Niet aan de schandpaal, maar een privacyvriendelijkere samenleving. Organisaties die constructief reageerden op bevindingen en aantoonbaar aan de slag gingen.
Dit werk gaat niet over aan de schandpaal nagelen. Het gaat over een verbeterde,
privacyvriendelijkere samenleving. Op deze pagina staan
organisaties die op bevindingen reageerden zoals het hoort, opruimen, uitleggen, of aantoonbaar
aan de slag gaan. Wat ik met eigen metingen kan staven, staat als zodanig benoemd. Wat een
organisatie zelf heeft toegezegd of in gang heeft gezet, staat er als hun reactie, niet als
meetresultaat. Het verschil houd ik expliciet.
113 Zelfmoordpreventie
Aantoonbaar opgeruimd
113 Zelfmoordpreventie verwijderde tussen 9 en 14 mei 2026 álle externe trackers van 113.nl,
Google Tag Manager, Google Ads, Google AdSense en Microsoft Clarity, dat laatste een tool die
het scherm van bezoekers meekijkt en opneemt. In mijn meting van 18 mei laadt de site in geen
enkele situatie nog een tracker, ook niet nadat iemand cookies accepteert. Voor een crisislijn,
waar mensen op hun kwetsbaarst aankloppen, is dat precies de uitkomst die telt.
Wat de meting laat zien
Vóór toestemming van 5 naar 0 trackers, na akkoord van 13 naar 0. Geverifieerd tegen de
bewaarde scans en de raw-data-bundel van 11 mei.
Humanitas zette de eerste stappen. Het aantal trackers dat al vóór enige toestemming laadt ging
van zes naar één, en de cookies die zonder toestemming werden geplaatst zijn verdwenen. Daarmee
is de schadelijkste situatie, meten vóór de bezoeker iets heeft gekozen, grotendeels weg. Wat nog
openstaat: na het accepteren van cookies laadt de site nog Microsoft Clarity, Facebook en
DoubleClick. De richting is goed, de klus is nog niet af.
Wat de meting laat zien
Pre-consent van 6 naar 1 tracker en geen tracking-cookies meer vóór toestemming (scans 10 en 18 mei).
De trackers ná akkoord waren op 18 mei nog ongewijzigd.
Pels Rijcken
Hoofdtracking opgeruimd
Pels Rijcken & Droogleever Fortuijn, het kantoor van de Landsadvocaat, verwijderde tussen 18 en
21 mei 2026 de belangrijkste tracking-infrastructuur van pelsrijcken.nl en werkenbijpelsrijcken.nl.
Google Tag Manager, Hotjar's session-recording en pre-consent YouTube-embeds zijn van de homepages
weg. In hun publieke verklaring van 22 mei heeft het kantoor erkend dat de bevindingen juist waren
en zijn opgelost.
72 uur tussen ontvangst van mijn bevindingen en remediation is snel. Voor een organisatie met de
positie en zichtbaarheid van de Landsadvocaat is publieke erkenning bovendien geen
vanzelfsprekendheid. Een specifieke termijn-claim die in de publieke communicatie naar voren kwam,
behandel ik in een apart addendum; die discussie laat de remediation hier onverlet.
Wat de meting laat zien
Op de homepages van beide domeinen zijn Google Tag Manager (PMFWLS7), Hotjar 4942343 en pre-consent
YouTube-embeds verwijderd. Geverifieerd via OTS-gestempelde rescans op 21 mei 2026, tegenover de
oorspronkelijke meting van 18 mei.
In juni 2026 legde ik vast dat Mijn Belastingdienst, ná inloggen met DigiD, bij het openen van
een aanslag en tijdens de betaalflow gegevens verstuurde naar
adobe-analytics-dc.belastingdienst.nl, een verhulde DNS-omleiding die uitkomt bij
Adobe in de Verenigde Staten. Het ging onder meer om de specifieke vordering en de geopende
aanslag. JA21-Kamerlid Van den Berg stelde er op 3 juni schriftelijke Kamervragen over
(2026Z11812), met mijn artikel bij titel genoemd. Voor de aanpak in de Tweede Kamer sloeg ik
de handen ineen met Daniël van den Berg van JA21: ik leverde de meting, hij tilde het debat
in de Kamer een niveau hoger.
