Jouw huis praat met vreemden. En jij hebt nooit getekend.

Hoe data uit een slim apparaat in een Nederlandse woonkamer, een deurbel, een lamp van een tientje, een tv, via attributie-SDK's en advertentieveilingen belandt bij bedrijven die zich in de Verenigde Staten zélf als datahandelaar registreren, en bij servers in China. Een forensische uiteenzetting van een keten die al jaren in openbaar onderzoek ligt, maar die niemand nog van begin tot eind had doorgetrokken voor de Nederlandse gebruiker. Getoetst aan het P-SEP-model. Deel twee in een reeks over slimme apparaten en privacy.

Bewerkte illustratie in de stijl van een Ring-deurbelbeeld: een figuur met tablet bij een Nederlandse bushalte, met de tekst 'Wil je slim huis of niet'. Illustratie door Mick Beer

Hoe data uit een slim apparaat in een Nederlandse woonkamer, een deurbel, een lamp van een tientje, een tv, via attributie-SDK’s en advertentieveilingen belandt bij bedrijven die zich in de Verenigde Staten zélf als datahandelaar registreren, en bij servers in China. Een forensische uiteenzetting van een keten die al jaren in openbaar onderzoek ligt, maar die niemand nog van begin tot eind had doorgetrokken voor de Nederlandse gebruiker. Getoetst aan het P-SEP-model.

Dit is deel twee. In het eerste dossier ging het over de Ray-Ban Meta, een camera op andermans gezicht, en jij de voorbijganger zonder knop. Deze keer draait het om het apparaat dat de meesten zonder nadenken aan de wifi hangen: de slimme stekker, de deurbel, de lamp van een tientje, de tv. Wat doet zo’n ding eigenlijk, als het eenmaal binnen staat?

Toen ik mijn schoonmoeder hielp met een slimme stekker van een tientje, zo’n witte van een merk dat je nog nooit hebt gehoord, “werkt met de app”, duurde het opzetten vier minuten. Wat ik haar niet kon vertellen, omdat ik het zelf op dat moment niet wist, is waar die stekker daarna mee praat. Niet met haar telefoon, maar met een server in China en een handvol advertentiebedrijven aan de andere kant van de wereld.

De inbreker die je zelf binnenliet: het slimme apparaat staat in de woonkamer, met jouw toestemming, en kijkt terug.
Illustratie · Mick Beer. De inbreker die je zelf binnenliet: het slimme apparaat staat in de woonkamer, met jouw toestemming, en kijkt terug.

Dat is geen complot en geen gadget-review. Het is wat er feitelijk gebeurt, en het staat allemaal al beschreven, in academische papers, in repositories op GitHub, in besluiten van de Amerikaanse FTC, in een arrest van het Europees Hof van Justitie, en in een wettelijk register dat de bedrijven zélf hebben ingevuld. Het enige wat ontbrak, was iemand die de schakels naast elkaar legt en de hele keten in één lijn trekt: van het apparaat in de woonkamer tot de eindbestemming, en de landen waar het heen gaat.

Dit dossier doet dat. Het hackt niets en meet niets nieuws, het brengt bestaand, openbaar onderzoek samen, houdt elke stream tegen openbare lijsten, en benoemt eerlijk waar het bewijs hard is en waar het ophoudt. Deze keer doe ik het andersom: ik begin bij het eindpunt, bij de partij die zich aan het eind van de keten zélf als datahandelaar laat registreren, en werk terug naar het apparaat in de woonkamer waar alles begon. En ik zeg de kern vast: dit is geen lek en geen incident. Het is een markt, en hij is zo ontworpen dat jij hem niet ziet.

De keten in één oogopslag
#SchakelWat er gebeurtBewijs
1EindbestemmingEen geregistreerde data broker, vaak buiten de EU309-broker-lijst (PRC/EFF); CalPrivacy-boetes
2RTB / SDK-marktDe identifier wordt geveild: advertising-ID + locatieFTC (X-Mode, Mobilewalla); HvJ-EU + Brussel (TCF)
3De “verwerker”-grensHet attributiebedrijf schuilt achter een etiketAppsFlyer-zelfverklaring vs. HvJ-EU-leer
4ClassificatieDe bestemming blijkt een bekende tracker/adverteerderDisconnect services.json
5Apparaat / appIdentifiers, PII en sensordata vertrekken naar buitenEFF (Ring); Northeastern (81 apparaten); Princeton (44.956)
De volledige keten: van apparaat in de woonkamer tot geregistreerde data broker in een derde land. Teal = startpunt, grijs = tussenschakels, rood = eindbestemming.
Overzicht. De volledige keten: van apparaat in de woonkamer tot geregistreerde data broker in een derde land. Teal = startpunt, grijs = tussenschakels, rood = eindbestemming.

01 · De eindbestemming: wie staat er in het register

Begin bij het eind van de keten. Daar staat het hardste bewijs, en het is een document dat de bedrijven zélf hebben ingevuld. Vier Amerikaanse staten, Californië, Vermont, Texas en Oregon, houden een wettelijk verplicht, openbaar register bij waarin bedrijven zich als data broker moeten registreren. Privacy Rights Clearinghouse en de EFF voegden die vier samen tot één genormaliseerde lijst van ruim 750 unieke data brokers. In een brief aan de procureur-generaal van Vermont (24 juni 2025) somden ze 309 brokers op die zich in de ene staat wél, in Vermont níét registreerden, elk met markeringen: * = verzamelt geolocatie, = verzamelt data van minderjarigen. [21,22]

Wat staat er, en wat niet? De attributie/analytics-bedrijven uit de streams (AppsFlyer, Branch, MixPanel, Meta, Crashlytics) staan er niet exact op. Zij schuilen achter de verwerker-status uit Schakel 3. Maar de partijen waar het SDK/RTB-ecosysteem in uitmondt staan er wél, zelf-geïdentificeerd als datahandelaar:

De eindbestemming, geregistreerde brokers (selectie uit de 309)
BrokerMarkeringRol
X-Mode Social / Outlogicgeo + minderj.FTC-beboete SDK-locatiebroker (Schakel 2)
InMarket Mediageo + minderj.FTC-beboet; SDK-locatiedata
SafeGraphgeo + minderj.Locatiebroker
UberMedia / Lotadatageo + minderj.Locatiebrokers
Quadrant Global / Mobile Technology Corp (Onspot)geoLocatiebrokers
InMobi / Unity Technologies / Start.iogeoMobiele ad/SDK-spelers

En cruciaal voor het Nederlandse verhaal: er staan Europese en niet-Amerikaanse brokers op de lijst. Dit is geen puur Amerikaans fenomeen, het ecosysteem reikt tot in eigen land.

EU / niet-VS brokers op de PRC/EFF-lijst (namen exact zoals geregistreerd)
Broker (zoals geregistreerd)Rechtsvorm wijst opGeregistreerd inMarkering
Azerion US Inc.VS-dochter, NL-concernCalifornia (CPPA), Texasgeo
Adsquare GmbHDuitslandCalifornia (CPPA + AG), Texasgeo + minderj.
ID5 Technology LtdVerenigd KoninkrijkCalifornia (CPPA + AG)geo + minderj.
LoopMe LtdVerenigd KoninkrijkCalifornia, Texas, Oregongeo + minderj.
Online Advertising Network Sp. z o.o.PolenCalifornia (CPPA + AG)geo + minderj.
Eyeota Pte LtdSingaporeCalifornia (CPPA + AG)geo + minderj.
IpsosFrankrijkCalifornia (AG, legacy)geo + minderj.
TL1MKT SLSpanjeCalifornia (AG, legacy)geo + minderj.
Media.Net Advertising FZ-LLCVerenigde Arabische EmiratenCalifornia (CPPA),

Lees die eerste regel nog eens, maar lees hem precies. Wat in het register staat is Azerion US Inc.: de Amerikaanse dochter van het Nederlandse concern Azerion, geregistreerd in Californië met de markering “verzamelt geolocatie.” Het is dus niet het NL-moederbedrijf zelf dat zich inschreef, maar een entiteit van een Nederlands concern die haar status als datahandelaar in de VS zwart-op-wit heeft erkend. De datahandel zit niet alleen ver weg aan het eind van de keten, een schakel ervan draagt een Nederlandse naam. De landen in de tweede kolom zijn afgeleid uit de rechtsvorm in de geregistreerde naam (GmbH, Ltd, Sp. z o.o., SL, Pte); de lijst zelf vermeldt geen vestigingsland.

