Hoe data uit een slim apparaat in een Nederlandse woonkamer, een deurbel, een lamp van een tientje, een tv, via attributie-SDK’s en advertentieveilingen belandt bij bedrijven die zich in de Verenigde Staten zélf als datahandelaar registreren, en bij servers in China. Een forensische uiteenzetting van een keten die al jaren in openbaar onderzoek ligt, maar die niemand nog van begin tot eind had doorgetrokken voor de Nederlandse gebruiker. Getoetst aan het P-SEP-model.
Dit is deel twee. In het eerste dossier ging het over de Ray-Ban Meta, een camera op andermans gezicht, en jij de voorbijganger zonder knop. Deze keer draait het om het apparaat dat de meesten zonder nadenken aan de wifi hangen: de slimme stekker, de deurbel, de lamp van een tientje, de tv. Wat doet zo’n ding eigenlijk, als het eenmaal binnen staat?
Toen ik mijn schoonmoeder hielp met een slimme stekker van een tientje, zo’n witte van een merk dat je nog nooit hebt gehoord, “werkt met de app”, duurde het opzetten vier minuten. Wat ik haar niet kon vertellen, omdat ik het zelf op dat moment niet wist, is waar die stekker daarna mee praat. Niet met haar telefoon, maar met een server in China en een handvol advertentiebedrijven aan de andere kant van de wereld.

Dat is geen complot en geen gadget-review. Het is wat er feitelijk gebeurt, en het staat allemaal al beschreven, in academische papers, in repositories op GitHub, in besluiten van de Amerikaanse FTC, in een arrest van het Europees Hof van Justitie, en in een wettelijk register dat de bedrijven zélf hebben ingevuld. Het enige wat ontbrak, was iemand die de schakels naast elkaar legt en de hele keten in één lijn trekt: van het apparaat in de woonkamer tot de eindbestemming, en de landen waar het heen gaat.
Dit dossier doet dat. Het hackt niets en meet niets nieuws, het brengt bestaand, openbaar onderzoek samen, houdt elke stream tegen openbare lijsten, en benoemt eerlijk waar het bewijs hard is en waar het ophoudt. Deze keer doe ik het andersom: ik begin bij het eindpunt, bij de partij die zich aan het eind van de keten zélf als datahandelaar laat registreren, en werk terug naar het apparaat in de woonkamer waar alles begon. En ik zeg de kern vast: dit is geen lek en geen incident. Het is een markt, en hij is zo ontworpen dat jij hem niet ziet.
| # | Schakel | Wat er gebeurt | Bewijs |
|---|---|---|---|
| 1 | Eindbestemming | Een geregistreerde data broker, vaak buiten de EU | 309-broker-lijst (PRC/EFF); CalPrivacy-boetes |
| 2 | RTB / SDK-markt | De identifier wordt geveild: advertising-ID + locatie | FTC (X-Mode, Mobilewalla); HvJ-EU + Brussel (TCF) |
| 3 | De “verwerker”-grens | Het attributiebedrijf schuilt achter een etiket | AppsFlyer-zelfverklaring vs. HvJ-EU-leer |
| 4 | Classificatie | De bestemming blijkt een bekende tracker/adverteerder | Disconnect services.json |
| 5 | Apparaat / app | Identifiers, PII en sensordata vertrekken naar buiten | EFF (Ring); Northeastern (81 apparaten); Princeton (44.956) |
01 · De eindbestemming: wie staat er in het register
Begin bij het eind van de keten. Daar staat het hardste bewijs, en het is een document dat de bedrijven zélf hebben ingevuld. Vier Amerikaanse staten, Californië, Vermont, Texas en Oregon, houden een wettelijk verplicht, openbaar register bij waarin bedrijven zich als data broker moeten registreren. Privacy Rights Clearinghouse en de EFF voegden die vier samen tot één genormaliseerde lijst van ruim 750 unieke data brokers. In een brief aan de procureur-generaal van Vermont (24 juni 2025) somden ze 309 brokers op die zich in de ene staat wél, in Vermont níét registreerden, elk met markeringen: * = verzamelt geolocatie, ‡ = verzamelt data van minderjarigen. [21,22]
Wat staat er, en wat niet? De attributie/analytics-bedrijven uit de streams (AppsFlyer, Branch, MixPanel, Meta, Crashlytics) staan er niet exact op. Zij schuilen achter de verwerker-status uit Schakel 3. Maar de partijen waar het SDK/RTB-ecosysteem in uitmondt staan er wél, zelf-geïdentificeerd als datahandelaar:
| Broker | Markering | Rol |
|---|---|---|
| X-Mode Social / Outlogic | geo + minderj. | FTC-beboete SDK-locatiebroker (Schakel 2) |
| InMarket Media | geo + minderj. | FTC-beboet; SDK-locatiedata |
| SafeGraph | geo + minderj. | Locatiebroker |
| UberMedia / Lotadata | geo + minderj. | Locatiebrokers |
| Quadrant Global / Mobile Technology Corp (Onspot) | geo | Locatiebrokers |
| InMobi / Unity Technologies / Start.io | geo | Mobiele ad/SDK-spelers |
En cruciaal voor het Nederlandse verhaal: er staan Europese en niet-Amerikaanse brokers op de lijst. Dit is geen puur Amerikaans fenomeen, het ecosysteem reikt tot in eigen land.
| Broker (zoals geregistreerd) | Rechtsvorm wijst op | Geregistreerd in | Markering |
|---|---|---|---|
| Azerion US Inc. | VS-dochter, NL-concern | California (CPPA), Texas | geo |
| Adsquare GmbH | Duitsland | California (CPPA + AG), Texas | geo + minderj. |
| ID5 Technology Ltd | Verenigd Koninkrijk | California (CPPA + AG) | geo + minderj. |
| LoopMe Ltd | Verenigd Koninkrijk | California, Texas, Oregon | geo + minderj. |
| Online Advertising Network Sp. z o.o. | Polen | California (CPPA + AG) | geo + minderj. |
| Eyeota Pte Ltd | Singapore | California (CPPA + AG) | geo + minderj. |
| Ipsos | Frankrijk | California (AG, legacy) | geo + minderj. |
| TL1MKT SL | Spanje | California (AG, legacy) | geo + minderj. |
| Media.Net Advertising FZ-LLC | Verenigde Arabische Emiraten | California (CPPA) | , |
Lees die eerste regel nog eens, maar lees hem precies. Wat in het register staat is Azerion US Inc.: de Amerikaanse dochter van het Nederlandse concern Azerion, geregistreerd in Californië met de markering “verzamelt geolocatie.” Het is dus niet het NL-moederbedrijf zelf dat zich inschreef, maar een entiteit van een Nederlands concern die haar status als datahandelaar in de VS zwart-op-wit heeft erkend. De datahandel zit niet alleen ver weg aan het eind van de keten, een schakel ervan draagt een Nederlandse naam. De landen in de tweede kolom zijn afgeleid uit de rechtsvorm in de geregistreerde naam (GmbH, Ltd, Sp. z o.o., SL, Pte); de lijst zelf vermeldt geen vestigingsland.
