256 8afee8b2…; op 11 juni 2026 op mickbeer.com vervangen door deze versie); geschrapt materiaal staat in het deeldossier, bijlage B of bijlage C.
1. Feitelijke correcties (FASE 2-canon; bij conflict won de correctietabel)
| # | v1.0 | v2.0 | Reden / bron |
|---|---|---|---|
| 1 | AP “circa 187 fte” / “184-190 fte” (2025/2026), 21 vindplaatsen | groei 184 (2021) → formatie 260 / bezetting 251+ (eind 2023), verder gegroeid in 2024; norm blijft 470 | claim ontkracht door AP-jaarverslag 2023 [B2]; fte-groei en budgetdaling worden nu samen gepresenteerd (DEEL II) |
| 2 | Kruidvat-boete “van ACM”, “onder ACM-bevoegdheid”, 600.000 | AP-boete; in bezwaar verlaagd naar 50.000 (12 juni 2025); kroonvoorbeeld sanctie-erosie | verkeerde toezichthouder; bedrag achterhaald [B21] |
| 3 | brandbrief “december 2025”, “22 mediabedrijven”, “versoepeling cookie-regels gevraagd”, “alle wensen gehonoreerd” | 18 november 2025; SDM-initiatief, brede mediacoalitie; inhoud: bewindspersoon Media en Technologie, geïntegreerd mediabeleid, AI Act, anti-datascraping; honorering-claim geschrapt | brieftekst en datum geverifieerd [B44]; cookie-versoepelingsvraag staat niet in de brief; akkoord-honorering niet verifieerbaar → bijlage C.1 |
| 4 | non-paper 8 april 2026 “volgt de richting van mediabedrijven” (§9.3) | non-paper is pro-bescherming: verzet tegen AVG-versoepeling, schrappen omstreden artikelen | feitelijk onjuist en in tegenspraak met §1.2 van v1.0 zelf [B46] |
| 5 | OPR-deal “14 april 2025”, “geheime raamovereenkomst” | publiek aangekondigd 15/16 april 2025; ENP-licentieovereenkomst; voorwaarden niet openbaar | datum en aard geverifieerd [B49][B50] |
| 6 | EIB tranche 2 “19 december 2024” (alleen) | ondertekend 19 december 2024 én publiek aangekondigd 12 februari 2025 (2025-076); beide vermeld | EIB-persbericht [B22]; referentie “2022-029” voor tranche 1 niet verifieerbaar → weggelaten, bijlage C.5 |
| 7 | Yeşilgöz: “BBA 2023 expertprijs voor lobby tegen e-Privacy”; “vicepremier kabinet-Schoof” | BBA 2023 = publieksprijs (42%), terreurlijst/NCTV; expertprijs ging naar Meta/X/Telegram; zij was geen vicepremier onder Schoof; nu minister van Defensie en eerste viceminister-president (Jetten) | beide elementen feitelijk onjuist [B26][B47]; sterker vervangend datapunt toegevoegd: BBA 2024-expertprijs voor DPG Media |
| 8 | Struycken “PVV”, “minister” | n.v.t. in v2.0 (kabinetstabel vervallen); waar relevant: NSC, staatssecretaris Rechtsbescherming | feitelijk onjuist; tabel 9.7 als geheel vervallen (zie 3.7) |
| 9 | Campagne “voorzitter NDP 2018-2024”, “VVD-aanverwant” | voorzitter 2014-2020, destijds CEO De Persgroep Nederland; opgevolgd door Van Beemen (Mediahuis); “VVD-aanverwant” geschrapt | jaartallen geverifieerd [B45]; partij-etiket zonder bron |
| 10 | Logius/Van der Burg impliciet onder J&V (“Koninkrijksrelaties en Slagvaardige Overheid”) | Logius/DigiD onder BZK; Van der Burg staatssecretaris BZK; minister BZK Heerma (CDA) | departementale toedeling gecorrigeerd [B47] |
| 11 | ACM-budget “~88 mln” | 78,8 mln (2023); 74 mln (2020) | 88 mln niet te staven [B14] |
| 12 | Piwik PRO “600 tot 800 overheidssites” | “ten minste 600” | bovengrens niet onderbouwd; vendor-eigen bron noemt 600 [B36] |
| 13 | Datastream “50 procent van Nederlandse telefoons” als feit | gelabeld als marketingclaim van de leverancier (“bijna de helft”) | bronkritiek [B29] |
| 14 | “TCF in zijn huidige vorm onwettig” (INT.3) | C-604/22: TC-string = persoonsgegeven; IAB Europe (gezamenlijk) verwerkingsverantwoordelijk; framework niet integraal onwettig; Marktenhof 2025 nuanceerde deels | juridische precisie [B54] |
| 15 | “Microsoft Xandr sinds 2022” zonder actualisering | merknaam ingetrokken juni 2023; buy-side Invest dicht per begin 2026; functie onder Microsoft Advertising | actualisering [B62] |