Waar het verkeer heen gaat, domeinen en doorgifte per bedrijf

De vestiging van een bedrijf zegt weinig over waar je data fysiek heen reist. Hieronder per partij de bekende ad- en analytics-domeinen en, waar gedocumenteerd, de doorgifte naar landen búíten de vestiging. Bron voor de classificatie en domeinen is de openbare Disconnect-lijst (zoals in Schakel 4); voor cloud-endpoints de eigen documentatie van het bedrijf. Bewijsniveau: domeinen en categorie zijn hard (geciteerd); de fysieke serverlocatie is deels inferentie (CDN/cloud), expliciet als zodanig gemarkeerd.

Ad-/analytics-domeinen en doorgifte (hard = geciteerd, infer. = gefundeerde inferentie)
BedrijfCategorieBekende domeinenDoorgifte buiten vestiging
AppsFlyer (IL/US)Advertisingappsflyer.com, appsflyer-skadnetwork.comServers wereldwijd; verzamelt TCF-string (hard)
Branch (US)Advertisingbranch.io, app.linkUS-infrastructuur (infer.)
MixPanel (US)Analytics + EmailAggressivemixpanel.com, mxpnl.comUS (infer.)
Meta / Facebook (US)Advertising + Social + Fingerprintingfacebook.com, facebook.net, fbcdn.net, atdmt.comUS (hard: Graph API)
Google / Crashlytics (US)Advertising + Analyticsdoubleclick.net, crashlytics.com, google-analytics.com, 2mdn.net, admob.comUS (infer.)
Adobe (US)Advertising + Fingerprintingdemdex.net, omtrdc.net, 2o7.net, adobedc.netUS (infer.)
Alibaba (CN)Advertising + Fingerprinting-invasivealiyuncs.com, cnzz.com, alicdn.com, rto-study.oss-us-west-1.aliyuncs.comCN-bedrijf met US-west bucket in lijst (hard)
Tuya (CN)IoT-cloudtuyacn.com (CN/Tencent), tuyaus.com + openapi-ueaz.tuyaus.com (VS), tuyaeu.com (EU), tuyain.com (IN)CN-bedrijf; niet-gemapte landen → West-VS datacenter (hard, eigen docs)
PubMatic (US)Advertising (RTB-exchange)pubmatic.com, ow.pubmatic.comUS (infer.)
Magnite (US)Advertising (RTB-exchange)rubiconproject.com, spotx.tv, rtk.ioUS (infer.)
Adsquare (DE)Advertisingadsquare.comEU-vestiging; CPPA + Texas (hard)
ID5 (UK)Advertising (ID-sync)id5-sync.com, eu-1-id5-sync.comUK; aparte EU- én niet-EU sync-domeinen (hard)
LoopMe (UK)Advertisingloopme.com, loopme.me, chartboost.com, tk0x1.comUK; bevat US ad-domeinen (hard)
InMobi (IN)Advertisinginmobi.com, inmobicdn.net, inmobiapis.com, aerserv.com, sproutinc.comIN; bevat overgenomen US-domeinen (hard)
Unity (US/Ad: IL)Advertisingsupersonicads.com, yellowblue.ioAd-tak via het Israëlische supersonicads (hard)
Eyeota (SG → D&B, US)Analyticseyeota.netOvergenomen door Dun & Bradstreet, US (hard)
Media.net (AE)Advertisingmedia.netVAE-entiteit (Media.Net Advertising FZ-LLC) (hard)
Eyeota / Quadrant / Start.io / SafeGraph / X-Mode-Outlogic / Mobilewalla / Gravy-VenntelLocation-broker / SDKgeen web-tracker-domeinen; oogsten via SDK & bidstreamVS-brokers; verkoop wereldwijd incl. overheid (hard: FTC)

De patronen die eruit springen: een Chinees bedrijf als Alibaba heeft een bucket op Amerikaanse servers, en Tuya stuurt élk niet-toegewezen land standaard naar zijn West-Amerikaanse datacenter, data kan dus zowel China als de VS raken. UK-partijen als ID5 en LoopMe dragen naast hun EU-sync ook niet-EU- en US-domeinen. En de location-brokers hebben helemaal geen herkenbare “eigen” domeinen: zij oogsten uit de bidstream van ánderen, wat precies verklaart waarom ze zo moeilijk te traceren zijn.

Het schil-model: hoe verder de data van het apparaat reist, hoe zwakker de documentatie. De kern (apparaat → SDK) is hard gemeten; de buitenste schil (broker → downstream → overheid) is alleen via FTC-klachten en journalistiek te volgen, en bij de rand weet de broker zélf niet meer waar de data vandaan komt.
Het schil-model. Het schil-model: hoe verder de data van het apparaat reist, hoe zwakker de documentatie. De kern (apparaat → SDK) is hard gemeten; de buitenste schil (broker → downstream → overheid) is alleen via FTC-klachten en journalistiek te volgen, en bij de rand weet de broker zélf niet meer waar de data vandaan komt.

Het schil-model: documentatie vervaagt naar buiten

Bij dit dieptewerk dringt één patroon zich op dat zelf de kern van het verhaal is: hoe verder de data van je apparaat af reist, hoe slechter het te documenteren valt. Niet omdat het ophoudt, maar omdat elke schil minder zichtbaar is dan de vorige. Dat is geen zwakte van het onderzoek, het is de structuur van de markt, en het verklaart waarom niemand dit eerder van begin tot eind had getrokken.

De waarde van dit dossier zit niet in één extra meting, maar in het benoemen van die vervaging. Tot Schakel 4 kun je een primair document aanwijzen; bij Schakel 3 leun je op registers; bij Schakel 2 op handhavingsdossiers en journalistiek, en aan de buitenrand stopt zelfs de broker met antwoorden. Het verlies van traceerbaarheid ís het verhaal.

Wat het diepere spoor opleverde, de buitenste schil

Een aantal bevindingen uit het uitgebreide bronwerk, met het bewijsniveau er telkens bij:

En de handhaving is echt. CalPrivacy richtte eind 2025 een Data Broker Enforcement Strike Force op. ROR Partners betaalde $56.600 nadat het profielen op 262 miljoen Amerikanen bleek te bouwen zonder zich te registreren; Accurate Append betaalde $55.400; Datamasters $45.000 plus een verkoopverbod op data van Californiërs. De boetes lopen op tot $200 per consument per dag voor het negeren van een verwijderverzoek. Dit zijn geen papieren regels. [22]

Schakel 1: het SDK/RTB-spoor mondt uit in bedrijven die zich zélf als data broker registreren, in de VS én in Europa (waaronder Azerion, NL).
Schakel 1. Schakel 1: het SDK/RTB-spoor mondt uit in bedrijven die zich zélf als data broker registreren, in de VS én in Europa (waaronder Azerion, NL).

02 · De markt: real-time bidding en de SDK-handel

Dat de poort werkelijk doorgeeft aan de handel, is geen vermoeden meer. Twee toezichthouders hebben het mechanisme feitelijk vastgesteld, de FTC in de Verenigde Staten, het Europees Hof van Justitie in de EU. Dit is de schakel die ervoor zorgt dat we niet hoeven te speculeren.