Waar het verkeer heen gaat, domeinen en doorgifte per bedrijf
De vestiging van een bedrijf zegt weinig over waar je data fysiek heen reist. Hieronder per partij de bekende ad- en analytics-domeinen en, waar gedocumenteerd, de doorgifte naar landen búíten de vestiging. Bron voor de classificatie en domeinen is de openbare Disconnect-lijst (zoals in Schakel 4); voor cloud-endpoints de eigen documentatie van het bedrijf. Bewijsniveau: domeinen en categorie zijn hard (geciteerd); de fysieke serverlocatie is deels inferentie (CDN/cloud), expliciet als zodanig gemarkeerd.
| Bedrijf | Categorie | Bekende domeinen | Doorgifte buiten vestiging |
|---|---|---|---|
| AppsFlyer (IL/US) | Advertising | appsflyer.com, appsflyer-skadnetwork.com | Servers wereldwijd; verzamelt TCF-string (hard) |
| Branch (US) | Advertising | branch.io, app.link | US-infrastructuur (infer.) |
| MixPanel (US) | Analytics + EmailAggressive | mixpanel.com, mxpnl.com | US (infer.) |
| Meta / Facebook (US) | Advertising + Social + Fingerprinting | facebook.com, facebook.net, fbcdn.net, atdmt.com | US (hard: Graph API) |
| Google / Crashlytics (US) | Advertising + Analytics | doubleclick.net, crashlytics.com, google-analytics.com, 2mdn.net, admob.com | US (infer.) |
| Adobe (US) | Advertising + Fingerprinting | demdex.net, omtrdc.net, 2o7.net, adobedc.net | US (infer.) |
| Alibaba (CN) | Advertising + Fingerprinting-invasive | aliyuncs.com, cnzz.com, alicdn.com, rto-study.oss-us-west-1.aliyuncs.com | CN-bedrijf met US-west bucket in lijst (hard) |
| Tuya (CN) | IoT-cloud | tuyacn.com (CN/Tencent), tuyaus.com + openapi-ueaz.tuyaus.com (VS), tuyaeu.com (EU), tuyain.com (IN) | CN-bedrijf; niet-gemapte landen → West-VS datacenter (hard, eigen docs) |
| PubMatic (US) | Advertising (RTB-exchange) | pubmatic.com, ow.pubmatic.com | US (infer.) |
| Magnite (US) | Advertising (RTB-exchange) | rubiconproject.com, spotx.tv, rtk.io | US (infer.) |
| Adsquare (DE) | Advertising | adsquare.com | EU-vestiging; CPPA + Texas (hard) |
| ID5 (UK) | Advertising (ID-sync) | id5-sync.com, eu-1-id5-sync.com | UK; aparte EU- én niet-EU sync-domeinen (hard) |
| LoopMe (UK) | Advertising | loopme.com, loopme.me, chartboost.com, tk0x1.com | UK; bevat US ad-domeinen (hard) |
| InMobi (IN) | Advertising | inmobi.com, inmobicdn.net, inmobiapis.com, aerserv.com, sproutinc.com | IN; bevat overgenomen US-domeinen (hard) |
| Unity (US/Ad: IL) | Advertising | supersonicads.com, yellowblue.io | Ad-tak via het Israëlische supersonicads (hard) |
| Eyeota (SG → D&B, US) | Analytics | eyeota.net | Overgenomen door Dun & Bradstreet, US (hard) |
| Media.net (AE) | Advertising | media.net | VAE-entiteit (Media.Net Advertising FZ-LLC) (hard) |
| Eyeota / Quadrant / Start.io / SafeGraph / X-Mode-Outlogic / Mobilewalla / Gravy-Venntel | Location-broker / SDK | geen web-tracker-domeinen; oogsten via SDK & bidstream | VS-brokers; verkoop wereldwijd incl. overheid (hard: FTC) |
De patronen die eruit springen: een Chinees bedrijf als Alibaba heeft een bucket op Amerikaanse servers, en Tuya stuurt élk niet-toegewezen land standaard naar zijn West-Amerikaanse datacenter, data kan dus zowel China als de VS raken. UK-partijen als ID5 en LoopMe dragen naast hun EU-sync ook niet-EU- en US-domeinen. En de location-brokers hebben helemaal geen herkenbare “eigen” domeinen: zij oogsten uit de bidstream van ánderen, wat precies verklaart waarom ze zo moeilijk te traceren zijn.

Het schil-model: documentatie vervaagt naar buiten
Bij dit dieptewerk dringt één patroon zich op dat zelf de kern van het verhaal is: hoe verder de data van je apparaat af reist, hoe slechter het te documenteren valt. Niet omdat het ophoudt, maar omdat elke schil minder zichtbaar is dan de vorige. Dat is geen zwakte van het onderzoek, het is de structuur van de markt, en het verklaart waarom niemand dit eerder van begin tot eind had getrokken.
- Schil 1, de kern (hard). Apparaat naar eerste SDK-endpoint. Direct gemeten: de EFF-ontleding van Ring, de Northeastern/Imperial-metingen (81 apparaten), de Alexa Echo-paper, en de eigen documentatie van Tuya. Hier kun je elke claim met een primaire bron staven.
- Schil 2, de veiling (grotendeels hard). SDK/attributie naar RTB-veiling en de TC String. De inhoud van een bid-request en de endpoints staan in IAB- en Google-specificaties; het HvJ-arrest C-604/22 en de Brusselse uitspraak bewijzen dat het toestemmingsfundament ongeldig is.
- Schil 3, de broker (gemengd). Veiling naar geregistreerde data broker. De staatsregisters geven harde namen, maar ze zijn aantoonbaar incompleet, de EFF/PRC-analyse telde honderden bedrijven die zich in de ene staat wél, in de andere níét registreerden.
- Schil 4, downstream (zwak). Broker naar de volgende koper: andere brokers, vierde partijen, overheidscontractanten. Hier valt het bijna niet meer te volgen. De FTC stelde vast dat X-Mode aan “honderden klanten” verkocht; wie dat precies zijn, staat in geen enkel openbaar register. En in de Oostenrijkse zaak kon de broker het zélf niet meer zeggen.
De waarde van dit dossier zit niet in één extra meting, maar in het benoemen van die vervaging. Tot Schakel 4 kun je een primair document aanwijzen; bij Schakel 3 leun je op registers; bij Schakel 2 op handhavingsdossiers en journalistiek, en aan de buitenrand stopt zelfs de broker met antwoorden. Het verlies van traceerbaarheid ís het verhaal.
Wat het diepere spoor opleverde, de buitenste schil
Een aantal bevindingen uit het uitgebreide bronwerk, met het bewijsniveau er telkens bij:
- Tuya's default naar de VS (hard). Tuya's eigen documentatie noemt datacenters in China (Tencent Cloud), West- en Oost-VS, Centraal- en West-Europa, India (AWS, sinds 2020) en Singapore (sinds 3 juni 2025), en stelt letterlijk dat landen die niet in de tabel staan worden toegewezen aan het West-Amerikaanse datacenter. Een Chinees platform dat onbekende landen standaard op Amerikaanse servers zet: de doorgifte zit in het ontwerp.
- Adobe's demdex (hard, eigen docs). Adobe's Experience Cloud ID Service roept een regionale server aan op
dpm.demdex.net; dedemdex-cookie levert een persistente cross-domein-identifier. Oudere Analytics-identifiers lopen viaadobedc.net,2o7.netenomtrdc.net, precies hetomtrdc.netdat Northeastern bij Amerikaanse apparaten zag. - Mobilewalla uit verloren biedingen (hard, FTC). 500M+ advertising-ID's met precieze locatie; EFF schat dat circa 60% rechtstreeks uit RTB-veilingen kwam, óók uit biedingen die het bedrijf verlóór, tegen de regels van de veiling in. Segmenten als “zwangere vrouwen” en geofences rond woningen van zorgpersoneel.
- Gravy/Venntel tot op de meter (hard, FTC). Gravy's documentatie eist locatie met “ten minste 5 decimalen”, nauwkeurig tot ~één meter, genoeg om te zien in welke kámer iemand is. Venntel betrekt locatie exclusief van Gravy en verkoopt uitsluitend aan de publieke sector; het beloofde DHS “15 miljard locatiepunten van 250 miljoen apparaten per dag.” In januari 2025, weken na de FTC-order, lekte Gravy een groot databestand (gerapporteerd als ~17 TB).
- Babel Street / Locate X (hard, journalistiek + contract). Een nieuw zichtbare schakel: Locate X bouwt op advertising-ID-locatie uit de gewone bidstream. 404 Media toonde in 2024 hoe één toestel van Alabama naar een Florida-kliniek te volgen was; toegang werd verleend op de enkele bewering van toekomstig opsporingswerk. De FBI tekende in 2022 een contract tot $27 miljoen met Babel Street.
- SafeGraph / Veraset (hard, journalistiek). Journalisten kochten een week locatiedata van 600+ Planned Parenthood-locaties voor ~$160; Google bande SafeGraph's SDK uit de Play Store (juni 2021); SafeGraph verkocht aan de CDC ($420.000). Spin-off Veraset levert ruwe per-toestel-data.