De uitkomst liep in stappen op. Op 10 juni schakelde de Belastingdienst de Adobe-tracker in de
betaalomgeving voorlopig uit. Op 12 juni werd bekend dat de dienst ook formeel een
datalekmelding bij de Autoriteit Persoonsgegevens heeft gedaan: gedragsgegevens
werden zonder toestemming naar Adobe doorgezonden. In een brief aan de Tweede Kamer (2026Z12920)
bedankt staatssecretaris Eerenberg van Financiën mij met zoveel woorden: "Ik ben dankbaar dat
deze ethisch hacker de Belastingdienst hierop heeft gewezen." De dienst inventariseert nu
soortgelijke tooling.
Op 25 juni volgde de erkenning zwart op wit. In de antwoorden op de Kamervragen schrijft de
staatssecretaris dat het gebruik van Adobe Analytics "niet in lijn was met de geldende
ePrivacy-regels en de Algemene verordening gegevensbescherming", en dat vooraf niet is
beoordeeld of het verwerken van persoonsgegevens noodzakelijk was. De verwerking wordt pas
hervat na een DPIA en sluitende verwerkersafspraken. Voor de melding kreeg ik van de
Belastingdienst een beker, met op het voetstuk: "I hacked the Dutch Tax Office and never got
a refund". Lees de afronding
van het dossier.
De beker van de Belastingdienst, met op het voetstuk: "I hacked the Dutch Tax Office and never got a refund".
Wat er vaststaat
De oorspronkelijke gegevensstroom is door mij gemeten en vastgelegd (HAR-bewijs, juni 2026), en
mijn nulmeting van 6 juni bevestigt dat de datastroom is gestopt. Het uitschakelen, de
datalekmelding bij de AP en de dankbetuiging staan in de Kamerbrief van staatssecretaris
Eerenberg (12 juni 2026); de erkenning van de schending staat in de antwoorden op de
Kamervragen (25 juni 2026). NRC, Tweakers, Security.NL, iBestuur en de fiscale vakpers
berichtten erover.
Met ING ging ik in gesprek, en dat was een goed gesprek. ING legde het speelveld uit waarin een
bank opereert: aan de ene kant wettelijke anti-fraude- en zorgplichten, aan de andere kant
commerciële keuzes, en daartussen de AVG. Die drie staan voortdurend met elkaar in spanning, en
wat voor een gewone website overbodige tracking lijkt, kan voor een bank een fraudebeheersing zijn.
Na een deepdive in hoe ING dit heeft ingericht, is mijn conclusie dat het, gegeven die context en
hun bestuurlijke keuzes, juist is ingericht. Er blijven bevindingen over, maar ING staat achter die
keuzes, heeft ze uitgelegd, en ze zijn legaal. Een open gesprek en navolgbare afwegingen wegen hier
zwaarder dan een kale score.
Hoe ik dit weeg
Op basis van een gesprek met ING en een eigen deepdive (mei 2026). Dit is een afweging op basis van
toelichting en context, geen meetresultaat.
Mendix
Positief opgepakt
Mendix ontving de bevindingen positief en gaf aan er actief mee aan de slag te zijn. Dat is het
signaal dat telt: niet in de verdediging schieten, maar het oppakken.
Status
Reactie van de organisatie (mei 2026). Een her-meting moet nog uitwijzen waar het werk toe leidt.
MIND
Positief opgepakt
Ook MIND ontving de signalen constructief en gaf aan ermee bezig te zijn. Voor een organisatie in
de geestelijke gezondheid, waar bezoekers extra kwetsbaar zijn, is die houding precies de juiste.
Status
Reactie van de organisatie (mei 2026). Nog geen her-meting die het bevestigt.
Logius
Positief opgepakt
Logius ontving de bevindingen over de data-uitstroom bij overheidsdiensten, zoals gedocumenteerd
op mijnoverheid.us, positief en gaf aan ermee aan de slag te gaan. Voor de organisatie achter
DigiD en MijnOverheid is dat een belangrijk signaal: de digitale overheid hoort het goede voorbeeld
te geven.
Status
Reactie van de organisatie (mei 2026). Een afweging op basis van hun respons, geen her-meting.