De Verenigde Staten: de FTC bewijst de SDK-pijplijn

Schakel 2: de SDK levert advertising-ID en locatie aan de veiling; brokers kopen mee, ook uit verloren biedingen. In de EU is het toestemmingssysteem eronder ongeldig verklaard.
Schakel 2. Schakel 2: de SDK levert advertising-ID en locatie aan de veiling; brokers kopen mee, ook uit verloren biedingen. In de EU is het toestemmingssysteem eronder ongeldig verklaard.

X-Mode / Outlogic (FTC-schikking januari 2024, definitief april 2024). De FTC stelde vast dat X-Mode precieze locatiedata verzamelde via third-party apps die zijn SDK hadden ingebouwd, via eigen apps, én door inkoop bij andere brokers. Die SDK zat in honderden apps met miljarden downloads op iOS en Android. De data was gekoppeld aan mobiele advertising-ID’s (MAID), niet geanonimiseerd, en werd verkocht aan honderden klanten, van vastgoed en finance tot private overheidscontractanten. Tot mei 2023 had het bedrijf geen beleid om gevoelige locaties (klinieken, gebedshuizen, opvanghuizen) uit de ruwe data te filteren. De data werd zelfs verzameld ná een opt-out. [13,14,15]

Mobilewalla (FTC, december 2024). Verzamelde tussen januari 2018 en juni 2020 meer dan 500 miljoen unieke advertising-identifiers, gekoppeld aan precieze locatie, óók uit verloren real-time-bidding-veilingen, een praktijk die de RTB-regels zelf verbieden. De FTC bestempelde voor het eerst het verzamelen van data uit advertentieveilingen voor andere doeleinden dan de veiling zelf als een oneerlijke handelspraktijk. [16]

Gravy Analytics / Venntel (FTC, december 2024). Verkocht lijsten van consumenten op basis van bezoeken aan gevoelige locaties, en leidde daaruit segmenten af als politieke voorkeur, religie, medische condities, gezinssamenstelling, en kenmerken waaruit LGBTQ+-status afleidbaar was. [17]

App met SDK → advertising-ID + locatie → veiling/handel → broker → profiel naar gevoelig kenmerk.

Let op wat dit betekent voor de keten: het is exact hetzelfde mechanisme (een SDK in een consumenten-app, een MAID, een veiling) dat in Schakel 5 de Ring-data deed vertrekken. Het verschil is dat de FTC het hele pad heeft gedocumenteerd, tot aan de verkoop. De poort gáát ergens heen.

De EU: het toestemmingsfundament onder RTB is illegaal verklaard

De Amerikaanse zaken gaan over Amerikaans recht. De brug naar Nederland is de IAB Europe-zaak, want die geldt AVG-breed en raakt elke Europese gebruiker. Het Transparency & Consent Framework (TCF) is het systeem dat vrijwel elke cookiebanner in Europa koppelt aan het OpenRTB-protocol, het mechanisme dat je profiel in milliseconden veilt voor advertentieruimte.

Het Europees Hof van Justitie oordeelde op 7 maart 2024 (zaak C-604/22) dat de “TC String”, het signaal dat je toestemmingsvoorkeuren vastlegt, een persoonsgegeven is, en dat IAB Europe gezamenlijk verwerkingsverantwoordelijke kan zijn. [18] Het Brussels Marktenhof bevestigde op 14 mei 2025 de boete van €250.000 en de inhoudelijke bevindingen: het TCF zorgt niet voor geïnformeerde, vrije en specifieke toestemming, en faalt op transparantie, beveiliging en verantwoording. Alle Europese toezichthouders steunden dit via het one-stop-shop-mechanisme. [19,20]

In gewone taal: het toestemmingsfundament onder de hele Europese advertentieveiling is door een rechter onvoldoende bevonden. Dat is de EU-tegenhanger van de FTC-RTB-bevinding, en het geldt voor elke Nederlandse gebruiker wiens slimme apparaat in datzelfde veilingsysteem terechtkomt. Het gaat niet om “het zou kunnen schenden”: een rechter heeft het al vastgesteld.

03 · De “verwerker”-grens, en waarom die niet onschuldig is

Hier zat de verleiding, en hier zat mijn eigen eerste fout. De makkelijke conclusie is: “AppsFlyer, Branch en MixPanel zijn verwerkers, geen datahandelaren, dus de keten stopt hier.” Dat is precies de denkfout die het hele systeem in stand houdt.

“Verwerker” is een zelf-claim en geen vrijspraak. AppsFlyer verklaart in zijn eigen documentatie dat het een data processor / service provider is, dat de app-bouwer de eigenaar en verantwoordelijke is, en dat het zelf geen data verkoopt, koopt of aan profilering doet. [11] Met die status blijft het buiten het data broker-register, want de definitie van een broker eist verkoop zonder directe klantrelatie, en AppsFlyer hééft een contract met de app-bouwer. Een “directe relatie.” Dat is een juridische maas en geen bewijs van onschuld.

Het etiket “verwerker” is geen eindpunt van de keten. Het is de schakel die de keten onzichtbaar maakt.
'Just advertising': het bedrijf dat zegt alleen advertenties te dienen, kijkt ondertussen mee. Het verwerker-etiket maakt de blik onzichtbaar.
Illustratie · Mick Beer. 'Just advertising': het bedrijf dat zegt alleen advertenties te dienen, kijkt ondertussen mee. Het verwerker-etiket maakt de blik onzichtbaar.

Drie redenen waarom dat etiket wantrouwen verdient, juist bij een advertentiebedrijf:

Eén: het etiket beschrijft de relatie, niet de daad. Onder de AVG kun je verwerker zijn voor partij A én tegelijk zelfstandig verwerkingsverantwoordelijke voor je eigen doeleinden. Het Europees Hof van Justitie heeft in Fashion ID en in Wirtschaftsakademie vastgesteld dat het de feitelijke invloed op doel en middelen is die bepaalt of je verantwoordelijke bent, niet hoe je jezelf in een contract noemt. [12] Op het moment dat een attributie-SDK identifiers deelt met “integrated partners,” cross-app device-graphs opbouwt of data hergebruikt om de eigen modellen te verbeteren, handelt het naar eigen doel, en is het naar Europees recht medeverantwoordelijke, wat het etiket ook zegt.

Twee: “geen broker” betekent niet “geen handel.” De data eindigt aantoonbaar bij partijen die wél als broker geregistreerd staan (zie Schakel 1). De maas zit in de definitie, niet in de datastroom. Een poort die zegt “ik verkoop niets, ik geef alleen door” is nog steeds de poort waardoor alles gaat.

Drie: voor een attributiebedrijf is “verwerker” intrinsiek verdacht. Een hostingbedrijf dat alleen bestanden opslaat is plausibel een verwerker. Maar een bedrijf wiens hele businessmodel attributie, targeting en het matchen van toestellen aan personen ís, heeft per definitie een eigen belang bij de data. Dat AppsFlyer in de Ring-stream sensordata (gyroscoop, magnetometer, kalibratie) ontving, heeft niets met “heeft deze advertentie tot een installatie geleid” te maken. Dat is extractie voorbij het gestelde doel, en precies daar barst de verwerker-status.

Schakel 3: de 'verwerker'-claim houdt het bedrijf buiten het register, maar naar HvJ-leer telt de feitelijke invloed.
Schakel 3. Schakel 3: de 'verwerker'-claim houdt het bedrijf buiten het register, maar naar HvJ-leer telt de feitelijke invloed.