- Kochava (hard, lopend). De FTC-zaak (sinds 2022) overleefde in februari 2024 een verzoek tot niet-ontvankelijkheid; een schikking is in voorbereiding. Kochava betrekt data van andere brokers en verkoopt precieze geolocatie + MAID's.
En de handhaving is echt. CalPrivacy richtte eind 2025 een Data Broker Enforcement Strike Force op. ROR Partners betaalde $56.600 nadat het profielen op 262 miljoen Amerikanen bleek te bouwen zonder zich te registreren; Accurate Append betaalde $55.400; Datamasters $45.000 plus een verkoopverbod op data van Californiërs. De boetes lopen op tot $200 per consument per dag voor het negeren van een verwijderverzoek. Dit zijn geen papieren regels. [22]
02 · De markt: real-time bidding en de SDK-handel
Dat de poort werkelijk doorgeeft aan de handel, is geen vermoeden meer. Twee toezichthouders hebben het mechanisme feitelijk vastgesteld, de FTC in de Verenigde Staten, het Europees Hof van Justitie in de EU. Dit is de schakel die ervoor zorgt dat we niet hoeven te speculeren.
De Verenigde Staten: de FTC bewijst de SDK-pijplijn
X-Mode / Outlogic (FTC-schikking januari 2024, definitief april 2024). De FTC stelde vast dat X-Mode precieze locatiedata verzamelde via third-party apps die zijn SDK hadden ingebouwd, via eigen apps, én door inkoop bij andere brokers. Die SDK zat in honderden apps met miljarden downloads op iOS en Android. De data was gekoppeld aan mobiele advertising-ID’s (MAID), niet geanonimiseerd, en werd verkocht aan honderden klanten, van vastgoed en finance tot private overheidscontractanten. Tot mei 2023 had het bedrijf geen beleid om gevoelige locaties (klinieken, gebedshuizen, opvanghuizen) uit de ruwe data te filteren. De data werd zelfs verzameld ná een opt-out. [13,14,15]
Mobilewalla (FTC, december 2024). Verzamelde tussen januari 2018 en juni 2020 meer dan 500 miljoen unieke advertising-identifiers, gekoppeld aan precieze locatie, óók uit verloren real-time-bidding-veilingen, een praktijk die de RTB-regels zelf verbieden. De FTC bestempelde voor het eerst het verzamelen van data uit advertentieveilingen voor andere doeleinden dan de veiling zelf als een oneerlijke handelspraktijk. [16]
Gravy Analytics / Venntel (FTC, december 2024). Verkocht lijsten van consumenten op basis van bezoeken aan gevoelige locaties, en leidde daaruit segmenten af als politieke voorkeur, religie, medische condities, gezinssamenstelling, en kenmerken waaruit LGBTQ+-status afleidbaar was. [17]
Let op wat dit betekent voor de keten: het is exact hetzelfde mechanisme (een SDK in een consumenten-app, een MAID, een veiling) dat in Schakel 5 de Ring-data deed vertrekken. Het verschil is dat de FTC het hele pad heeft gedocumenteerd, tot aan de verkoop. De poort gáát ergens heen.
De EU: het toestemmingsfundament onder RTB is illegaal verklaard
De Amerikaanse zaken gaan over Amerikaans recht. De brug naar Nederland is de IAB Europe-zaak, want die geldt AVG-breed en raakt elke Europese gebruiker. Het Transparency & Consent Framework (TCF) is het systeem dat vrijwel elke cookiebanner in Europa koppelt aan het OpenRTB-protocol, het mechanisme dat je profiel in milliseconden veilt voor advertentieruimte.
Het Europees Hof van Justitie oordeelde op 7 maart 2024 (zaak C-604/22) dat de “TC String”, het signaal dat je toestemmingsvoorkeuren vastlegt, een persoonsgegeven is, en dat IAB Europe gezamenlijk verwerkingsverantwoordelijke kan zijn. [18] Het Brussels Marktenhof bevestigde op 14 mei 2025 de boete van €250.000 en de inhoudelijke bevindingen: het TCF zorgt niet voor geïnformeerde, vrije en specifieke toestemming, en faalt op transparantie, beveiliging en verantwoording. Alle Europese toezichthouders steunden dit via het one-stop-shop-mechanisme. [19,20]
In gewone taal: het toestemmingsfundament onder de hele Europese advertentieveiling is door een rechter onvoldoende bevonden. Dat is de EU-tegenhanger van de FTC-RTB-bevinding, en het geldt voor elke Nederlandse gebruiker wiens slimme apparaat in datzelfde veilingsysteem terechtkomt. Het gaat niet om “het zou kunnen schenden”: een rechter heeft het al vastgesteld.
03 · De “verwerker”-grens, en waarom die niet onschuldig is
Hier zat de verleiding, en hier zat mijn eigen eerste fout. De makkelijke conclusie is: “AppsFlyer, Branch en MixPanel zijn verwerkers, geen datahandelaren, dus de keten stopt hier.” Dat is precies de denkfout die het hele systeem in stand houdt.
“Verwerker” is een zelf-claim en geen vrijspraak. AppsFlyer verklaart in zijn eigen documentatie dat het een data processor / service provider is, dat de app-bouwer de eigenaar en verantwoordelijke is, en dat het zelf geen data verkoopt, koopt of aan profilering doet. [11] Met die status blijft het buiten het data broker-register, want de definitie van een broker eist verkoop zonder directe klantrelatie, en AppsFlyer hééft een contract met de app-bouwer. Een “directe relatie.” Dat is een juridische maas en geen bewijs van onschuld.
Het etiket “verwerker” is geen eindpunt van de keten. Het is de schakel die de keten onzichtbaar maakt.

Drie redenen waarom dat etiket wantrouwen verdient, juist bij een advertentiebedrijf:
Eén: het etiket beschrijft de relatie, niet de daad. Onder de AVG kun je verwerker zijn voor partij A én tegelijk zelfstandig verwerkingsverantwoordelijke voor je eigen doeleinden. Het Europees Hof van Justitie heeft in Fashion ID en in Wirtschaftsakademie vastgesteld dat het de feitelijke invloed op doel en middelen is die bepaalt of je verantwoordelijke bent, niet hoe je jezelf in een contract noemt. [12] Op het moment dat een attributie-SDK identifiers deelt met “integrated partners,” cross-app device-graphs opbouwt of data hergebruikt om de eigen modellen te verbeteren, handelt het naar eigen doel, en is het naar Europees recht medeverantwoordelijke, wat het etiket ook zegt.
Twee: “geen broker” betekent niet “geen handel.” De data eindigt aantoonbaar bij partijen die wél als broker geregistreerd staan (zie Schakel 1). De maas zit in de definitie, niet in de datastroom. Een poort die zegt “ik verkoop niets, ik geef alleen door” is nog steeds de poort waardoor alles gaat.
Drie: voor een attributiebedrijf is “verwerker” intrinsiek verdacht. Een hostingbedrijf dat alleen bestanden opslaat is plausibel een verwerker. Maar een bedrijf wiens hele businessmodel attributie, targeting en het matchen van toestellen aan personen ís, heeft per definitie een eigen belang bij de data. Dat AppsFlyer in de Ring-stream sensordata (gyroscoop, magnetometer, kalibratie) ontving, heeft niets met “heeft deze advertentie tot een installatie geleid” te maken. Dat is extractie voorbij het gestelde doel, en precies daar barst de verwerker-status.
04 · De bestemming is een bekende tracker
De domeinen uit Schakel 5 zijn geen anonieme servers. Ze zijn te herkennen. Ik heb ze gehouden tegen de openbare Disconnect-lijst, services.json uit de canonieke repository, dezelfde lijst die Firefox en Microsoft Edge gebruiken om trackers te blokkeren. De lijst koppelt elk domein aan een eigenaar en een categorie. Wat de Ring- en Northeastern-streams opleveren: [10]
| Domein uit de stream | Eigenaar | Categorie in Disconnect |
|---|---|---|
appsflyer.com | AppsFlyer | Advertising |
branch.io, app.link | Branch | Advertising |
mixpanel.com, mxpnl.com | Mixpanel | Analytics (+ EmailAggressive) |
facebook.com, facebook.net | Meta | Social + FingerprintingGeneral |
crashlytics.com | Analytics | |
omtrdc.net, demdex.net | Adobe | Advertising + FingerprintingGeneral |
| Alibaba-endpoints | AlibabaGroup | FingerprintingInvasive |
De lijst telt 1.877 organisaties en 4.773 domein-entries. Wat opvalt: de ontvangers van je deurbel-data zijn niet exotisch. Het zijn dezelfde namen die je browser blokkeert op nieuwssites. AppsFlyer en Branch als adverteerders, Adobe als fingerprinter, Meta in twee categorieën tegelijk. Je woonkamer wordt behandeld als een webpagina vol trackers.
