De volledige reactie van Siip
Siip reageerde per e-mail, ondertekend door oprichter en CEO Remco Voorhorst. Zoals ik publiek heb toegezegd geef ik de reactie volledig weer, en haal ik hieronder per punt de zin aan waar het over gaat. Ik laat alleen persoonlijke contactgegevens weg.
Wat nu vaststaat
Ik heb op mijn eigen toestel gemeten dat de app bij registratie de ruwe bestanden uit je paspoortchip naar de server van Siip stuurt. Je burgerservicenummer, je biometrische pasfoto en het beveiligingsobject van je document. Verzegeld met een hash en een tijdstempel.
Siip bevestigt het nu zelf:
De datagroepen die noodzakelijk zijn om de passive authentication uit te voeren, worden versleuteld via de backend geleid voor de noodzakelijke cryptografische echtheidscontrole, waarna ze direct van onze servers worden verwijderd.
De datagroepen uit je paspoort, waaronder de zone met je BSN, gaan naar hun server. Geen aanname. Geen meting van mij alleen. Hun eigen woorden.
Daarmee is de ontkenning uit hun eerste reactie, dat je identiteit je toestel niet verlaat, van tafel. Door henzelf.
Siip spreekt Siip tegen
Vier keer spreekt Siip zichzelf tegen, in de eigen woorden.
Feitelijk onjuist, en toch bevestigd. Siip noemt mijn conclusie onjuist:
deze conclusie is feitelijk onjuist en zoals je zelf ook aangeeft, door jou niet gemeten.
En bevestigt de kern ervan in dezelfde mail:
De datagroepen worden versleuteld via de backend geleid.
De truc zit hierin. Ze verklaren één punt onjuist, de server-side opslag, en doen alsof mijn hele verhaal daarop rust. Dat doet het niet. Mijn punt was dat mijn paspoortgegevens hun server bereiken, en dat bevestigen ze zwart op wit.
Uitsluitend op je telefoon, en toch op de server. In één alinea staat:
Er is dus geen sprake van opslag van deze persoonsgegevens op een server; deze data staat uitsluitend decentraal op het telefoon van de gebruiker.
En twee zinnen verder:
Het e-mailadres van de gebruiker wordt wel versleuteld op de server opgeslagen.
Uitsluitend decentraal en op de server opgeslagen kunnen niet allebei waar zijn.
Geen server-side profiel, en toch weten waar je zit. Siip ontkent dat er een server-side profiel bestaat. Tegelijk verkoopt Siip als kernfunctie dat de club kan opzoeken wie er waar in het stadion zit. Dat kan niet zonder een server-side record dat jou aanwijst, precies wat Siip ontkent.
De CEO had je nummer, het bedrijf verwerkt het niet. De CEO schrijft: “Ik heb je nummer uit mijn telefoon verwijderd.” De Functionaris Gegevensbescherming, in een gelijktijdige mail: “Siip verwerkt uw telefoonnummer niet”, want “dat veld bestaat niet in de registratieflow.” Toch werd ik namens Siip gebeld, op 1 juli om 18.14 uur.
Je BSN. Dat mag simpelweg niet
Dit is het punt dat blijft staan, wat er ook met de opslag gebeurt. De zin waar het om draait is opnieuw hun eigen uitleg, dat de datagroepen “via de backend geleid” worden. Datagroep 1 is de machineleesbare zone, en die bevat je BSN.
Je burgerservicenummer mag alleen worden verwerkt als een specifieke wet dat voorschrijft. Artikel 46 UAVG. Toestemming helpt niet, zelfs jouw eigen toestemming niet. Een privaat bedrijf mag het niet gebruiken op basis van een gewone grondslag. En voor betaald voetbal bestaat geen wet die het toestaat. Dat staat zelfs in het rapport van de Landsadvocaat waar Siip zich zelf op beroept, dat een club juist moet voorkomen dat het BSN uit de chip wordt gelezen.
Siip leest je BSN uit de chip. Dat is verwerken. Ook als ze het daarna wissen, zoals hun mail stelt, hebben ze het uitgelezen en verwerkt, zonder dat het mag.
Dit is geen theorie. De Autoriteit Persoonsgegevens beboette in 2022 DPG Media met 525.000 euro, omdat het bij inzageverzoeken standaard een kopie van het identiteitsbewijs opvroeg, met daarop het BSN, het documentnummer en de pasfoto. De grond was dataminimalisatie: je mag niet meer identiteitsgegevens verwerken dan nodig. De Raad van State hield die handhaving in stand en halveerde alleen het bedrag, naar 262.500 euro. Siip leest een nog bredere set uit je chip, waaronder je BSN, voor niets meer dan toegang tot een wedstrijd. Dezelfde redenering, dataminimalisatie en proportionaliteit, ligt hier vrijwel één op één.