04 · De bestemming is een bekende tracker

De domeinen uit Schakel 5 zijn geen anonieme servers. Ze zijn te herkennen. Ik heb ze gehouden tegen de openbare Disconnect-lijst, services.json uit de canonieke repository, dezelfde lijst die Firefox en Microsoft Edge gebruiken om trackers te blokkeren. De lijst koppelt elk domein aan een eigenaar en een categorie. Wat de Ring- en Northeastern-streams opleveren: [10]

Stream-domein → eigenaar → Disconnect-classificatie
Domein uit de streamEigenaarCategorie in Disconnect
appsflyer.comAppsFlyerAdvertising
branch.io, app.linkBranchAdvertising
mixpanel.com, mxpnl.comMixpanelAnalytics (+ EmailAggressive)
facebook.com, facebook.netMetaSocial + FingerprintingGeneral
crashlytics.comGoogleAnalytics
omtrdc.net, demdex.netAdobeAdvertising + FingerprintingGeneral
Alibaba-endpointsAlibabaGroupFingerprintingInvasive

De lijst telt 1.877 organisaties en 4.773 domein-entries. Wat opvalt: de ontvangers van je deurbel-data zijn niet exotisch. Het zijn dezelfde namen die je browser blokkeert op nieuwssites. AppsFlyer en Branch als adverteerders, Adobe als fingerprinter, Meta in twee categorieën tegelijk. Je woonkamer wordt behandeld als een webpagina vol trackers.

Tuya staat niet in Disconnect, en dat klopt: het is geen web-tracker maar de cloud-eindbestemming zelf. Voor Tuya telt de geografie, niet de tracker-lijst. Twee verschillende takken, de ad/analytics-tak (deze schakel) en de jurisdictie-tak (China), van dezelfde boom.

Schakel 4: elk stream-domein wordt via de openbare Disconnect-lijst toegewezen aan een categorie en eigenaar.
Schakel 4. Schakel 4: elk stream-domein wordt via de openbare Disconnect-lijst toegewezen aan een categorie en eigenaar.

05 · Wat het apparaat naar buiten stuurt

Begin bij het begin: het ding zelf, in de woonkamer. Drie onafhankelijke onderzoeksgroepen hebben dit op grote schaal gemeten, en hun data, code en methodes staan openbaar. Dit is geen anekdote. Het is herhaalbaar werk.

De deurbel die je naam naar Facebook stuurde (Amazon Ring)

Het scherpst gedocumenteerde geval. De Electronic Frontier Foundation analyseerde in 2020 de Ring-app voor Android, versie 3.21.1, met Frida en mitmproxy, gereedschap dat het versleutelde verkeer onderschept en zichtbaar maakt. De flows zijn gepubliceerd; je hoeft de EFF niet op haar woord te geloven. Wat er vertrok, uitgesplitst per ontvanger: [1,2,3]

Naar Facebook (Meta), via de Graph API, telkens als de app opende, én bij deactivatie na schermvergrendeling. De payload: tijdzone, toestelmodel, taalvoorkeur, schermresolutie, en een unieke identifier anon_id. Óók als je geen Facebook-account had. Het venijn zit in die anon_id: hij overleeft een reset van je advertising-ID, en is dus juist ontworpen om je persistent te blijven volgen, ook nadat je je toestel “schoonveegt.”

Naar Branch (branch.io), een “deep linking”-platform: device_fingerprint_id, hardware_id, identity_id, het lokale IP-adres binnen je huisnetwerk, model, schermresolutie en DPI.

Naar AppsFlyer, een attributiebedrijf: je provider, de installatiedatum en eerste-start van de app, unieke identifiers, een vlag of AppsFlyer-tracking voorgeïnstalleerd op je toestel zat, en, wat het veelzeggendst is, de fysieke sensoren in je toestel: magnetometer, gyroscoop, accelerometer, plus hun kalibratie-instellingen. AppsFlyer kreeg óók een signaal zodra je de Neighbors-buurtwachtfunctie opende. Wat een gyroscoop-kalibratie met “app-attributie” te maken heeft, is een vraag die het bedrijf niet hoeft te beantwoorden, want het noemt zichzelf verwerker. Daarover zo meer.

Naar MixPanel, een analytics-bedrijf, en de grootste ontvanger: je volledige naam, je e-mailadres, OS-versie en model, of Bluetooth aanstond, en het aantal locaties waar je Ring-apparaten had geïnstalleerd.

Van deze vier stond er precies één (MixPanel) in Ring’s eigen lijst van derde partijen. De andere drie werden nergens genoemd. Al het verkeer ging keurig versleuteld over HTTPS. Dat beschermde niet jou; het maakte de tracking juist moeilijker te ontdekken.

Schakel 5: wat de Ring-app per ontvanger naar buiten stuurt. Eén app, vier trackers, elk een eigen set persoonsgegevens.
Schakel 5. Schakel 5: wat de Ring-app per ontvanger naar buiten stuurt. Eén app, vier trackers, elk een eigen set persoonsgegevens.

De lamp van een tientje die met China praat (Tuya / whitelabel)

De goedkope kant van het spectrum draait grotendeels op één platform: Tuya, een Chinees cloudbedrijf. “Powered by Tuya” of “Works with Tuya” staat op talloze naamloze merken die je voor een paar euro bij webshops koopt. Het probleem zit in het ontwerp: Tuya is van de grond af gebouwd als cloud-platform. Vrijwel alle communicatie tussen het apparaat en de app loopt over servers van derden, en die servers staan in China.

Onderzoekers van Princeton bouwden IoT Inspector, een open-source tool waarmee gewone mensen het verkeer van hun eigen apparaten konden meelezen; sinds 2019 leverde dat gelabeld verkeer op van 44.956 apparaten. Een van hun bevindingen: een Geeni-slimme lamp communiceerde voortdurend met tuyaus.com, een domein dat wordt geëxploiteerd door een in China gevestigd bedrijf. [6,7] Northeastern zag in zijn lab hetzelfde: tijdens het aanzetten contacteerden Amerikaanse apparaten tuyaus.com. Amerikaanse veiligheidsanalisten waarschuwden dat dergelijke apparaten data afstaan onder de Chinese Data Security Law, die Chinese bedrijven kan verplichten data aan de staat te overhandigen. [8]

Dit gaat niet over advertentietrackers, maar over jurisdictie. Data van een Nederlands huishouden die bij een verwerker in een derde land terechtkomt, precies de doorgifte waar de AVG hoofdstuk V over gaat. Een aparte tak van dezelfde boom.

De slimme speaker die je interesses verkoopt (Amazon Alexa, 2023)

De Ring-bevindingen zijn van 2020 en gaan over de app. Een recenter en directer bewijs van de hele keten-in-één-ecosysteem komt uit het bekroonde onderzoek dat een team van Northeastern, UC Davis, UC Irvine en de University of Washington in 2023 publiceerde (Best Paper, IMC’23). Zij onderzochten het Amazon Alexa Echo-ecosysteem, 46 miljoen apparaten in de VS, 200.000+ “skills”, door zorgvuldig samengestelde persona’s bloot te stellen aan de speaker en te meten wat er gebeurde. [4]

De bevindingen sluiten de cirkel die de Ring-zaak alleen suggereerde. Alle Alexa-skills delen data met Amazon; 8,3% van het Echo-netwerkverkeer gaat naar advertentie- en trackingdiensten. Amazon verwerkt de interacties om je interesses af te leiden en serveert daarmee gerichte advertenties. En het scherpst: blootgestelde interactiedata leidde tot 30 keer hogere biedingen in advertentieveilingen, een direct, meetbaar bewijs dat je woonkamergedrag de RTB-markt in gaat. Nadat het onderzoek verscheen, paste Amazon zijn eigen privacy-disclosures aan om te erkennen dat het smart-speaker-interacties voor advertentietargeting gebruikt.