Tuya staat niet in Disconnect, en dat klopt: het is geen web-tracker maar de cloud-eindbestemming zelf. Voor Tuya telt de geografie, niet de tracker-lijst. Twee verschillende takken, de ad/analytics-tak (deze schakel) en de jurisdictie-tak (China), van dezelfde boom.
05 · Wat het apparaat naar buiten stuurt
Begin bij het begin: het ding zelf, in de woonkamer. Drie onafhankelijke onderzoeksgroepen hebben dit op grote schaal gemeten, en hun data, code en methodes staan openbaar. Dit is geen anekdote. Het is herhaalbaar werk.
De deurbel die je naam naar Facebook stuurde (Amazon Ring)
Het scherpst gedocumenteerde geval. De Electronic Frontier Foundation analyseerde in 2020 de Ring-app voor Android, versie 3.21.1, met Frida en mitmproxy, gereedschap dat het versleutelde verkeer onderschept en zichtbaar maakt. De flows zijn gepubliceerd; je hoeft de EFF niet op haar woord te geloven. Wat er vertrok, uitgesplitst per ontvanger: [1,2,3]
Naar Facebook (Meta), via de Graph API, telkens als de app opende, én bij deactivatie na schermvergrendeling. De payload: tijdzone, toestelmodel, taalvoorkeur, schermresolutie, en een unieke identifier anon_id. Óók als je geen Facebook-account had. Het venijn zit in die anon_id: hij overleeft een reset van je advertising-ID, en is dus juist ontworpen om je persistent te blijven volgen, ook nadat je je toestel “schoonveegt.”
Naar Branch (branch.io), een “deep linking”-platform: device_fingerprint_id, hardware_id, identity_id, het lokale IP-adres binnen je huisnetwerk, model, schermresolutie en DPI.
Naar AppsFlyer, een attributiebedrijf: je provider, de installatiedatum en eerste-start van de app, unieke identifiers, een vlag of AppsFlyer-tracking voorgeïnstalleerd op je toestel zat, en, wat het veelzeggendst is, de fysieke sensoren in je toestel: magnetometer, gyroscoop, accelerometer, plus hun kalibratie-instellingen. AppsFlyer kreeg óók een signaal zodra je de Neighbors-buurtwachtfunctie opende. Wat een gyroscoop-kalibratie met “app-attributie” te maken heeft, is een vraag die het bedrijf niet hoeft te beantwoorden, want het noemt zichzelf verwerker. Daarover zo meer.
Naar MixPanel, een analytics-bedrijf, en de grootste ontvanger: je volledige naam, je e-mailadres, OS-versie en model, of Bluetooth aanstond, en het aantal locaties waar je Ring-apparaten had geïnstalleerd.
Van deze vier stond er precies één (MixPanel) in Ring’s eigen lijst van derde partijen. De andere drie werden nergens genoemd. Al het verkeer ging keurig versleuteld over HTTPS. Dat beschermde niet jou; het maakte de tracking juist moeilijker te ontdekken.
De lamp van een tientje die met China praat (Tuya / whitelabel)
De goedkope kant van het spectrum draait grotendeels op één platform: Tuya, een Chinees cloudbedrijf. “Powered by Tuya” of “Works with Tuya” staat op talloze naamloze merken die je voor een paar euro bij webshops koopt. Het probleem zit in het ontwerp: Tuya is van de grond af gebouwd als cloud-platform. Vrijwel alle communicatie tussen het apparaat en de app loopt over servers van derden, en die servers staan in China.
Onderzoekers van Princeton bouwden IoT Inspector, een open-source tool waarmee gewone mensen het verkeer van hun eigen apparaten konden meelezen; sinds 2019 leverde dat gelabeld verkeer op van 44.956 apparaten. Een van hun bevindingen: een Geeni-slimme lamp communiceerde voortdurend met tuyaus.com, een domein dat wordt geëxploiteerd door een in China gevestigd bedrijf. [6,7] Northeastern zag in zijn lab hetzelfde: tijdens het aanzetten contacteerden Amerikaanse apparaten tuyaus.com. Amerikaanse veiligheidsanalisten waarschuwden dat dergelijke apparaten data afstaan onder de Chinese Data Security Law, die Chinese bedrijven kan verplichten data aan de staat te overhandigen. [8]
Dit gaat niet over advertentietrackers, maar over jurisdictie. Data van een Nederlands huishouden die bij een verwerker in een derde land terechtkomt, precies de doorgifte waar de AVG hoofdstuk V over gaat. Een aparte tak van dezelfde boom.
De slimme speaker die je interesses verkoopt (Amazon Alexa, 2023)
De Ring-bevindingen zijn van 2020 en gaan over de app. Een recenter en directer bewijs van de hele keten-in-één-ecosysteem komt uit het bekroonde onderzoek dat een team van Northeastern, UC Davis, UC Irvine en de University of Washington in 2023 publiceerde (Best Paper, IMC’23). Zij onderzochten het Amazon Alexa Echo-ecosysteem, 46 miljoen apparaten in de VS, 200.000+ “skills”, door zorgvuldig samengestelde persona’s bloot te stellen aan de speaker en te meten wat er gebeurde. [4]
De bevindingen sluiten de cirkel die de Ring-zaak alleen suggereerde. Alle Alexa-skills delen data met Amazon; 8,3% van het Echo-netwerkverkeer gaat naar advertentie- en trackingdiensten. Amazon verwerkt de interacties om je interesses af te leiden en serveert daarmee gerichte advertenties. En het scherpst: blootgestelde interactiedata leidde tot 30 keer hogere biedingen in advertentieveilingen, een direct, meetbaar bewijs dat je woonkamergedrag de RTB-markt in gaat. Nadat het onderzoek verscheen, paste Amazon zijn eigen privacy-disclosures aan om te erkennen dat het smart-speaker-interacties voor advertentietargeting gebruikt.
En in het groot: 81 apparaten, 34.586 experimenten (Northeastern & Imperial College)
Het zwaarste academische anker is het IMC’19-onderzoek van Northeastern University en Imperial College London. Code en packet headers staan publiek op GitHub (NEU-SNS/intl-iot); de ruwe captures zijn op aanvraag beschikbaar onder een data-overeenkomst. [9] De onderzoekers kochten 81 alledaagse apparaten, camera’s, deurbellen, hubs, lampen, stekkers, tv’s, speakers, een koelkast, en draaiden er 34.586 gecontroleerde experimenten op, in een lab in de VS én een lab in het VK, om jurisdictieverschillen te meten. De harde cijfers:
| Bevinding | Cijfer |
|---|---|
| Apparaten die minstens één niet-first-party contacteerden | 72 / 81 |
| US-apparaten die buiten hun eigen regio contacteerden | 56% |
| UK-apparaten die buiten hun eigen regio contacteerden | 83,8% |
| Apparaten met ≥1 plaintext-lek aan een meeluisteraar | 81 / 81 |
| Apparaten waaruit gebruikersgedrag betrouwbaar afleidbaar was | 30 / 81 |
| Unieke bestemmingen. Wansview-camera | 52 |
| Unieke bestemmingen. Samsung TV / Roku / TP-Link plug | 30 / 15 / 13 |
Tijdens het aanzetten contacteerden Amerikaanse apparaten onder meer netflix.com (vrijwel elke tv, óók zonder Netflix-account, wat alleen al verraadt welk model je hebt en waar), tuyaus.com, nuri.net (een Koreaanse ISP) en facebook.com. Tijdens interactie doken omtrdc.net (Adobe-tracking) en mixpanel.com alleen bij Amerikaanse apparaten op; branch.io werd gecontacteerd door Fire TV en TP-Link. De meest gecontacteerde organisaties waren Amazon, Google, Akamai en Microsoft, grotendeels omdat apparaten op hun cloud draaien, maar dat betekent ook dat juist die paar bedrijven kunnen meekijken welke apparaten in welk huis staan en wanneer ze gebruikt worden.
