{ "meta": { "title": "mijnoverheid.us", "subtitle": "Een register van wat de Nederlandse overheid naar Amerika stuurt.", "updated": "2026-05-04", "auteur": "Mick Beer", "aard": "particulier register, geen overheidssite", "tagline": "Onderdeel van hackedemia.nl. Geen tracking. Geen cookies. Geen advertenties." }, "vendors": { "adobe": { "naam": "Adobe", "land": "USA", "stad": "San Jose, California" }, "google": { "naam": "Google", "land": "USA", "stad": "Mountain View, California" }, "microsoft": { "naam": "Microsoft", "land": "USA", "stad": "Redmond, Washington" }, "genesys": { "naam": "Genesys", "land": "USA", "stad": "Menlo Park, California" }, "ping": { "naam": "Ping Identity", "land": "USA", "stad": "Denver, Colorado" }, "mindbreeze": { "naam": "Mindbreeze", "land": "USA + Oostenrijk", "stad": "Chicago (HQ) + Linz", "caveat": "Headquarters in Chicago — primair onder USA-jurisdictie" }, "verint": { "naam": "Verint", "land": "USA + Israel", "stad": "Melville, New York" }, "abtasty": { "naam": "AB Tasty", "land": "Frankrijk (bedrijfsvestiging)", "stad": "Parijs", "caveat": "Draait op Google Cloud Platform (USA) — onder CLOUD Act" }, "kyndryl": { "naam": "Kyndryl", "land": "USA", "stad": "New York" }, "fastenterprises": { "naam": "Fast Enterprises", "land": "USA", "stad": "Centennial, Colorado" }, "hotjar": { "naam": "Hotjar (Contentsquare)", "land": "Malta + USA", "stad": "Malta + New York", "caveat": "Sinds 2023 onderdeel van Contentsquare (FR/IL/USA)" }, "criteo": { "naam": "Criteo", "land": "Frankrijk + USA", "stad": "Parijs + New York" }, "contentsquare": { "naam": "ContentSquare / ClickTale", "land": "Frankrijk (HQ) + Israel + USA", "stad": "Parijs / Tel Aviv / New York", "caveat": "Multi-jurisdictie analytics — internationale data-routing" }, "snowplow": { "naam": "Snowplow / DPG Media-stack", "land": "VK (bedrijfsvestiging)", "stad": "Londen", "caveat": "Klant-implementaties draaien doorgaans op AWS / Google Cloud (US-cloud)" }, "vwo": { "naam": "Visual Website Optimizer (VWO)", "land": "India (Wingify)", "stad": "Pune", "caveat": "Draait op AWS (Amerikaanse hyperscaler) — onder CLOUD Act" }, "piwik": { "naam": "Piwik PRO", "land": "Polen (bedrijfsvestiging)", "stad": "Wrocław", "caveat": "Public Cloud-product draait op AWS / Google Cloud (Amerikaanse hyperscalers) — ook EU-tenants kunnen onder CLOUD Act vallen" }, "atinternet": { "naam": "Piano Analytics (voorheen AT Internet)", "land": "USA", "stad": "Denver", "caveat": "Voorheen Frans (AT Internet) — sinds 2021 onderdeel van Piano (USA)" }, "talos": { "naam": "Talos Labs", "land": "USA", "stad": "n.b." }, "optimizely": { "naam": "Optimizely", "land": "USA", "stad": "San Francisco" }, "tealium": { "naam": "Tealium", "land": "USA", "stad": "San Diego" }, "onetrust": { "naam": "OneTrust", "land": "USA", "stad": "Atlanta" }, "qualtrics": { "naam": "Qualtrics", "land": "USA", "stad": "Provo, Utah" }, "meta": { "naam": "Meta (Facebook)", "land": "USA", "stad": "Menlo Park, California" }, "usabilla": { "naam": "Usabilla / SurveyMonkey", "land": "USA", "stad": "San Mateo" }, "cookiebot": { "naam": "Cookiebot (Cybot A/S)", "land": "Denemarken (EU)", "stad": "Kopenhagen" }, "mopinion": { "naam": "Mopinion", "land": "Nederland", "stad": "Utrecht" } }, "sectoren": { "overheid": { "naam": "Overheid (websites)" }, "app": { "naam": "Overheidsapps" }, "rijksbreed": { "naam": "Rijksbrede contracten" } }, "severities": { "kritiek": { "label": "KRITIEK", "kleur": "#a02020", "beschrijving": "Direct AVG/CLOUD Act-risico, structurele schending of toegang tot zeer gevoelige data." }, "ernstig": { "label": "ERNSTIG", "kleur": "#b87b00", "beschrijving": "Aanwijsbaar onrechtmatig of structureel onveilig." }, "let_op": { "label": "LET OP", "kleur": "#4a4a4a", "beschrijving": "Patroon dat aandacht verdient, deels terugvalmechanisme of onbedoelde lek." } }, "statussen": { "bewezen": { "label": "BEWEZEN", "kleur": "#2d6a3a", "beschrijving": "Directe technische evidentie." }, "sterk": { "label": "STERKE AANWIJZING", "kleur": "#b87b00", "beschrijving": "Indirect maar overtuigend bewijs." }, "open": { "label": "OPEN", "kleur": "#cc3300", "beschrijving": "Vraag voor vervolgonderzoek." } }, "findings": [ { "id": "NL-021", "naam": "207 van 339 Nederlandse gemeentes lekken naar Google", "organisatie": "Nederlandse gemeentes", "sector": "overheid", "vendors": [ "google" ], "severity": "kritiek", "status": "sterk", "datum": "2024-01-01", "samenvatting": "Onderzoek Nixon Digital: 207 van de 339 Nederlandse gemeente-sites bevatten Google-trackers.", "details": "Externe bron, niet eigen scan.", "wat_lekt": "Burgergebruik van gemeentesite", "wetsartikel": "Tw art. 11.7a, AVG art. 5", "rapport": "Nixon Digital-onderzoek", "tag_eerste": false }, { "id": "NL-015", "naam": "Belastingdienst + Douane + Toeslagen × Microsoft 365", "organisatie": "Ministerie van Financiën", "sector": "rijksbreed", "vendors": [ "microsoft" ], "severity": "kritiek", "status": "bewezen", "datum": "2025-10-02", "samenvatting": "46.000 medewerkers van Belastingdienst, Douane en Toeslagen werken voortaan in Microsoft 365 — e-mail, documenten, Teams-chats.", "details": "Kamerbrief Heijnen 2 oktober 2025. Heijnen 12 februari 2026: 'Ik ben niet naïef over de mogelijkheid dat de informatie waarover de Belastingdienst beschikt interessant kan zijn voor de Amerikaanse overheid.' Bert Hubert: 'papieren zekerheid' wegens CLOUD Act.", "wat_lekt": "E-mail, documenten, Teams-chats, agenda's van fiscale en uitvoeringsdiensten", "wetsartikel": "AVG art. 5, AVG art. 28, AVG art. 44+, US CLOUD Act, FISA 702, EO 12333", "rapport": "rijksoverheid.nl", "tag_eerste": false }, { "id": "NL-014", "naam": "BTW-inning × Fast Enterprises USA", "organisatie": "Belastingdienst", "sector": "rijksbreed", "vendors": [ "fastenterprises" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-04-01", "samenvatting": "Iedere ondernemer die BTW betaalt, doet dat straks via software van het Amerikaanse Fast Enterprises (Centennial, Colorado).", "details": "Staatssecretaris Eerenberg (D66): contract opzeggen 'juridisch en financieel onmogelijk'. Bert Hubert en Marcel van Kooten waarschuwden voor controle die uit handen gegeven wordt.", "wat_lekt": "BTW-aangiftedata, ondernemers-info", "wetsartikel": "AVG art. 5, AVG art. 28, AVG art. 44+, US CLOUD