En in het groot: 81 apparaten, 34.586 experimenten (Northeastern & Imperial College)

Het zwaarste academische anker is het IMC’19-onderzoek van Northeastern University en Imperial College London. Code en packet headers staan publiek op GitHub (NEU-SNS/intl-iot); de ruwe captures zijn op aanvraag beschikbaar onder een data-overeenkomst. [9] De onderzoekers kochten 81 alledaagse apparaten, camera’s, deurbellen, hubs, lampen, stekkers, tv’s, speakers, een koelkast, en draaiden er 34.586 gecontroleerde experimenten op, in een lab in de VS én een lab in het VK, om jurisdictieverschillen te meten. De harde cijfers:

Northeastern × Imperial College London. IMC ’19, kerncijfers
BevindingCijfer
Apparaten die minstens één niet-first-party contacteerden72 / 81
US-apparaten die buiten hun eigen regio contacteerden56%
UK-apparaten die buiten hun eigen regio contacteerden83,8%
Apparaten met ≥1 plaintext-lek aan een meeluisteraar81 / 81
Apparaten waaruit gebruikersgedrag betrouwbaar afleidbaar was30 / 81
Unieke bestemmingen. Wansview-camera52
Unieke bestemmingen. Samsung TV / Roku / TP-Link plug30 / 15 / 13

Tijdens het aanzetten contacteerden Amerikaanse apparaten onder meer netflix.com (vrijwel elke tv, óók zonder Netflix-account, wat alleen al verraadt welk model je hebt en waar), tuyaus.com, nuri.net (een Koreaanse ISP) en facebook.com. Tijdens interactie doken omtrdc.net (Adobe-tracking) en mixpanel.com alleen bij Amerikaanse apparaten op; branch.io werd gecontacteerd door Fire TV en TP-Link. De meest gecontacteerde organisaties waren Amazon, Google, Akamai en Microsoft, grotendeels omdat apparaten op hun cloud draaien, maar dat betekent ook dat juist die paar bedrijven kunnen meekijken welke apparaten in welk huis staan en wanneer ze gebruikt worden.

Een vervolgonderzoek van hetzelfde netwerk (IMDEA, Northeastern, NYU Tandon, IMC’23) legde nóg een laag bloot: apps en advertentie-SDK’s op je telefoon misbruiken lokale netwerkprotocollen (zoals UPnP) om stiekem te ontdekken welke andere slimme apparaten in je huis staan, zonder toestemming. Zo lekt zelfs het overzicht van je apparaten, en daarmee wanneer je thuis bent, naar partijen buiten je huis. [5]

Zit jouw apparaat ertussen? De concreet geteste merken

Hieronder de merken en apparaten die in de aangehaalde onderzoeken daadwerkelijk zijn gemeten, geen vermoedens, maar geteste hardware. Belangrijk: dit is géén uitputtende lijst van “gevaarlijke” apparaten. Het is wat ónderzocht is. Staat jouw apparaat er niet bij, dan betekent dat niet dat het veilig is, alleen dat het (nog) niet op deze manier is doorgemeten. Het patroon geldt breed; deze namen zijn de gedocumenteerde voorbeelden.

Concreet geteste apparaten en merken in het onderzoek
Apparaat / merkWat er is vastgesteldBron
Amazon Ring (video-deurbel)App stuurde PII naar Facebook, Branch, AppsFlyer, MixPanel; sensordata en anon_idEFF (2020)
Amazon Alexa Echo (smart speaker)Alle skills delen data met Amazon; targeting; tot 30× hogere RTB-biedingenIMC ’23
Geeni (slimme lamp, “powered by Tuya”)Voortdurende communicatie met tuyaus.com (China-geëxploiteerd)Princeton IoT Inspector
Wansview (wifi-camera)Contacteerde 52 unieke bestemmingen, de meeste van alle geteste apparatenNortheastern IMC ’19
Samsung smart-tv30 unieke bestemmingen; contacteerde netflix.com zonder accountNortheastern IMC ’19
Roku (streaming)15 unieke bestemmingen; advertentie/tracking-verkeerNortheastern IMC ’19
TP-Link (slimme stekker / lamp)13 unieke bestemmingen; contacteerde branch.ioNortheastern IMC ’19
Amazon Fire TVContacteerde branch.io (tracking)Northeastern IMC ’19
Whitelabel “powered by / works with Tuya” (lampen, stekkers, sensoren)Cloud-first architectuur; communicatie naar Chinese serversPrinceton; Northeastern
Categorieën breed getest (81 apparaten)Camera’s, deurbellen, smart hubs, tv’s, speakers, stekkers, lampen, een koelkast, 72/81 naar niet-first-partyNortheastern IMC ’19

Herken je een merk? Dan is je apparaat in een lab doorgemeten en is bovenstaand gedrag gedocumenteerd. Herken je het niet, bijvoorbeeld een naamloos “smart”-merk van een webshop, dan is de kans juist groter dat het op het Tuya-achtige cloudmodel draait, want dat is wat de goedkope hardware vrijwel altijd gebruikt.

06 · Waar het allemaal heen gaat, de landen

Schakel 6: waar de data van een NL-huishouden heen reist, en waarom elke route een AVG-vraag oproept (Hoofdstuk V, doorgifte naar derde landen).
De landen. Schakel 6: waar de data van een NL-huishouden heen reist, en waarom elke route een AVG-vraag oproept (Hoofdstuk V, doorgifte naar derde landen).

De geografie is een eigen verhaal, en het is de kern van de AVG-zorg voor een Nederlandse gebruiker. Northeastern stelde vast dat het overgrote deel van de data, óók die van de Britse apparaten, destijds onder EU-jurisdictie, eindigt in de Verenigde Staten, simpelweg omdat de cloud-infrastructuur daar staat. Daarnaast:

Voor een Nederlandse gebruiker betekent dit een doorgifte naar derde landen (VS, China). AVG Hoofdstuk V, meestal zonder dat de gebruiker het weet, zonder geldige toestemming (zie de TCF-uitspraak in Schakel 2), en naar partijen die zichzelf elders als datahandelaar registreren. Drie problemen die elk afzonderlijk al een AVG-vraag oproepen, gestapeld in één apparaat van een tientje.

De datahandelaar als marktkoopman: jouw USER_ID, IP-adres, cookie-ID, e-mailhash en locatie liggen uitgestald, 'vers van jou, verkocht aan iedereen'.
Illustratie · Mick Beer. De datahandelaar als marktkoopman: jouw USER_ID, IP-adres, cookie-ID, e-mailhash en locatie liggen uitgestald, 'vers van jou, verkocht aan iedereen'.

07 · Wie kan er bij het eindpunt? En wat zijn de limieten?

De vorige schakels lieten zien dat de data ergens heen gaat. Maar wie kan er aan de andere kant werkelijk bij, en welke grenzen zijn er, als die er al zijn? Hier wordt het verschil tussen de Verenigde Staten en Europa scherp, en niet in het voordeel van de Europese gebruiker.

Wie koopt er bij de kraam?

De FTC-zaken uit Schakel 2 maken de afnemers concreet. X-Mode/Outlogic verkocht aan honderden klanten in uiteenlopende sectoren, vastgoed, financiën, merkanalyse, én aan private overheidscontractanten. Mobilewalla verkocht aan adverteerders, andere brokers én analytics-firma’s. Gravy Analytics’ dochter Venntel staat bekend als leverancier aan Amerikaanse overheidsdiensten. De afnemers zijn dus niet alleen reclamebureaus: het zijn ook verzekeraars, kredietbeoordelaars, achtergrond-checkers, en via tussenpartijen ook overheden en opsporingsdiensten die de data kopen in plaats van een bevel te halen. Wie genoeg betaalt, kan bij de kraam.

Moet zo’n bedrijf KvK- of EU-geregistreerd zijn?

Nee, en dat is de eerste limiet. Een data broker hoeft in Nederland nergens als data broker ingeschreven te staan. De Kamer van Koophandel registreert dát een bedrijf bestaat en onder welke activiteitencode het valt, niet dát het persoonsgegevens verhandelt. Er bestaat geen Nederlands of Europees register waarin je kunt opzoeken welke bedrijven jouw data kopen en verkopen. [24,25]

Dit is het spiegelbeeld van de Amerikaanse situatie. In de VS dwingen vier staten (Californië, Vermont, Texas, Oregon) bedrijven zich als data broker te registreren in een openbaar register, precies de lijst waarop wij in Schakel 1 de namen vonden, waaronder Azerion US Inc., de Amerikaanse dochter van het Nederlandse concern Azerion. In de EU bestaat zo’n register niet.