Een vervolgonderzoek van hetzelfde netwerk (IMDEA, Northeastern, NYU Tandon, IMC’23) legde nóg een laag bloot: apps en advertentie-SDK’s op je telefoon misbruiken lokale netwerkprotocollen (zoals UPnP) om stiekem te ontdekken welke andere slimme apparaten in je huis staan, zonder toestemming. Zo lekt zelfs het overzicht van je apparaten, en daarmee wanneer je thuis bent, naar partijen buiten je huis. [5]
Zit jouw apparaat ertussen? De concreet geteste merken
Hieronder de merken en apparaten die in de aangehaalde onderzoeken daadwerkelijk zijn gemeten, geen vermoedens, maar geteste hardware. Belangrijk: dit is géén uitputtende lijst van “gevaarlijke” apparaten. Het is wat ónderzocht is. Staat jouw apparaat er niet bij, dan betekent dat niet dat het veilig is, alleen dat het (nog) niet op deze manier is doorgemeten. Het patroon geldt breed; deze namen zijn de gedocumenteerde voorbeelden.
| Apparaat / merk | Wat er is vastgesteld | Bron |
|---|---|---|
| Amazon Ring (video-deurbel) | App stuurde PII naar Facebook, Branch, AppsFlyer, MixPanel; sensordata en anon_id | EFF (2020) |
| Amazon Alexa Echo (smart speaker) | Alle skills delen data met Amazon; targeting; tot 30× hogere RTB-biedingen | IMC ’23 |
| Geeni (slimme lamp, “powered by Tuya”) | Voortdurende communicatie met tuyaus.com (China-geëxploiteerd) | Princeton IoT Inspector |
| Wansview (wifi-camera) | Contacteerde 52 unieke bestemmingen, de meeste van alle geteste apparaten | Northeastern IMC ’19 |
| Samsung smart-tv | 30 unieke bestemmingen; contacteerde netflix.com zonder account | Northeastern IMC ’19 |
| Roku (streaming) | 15 unieke bestemmingen; advertentie/tracking-verkeer | Northeastern IMC ’19 |
| TP-Link (slimme stekker / lamp) | 13 unieke bestemmingen; contacteerde branch.io | Northeastern IMC ’19 |
| Amazon Fire TV | Contacteerde branch.io (tracking) | Northeastern IMC ’19 |
| Whitelabel “powered by / works with Tuya” (lampen, stekkers, sensoren) | Cloud-first architectuur; communicatie naar Chinese servers | Princeton; Northeastern |
| Categorieën breed getest (81 apparaten) | Camera’s, deurbellen, smart hubs, tv’s, speakers, stekkers, lampen, een koelkast, 72/81 naar niet-first-party | Northeastern IMC ’19 |
Herken je een merk? Dan is je apparaat in een lab doorgemeten en is bovenstaand gedrag gedocumenteerd. Herken je het niet, bijvoorbeeld een naamloos “smart”-merk van een webshop, dan is de kans juist groter dat het op het Tuya-achtige cloudmodel draait, want dat is wat de goedkope hardware vrijwel altijd gebruikt.
06 · Waar het allemaal heen gaat, de landen
De geografie is een eigen verhaal, en het is de kern van de AVG-zorg voor een Nederlandse gebruiker. Northeastern stelde vast dat het overgrote deel van de data, óók die van de Britse apparaten, destijds onder EU-jurisdictie, eindigt in de Verenigde Staten, simpelweg omdat de cloud-infrastructuur daar staat. Daarnaast:
- China, via Tuya- en Alibaba-endpoints (
tuyaus.com,aliyuncs.com,cnzz.com). Northeastern: veel Chinese apparaten leunen op Alibaba Cloud. Amerikaanse overheidsbronnen wezen op de Chinese Data Security Law. - Zuid-Korea,
nuri.net, een ISP, gezien tijdens de power-experimenten. - De broker-eindbestemming uit Schakel 1, grotendeels in de VS, maar met Europese knooppunten in Duitsland, Nederland, Polen, Spanje en het VK.
Voor een Nederlandse gebruiker betekent dit een doorgifte naar derde landen (VS, China). AVG Hoofdstuk V, meestal zonder dat de gebruiker het weet, zonder geldige toestemming (zie de TCF-uitspraak in Schakel 2), en naar partijen die zichzelf elders als datahandelaar registreren. Drie problemen die elk afzonderlijk al een AVG-vraag oproepen, gestapeld in één apparaat van een tientje.

07 · Wie kan er bij het eindpunt? En wat zijn de limieten?
De vorige schakels lieten zien dat de data ergens heen gaat. Maar wie kan er aan de andere kant werkelijk bij, en welke grenzen zijn er, als die er al zijn? Hier wordt het verschil tussen de Verenigde Staten en Europa scherp, en niet in het voordeel van de Europese gebruiker.
Wie koopt er bij de kraam?
De FTC-zaken uit Schakel 2 maken de afnemers concreet. X-Mode/Outlogic verkocht aan honderden klanten in uiteenlopende sectoren, vastgoed, financiën, merkanalyse, én aan private overheidscontractanten. Mobilewalla verkocht aan adverteerders, andere brokers én analytics-firma’s. Gravy Analytics’ dochter Venntel staat bekend als leverancier aan Amerikaanse overheidsdiensten. De afnemers zijn dus niet alleen reclamebureaus: het zijn ook verzekeraars, kredietbeoordelaars, achtergrond-checkers, en via tussenpartijen ook overheden en opsporingsdiensten die de data kopen in plaats van een bevel te halen. Wie genoeg betaalt, kan bij de kraam.
Moet zo’n bedrijf KvK- of EU-geregistreerd zijn?
Nee, en dat is de eerste limiet. Een data broker hoeft in Nederland nergens als data broker ingeschreven te staan. De Kamer van Koophandel registreert dát een bedrijf bestaat en onder welke activiteitencode het valt, niet dát het persoonsgegevens verhandelt. Er bestaat geen Nederlands of Europees register waarin je kunt opzoeken welke bedrijven jouw data kopen en verkopen. [24,25]
Dit is het spiegelbeeld van de Amerikaanse situatie. In de VS dwingen vier staten (Californië, Vermont, Texas, Oregon) bedrijven zich als data broker te registreren in een openbaar register, precies de lijst waarop wij in Schakel 1 de namen vonden, waaronder Azerion US Inc., de Amerikaanse dochter van het Nederlandse concern Azerion. In de EU bestaat zo’n register niet.
Welke landen, en wat zegt de wet daarover?
Uit de schakels samen volgt een geografie die voor een Nederlandse gebruiker een AVG-mijnenveld is:
| Bestemming | Via | Juridische status voor NL-gebruiker |
|---|---|---|
| Verenigde Staten | Cloud-infrastructuur; geregistreerde brokers | Doorgifte derde land (AVG Hfdst. V); Data Privacy Framework wankel |
| China | Tuya / Alibaba-endpoints | Geen adequaatheidsbesluit; Data Security Law dwingt afgifte aan staat |
| Zuid-Korea | nuri.net (ISP) | Wél adequaatheidsbesluit (2021), maar gebruiker weet van niets |
| EU-gelieerde knooppunten | Azerion US Inc. (NL-concern), Adsquare GmbH (DE), ID5 (UK), Ipsos (FR) | AVG raakt de EU-entiteiten, maar geen broker-register om ze in te vinden |

De kern: data die naar de VS of China gaat, verlaat de Europese rechtsbescherming. Voor de VS leunt de doorgifte op het Data Privacy Framework, dat juridisch omstreden is en al eens (als Privacy Shield) door het Hof van Justitie werd vernietigd. Voor China is er geen adequaatheidsbesluit, en geldt een wet die Chinese bedrijven kan dwingen data aan de overheid te overhandigen.