| 16 | samenvatting: “KPMG stelt dat minimaal 100 miljoen nodig is” + “326 fte KPMG-ondergrens / 470 AP-eigen” | 100 mln = AP-eigen becijfering; KPMG = 470 fte / 66 mln; 326-fte-claim vervallen | attributie-omkering (erratum E6); 326 zonder vindplaats |
| 17 | omzet-per-tijdseenheid-oneliners (“35 minuten”, “3,5 uur”, “5 minuten Microsoft”, “40 minuten”) en “1 op 1500” | één ordes-van-grootte-formulering (DEEL III, 5.6), verbatim conform opdracht | rekensommen onderling strijdig en kwetsbaar; vervangen door onaantastbare formulering |
| 18 | Van Oordt: “is na de affaire ontslagen” (v1.0) → in tussenronde afgezwakt | ontslag gehandhaafd mét bron (Volkskrant/Trouw-berichtgeving) | alsnog bevestigd in validatieronde [B51]; exacte besluitdata wél naar bijlage C |
| 19 | brandbrief-ondertekening toegeschreven aan individuele personen (Roddenhof, Van Beemen, Sauvé, Wolswinkel e.a.) | organisaties genoemd; persoonsniveau naar bijlage C.1 | individuele ondertekening niet per persoon geverifieerd [B44] |
| 20 | gemeenten “60 procent plus” | 207 van 339 (61%); 70 met Google Analytics | preciezer cijfer uit de bron zelf [B28] |
2. Bewijsregime-verplaatsingen (claims uit de hoofdtekst gehaald)
| Onderwerp | v1.0-locatie | Waarheen | Reden |
|---|---|---|---|
| Van der Linden “bestuurslid OPR” | §2.1, §9.1, §9.2 | bijlage C.1 (vraag 2); hoofdtekst gebruikt alleen de geverifieerde DPG-functie + register + werkgroep | bestuurszetel niet aangetoond |
| Piwik PRO-drieslag (partner/klant/leverancier) | §7.2 | bijlage C.2 (vraag 8); deeldossier noemt het als onderzoeksvraag | niet onafhankelijk geverifieerd |
| Kirk Kapital-eigendom | §2.3, §8.2 | bijlage C.2 (vraag 9); deeldossier gemarkeerd | niet geverifieerd |
| Privacy Verified-register “17 vs >90” + namenlijst | §7.2 | bijlage C.2 (vraag 6) | telling niet onafhankelijk herhaald; registerpagina’s muteren |
| ICTRecht Enterprise-certificaat sinds 18-12-2019 | §7.2 | bijlage C.2 (vraag 7) | detail niet bevestigd |
| NU.nl “138 partners (claim 104)” | §2.1, §3.3, §4.3, INT | bijlage C.3 (vraag 11); hoofdtekst gebruikt 114 (FTM) [B27] | eigen telling niet onafhankelijk bevestigd |
| bewaartermijn “12 jaar” | §4.3 | bijlage C.3 (vraag 12) | alleen via BBA-jury, niet zelfstandig geverifieerd |
| “samen 2,6-3,5 mld paginaweergaven” | INT.1 | vervallen (geen vindplaats-borging) | eigen-opgave-claim zonder pin-bron |
| Microsoft-omzetvergelijkingen | §4.4, §6.4 | vervallen | geen gedocumenteerde omzetbasis |
| defensiegroei-vergelijking + figuur 9.7 | §9.7 | bijlage C.5 (vraag 18) | reeks niet herleidbaar per jaargang; figuur stale |
| Heinen/AFM-crypto-citaat | §9.7 | bijlage C.1 (vraag 4) | vindplaats niet geborgd |
| “iets te verbergen”-redenering bij geblokkeerde sites | §9.6 | geschrapt; blokkades neutraal gerapporteerd als “niet meetbaar” (DEEL I, 3.6) | methodologisch zwak; bot-detectie is staande praktijk |
| PSC-scores | §3.7 | bijlage B.3 | interne formule, geen juridische maatstaf |
| scanner-methodologie | §1.3-1.4 | bijlage B.1 | destillatie hoofdtekst |
| ?-claim “bewust ontworpen geheel” | kernbevindingen | bijlage C.5 (vraag 16) | vermoeden hoort niet in hoofdtekst |
3. Structuurwijzigingen
- Twee samenvattingen + “kern in vier zinnen” (v1.0) → één samenvatting met kernbevindingen.
- v1.0-hoofdstukken 3/6/4/7+9 → DEEL I (meting), DEEL II (vacuüm), DEEL III (casus DPG), DEEL IV (verwevenheid).
- Hoofdstuk 8 (Cloud Act, 6,5 pp) volledig → deeldossier Soevereiniteitstheater v0.1; in het hoofddossier resteert één verwijzing (DEEL I, 3.5 en de verwijzingenlijst). Zivver-paragraaf geheel naar het deeldossier (concludeert een werkende mitigatie; geen misstand).
- Hoofdstuk 5 (overheid, 4,3 pp) → gecomprimeerd tot hoofdstuk 7 (1 pp): vestzak-broekzak, één Palantir-paragraaf, SyRI en gemeenten elk kort; figuur 5.1 vervallen.