Act", "rapport": "taxlive.nl", "tag_eerste": false }, { "id": "WEB-005", "naam": "amsterdam.nl", "organisatie": "amsterdam.nl", "sector": "overheid", "vendors": [ "piwik", "usabilla" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Wie amsterdam.nl bezoekt: 7 tracking-cookies vóór consent; 1 externe tracker vóór consent.", "details": "Vóór toestemming: 7 tracking-cookies, 1 externe trackers. CNAME-cloaking: first-party camouflage van tracking — omzeiltbrowser-bescherming en ad-blockers op domeinnaam\nTracking-cookies vóór consent (7):\nNaam Levensduur SameSite Secure HttpOnly Party Type Vendor\nstg_traffic_source_priority minder dan1 dag Strict N N 1st tracking PiwikPRO\nstg_last_interaction 12 maanden(364 Scan: 2026-05-02T23:10:30.816182, BeforeYouMick v3.3.1.", "wat_lekt": "tracking-cookies, externe trackers, mogelijk fingerprint", "wetsartikel": "Tw art. 11.7a, AVG art. 5", "rapport": "hackedemia.nl/100sites", "tag_eerste": false }, { "id": "NL-001", "naam": "Belastingdienst.nl × Adobe USA", "organisatie": "Belastingdienst", "sector": "overheid", "vendors": [ "adobe" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Wie deze site bezoekt, stuurt zoekgedrag, foutmeldingen en chatbot-input naar Adobe in de Verenigde Staten — gecamoufleerd als first-party.", "details": "CNAME-cloak: adobe-analytics-dc.belastingdienst.nl → wdbvhtupcp.data.adobedc.net. Adobe organisatie-ID 6B4320E8637BE4D40A495FD6@AdobeOrg. 38-cijferige ECID met 2 jaar bewaartermijn. 20-60 datapunten per page-view.", "wat_lekt": "Vrije tekst (zoekqueries, chatbot-input, feedback-velden), persistente identifier", "wetsartikel": "Tw art. 11.7a, AVG art. 5(1)(a), AVG art. 13", "rapport": "hackedemia.nl/deel1", "tag_eerste": false }, { "id": "NL-002", "naam": "Herstel.toeslagen.nl × Adobe USA", "organisatie": "Belastingdienst (UHT — Hersteloperatie Toeslagen)", "sector": "overheid", "vendors": [ "adobe" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Wie de hersteloperatie-site voor toeslagouders bezoekt, stuurt paginatitel ('Website voor gedupeerde ouders') en zoekgedrag rechtstreeks naar Adobe USA.", "details": "Aparte Adobe Launch-container (2faa729a6cea, naam toeslagen-herstel-kot-nl). Report suite belastingdienstwordpressproduction. Pagina-titel 'Website voor gedupeerde ouders | Herstel Toeslagen (UHT)' gaat letterlijk naar Adobe.", "wat_lekt": "Paginatitel met 'gedupeerde ouders', zoekgedrag, feedback, foutmeldingen, chat-onderwerpen", "wetsartikel": "Tw art. 11.7a, AVG art. 5, AVG art. 9 (bijzondere persoonsgegevens)", "rapport": "hackedemia.nl/deel1", "tag_eerste": false }, { "id": "NL-003", "naam": "Hersteloperatie webchat × Genesys USA", "organisatie": "Belastingdienst (UHT)", "sector": "overheid", "vendors": [ "genesys" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Wie de live-chat voor toeslagouders gebruikt, stuurt verplicht voor- en achternaam plus alle berichten naar Genesys Cloud CX in de Verenigde Staten.", "details": "CNAME le-webservices.belastingdienst.nl → Genesys (LE = Live Engagement). Voornaam + achternaam (verplicht!) + alle berichten gaan naar Genesys USA.", "wat_lekt": "Voor- en achternaam, volledige