Een scammer belt je 73-jarige moeder. Hij weet haar volledige naam, haar adres, dat haar man drie jaar geleden is overleden, dat ze klant is bij ING en dat haar zoon vorige maand een nieuwe auto heeft gekocht. Hij klinkt overtuigend. Hij heet zogenaamd Mark, fraude-afdeling. Binnen 40 minuten staat €28.000 op een geldezelrekening.
Hoe wist Mark dit allemaal?
Het korte antwoord: omdat jij — én je moeder — websites bezoeken die geld verdienen aan tracking pixels. En omdat geen enkele bestuurder van die websites weet wat die pixels precies doen.
Dit artikel legt de keten bloot. Het is geen samenzwering. Het is geen hack. Het is hoe het systeem op dit moment werkt.
De keten in zeven stappen
Stap 1 — Jij bezoekt een vertrouwde website. Een Nederlandse krant, webshop, verzekeraar, of ziekenhuissite. Tracking pixels vuren soms af voordat je ergens op klikt.
Stap 2 — De pagina deelt je data met tientallen partijen. IP-adres, browsertype, klikgedrag, soms ingevulde formuliervelden. By design onzichtbaar. De FTC en EFF hebben dit gerapporteerd: gemiddeld 18-47 tracker-pixels per pagina op vertrouwde bedrijfssites.
Stap 3 — Adtech-bedrijven aggregeren. Meta, Google, ad-exchanges combineren duizenden datapunten tot één profiel over weken en maanden.
Stap 4 — Databrokers verrijken met offline data. Acxiom, Epsilon, kredietinformatiebureaus koppelen online profielen aan kadaster, autobezit, abonnementen, gezinssamenstelling. Duizenden datapunten per persoon.
Stap 5 — Het profiel wordt verkocht of gestolen. Legaal aan marketeers en verzekeraars. Illegaal via datalekken en Telegram-handel. Het OM Noord-Nederland eiste in april 2026 celstraffen tot vier jaar tegen handelaren in lijsten als “106 vrouw 65 plus” — profielen die exact zo samengesteld waren.
Stap 6 — De scammer bouwt zijn aanval. Met échte naam, geboortedatum, bank, gezinsleden wordt bankhelpdeskfraude overtuigend. De FBI IC3 rapporteert dat meer dan de helft van fraudezaken tegen ouderen direct verband houdt met blootgestelde data.
Stap 7 — De betalende oma. Het eindresultaat van de keten: een kwetsbaar slachtoffer verliest geld aan bankhelpdeskfraude. Oma verliest €28.000. De website van stap 1 weet van niets — en draagt toch verantwoordelijkheid voor de keten die zij in gang zette.
Waarom dit ertoe doet
Drie Zweedse IMY-zaken uit 2024–2025 illustreren wat “onwetendheid” de markt kost.
Apohem (online apotheek): Meta Pixel deelde namen, e-mails, telefoonnummers en aankoopgeschiedenis. Geen DPIA, geen risicoanalyse. 8 miljoen SEK boete. Het probleem: marketing vroeg de pixel aan, IT zette hem in via Google Tag Manager, de privacy-officer zag het niet, het bestuur tekende af op “AVG-compliant”. Niemand controleerde wat er feitelijk werd verzonden.
Avanza Bank: marketing zette per ongeluk Meta’s “Automatic Advanced Matching” aan. Leningbedragen en rekeningnummers vlogen naar Meta. 15 miljoen SEK boete. Zweedse IMY: “Dit zijn financiële gegevens. De bank was aansprakelijk, zelfs al wisten zij niet dat het gebeurde.”
Apoteket AB: persoonsnummers en gezondheidsgerelateerde data lekten ondanks filters. 37 miljoen SEK boete. Dit was geen hack — het systeem werkte zoals ontworpen.
Onwetendheid is geen excuus. De verwerkingsverantwoordelijke — in dit geval de website — is aansprakelijk voor de gehele verwerkingsketen die zij in gang zet.
— Zweedse IMY
Meta zelf betaalde €1,2 miljard aan de Ierse DPC in 2023 voor onrechtmatige datatransfers naar de VS.
Beleidscontext
AVG artikel 6 — rechtmatige grondslag voor verwerking. “Gerechtvaardigd belang” voor marketing is een veelgebruikte route, maar de verwerking mag niet onevenredig inbreuk maken op de rechten van betrokkenen.
AVG artikel 32 — veiligheidsniveaus. Controleer wat je pixels verspreiden, niet alleen dat ze geladen worden.
AVG artikel 35 — DPIA verplicht voor risicovolle verwerking. De Apohem-zaak werd gewonnen door Noyb omdat Apohem géén DPIA had gemaakt voor Meta Pixel.
AVG artikel 44-49 — internationale datatransfers. Veel trackers sturen data naar de VS. Na Schrems II (HvJ EU, 2020) is dat juridisch risicovol zonder aanvullende waarborgen.
AVG artikel 82 — schadevergoeding. Sinds C-300/21 (HvJ EU, 2023) kunnen slachtoffers rechtstreeks aansprakelijkheid eisen. Oma kan de eerste website aanklagen voor schadevergoeding — zelfs als de directe oorzaak een scammer was — zolang te bewijzen valt dat de datablootstelling de fraude mogelijk maakte.
In Nederland heeft de Autoriteit Persoonsgegevens sinds 2023 standaard-AVG-vervolgingen tegen databrokers ingesteld, en behandelt het OM datalekken steeds vaker als strafrecht.
Wat kunt u morgen doen
Voer deze week een pixel-audit uit. Laat IT inventariseren welke trackers op jullie sites en apps draaien en naar welke partijen ze data sturen. Gebruik browser-tools als The Markup Blacklight of een Google Tag Manager-export. Leg een spreadsheet aan: tracker → ontvanger → data → rechtsgrond.
Eis een DPIA per marketing-tracker. Onder AVG artikel 35 is dit verplicht. Elke Meta Pixel, elke Google Analytics-integratie verdient een eigen risicoanalyse. Laat twee vragen beantwoorden: welke persoonsgegevens verlaten ons domein, en wat kunnen die ontvangers ermee doen?
Schrap elke tracker die je niet in een zin kunt uitleggen. Vraag commercial: waar gaat deze data naartoe en waarom? Kunnen zij het niet beantwoorden in dertig seconden, haal hem weg. Dit is een verwerkingsbeslissing met persoonlijke aansprakelijkheid.
Breng je verwerkersketen tot het einde in kaart. Niet alleen wie je data ontvangt, maar wat zij ermee doen, aan wie zij doorverkopen, en of die partijen in de adtech/databroker-keten zitten. De AVG maakt jou aansprakelijk voor de gehele keten.
Zet tracking op de bestuurstafel. Een pixel plaatsen is een verwerkingsbeslissing met persoonlijke aansprakelijkheid voor bestuurders. Onderzoek: dekt je D&O-verzekering AVG-boetes? Vaker niet dan wel.
Persoonlijke actiepunten
Zoek je naam op via Google en people-search-sites. Schrik niet. Dit is in de publieke adtech-keten beschikbaar.
Gebruik je AVG-rechten. Artikel 15-21 geeft je recht op inzage, correctie en verwijdering.
Beperk wat je deelt. Loyaliteitskaarten, online quizzes, “gratis” apps zijn datakanalen.
Praat met je ouders. Bankhelpdeskfraude richt zich op 65+. Als zij weten dat bellers hun gegevens kunnen hebben zonder hen te kennen, herkennen zij de truc sneller.