Om zuiver te blijven: de zwaarste AP-boetes op dit terrein, zoals de 30,5 miljoen euro voor Clearview, rusten op de regel voor biometrie, artikel 9 AVG. Die geldt pas als er een gezichtsvergelijking wordt uitgevoerd. Dat heb ik bij Siip niet gemeten, dus die grond haal ik er nu niet bij, ik noem die zaken alleen ter referentie. De sterke lijn hier is dataminimalisatie, niet biometrie. Zodra er wel een gezichtsvergelijking bijkomt, bijvoorbeeld aan een biometrische toegangspoort, kantelt het naar die zwaardere categorie, en worden die zaken alsnog rechtstreeks relevant.
Kort: een voetbal-app leest je BSN, en dat is onrechtmatig.
En het gaat niet alleen om je BSN. Siip leest de hele chip: de volledige machineleesbare zone, je documentnummer, je nationaliteit, je pasfoto en het beveiligingsobject. Voor een kaartje en een stoel is dat veel meer dan nodig. Voor het BSN is de conclusie hard, want de wettelijke grond ontbreekt. Voor de rest ligt de bewijslast bij Siip om per veld te laten zien dat het nodig is voor toegang, en dat het niet met minder kan. Lukt dat niet, dan is ook die verwerking bovenmatig, precies de redenering waarop de AP DPG Media beboette, waar het niet alleen om het BSN ging maar om het samenstel van BSN, documentnummer en pasfoto. Wie zegt dat alleen het BSN fout is, geeft de rest weg. De meting laat zien dat het om de hele chip gaat.
Geen login, en toch weten ze waar je zit
Dit punt komt niet uit de mail, maar uit wat het product zelf doet. De app kent geen inlogfunctie, alleen registratie. En toch levert het systeem persoonsgebonden tickets, gekoppeld aan een vaste plaats.
Siip verkoopt als kernfunctie dat de club kan opzoeken wie er waar in het stadion zit. Niet of je een geldig kaartje hebt. Wie je bent, en op welke stoel je zit.
Als er niets over jou op hun server staat, zoals Siip beweert, hoe kan de club dan opzoeken wie er op stoel 12 in vak F zit? Dat kan niet zonder een register op hun server dat jou aan je plaats koppelt. Op je telefoon kan het niet, want de club heeft geen toegang tot je telefoon.
Siip zegt zelf dat de club dat kan opzoeken. Dan is er dus een server-side profiel dat jou aanwijst. Precies wat Siip ontkent te hebben.
Wat ze verder toegeven
De advertentie-identifier was actief.
Wij roepen die niet aan en activeren die niet, maar het component van Google leek toch geactiveerd. Dat hebben wij actief gecorrigeerd en we hebben inmiddels een update van de apps klaarstaan.
Mijn bevinding, door hen bevestigd en gepatcht.
Een account en je e-mailadres staan server-side.
Er wordt op onze server wel een account aangemaakt om onze dienstverlening te kunnen uitvoeren en daarvoor accepteert de gebruiker de voorwaarden van Siip. Het e-mailadres van de gebruiker wordt wel versleuteld op de server opgeslagen.
Dat is ook server-side, en het spreekt hun eigen zin “uitsluitend decentraal op het telefoon van de gebruiker” tegen.
Een externe audit komt er.
Omdat dit inmiddels onderwerp is van een publieke discussie, laten we ons proces bekrachtigen door een onafhankelijke externe partij. De uitkomsten maken we openbaar.
Ik houd ze daaraan, en zal de uitkomst volledig weergeven.
Het enige dat ik openhoud
Ik claim niet dat je ruwe pasfoto en je BSN blijvend op hun server bewaard blijven. Dat heb ik niet gemeten. Siip zegt dat de chipdata na de controle wordt verwijderd:
Er is dus geen sprake van opslag van deze persoonsgegevens op een server; deze data staat uitsluitend decentraal op het telefoon van de gebruiker.
Dat toets ik met een schone herinstallatie, en mijn inzageverzoek daarover loopt.
Maar dat verandert niets aan wat wél vaststaat. Je paspoortgegevens bereiken hun server, dat bevestigen ze zelf. Je BSN wordt uitgelezen en verwerkt, en dat mag niet. En er moet een server-side profiel bestaan dat jou aan je plaats koppelt, want anders kan de club niet opzoeken waar je zit.
