In de pers

Onderzoeken die door landelijke media zijn opgepikt. De links hieronder gaan naar de originele publicaties.

Casus · Belastingdienst

Staatssecretaris erkent: Belastingdienst schond de AVG met Adobe Analytics

Op 25 juni 2026 beantwoordde staatssecretaris Eerenberg de Kamervragen (2026Z11812) over de Adobe-tracker in de betaalomgeving: het gebruik van Adobe Analytics "was niet in lijn met de geldende ePrivacy-regels en de Algemene verordening gegevensbescherming", en vooraf was niet beoordeeld of het verwerken van persoonsgegevens noodzakelijk was. Vast staat dat in elk geval IP-adressen naar Adobe zijn verstuurd; de verwerking wordt pas hervat na een DPIA en sluitende verwerkersafspraken. De erkenning leverde eind juni een tweede golf berichtgeving op, van Security.NL tot de fiscale vakpers. Lees de afronding van het dossier.

Casus · Belastingdienst

Belastingdienst meldt datalek bij de AP na onderzoek naar Adobe-tracker

In juni 2026 legde ik vast dat Mijn Belastingdienst, na inloggen met DigiD, bij het openen van een aanslag en het starten of annuleren van een iDEAL- of Wero-betaling gegevens verstuurt naar adobe-analytics-dc.belastingdienst.nl, dat via een verhulde DNS-omleiding uitkomt bij Adobe in de Verenigde Staten. Naar aanleiding van dat onderzoek stelde JA21-Kamerlid Van den Berg op 3 juni 2026 schriftelijke Kamervragen (kenmerk 2026Z11812) aan staatssecretaris Eerenberg (Financiën) en staatssecretaris Aerdts (Economische Zaken en Klimaat); voor de aanpak in de Tweede Kamer sloeg ik de handen ineen met Daniël van den Berg van JA21. Op 10 juni 2026 schakelde de Belastingdienst de Adobe-tracker in de betaalomgeving voorlopig uit. Op 12 juni 2026 werd bekend dat de dienst ook formeel een datalekmelding bij de Autoriteit Persoonsgegevens heeft gedaan, omdat gedragsgegevens zonder toestemming naar Adobe werden doorgezonden. In zijn brief aan de Tweede Kamer (2026Z12920) bedankt staatssecretaris Eerenberg mij met zoveel woorden: "Ik ben dankbaar dat deze ethisch hacker de Belastingdienst hierop heeft gewezen." NRC, Tweakers en Security.NL berichtten erover. Lees mijn volledige dossier met de echte velden uit mijn sessie.

Casus · Pels Rijcken

Website Pels Rijcken deelde zonder toestemming data met Google en andere techbedrijven

In mei 2026 toonde forensisch onderzoek aan dat het advocaten- en notarissenkantoor Pels Rijcken trackers van Google en Hotjar inschakelde vóór toestemming, en dat de weigeren-knop niet alle trackers stopte. Na de wederhoor verwijderde Pels Rijcken de zwaarste schendingen. Lees mijn reactie op hun publieke verklaring.

Casus · 113.nl

Stichting 113 deelde bezoekersdata met Google en Microsoft

In mei 2026 toonde forensisch onderzoek aan dat de suïcide­preventielijn analytics-tools van Google en Microsoft inschakelde, inclusief Microsoft Clarity session-replay. Vier landelijke media pikten het op. 113.nl verwijderde de tools binnen een dag. Lees het volledige dossier.

Heb je een onderzoek opgepikt dat hier nog niet staat, of een lopend dossier waar je over wilt schrijven? Stuur een bericht.