Welke landen, en wat zegt de wet daarover?

Uit de schakels samen volgt een geografie die voor een Nederlandse gebruiker een AVG-mijnenveld is:

Waar de data heen gaat, en de juridische status
BestemmingViaJuridische status voor NL-gebruiker
Verenigde StatenCloud-infrastructuur; geregistreerde brokersDoorgifte derde land (AVG Hfdst. V); Data Privacy Framework wankel
ChinaTuya / Alibaba-endpointsGeen adequaatheidsbesluit; Data Security Law dwingt afgifte aan staat
Zuid-Koreanuri.net (ISP)Wél adequaatheidsbesluit (2021), maar gebruiker weet van niets
EU-gelieerde knooppuntenAzerion US Inc. (NL-concern), Adsquare GmbH (DE), ID5 (UK), Ipsos (FR)AVG raakt de EU-entiteiten, maar geen broker-register om ze in te vinden
Wereldkaart-heatmap: vanuit Nederland gloeien de bestemmingslanden rood op; het felst over de Verenigde Staten en China, met kleinere hotspots in Europa, het Midden-Oosten en Azië.
De landen. Waar de data uit een Nederlands huishouden terechtkomt: hoe feller de gloed, hoe meer data daar landt. Het felst over de VS en China, met knooppunten in Europa, het Midden-Oosten en Azië.

De kern: data die naar de VS of China gaat, verlaat de Europese rechtsbescherming. Voor de VS leunt de doorgifte op het Data Privacy Framework, dat juridisch omstreden is en al eens (als Privacy Shield) door het Hof van Justitie werd vernietigd. Voor China is er geen adequaatheidsbesluit, en geldt een wet die Chinese bedrijven kan dwingen data aan de overheid te overhandigen.

Sinds januari 2026 scherpt Californië dit aan: onder SB-361 moeten geregistreerde data brokers in hun jaarlijkse registratie melden of zij in het afgelopen jaar persoonsgegevens deelden met een “foreign adversary country”, uitdrukkelijk China, Noord-Korea, Rusland of Iran. Dat de Amerikaanse wetgever dit als aparte meldplicht invoert, onderstreept hoe reëel de China-route uit Schakel 5 (Tuya, Alibaba) wordt geacht. [23]

Zijn er limieten? Bestaan ze echt?

Op papier wél. De AVG geeft de Nederlandse gebruiker sterke rechten: artikel 14 verplicht een verwerkingsverantwoordelijke die data níét bij jou zelf verzamelde om je te informeren over de herkomst én de ontvangers; artikel 15 geeft recht op inzage; artikel 17 het recht op verwijdering, met een reactietermijn van 30 dagen. In theorie kun je dus vragen: wie heeft mijn data, en waar komt die vandaan?

Het inzagerecht in de praktijk: een data broker die niet kan zeggen waar je gegevens vandaan komen.
Illustratie · Mick Beer. Het inzagerecht in de praktijk: een data broker die niet kan zeggen waar je gegevens vandaan komen.

In de praktijk struikelt het. Onderzoekers documenteerden een Oostenrijkse zaak waarin een burger via een artikel 15-verzoek probeerde te achterhalen waar een data broker zijn gegevens vandaan had en aan wie ze waren verkocht. Het antwoord: het bedrijf wist niet waar het de data vandaan had, het enige wat het kon melden, was dat één adres was binnengekomen door een “verhuizing” van de betrokkene. [28] Het businessmodel zelf, data die eindeloos wordt doorverkocht, samengevoegd en heringekocht, maakt het recht op inzage in de praktijk grotendeels onuitvoerbaar. En tegen een partij zonder EU-vestiging reikt de AVG alleen zover als de handhaving kan afdwingen. [25]

De VS heeft een register en geen wet; de EU heeft een wet en geen register. De gebruiker valt in het gat ertussen.

Dat is de eerlijke samenvatting van de limieten. Het sterkste praktische middel is daarom niet een inzageverzoek aan een bedrijf dat je data binnen maanden opnieuw inkoopt, maar het beperken van hoeveel data er überhaupt over je ontstaat, en dat begint bij het apparaat in de woonkamer, bij de keuze die je maakt voordat je het aan je wifi hangt.

08 · Wat dit voor jou betekent, wat gaat naar wie, en waarom

Tot hier ging het over structuur. Nu de vraag die er voor jou werkelijk toe doet: wat gebeurt er, concreet, met de data uit jouw woonkamer, en wat kan dat met je leven doen? Want “je advertising-ID wordt verhandeld” klinkt abstract. De gevolgen zijn dat niet.

Eén apparaat, uitgewerkt: de slimme deurbel

Neem de deurbel uit Schakel 5. Hij registreert beweging en gebruik. Elke werkdag piekt de activiteit rond 7:40 (iedereen de deur uit) en weer rond 17:30 (terug). Op zichzelf onschuldig. Maar opgeteld over weken vormt het een patroon: dit huishouden is doordeweeks leeg tussen 8 en 17 uur. Combineer dat met het IP-adres (grofweg je buurt), de advertising-ID (één persoon, over al je apps heen) en de locatiedata uit andere apps, en het patroon wordt een profiel. Dat profiel wordt een segment, “overdag afwezig, koopkrachtige buurt”, en dat segment is wat er in de veiling van Schakel 2 wordt verkocht. De koper hoeft jouw naam niet te kennen; het apparaat-ID en de locatie zijn genoeg om je opnieuw te vinden.

Waarom is dit geld waard? Omdat voorspelbaar gedrag voorspelbare omzet is. Een adverteerder betaalt meer voor “wie net verhuisd is” (koopt meubels), “wie zwanger lijkt” (koopt alles), of “wie financieel krap zit” (vatbaar voor dure leningen). Het Alexa-onderzoek uit Schakel 5 mat dit rechtstreeks: blootgestelde interesses leidden tot biedingen die tot 30 keer hoger lagen. Jouw routine is de grondstof; het bod is de prijs die ervoor betaald wordt.

Het is geen hypothese, het is gebeurd

Dat dit verder gaat dan reclame, is bewezen. Een van de scherpste voorbeelden: de gebedsapp Muslim Pro, met bijna 100 miljoen gebruikers, bleek locatiedata door te geven aan de broker X-Mode, die het verkocht aan Amerikaanse defensiecontractanten. Een innocente app, een gevoelig kenmerk (geloof), een militaire eindbestemming die de gebruiker nooit voor ogen had. [29]

En de overheid zelf is inmiddels een grote koper. In plaats van een bevel te halen, kopen Amerikaanse diensten. DHS, ICE, FBI, IRS, de Secret Service, locatiedata bij brokers als Venntel en Locate X. Juristen noemen dit de “data broker-maas”: waarom een rechter overtuigen als je de data gewoon kunt afrekenen? In 2026 tekende DHS een contract van een miljard dollar met Palantir om uit zulke ingekochte data voorspellende surveillancesystemen te bouwen. [30]

De concrete schade, op een rij

De gevolgen vallen in categorieën die elk afzonderlijk al iemands leven kunnen raken:

Wie koopt het, en wat het met je kan doen
Koper / gebruikWat ermee gebeurtWat het voor jou betekent
Overheid / opsporingKoopt locatie- en gedragsdata zonder bevel (Venntel, Locate X)Je bewegingen, gebedshuis, demonstratiebezoek liggen vast, zonder rechterlijke toets
Verzekeraars / kredietverstrekkersSegmenten als “clinical depression” of “financieel kwetsbaar” (buiten de FCRA-bescherming)Hogere premie of afwijzing, op basis van afgeleide kenmerken die je nooit deelde
Werkgevers / verhuurdersAchtergrond-dossiers uit samengevoegde bronnenAfgewezen om iets dat niet klopt, en dat je niet kunt corrigeren
Gepersonaliseerde prijzenPostcode als proxy voor inkomen of afkomstJij betaalt meer voor hetzelfde product dan je buurman
Stalkers / dadersBrokerdata als opsporingstool tegen slachtoffersEen ontsnapt slachtoffer van huiselijk geweld wordt teruggevonden via gekochte data
Oplichters / inbrekersDatalek of inkoop van het “overdag afwezig”-segmentIemand weet precies wanneer je huis leeg staat

De gemene deler: in de VS bestaat geen federale privacywet die marketingdata afdekt. De Fair Credit Reporting Act beschermt alleen formele krediet-, werk- en verzekeringsbeslissingen, niet de schaduwmarkt eromheen. Daardoor mag een broker je als “Consumer with Clinical Depression” labelen en die lijst verkopen, zolang het officieel “marketing” heet. [31,32]

Waarom juist déze landen

De geografie uit Schakel 6 is geen toeval, en het “waarom” per bestemming is de kern van de zorg:

Het draait niet om “ze weten wat ik koop.” Het draait erom dat een onbekende partij in een ander land weet wanneer je huis leeg is, wat je gelooft, en hoe kwetsbaar je bent, en mag dat doorverkopen.