Sinds januari 2026 scherpt Californië dit aan: onder SB-361 moeten geregistreerde data brokers in hun jaarlijkse registratie melden of zij in het afgelopen jaar persoonsgegevens deelden met een “foreign adversary country”, uitdrukkelijk China, Noord-Korea, Rusland of Iran. Dat de Amerikaanse wetgever dit als aparte meldplicht invoert, onderstreept hoe reëel de China-route uit Schakel 5 (Tuya, Alibaba) wordt geacht. [23]
Zijn er limieten? Bestaan ze echt?
Op papier wél. De AVG geeft de Nederlandse gebruiker sterke rechten: artikel 14 verplicht een verwerkingsverantwoordelijke die data níét bij jou zelf verzamelde om je te informeren over de herkomst én de ontvangers; artikel 15 geeft recht op inzage; artikel 17 het recht op verwijdering, met een reactietermijn van 30 dagen. In theorie kun je dus vragen: wie heeft mijn data, en waar komt die vandaan?

In de praktijk struikelt het. Onderzoekers documenteerden een Oostenrijkse zaak waarin een burger via een artikel 15-verzoek probeerde te achterhalen waar een data broker zijn gegevens vandaan had en aan wie ze waren verkocht. Het antwoord: het bedrijf wist niet waar het de data vandaan had, het enige wat het kon melden, was dat één adres was binnengekomen door een “verhuizing” van de betrokkene. [28] Het businessmodel zelf, data die eindeloos wordt doorverkocht, samengevoegd en heringekocht, maakt het recht op inzage in de praktijk grotendeels onuitvoerbaar. En tegen een partij zonder EU-vestiging reikt de AVG alleen zover als de handhaving kan afdwingen. [25]
De VS heeft een register en geen wet; de EU heeft een wet en geen register. De gebruiker valt in het gat ertussen.
Dat is de eerlijke samenvatting van de limieten. Het sterkste praktische middel is daarom niet een inzageverzoek aan een bedrijf dat je data binnen maanden opnieuw inkoopt, maar het beperken van hoeveel data er überhaupt over je ontstaat, en dat begint bij het apparaat in de woonkamer, bij de keuze die je maakt voordat je het aan je wifi hangt.
08 · Wat dit voor jou betekent, wat gaat naar wie, en waarom
Tot hier ging het over structuur. Nu de vraag die er voor jou werkelijk toe doet: wat gebeurt er, concreet, met de data uit jouw woonkamer, en wat kan dat met je leven doen? Want “je advertising-ID wordt verhandeld” klinkt abstract. De gevolgen zijn dat niet.
Eén apparaat, uitgewerkt: de slimme deurbel
Neem de deurbel uit Schakel 5. Hij registreert beweging en gebruik. Elke werkdag piekt de activiteit rond 7:40 (iedereen de deur uit) en weer rond 17:30 (terug). Op zichzelf onschuldig. Maar opgeteld over weken vormt het een patroon: dit huishouden is doordeweeks leeg tussen 8 en 17 uur. Combineer dat met het IP-adres (grofweg je buurt), de advertising-ID (één persoon, over al je apps heen) en de locatiedata uit andere apps, en het patroon wordt een profiel. Dat profiel wordt een segment, “overdag afwezig, koopkrachtige buurt”, en dat segment is wat er in de veiling van Schakel 2 wordt verkocht. De koper hoeft jouw naam niet te kennen; het apparaat-ID en de locatie zijn genoeg om je opnieuw te vinden.
Waarom is dit geld waard? Omdat voorspelbaar gedrag voorspelbare omzet is. Een adverteerder betaalt meer voor “wie net verhuisd is” (koopt meubels), “wie zwanger lijkt” (koopt alles), of “wie financieel krap zit” (vatbaar voor dure leningen). Het Alexa-onderzoek uit Schakel 5 mat dit rechtstreeks: blootgestelde interesses leidden tot biedingen die tot 30 keer hoger lagen. Jouw routine is de grondstof; het bod is de prijs die ervoor betaald wordt.
Het is geen hypothese, het is gebeurd
Dat dit verder gaat dan reclame, is bewezen. Een van de scherpste voorbeelden: de gebedsapp Muslim Pro, met bijna 100 miljoen gebruikers, bleek locatiedata door te geven aan de broker X-Mode, die het verkocht aan Amerikaanse defensiecontractanten. Een innocente app, een gevoelig kenmerk (geloof), een militaire eindbestemming die de gebruiker nooit voor ogen had. [29]
En de overheid zelf is inmiddels een grote koper. In plaats van een bevel te halen, kopen Amerikaanse diensten. DHS, ICE, FBI, IRS, de Secret Service, locatiedata bij brokers als Venntel en Locate X. Juristen noemen dit de “data broker-maas”: waarom een rechter overtuigen als je de data gewoon kunt afrekenen? In 2026 tekende DHS een contract van een miljard dollar met Palantir om uit zulke ingekochte data voorspellende surveillancesystemen te bouwen. [30]
De concrete schade, op een rij
De gevolgen vallen in categorieën die elk afzonderlijk al iemands leven kunnen raken:
| Koper / gebruik | Wat ermee gebeurt | Wat het voor jou betekent |
|---|---|---|
| Overheid / opsporing | Koopt locatie- en gedragsdata zonder bevel (Venntel, Locate X) | Je bewegingen, gebedshuis, demonstratiebezoek liggen vast, zonder rechterlijke toets |
| Verzekeraars / kredietverstrekkers | Segmenten als “clinical depression” of “financieel kwetsbaar” (buiten de FCRA-bescherming) | Hogere premie of afwijzing, op basis van afgeleide kenmerken die je nooit deelde |
| Werkgevers / verhuurders | Achtergrond-dossiers uit samengevoegde bronnen | Afgewezen om iets dat niet klopt, en dat je niet kunt corrigeren |
| Gepersonaliseerde prijzen | Postcode als proxy voor inkomen of afkomst | Jij betaalt meer voor hetzelfde product dan je buurman |
| Stalkers / daders | Brokerdata als opsporingstool tegen slachtoffers | Een ontsnapt slachtoffer van huiselijk geweld wordt teruggevonden via gekochte data |
| Oplichters / inbrekers | Datalek of inkoop van het “overdag afwezig”-segment | Iemand weet precies wanneer je huis leeg staat |
De gemene deler: in de VS bestaat geen federale privacywet die marketingdata afdekt. De Fair Credit Reporting Act beschermt alleen formele krediet-, werk- en verzekeringsbeslissingen, niet de schaduwmarkt eromheen. Daardoor mag een broker je als “Consumer with Clinical Depression” labelen en die lijst verkopen, zolang het officieel “marketing” heet. [31,32]
Waarom juist déze landen
De geografie uit Schakel 6 is geen toeval, en het “waarom” per bestemming is de kern van de zorg:
- De Verenigde Staten, niet omdat Amerikanen kwaadwillend zijn, maar omdat er geen federale privacywet is die de handel afremt, én omdat de overheid er actief koopt. Data die daar landt, valt in een markt die structureel minder bescherming kent dan de jouwe.
- China, omdat de Data Security Law Chinese bedrijven kan verplichten data aan de staat af te geven. Een lamp die met
tuyaus.compraat, geeft je gebruikspatroon af aan een jurisdictie waar je als Nederlander geen enkel recht kunt uitoefenen. Dat de Amerikaanse wetgever China sinds 2026 als “foreign adversary” expliciet in de meldplicht zette, onderstreept hoe serieus dit wordt genomen. - De doorgifte zelf, voor een NL-gebruiker is élke stap naar buiten de EU een doorgifte onder AVG Hoofdstuk V, die een geldige grondslag vereist. Die grondslag is er bij RTB niet (het toestemmingssysteem is ongeldig verklaard, Schakel 2), en bij Tuya/China al helemaal niet.
Het draait niet om “ze weten wat ik koop.” Het draait erom dat een onbekende partij in een ander land weet wanneer je huis leeg is, wat je gelooft, en hoe kwetsbaar je bent, en mag dat doorverkopen.
09 · Dit is geen incident. Dit is een systeemontwerp.