Alle metingen zijn verricht op mijn eigen toestel, met mijn eigen account en mijn eigen paspoort, op mijn eigen netwerkverkeer. Geen toegang tot gegevens van derden, geen exploit. De reactie van Siip is volledig weergegeven en wordt op elk inhoudelijk punt aangehaald. Het volledige, ongemaskeerde BSN staat uitsluitend in de verzegelde capture en is hier gemaskeerd.
De e-mailwisseling met Siip
De volledige uitwisseling, chronologisch. Alleen persoonlijke contactgegevens zijn weggelaten: e-mailadressen, telefoonnummers, het adres, en de agenda- en handtekeningblokken.
1 juli 2026, 18:40 · Remco Voorhorst (Siip) aan Mick. Uitnodiging voor een Microsoft Teams-gesprek. Vergaderlink, id en wachtwoord weggelaten.
1 juli 2026, 19:29 · Mick Beer aan Remco Voorhorst.
Beste Remco, dank voor het telefoongesprek om 18:15. Ter vastlegging vat ik hieronder samen wat ik uit ons gesprek heb begrepen. Wil je bevestigen of corrigeren waar nodig?
- Je gaf aan geen bezwaar te zien in de commerciële voordelen zoals genoemd in jouw eigen publieke uitspraak, waaronder dat het kennen van wie een evenement of stadion bezoekt “exciting commercial opportunities” opent.
- Meldingen aan bezoekers worden verstuurd zonder aparte opt-out. Als opt-in beschouw je de aankoop van een toegangsbewijs aan de balie.
- Siip stelt voor iedere afnemer een DPIA op. De publicatie daarvan laten jullie over aan de betreffende afnemer.
Daarnaast twee verzoeken. Ik ontvang graag de DPIA voor de implementatie bij PEC Zwolle, of een bevestiging via welke weg ik die kan opvragen. Tot slot, los hiervan: je belde mij op mijn mobiele nummer. Kun je aangeven waar Siip dit nummer vandaan heeft? Zoals ik ook publiek aangaf, publiceer ik jullie onderbouwde reactie graag volledig. Ik documenteer deze uitwisseling.
2 juli 2026, 17:06 · Remco Voorhorst (Siip) aan Mick.
Beste Mick, dank voor je samenvatting. Hieronder loop ik de punten langs.
- Dit uitgelichte citaat van onze site klopt en is van ons, maar mist de volledige context. Er zijn commerciële voordelen voor onze klanten wanneer bekend is wie een evenement of stadion bezoekt. Hoe wij dit gegevensrechtelijk inrichten heeft bij ons alle aandacht. Daarbij is de privacy van de gebruiker randvoorwaardelijk. Waarde voor de organisator, voor de bezoeker en zorgvuldige verwerking van persoonsgegevens gaan bij ons samen.
- Dit punt herken ik niet uit ons gesprek. Het is in deze vorm niet aan de orde geweest, en ik kan het niet bevestigen.
- Siip stelt een DPIA op die de dienstverlening van Siip dekt. Er worden onafhankelijke audits gedaan op de toegepaste techniek, onder andere door Pels Rijcken. Die publicaties zijn openbaar.
Daarnaast een reactie op de andere twee verzoeken. Siip gaat niet over de DPIA’s van clubs. Ik heb je nummer al langer. De precieze herkomst kan ik daardoor niet reconstrueren. In je artikel trek je de conclusie ‘Je identiteit verlaat het toestel en wordt een server-side profiel’. Dat is niet het geval. Dit lichten we dinsdag toe. Tot slot: wij hebben ook een meldpunt voor privacyvraagstukken, beheerd door onze Functionaris Gegevensbescherming.
3 juli 2026, 11:24 · Mick Beer aan Remco Voorhorst (CC: Functionaris Gegevensbescherming).
Beste Remco, de afgelopen dagen bel je mij herhaaldelijk op mijn mobiele nummer, één tot twee keer per dag. Ik ben onderzoeker, ik heb hierover klachten ingediend, en we zitten midden in een wederhoor. Die uitwisseling voer ik uitsluitend schriftelijk. Ik verzoek je te stoppen met bellen en alle communicatie via e-mail of via het meldpunt te laten verlopen.
Over dat nummer: ik heb mijn mobiele nummer alleen bij de registratie in de app opgegeven. Je gaf aan het “al langer” te hebben en de herkomst niet te kunnen reconstrueren. Heeft Siip het nummer uitsluitend via die registratie, dan is het persoonlijk telefonisch benaderen van een criticus een gebruik buiten het doel waarvoor het is verzameld. Dat raakt de doelbinding van artikel 5, eerste lid, sub b AVG. Komt het nummer uit een andere bron, dan hoor ik graag welke, op grond van artikel 14 AVG.