chat-content over toeslagaffaire", "wetsartikel": "AVG art. 5, AVG art. 9, AVG art. 28", "rapport": "hackedemia.nl/deel1", "tag_eerste": false }, { "id": "WEB-003", "naam": "belastingdienst.nl", "organisatie": "belastingdienst.nl", "sector": "overheid", "vendors": [ "adobe" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Wie belastingdienst.nl bezoekt: 6 tracking-cookies vóór consent; 3 externe trackers vóór consent.", "details": "Vóór toestemming: 6 tracking-cookies, 3 externe trackers. CNAME-cloaking: first-party camouflage van tracking — omzeilt\nbrowser-bescherming en ad-blockers op domeinnaam\nTracking-cookies vóór consent (6):\nHackedemia · 100 Nederlandse websites — forensisch dossier Pagina 21 / 101\n\nNaam Levensduur SameSite Secure HttpOnly Party Type Vendor\ns_ecid 1 jaar (399dagen) Lax Y N 1s Scan: 2026-05-02T23:06:42.128270, BeforeYouMick v3.3.1.", "wat_lekt": "tracking-cookies, externe trackers, mogelijk fingerprint", "wetsartikel": "Tw art. 11.7a, AVG art. 5", "rapport": "hackedemia.nl/100sites", "tag_eerste": false }, { "id": "WEB-006", "naam": "cbs.nl", "organisatie": "cbs.nl", "sector": "overheid", "vendors": [ "mopinion", "piwik" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Wie cbs.nl bezoekt: 5 tracking-cookies vóór consent; 2 externe trackers vóór consent.", "details": "Vóór toestemming: 5 tracking-cookies, 2 externe trackers. CNAME-cloaking: first-party camouflage van tracking — omzeiltbrowser-bescherming en ad-blockers op domeinnaam\nLET OP AVG art. 32 — beveiliging Geen Strict-Transport-Security header (HSTS ontbreekt)\nTracking-cookies vóór consent (5):\nNaam Levensduur SameSite Secure HttpOnly Party Type Vendor\nstg_traffic_source_prior Scan: 2026-05-02T23:09:30.338548, BeforeYouMick v3.3.1.", "wat_lekt": "tracking-cookies, externe trackers, mogelijk fingerprint", "wetsartikel": "Tw art. 11.7a, AVG art. 5", "rapport": "hackedemia.nl/100sites", "tag_eerste": false }, { "id": "WEB-008", "naam": "defensie.nl", "organisatie": "defensie.nl", "sector": "overheid", "vendors": [ "piwik" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Wie defensie.nl bezoekt: 5 tracking-cookies vóór consent.", "details": "Vóór toestemming: 5 tracking-cookies, 0 externe trackers. CNAME-cloaking: first-party camouflage van tracking — omzeiltbrowser-bescherming en ad-blockers op domeinnaam\nTracking-cookies vóór consent (5):\nNaam Levensduur SameSite Secure HttpOnly Party Type Vendor\nstg_traffic_source_priority minder dan1 dag Strict Y N 1st tracking PiwikPRO\nstg_last_interaction 12 maanden(364 Scan: 2026-05-02T23:10:00.924016, BeforeYouMick v3.3.1.", "wat_lekt": "tracking-cookies, externe trackers, mogelijk fingerprint", "wetsartikel": "Tw art. 11.7a, AVG art. 5", "rapport": "hackedemia.nl/100sites", "tag_eerste": false }, { "id": "WEB-016", "naam": "digid.nl", "organisatie": "digid.nl", "sector": "overheid", "vendors": [ "piwik" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Wie digid.nl bezoekt: 2 tracking-cookies vóór consent.", "details": "Vóór toestemming: 2 tracking-cookies, 0 externe trackers. Scan: 2026-05-02T23:06:56.734412, BeforeYouMick v3.3.1.", "wat_lekt": "tracking-cookies, externe