Net als bij de cookiebanners en datalekken die ik eerder analyseerde, is het schandaal slechts het symptoom. Het echte probleem zit in het model. Vijf ontwerpkeuzes komen samen op één punt:
- Het apparaat praat standaard naar buiten, naar de fabrikant, naar de cloud, naar trackers, zonder dat je iets hoeft te doen.
- De identifiers zijn ontworpen om persistent te zijn (de
anon_iddie een reset overleeft). - De partij die de data doorgeeft, schuilt achter het “verwerker”-etiket.
- De veiling waarin de data verhandeld wordt, draait op een toestemmingssysteem dat een rechter ongeldig verklaarde.
- De eindbestemming is een geregistreerde datahandelaar in een derde land, buiten het bereik van de gebruiker.
En het zwaarst getroffen slachtoffer is, net als bij de Meta-bril, degene zonder knop: hier niet de voorbijganger, maar het hele huishouden, je gezin, je gasten, je kinderen, je buren in beeld van de deurbel, dat nooit een instelling te zien kreeg.
10 · De toets die elke beslissing had kunnen voorkomen: P-SEP
Hoe had een consument, een inkoper, of een gemeente die slimme apparaten uitrolt dit kunnen ondervangen? Met dezelfde toets die ik in het Ray-Ban-dossier gebruikte: het P-SEP-model van Erik Jan Koedijk, digitaal strateeg. Vier vragen die je stelt vóór je een apparaat toelaat. De regel is onverbiddelijk: elke vraag moet afzonderlijk met “ja” te beantwoorden zijn. Het werkt als een AND-poort, vier keer ja, of het deugt niet. [33]
- P. Persoonlijk verantwoord? Kun je dit tegenover jezelf en je huisgenoten verantwoorden?
- S. Security verantwoord? Is het te verdedigen, ook in het slechtste scenario?
- E. Ethisch verantwoord? Klopt het moreel, ook voor wie er niet om vroeg?
- P. Privacy verantwoord? Houdt het stand tegen de AVG en tegen wat redelijk is?
Laten we de goedkope slimme stekker, en bij uitbreiding de hele categorie cloud-gekoppelde consumenten-IoT, er eerlijk langs leggen.
| Vraag | Wat het dossier laat zien | Oordeel |
|---|---|---|
| Persoonlijk | Je kunt niet instaan voor wat de firmware naar buiten stuurt, naar welk land, of bij welke broker het eindigt. Je verantwoordt iets dat je niet overziet, en je hebt het je gezin en gasten opgelegd. | NEE |
| Security | Apparaten lekten in 81/81 gevallen via plaintext; identifiers zijn cross-app koppelbaar; de data reist naar servers in landen met afwijkende wetgeving. “Het lekt nooit” is geen optie. | NEE |
| Ethisch | De data van een heel huishouden, inclusief kinderen, want brokers zijn gemarkeerd met ‘verzamelt data van minderjarigen’, voedt een advertentiemarkt waar niemand bewust voor koos. | NEE |
| Privacy | Doorgifte naar derde landen (VS, China) zonder geldige grondslag; het RTB-toestemmingssysteem is door een rechter ongeldig verklaard; opt-outs zijn afwezig of verstopt. | NEE |
11 · Wat dit dossier invult, het onderbelichte deel
Het losse onderzoek bestond al, en het is sterk. Northeastern mat de bestemmingen. Princeton mat het in het wild. De EFF ontleedde de Ring-app. De FTC bewees de SDK-handel. Het Hof van Justitie verklaarde de RTB-toestemming ongeldig. Privacy Rights Clearinghouse bouwde het broker-register. Maar elk van die stukken stond op zichzelf, en bijna alles was gemeten vanuit een Amerikaans of Brits perspectief.
Wat ontbrak, is de doorlopende keten, getrokken vanuit het perspectief van iemand die het apparaat hier, in Nederland, in zijn stopcontact steekt:
Niemand had die vijf schakels als één geheel, met een bron per schakel, naast elkaar gelegd. De waarde van dit dossier zit niet in een nieuwe meting, het zit in het sluiten van de cirkel, en in het benoemen van de schakel (de “verwerker”) die de cirkel normaal onzichtbaar houdt.
12 · Wat nu? Concreet.
Voor jou als bewoner
- Zet slimme apparaten op een apart wifi-netwerk (een gastnetwerk of een eigen VLAN), gescheiden van je telefoons en computers. Veel routers kunnen dit standaard.
- Kies waar mogelijk apparaten met lokale verwerking (bijvoorbeeld het Apple Home-ecosysteem, of apparaten die met Home Assistant lokaal werken) boven cloud-only merken.
- Wees extra terughoudend met de allergoedkoopste “powered by Tuya”-apparaten als je geen doorgifte naar China wilt. De prijs op het kaartje voorspelt het risico niet, soms is het omgekeerde waar.
- Een camera of deurbel die het publieke trottoir of de buren filmt, maakt jóu mogelijk verwerkingsverantwoordelijke onder de AVG. Richt hem op je eigen erf.
Voor inkopers en beleidsmakers
- Maak van de P-SEP-toets (Persoonlijk, Security, Ethisch, Privacy) een vaste stap bij elke aanschaf van apparaten of diensten in de publieke sector. Vier keer ja, of het komt er niet in.
- Behandel cloud-gekoppelde consumenten-IoT in gevoelige omgevingen (zorg, onderwijs, overheid) als wat het is: een sensor met een uitgaande lijn naar een onbekende derde partij.
- De doorgifte naar derde landen en het ongeldig verklaarde RTB-toestemmingssysteem verdienen een blik van de Autoriteit Persoonsgegevens, niet over één apparaat, maar over de categorie en de keten.
13 · De eerlijkheid die erbij hoort
Geen enkel dossier is geloofwaardig zonder zijn eigen zwakke plekken te benoemen. Deze horen erbij:
| Grens | Wat het betekent |
|---|---|
| Geen rechte pijplijn | Er is geen bewezen directe verkoop “Ring → Mobilewalla.” De keten is een markt: vertrek, verhandelbaarheid en aankomst zijn elk apart bewezen; de verbinding is structureel, niet één gedocumenteerde transactie. |
| Bestemming ≠ inhoud | Northeastern zag wáár verkeer heen ging, niet altijd wát erin zat (versleuteld). “Praat naar een tracker” is geen “stuurt PII naar een tracker,” tenzij apart aangetoond, zoals bij Ring wél. |
| Ring-cijfers zijn 2020 / app-zijdig | Ze bewijzen wat er tóén gebeurde, op de app-kant. Een hermeting in 2026, op toestelniveau, is nodig voor een actuele claim. |
| Registers zijn Amerikaans | Ze bewijzen dat bedrijven in de VS datahandel zelf erkennen; ze zijn geen AVG-instrument. De AVG-haak loopt via de doorgifte (Hoofdstuk V) en de TCF-uitspraak. |
| Vestigingslanden afgeleid | De namen staan geverifieerd in de PRC/EFF-lijst; de landen zijn afgeleid uit de rechtsvorm in de naam (GmbH, Ltd, Sp. z o.o., SL, Pte). Belangrijk: het is “Azerion US Inc.” die geregistreerd staat, de VS-dochter, niet het NL-moederbedrijf. Sommige namen (Ipsos, TL1MKT, InMobi, SafeGraph) staan alleen op de oudere California AG-lijst, niet het actuele CPPA-register. |
| Twee punten nog te bevestigen | De actuele CPPA-registratie van Venntel en Mobilewalla is gefundeerde inferentie (ze ontbreken op de California-gap-lijst ondanks eerdere AG-registratie); een directe check in het register sluit dit. En het Palantir-DHS-contract verdient een primaire contractbron. |
| Endpoint is geen verkoop | Een endpoint bewijst dat data wordt verzameld, niet automatisch dat het wordt doorverkocht. Dat onderscheid is overal in dit dossier aangehouden. |
Deze grenzen verzwakken het verhaal niet. Ze maken het bestand tegen het eerste tegenargument, precies zoals het hoort.
“If nothing changes, nothing changes.”
■ ■ ■
Bronnen
- EFF, “Ring Doorbell App Packed with Third-Party Trackers” (Ring voor Android v3.21.1; Frida + mitmproxy; PII naar branch.io, mixpanel.com, appsflyer.com, facebook.com).