09 · Dit is geen incident. Dit is een systeemontwerp.

Net als bij de cookiebanners en datalekken die ik eerder analyseerde, is het schandaal slechts het symptoom. Het echte probleem zit in het model. Vijf ontwerpkeuzes komen samen op één punt:

En het zwaarst getroffen slachtoffer is, net als bij de Meta-bril, degene zonder knop: hier niet de voorbijganger, maar het hele huishouden, je gezin, je gasten, je kinderen, je buren in beeld van de deurbel, dat nooit een instelling te zien kreeg.

10 · De toets die elke beslissing had kunnen voorkomen: P-SEP

Hoe had een consument, een inkoper, of een gemeente die slimme apparaten uitrolt dit kunnen ondervangen? Met dezelfde toets die ik in het Ray-Ban-dossier gebruikte: het P-SEP-model van Erik Jan Koedijk, digitaal strateeg. Vier vragen die je stelt vóór je een apparaat toelaat. De regel is onverbiddelijk: elke vraag moet afzonderlijk met “ja” te beantwoorden zijn. Het werkt als een AND-poort, vier keer ja, of het deugt niet. [33]

Laten we de goedkope slimme stekker, en bij uitbreiding de hele categorie cloud-gekoppelde consumenten-IoT, er eerlijk langs leggen.

P-SEP als AND-poort: vier keer 'ja', of het apparaat komt er niet in. Eén 'nee' op P, S, E of P en het beleid deugt niet.
De toets. P-SEP als AND-poort: vier keer 'ja', of het apparaat komt er niet in. Eén 'nee' op P, S, E of P en het beleid deugt niet.
De slimme stekker / cloud-IoT langs P-SEP
VraagWat het dossier laat zienOordeel
PersoonlijkJe kunt niet instaan voor wat de firmware naar buiten stuurt, naar welk land, of bij welke broker het eindigt. Je verantwoordt iets dat je niet overziet, en je hebt het je gezin en gasten opgelegd.NEE
SecurityApparaten lekten in 81/81 gevallen via plaintext; identifiers zijn cross-app koppelbaar; de data reist naar servers in landen met afwijkende wetgeving. “Het lekt nooit” is geen optie.NEE
EthischDe data van een heel huishouden, inclusief kinderen, want brokers zijn gemarkeerd met ‘verzamelt data van minderjarigen’, voedt een advertentiemarkt waar niemand bewust voor koos.NEE
PrivacyDoorgifte naar derde landen (VS, China) zonder geldige grondslag; het RTB-toestemmingssysteem is door een rechter ongeldig verklaard; opt-outs zijn afwezig of verstopt.NEE

11 · Wat dit dossier invult, het onderbelichte deel

Het losse onderzoek bestond al, en het is sterk. Northeastern mat de bestemmingen. Princeton mat het in het wild. De EFF ontleedde de Ring-app. De FTC bewees de SDK-handel. Het Hof van Justitie verklaarde de RTB-toestemming ongeldig. Privacy Rights Clearinghouse bouwde het broker-register. Maar elk van die stukken stond op zichzelf, en bijna alles was gemeten vanuit een Amerikaans of Brits perspectief.

Wat ontbrak, is de doorlopende keten, getrokken vanuit het perspectief van iemand die het apparaat hier, in Nederland, in zijn stopcontact steekt:

IoT-apparaat → tracker-classificatie → de “verwerker”-maas → RTB/SDK-markt → geregistreerde data broker → derde land.

Niemand had die vijf schakels als één geheel, met een bron per schakel, naast elkaar gelegd. De waarde van dit dossier zit niet in een nieuwe meting, het zit in het sluiten van de cirkel, en in het benoemen van de schakel (de “verwerker”) die de cirkel normaal onzichtbaar houdt.

12 · Wat nu? Concreet.

Voor jou als bewoner

Voor inkopers en beleidsmakers

13 · De eerlijkheid die erbij hoort

Geen enkel dossier is geloofwaardig zonder zijn eigen zwakke plekken te benoemen. Deze horen erbij:

De grenzen van dit onderzoek
GrensWat het betekent
Geen rechte pijplijnEr is geen bewezen directe verkoop “Ring → Mobilewalla.” De keten is een markt: vertrek, verhandelbaarheid en aankomst zijn elk apart bewezen; de verbinding is structureel, niet één gedocumenteerde transactie.
Bestemming ≠ inhoudNortheastern zag wáár verkeer heen ging, niet altijd wát erin zat (versleuteld). “Praat naar een tracker” is geen “stuurt PII naar een tracker,” tenzij apart aangetoond, zoals bij Ring wél.
Ring-cijfers zijn 2020 / app-zijdigZe bewijzen wat er tóén gebeurde, op de app-kant. Een hermeting in 2026, op toestelniveau, is nodig voor een actuele claim.
Registers zijn AmerikaansZe bewijzen dat bedrijven in de VS datahandel zelf erkennen; ze zijn geen AVG-instrument. De AVG-haak loopt via de doorgifte (Hoofdstuk V) en de TCF-uitspraak.
Vestigingslanden afgeleidDe namen staan geverifieerd in de PRC/EFF-lijst; de landen zijn afgeleid uit de rechtsvorm in de naam (GmbH, Ltd, Sp. z o.o., SL, Pte). Belangrijk: het is “Azerion US Inc.” die geregistreerd staat, de VS-dochter, niet het NL-moederbedrijf. Sommige namen (Ipsos, TL1MKT, InMobi, SafeGraph) staan alleen op de oudere California AG-lijst, niet het actuele CPPA-register.
Twee punten nog te bevestigenDe actuele CPPA-registratie van Venntel en Mobilewalla is gefundeerde inferentie (ze ontbreken op de California-gap-lijst ondanks eerdere AG-registratie); een directe check in het register sluit dit. En het Palantir-DHS-contract verdient een primaire contractbron.
Endpoint is geen verkoopEen endpoint bewijst dat data wordt verzameld, niet automatisch dat het wordt doorverkocht. Dat onderscheid is overal in dit dossier aangehouden.

Deze grenzen verzwakken het verhaal niet. Ze maken het bestand tegen het eerste tegenargument, precies zoals het hoort.

“If nothing changes, nothing changes.”