Ik doe daarom een formeel verzoek en verwacht een schriftelijk antwoord binnen een redelijke termijn: (1) de grondslag en het doel waarvoor Siip mijn mobiele nummer verwerkt; (2) de bron waaruit het nummer is verkregen, indien dat niet mijn registratie is (artikel 14 AVG); (3) inzage in de persoonsgegevens die Siip van mij verwerkt, inclusief de ontvangers (artikel 15 AVG).
6 juli 2026, 16:33 · Remco Voorhorst (Siip) aan Mick (CC: Functionaris Gegevensbescherming).
Geachte heer Beer, beste Mick, dank voor je berichten. Hieronder onze inhoudelijke reactie op de twee kernpunten en op je verzoek over de communicatie.
Over de kern van je conclusies het volgende. Je stelt dat Siip een identiteitsprofiel met de persoonsgegevens die vanuit het document worden verstuurd server-side opslaat, maar deze conclusie is feitelijk onjuist en zoals je zelf ook aangeeft, door jou niet gemeten.
Om te zorgen dat er met gevalideerde gegevens wordt gewerkt, voeren wij passive authentication uit volgens de ICAO 9303 standaard. De datagroepen die noodzakelijk zijn om de passive authentication uit te voeren, worden versleuteld via de backend geleid voor de noodzakelijke cryptografische echtheidscontrole, waarna ze direct van onze servers worden verwijderd. Zodra de echtheid van een document is gevalideerd, leidt dit tot een gebruikersaccount bij Siip. De gevalideerde persoonsgegevens worden vervolgens teruggeleid tot het finaliseren van het account en decentraal opgeslagen op de telefoon.
Er is dus geen sprake van opslag van deze persoonsgegevens op een server; deze data staat uitsluitend decentraal op het telefoon van de gebruiker. Er wordt op onze server wel een account aangemaakt om onze dienstverlening te kunnen uitvoeren en daarvoor accepteert de gebruiker de voorwaarden van Siip. Het e-mailadres van de gebruiker wordt wel versleuteld op de server opgeslagen.
Aangezien de basisassumptie onjuist is dat er een server-side profiel wordt gemaakt bestaande uit de persoonsgegevens uit het identiteitsdocument, ontbreekt iedere feitelijke grondslag voor je daarop gebaseerde gevolgconclusies, waardoor ook deze onjuist zijn.
Omdat dit inmiddels onderwerp is van een publieke discussie, laten we ons proces bekrachtigen door een onafhankelijke externe partij. De uitkomsten maken we openbaar.
Om te voorkomen dat mogelijke kwetsbaarheden voortduren of dat er onjuiste aannames gedaan worden, hebben we een privacy-loket en een responsible disclosure beleid. Door dit voorafgaand aan publicatie te melden, had deze onjuiste aanname voorkomen kunnen worden.
Onze apps gebruiken standaard-tooling om de stabiliteit en het functioneren te bewaken, zoals crash- en foutrapportage. Dat dient de werking en de hygiëne van de app, niet advertenties of het volgen van gebruikers. Je observatie over de advertentie-ID nemen we serieus. Wij roepen die niet aan en activeren die niet, maar het component van Google leek toch geactiveerd. Dat hebben wij actief gecorrigeerd en we hebben inmiddels een update van de apps klaarstaan. Deze zullen wij z.s.m. doorvoeren.
Er is eenmaal telefonisch contact geweest, op 1 juli 2026 om 18.14 uur en niet vaker. Ik heb je nummer uit mijn telefoon verwijderd. Je verzoek om uitsluitend schriftelijk te communiceren neem ik graag over, waarmee de afspraak van dinsdag komt te vervallen. Verdere correspondentie hierover kun je aan de Functionaris Gegevensbescherming richten via het meldpunt.
Bronnen
- De onderschepte onboarding-upload, met SHA-256-hash en OpenTimestamps-tijdstempel. Eigen meting, verzegeld.
- De inhoudelijke e-mailreactie van Siip, ondertekend door de CEO, en de afhandeling door de Functionaris Gegevensbescherming. Gedocumenteerd, en op elk inhoudelijk punt aangehaald.
- Siip over het product, de club kan opzoeken wie waar zit: knvb.nl/11/innovatiefestival/siip
- De regel over het burgerservicenummer: artikel 46 UAVG en de Autoriteit Persoonsgegevens over het gebruik van het BSN.
- AP, boete DPG Media wegens het onnodig opvragen van identiteitsbewijzen, 2022, in stand gehouden en gehalveerd door de Raad van State.
- Pels Rijcken, “De inzet van (digitale) preregistratie en biometrische toegangspoortje door betaald voetbalorganisaties”, 19 februari 2024.