- Bleeping Computer, “Ring Android App Sent Sensitive User Data to 3rd Party Trackers” (bevestiging ontvangers; Graph API).
- SecurityWeek / SlashGear / Threatpost / BBC. Bevestigende verslaglegging incl. de anon_id die een advertising-ID-reset overleeft en de sensordata naar AppsFlyer.
- Iqbal e.a., Alexa Echo (IMC '23, Best Paper). Alle Alexa-skills delen data met Amazon; 8,3% van het Echo-verkeer naar advertising/tracking; blootgestelde data leidt tot 30× hogere RTB-biedingen; Amazon paste na publicatie zijn disclosures aan.
- Girish e.a. (IMDEA / Northeastern / NYU Tandon, IMC '23), “In the Room Where It Happens”: apps en SDK’s misbruiken lokale netwerkprotocollen (UPnP) om zonder toestemming andere IoT-apparaten in huis te ontdekken.
- Princeton. IoT Inspector, arXiv:1909.09848 (44.956 apparaten; Geeni-lamp → tuyaus.com; verouderde TLS).
- TechCrunch, “Spy on your smart home with this open source research tool” (Geeni-lamp communiceert met het door China geëxploiteerde tuyaus.com).
- Voice of America / The Hill. Datazorgen rond Tuya onder de Chinese Data Security Law.
- Ren, Dubois, Choffnes, Mandalari, Kolcun, Haddadi. IMC '19, “Information Exposure From Consumer IoT Devices,” ACM IMC 2019. 81 apparaten; 72/81 naar niet-first-party; 81/81 plaintext-lek. Code: github.com/NEU-SNS/intl-iot.
- Disconnect, services.json, de tracker-classificatielijst die Firefox en Edge gebruiken (1.877 organisaties, 4.773 domeinen).
- Tuya Developer. Data Centers, Tuya’s eigen documentatie: datacenters in China (Tencent), West- en Oost-VS, Centraal-Europa, India en Singapore (AWS/Google Cloud/Alibaba); niet-toegewezen landen worden gemapt naar het West-Amerika datacenter.
- AppsFlyer, “Processing Customer Data”, zelfverklaring als data processor; stelt geen broker te zijn en geen data te verkopen of profileren.
- HvJ-EU. Fashion ID (C-40/17), Wirtschaftsakademie (C-210/16). Feitelijke invloed op doel en middelen bepaalt (gezamenlijke) verwerkingsverantwoordelijkheid, ongeacht zelfbenoeming.
- FTC. X-Mode / Outlogic, SDK in honderden apps, miljarden downloads; advertising-ID + locatie; verkoop ná opt-out; klanten incl. overheidscontractanten.
- The Markup, 107 third-party apps; purchase order voor data van bezoekers van medische centra.
- The Register. Eerste FTC-databroker-schikking; SDK in apps met miljarden downloads.
- FTC. Mobilewalla, 500M+ advertising-identifiers; data uit verloren RTB-biedingen; eerste verbod op datacollectie uit advertentieveilingen.
- FTC. Gravy Analytics / Venntel (+ EPIC, Hunton). Segmenten naar religie, politiek, medische condities, LGBTQ+-inferentie.
- HvJ-EU. IAB Europe (C-604/22), Arrest 7 maart 2024: de TC String is een persoonsgegeven; IAB Europe kan gezamenlijk verwerkingsverantwoordelijke zijn.
- Gegevensbeschermingsautoriteit (BE) / Brussels Marktenhof. Eindarrest 14 mei 2025: €250.000-boete en GDPR-inbreuken in het TCF bevestigd; gesteund door alle EU-toezichthouders.
- DLA Piper / Lewis Silkin / Didomi / Osborne Clarke. Juridische analyses van het CJEU-arrest en het Marktenhof-eindarrest.
- Privacy Rights Clearinghouse & EFF, “Analysis Report of Data Broker Registration Gaps” (24 juni 2025). De Vermont-brief noemt 309 elders-geregistreerde brokers, de California-brief 291. Bevat o.a. Outlogic (X-Mode), InMarket, SafeGraph en Azerion US Inc.
- California Privacy Protection Agency (CalPrivacy). Data Broker Registry; Enforcement Advisory 2025-01; boetes ROR Partners ($56.600), Accurate Append ($55.400), Datamasters ($45.000); DROP, live sinds 1 jan 2026.
- Hunton. California SB-361 (foreign adversary). Sinds jan 2026 moeten brokers melden of zij data deelden met een “foreign adversary country” (China, Noord-Korea, Rusland, Iran).
- VeraSafe. De EU kent géén data broker-register of broker-specifieke wet zoals de VS; AVG art. 13–14 legt de plichten breed bij elke verantwoordelijke.
- Privacy Insight Solutions. AVG-rechten bestaan, maar handhaving tegen partijen zonder EU-vestiging is zwak (Clearview); opt-out via art. 15/17 met 30-dagentermijn.
- ACM / Autoriteit Consument & Markt. Sinds 19 nov 2024 verplichte registratie van data-intermediairs in NL onder de Data Governance Act.
- Europese Commissie / Clifford Chance / IAPP. DGA-register en neutraliteitseis voor data-intermediairs, met expliciete uitsluiting van klassieke data brokers.
- European Data Protection Law Review (Lexxion). Oostenrijkse art. 15-zaak: broker kon niet achterhalen waar de data vandaan kwam; structurele onuitvoerbaarheid van inzagerechten.
- Vice / Motherboard. Muslim Pro & X-Mode, “How the U.S. Military Buys Location Data from Ordinary Apps”: locatiedata uit de gebedsapp Muslim Pro (~100M gebruikers) belandde via X-Mode bij Amerikaanse defensiecontractanten; Muslim Pro verbrak daarna de banden.
- EFF / State of Surveillance, overheid koopt locatiedata. DHS, ICE, FBI, IRS en de Secret Service kopen locatiedata bij brokers (Venntel, Locate X) in plaats van een bevel te halen; de “data broker-maas”. DHS tekende in 2026 een miljardencontract met Palantir.
- EPIC. Data Brokers, geen federale privacywet dekt marketingdata; brokerdata als opsporingstool tegen slachtoffers van huiselijk geweld; risico’s voor publieke ambtsdragers.
- ACLU / CFPB / ProPublica, discriminatie en prijsstelling, segmenten als “Consumer with Clinical Depression”; postcode als proxy voor afkomst/inkomen bij premie- en prijsstelling; de FCRA dekt alleen formele krediet-/werk-/verzekeringsbeslissingen, niet de marketingmarkt eromheen.
- 404 Media. Babel Street / Locate X, demonstratie hoe Locate X, gevoed door advertising-ID-locatie uit de bidstream, één toestel van Alabama naar een kliniek in Florida volgde; toegang verleend op enkel de bewering van toekomstig opsporingswerk. FBI tekende in 2022 een contract tot $27M met Babel Street.
- FTC. Kochava, FTC-zaak (2022); amended complaint overleefde februari 2024; Kochava betrekt data van andere brokers en verkoopt precieze geolocatie + MAID-segmenten.
- Vice / Motherboard. SafeGraph & Veraset, een week locatiedata van 600+ Planned Parenthood-locaties voor ~$160; Google bande SafeGraph uit de Play Store (juni 2021); verkoop aan de CDC ($420.000); spin-off Veraset levert ruwe per-toestel-data.
- Adobe. Experience Cloud / Regional Data Collection. Adobe’s eigen docs: de ID-service roept
dpm.demdex.netaan; de demdex-cookie is een persistente cross-domein-identifier; legacy-identifiers via adobedc.net, 2o7.net en omtrdc.net. - P-SEP-model. Erik Jan Koedijk, Toetsingskader voor verantwoorde technologie (cybersecurity.vision), afgestemd op AI Act, NIS2, DORA en de Cyber Resilience Act.
Alle bronnen openbaar en geverifieerd op het moment van schrijven. Geen captures, geen telemetrie, geen affiliate, geen verdienmodel achter dit stuk. Het P-SEP-model (Persoonlijk, Security, Ethisch, Privacy) is van Erik Jan Koedijk, cybersecurity.vision. Onafhankelijk privacy-onderzoek uit Nederland.