■ ■ ■

Bronnen

  1. EFF, “Ring Doorbell App Packed with Third-Party Trackers” (Ring voor Android v3.21.1; Frida + mitmproxy; PII naar branch.io, mixpanel.com, appsflyer.com, facebook.com).
  2. Bleeping Computer, “Ring Android App Sent Sensitive User Data to 3rd Party Trackers” (bevestiging ontvangers; Graph API).
  3. SecurityWeek / SlashGear / Threatpost / BBC. Bevestigende verslaglegging incl. de anon_id die een advertising-ID-reset overleeft en de sensordata naar AppsFlyer.
  4. Iqbal e.a., Alexa Echo (IMC '23, Best Paper). Alle Alexa-skills delen data met Amazon; 8,3% van het Echo-verkeer naar advertising/tracking; blootgestelde data leidt tot 30× hogere RTB-biedingen; Amazon paste na publicatie zijn disclosures aan.
  5. Girish e.a. (IMDEA / Northeastern / NYU Tandon, IMC '23), “In the Room Where It Happens”: apps en SDK’s misbruiken lokale netwerkprotocollen (UPnP) om zonder toestemming andere IoT-apparaten in huis te ontdekken.
  6. Princeton. IoT Inspector, arXiv:1909.09848 (44.956 apparaten; Geeni-lamp → tuyaus.com; verouderde TLS).
  7. TechCrunch, “Spy on your smart home with this open source research tool” (Geeni-lamp communiceert met het door China geëxploiteerde tuyaus.com).
  8. Voice of America / The Hill. Datazorgen rond Tuya onder de Chinese Data Security Law.
  9. Ren, Dubois, Choffnes, Mandalari, Kolcun, Haddadi. IMC '19, “Information Exposure From Consumer IoT Devices,” ACM IMC 2019. 81 apparaten; 72/81 naar niet-first-party; 81/81 plaintext-lek. Code: github.com/NEU-SNS/intl-iot.
  10. Disconnect, services.json, de tracker-classificatielijst die Firefox en Edge gebruiken (1.877 organisaties, 4.773 domeinen).
  11. Tuya Developer. Data Centers, Tuya’s eigen documentatie: datacenters in China (Tencent), West- en Oost-VS, Centraal-Europa, India en Singapore (AWS/Google Cloud/Alibaba); niet-toegewezen landen worden gemapt naar het West-Amerika datacenter.
  12. AppsFlyer, “Processing Customer Data”, zelfverklaring als data processor; stelt geen broker te zijn en geen data te verkopen of profileren.
  13. HvJ-EU. Fashion ID (C-40/17), Wirtschaftsakademie (C-210/16). Feitelijke invloed op doel en middelen bepaalt (gezamenlijke) verwerkingsverantwoordelijkheid, ongeacht zelfbenoeming.
  14. FTC. X-Mode / Outlogic, SDK in honderden apps, miljarden downloads; advertising-ID + locatie; verkoop ná opt-out; klanten incl. overheidscontractanten.
  15. The Markup, 107 third-party apps; purchase order voor data van bezoekers van medische centra.
  16. The Register. Eerste FTC-databroker-schikking; SDK in apps met miljarden downloads.
  17. FTC. Mobilewalla, 500M+ advertising-identifiers; data uit verloren RTB-biedingen; eerste verbod op datacollectie uit advertentieveilingen.
  18. FTC. Gravy Analytics / Venntel (+ EPIC, Hunton). Segmenten naar religie, politiek, medische condities, LGBTQ+-inferentie.
  19. HvJ-EU. IAB Europe (C-604/22), Arrest 7 maart 2024: de TC String is een persoonsgegeven; IAB Europe kan gezamenlijk verwerkingsverantwoordelijke zijn.
  20. Gegevensbeschermingsautoriteit (BE) / Brussels Marktenhof. Eindarrest 14 mei 2025: €250.000-boete en GDPR-inbreuken in het TCF bevestigd; gesteund door alle EU-toezichthouders.
  21. DLA Piper / Lewis Silkin / Didomi / Osborne Clarke. Juridische analyses van het CJEU-arrest en het Marktenhof-eindarrest.
  22. Privacy Rights Clearinghouse & EFF, “Analysis Report of Data Broker Registration Gaps” (24 juni 2025). De Vermont-brief noemt 309 elders-geregistreerde brokers, de California-brief 291. Bevat o.a. Outlogic (X-Mode), InMarket, SafeGraph en Azerion US Inc.
  23. California Privacy Protection Agency (CalPrivacy). Data Broker Registry; Enforcement Advisory 2025-01; boetes ROR Partners ($56.600), Accurate Append ($55.400), Datamasters ($45.000); DROP, live sinds 1 jan 2026.
  24. Hunton. California SB-361 (foreign adversary). Sinds jan 2026 moeten brokers melden of zij data deelden met een “foreign adversary country” (China, Noord-Korea, Rusland, Iran).
  25. VeraSafe. De EU kent géén data broker-register of broker-specifieke wet zoals de VS; AVG art. 13–14 legt de plichten breed bij elke verantwoordelijke.
  26. Privacy Insight Solutions. AVG-rechten bestaan, maar handhaving tegen partijen zonder EU-vestiging is zwak (Clearview); opt-out via art. 15/17 met 30-dagentermijn.
  27. ACM / Autoriteit Consument & Markt. Sinds 19 nov 2024 verplichte registratie van data-intermediairs in NL onder de Data Governance Act.
  28. Europese Commissie / Clifford Chance / IAPP. DGA-register en neutraliteitseis voor data-intermediairs, met expliciete uitsluiting van klassieke data brokers.
  29. European Data Protection Law Review (Lexxion). Oostenrijkse art. 15-zaak: broker kon niet achterhalen waar de data vandaan kwam; structurele onuitvoerbaarheid van inzagerechten.
  30. Vice / Motherboard. Muslim Pro & X-Mode, “How the U.S. Military Buys Location Data from Ordinary Apps”: locatiedata uit de gebedsapp Muslim Pro (~100M gebruikers) belandde via X-Mode bij Amerikaanse defensiecontractanten; Muslim Pro verbrak daarna de banden.
  31. EFF / State of Surveillance, overheid koopt locatiedata. DHS, ICE, FBI, IRS en de Secret Service kopen locatiedata bij brokers (Venntel, Locate X) in plaats van een bevel te halen; de “data broker-maas”. DHS tekende in 2026 een miljardencontract met Palantir.
  32. EPIC. Data Brokers, geen federale privacywet dekt marketingdata; brokerdata als opsporingstool tegen slachtoffers van huiselijk geweld; risico’s voor publieke ambtsdragers.
  33. ACLU / CFPB / ProPublica, discriminatie en prijsstelling, segmenten als “Consumer with Clinical Depression”; postcode als proxy voor afkomst/inkomen bij premie- en prijsstelling; de FCRA dekt alleen formele krediet-/werk-/verzekeringsbeslissingen, niet de marketingmarkt eromheen.
  34. 404 Media. Babel Street / Locate X, demonstratie hoe Locate X, gevoed door advertising-ID-locatie uit de bidstream, één toestel van Alabama naar een kliniek in Florida volgde; toegang verleend op enkel de bewering van toekomstig opsporingswerk. FBI tekende in 2022 een contract tot $27M met Babel Street.
  35. FTC. Kochava, FTC-zaak (2022); amended complaint overleefde februari 2024; Kochava betrekt data van andere brokers en verkoopt precieze geolocatie + MAID-segmenten.
  36. Vice / Motherboard. SafeGraph & Veraset, een week locatiedata van 600+ Planned Parenthood-locaties voor ~$160; Google bande SafeGraph uit de Play Store (juni 2021); verkoop aan de CDC ($420.000); spin-off Veraset levert ruwe per-toestel-data.
  37. Adobe. Experience Cloud / Regional Data Collection. Adobe’s eigen docs: de ID-service roept dpm.demdex.net aan; de demdex-cookie is een persistente cross-domein-identifier; legacy-identifiers via adobedc.net, 2o7.net en omtrdc.net.
  38. P-SEP-model. Erik Jan Koedijk, Toetsingskader voor verantwoorde technologie (cybersecurity.vision), afgestemd op AI Act, NIS2, DORA en de Cyber Resilience Act.

Alle bronnen openbaar en geverifieerd op het moment van schrijven. Geen captures, geen telemetrie, geen affiliate, geen verdienmodel achter dit stuk. Het P-SEP-model (Persoonlijk, Security, Ethisch, Privacy) is van Erik Jan Koedijk, cybersecurity.vision. Onafhankelijk privacy-onderzoek uit Nederland.

← terug naar artikelen