- INT (3,5 pp) → hoofdstuk 8 (1 pp); Locate X-voorbeeldtraces (synagoge, Dearborn, abortuskliniek, slaapkamer) verwijderd uit het hoofddossier en als context ondergebracht in het deeldossier (§8); Babel Street-klantcijfers idem.
- §2.3 + §7.5 (“wie verdient wat”, marktomvang 50-100 mln) → vervallen in hoofdtekst; de marktomvang-schatting was eigen schatting zonder geborgde basis (bijlage C is de plek als het terugkomt).
- Tabel “budget-architectuur over vier kabinetten” (§9.7) en figuur 9.5 (personele lijn) → vervangen door één compacte, per-persoon geverifieerde tabel in DEEL IV (6.3); figuren 2.4, 3.6, 4.1, 5.1, 8.1, 9.5, 9.7 vervallen; alleen de geactualiseerde vier-pijlers-figuur blijft (figuur 1), conform opdracht “één figuur”.
- Eén verhoudingsberekening (DEEL III, 5.6) vervangt alle reken-oneliners, verbatim conform opdracht sectie 6.
- Hoofdstuk 12 “Bronnen per claim” (met inconsistente 13.x-nummering) → bijlage D met [Bn]-systeem; Medium-verwijzing vervangen door mickbeer.com-vindplaats; Bijlage A (cryptografische integriteit) → samengevat in bijlage B.4.
- Inhoudsopgave-fouten v1.0 (TOC liep achter op body: ontbrekende 9.6/9.7/INT/8.7, spook-paragraaf “7.1 AP zelf bevestigt…”) → niet meer van toepassing; v2.0 is opnieuw opgebouwd.
- Tijdlijn geactualiseerd en gecorrigeerd: 18 nov 2025 (brandbrief), 15/16 apr 2025 (OPR), 19 dec 2024 + 12 feb 2025 (EIB), Kruidvat-bezwaar 12 jun 2025, en vijf nieuwe regels (16 dec 2025, 13 jan, 20 jan, 4 feb, 10 feb + 7 apr 2026) uit het E260003-dossier.
4. Toevoegingen (nieuw in v2.0)
- Wbft-bekostigingscontrast AFM/AP (DEEL II, 4.4) en de bijbehorende nieuwe hefboom: verkenning datasector-heffing (hoofdstuk 9) [B11][B12][B13].
- HvJ C-184/20 als versterking van de artikel 9-redenering bij de 113-casus [B55].
- Xandr-vonnisdetails geverifieerd in de vonnistekst zelf (r.o. 4.34 letterlijk, Hemmer, Stoter/Collective Shift, dwangsomstructuur incl. verschil 25.000 → 50.000 tussen de vonnissen van 2024 en 2025) [B19].
- Kruidvat-bezwaarbesluit als “sanctie-smeltcasus” (DEEL III, 5.3) [B21].
- Epifin-dividend (35 mln 2024; 409 mln cumulatief) [B25].
- Palantir-vervolg: Kamervragen 2026Z09077 [B31].
- Van der Linden-drieslag herbouwd op drie geverifieerde pijlers (werkgroep E260003, NDP-bestuursverantwoordelijkheid, VVD-stilte), zonder toegeschreven citaten; expliciete naamgenoot-disambiguatie (Lennart van der Linden) in §1.3 [B37][B38][B39].
- BBA 2024-expertprijs voor DPG Media [B26].
- Acht geblokkeerde organisaties neutraal gerapporteerd als “niet meetbaar” (DEEL I, 3.6).
- Solvinity-vonnis nu met vindplaats en motiveringskern (deeldossier) [B52].
5. Verwerking erratum 10 juni 2026
Het erratum bij v1.0 (E1-E9, A1-A4, V1-V7, plus aanvullingen E10/E11 uit de vervolgronde) is integraal verwerkt: E1→§6.3/DEEL IV en correctie 4 hierboven; E2/E3→correcties 7/8; E4→2; E5→17; E6→16; E7→figuurbeleid (3.7 hierboven); E8→6; E9→14/15 en hoofdstuk 8; E10→9; E11→7. A1→deeldossier [B52]; A2→hoofdstuk 7 [B31]; A3→DEEL III [B25]; A4→bijlage D (E260003) en kabinetsgegevens [B47]. V1 opgelost (Campagne); V2 deels opgelost (OPR-aankondigingsdatum) en restant naar bijlage C; V3 opgelost (SDM 14,27%, sdm.nl); V4-V7 → bijlage C respectievelijk bijlage B.4 (OTS-borging Antoni Bar).
6. QA-status
Vóór publicatie zijn alle kwaliteitschecks uitgevoerd en herdraaibaar vastgelegd in het onderzoeksarchief: een schrapfrase-scan op vervallen formuleringen (nul treffers, met drie gedocumenteerde uitzonderingen die na verificatie in de vonnistekst zijn toegestaan), een cijfercheck van elke waarde in de hoofdtekst tegen bijlage A, een resolutiecheck van alle [Bn]-verwijzingen tegen bijlage D, en een visuele eindcontrole van de gerenderde uitgave.