trackers, mogelijk fingerprint", "wetsartikel": "Tw art. 11.7a, AVG art. 5", "rapport": "hackedemia.nl/100sites", "tag_eerste": false }, { "id": "WEB-009", "naam": "duo.nl", "organisatie": "duo.nl", "sector": "overheid", "vendors": [ "google", "piwik" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Wie duo.nl bezoekt: 2 tracking-cookies vóór consent; 1 externe tracker vóór consent.", "details": "Vóór toestemming: 2 tracking-cookies, 1 externe trackers. Scan: 2026-05-02T23:08:17.295142, BeforeYouMick v3.3.1.", "wat_lekt": "tracking-cookies, externe trackers, mogelijk fingerprint", "wetsartikel": "Tw art. 11.7a, AVG art. 5", "rapport": "hackedemia.nl/100sites", "tag_eerste": false }, { "id": "WEB-001", "naam": "ggd.nl", "organisatie": "ggd.nl", "sector": "overheid", "vendors": [ "cookiebot", "google", "piwik" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Wie ggd.nl bezoekt: 5 tracking-cookies vóór consent; 4 externe trackers vóór consent; 5 cookies actief na refuse; 15 trackers actief na refuse.", "details": "Vóór toestemming: 5 tracking-cookies, 4 externe trackers. Na klik op 'weigeren': 5 cookies + 15 trackers blijven actief — refuse-knop werkt niet. CNAME-cloaking: first-party camouflage van tracking — omzeiltbrowser-bescherming en ad-blockers op domeinnaam\nLET OP AVG art. 32 — beveiliging Geen Strict-Transport-Security header (HSTS ontbreekt)\nTracking-cookies vóór consent (5):\nNaam Levensduur SameSite Secure HttpOnly Party Type Vendor\nstg_traffic_source_prior Scan: 2026-05-02T23:46:29.049192, BeforeYouMick v3.3.1.", "wat_lekt": "tracking-cookies, externe trackers, mogelijk fingerprint", "wetsartikel": "Tw art. 11.7a, AVG art. 5, AVG art. 7(3)", "rapport": "hackedemia.nl/100sites", "tag_eerste": false }, { "id": "WEB-010", "naam": "mijnoverheid.nl", "organisatie": "mijnoverheid.nl", "sector": "overheid", "vendors": [ "piwik" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Wie mijnoverheid.nl bezoekt: 2 tracking-cookies vóór consent.", "details": "Vóór toestemming: 2 tracking-cookies, 0 externe trackers. Scan: 2026-05-02T23:07:10.857653, BeforeYouMick v3.3.1.", "wat_lekt": "tracking-cookies, externe trackers, mogelijk fingerprint", "wetsartikel": "Tw art. 11.7a, AVG art. 5", "rapport": "hackedemia.nl/100sites", "tag_eerste": false }, { "id": "WEB-011", "naam": "om.nl", "organisatie": "om.nl", "sector": "overheid", "vendors": [ "piwik" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Wie om.nl bezoekt: 5 tracking-cookies vóór consent.", "details": "Vóór toestemming: 5 tracking-cookies, 0 externe trackers. CNAME-cloaking: first-party camouflage van tracking — omzeiltbrowser-bescherming en ad-blockers op domeinnaam\nTracking-cookies vóór consent (5):\nNaam Levensduur SameSite Secure HttpOnly Party Type Vendor\nstg_traffic_source_priority minder dan\n1 dag\nStrict Y N 1st tracking Piwik\nPRO\nstg_last_interaction 12 maanden\n( Scan: 2026-05-02T23:50:15.892451, BeforeYouMick v3.3.1.", "wat_lekt": "tracking-cookies, externe trackers, mogelijk fingerprint", "wetsartikel": "Tw art. 11.7a, AVG art. 5", "rapport": "hackedemia.nl/100sites", "tag_eerste": false }, { "id": "WEB-007", "naam": "overheid.nl", "organisatie": "overheid.nl", "sector": "overheid", "vendors": [ "piwik" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Wie overheid.nl bezoekt: 7 tracking-cookies vóór consent; 1 externe tracker vóór consent.", "details": "Vóór toestemming: 7 tracking-cookies, 1 externe trackers. CNAME-cloaking: first-party camouflage van tracking — omzeiltbrowser-bescherming en ad-blockers op domeinnaam\nTracking-cookies vóór consent (7):\nNaam Levensduur SameSite Secure HttpOnly Party Type Vendor\nstg_traffic_source_priority minder dan1 dag Strict Y N 1st tracking PiwikPRO\nstg_last_interaction 12 maanden(364 Scan: 2026-05-02T23:06:23.384046, BeforeYouMick v3.3.1.", "wat_lekt": "tracking-cookies, externe trackers, mogelijk fingerprint", "wetsartikel": "Tw art. 11.7a, AVG art. 5", "rapport": "hackedemia.nl/100sites", "tag_eerste": false }, { "id": "WEB-017", "naam": "politie.nl", "organisatie": "politie.nl", "sector": "overheid", "vendors": [ "mopinion", "piwik" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Wie politie.nl bezoekt: 2 tracking-cookies vóór consent.", "details": "Vóór toestemming: 2 tracking-cookies, 0 externe trackers. Scan: 2026-05-02T23:09:46.329184, BeforeYouMick v3.3.1.", "wat_lekt": "tracking-cookies, externe trackers, mogelijk fingerprint", "wetsartikel": "Tw art. 11.7a, AVG art. 5", "rapport": "hackedemia.nl/100sites", "tag_eerste": false }, { "id": "WEB-012", "naam": "rdw.nl", "organisatie": "rdw.nl", "sector": "overheid", "vendors": [ "google" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Wie rdw.nl bezoekt: 2 tracking-cookies vóór consent; 2 externe trackers vóór consent.", "details": "Vóór toestemming: 2 tracking-cookies, 2 externe trackers. Scan: 2026-05-02T23:08:32.713504, BeforeYouMick v3.3.1.", "wat_lekt": "tracking-cookies, externe trackers, mogelijk fingerprint", "wetsartikel": "Tw art. 11.7a, AVG art. 5", "rapport": "hackedemia.nl/100sites", "tag_eerste": false }, { "id": "WEB-013", "naam": "rijksoverheid.nl", "organisatie": "rijksoverheid.nl", "sector": "overheid", "vendors": [ "piwik" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Wie rijksoverheid.nl bezoekt: 5 tracking-cookies vóór consent.", "details": "Vóór toestemming: 5 tracking-cookies, 0 externe trackers. CNAME-cloaking: first-party camouflage van tracking — omzeiltbrowser-bescherming en ad-blockers op domeinnaam\nTracking-cookies vóór consent (5):\nNaam Levensduur SameSite Secure HttpOnly Party Type Vendor\nstg_traffic_source_priority minder dan\n1 dag\nStrict N N 1st tracking Piwik\nPRO\nstg_last_interaction 12 maanden\n( Scan: 2026-05-02T23:06:08.054775, BeforeYouMick v3.3.1.", "wat_lekt": "tracking-cookies, externe trackers, mogelijk fingerprint", "wetsartikel": "Tw art. 11.7a, AVG art. 5", "rapport": "hackedemia.nl/100sites", "tag_eerste": false }, { "id": "WEB-014", "naam": "rivm.nl", "organisatie": "rivm.nl", "sector": "overheid", "vendors": [ "mopinion", "piwik" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Wie rivm.nl bezoekt: 5 tracking-cookies vóór consent.", "details": "Vóór toestemming: 5 tracking-cookies, 0 externe trackers. CNAME-cloaking: first-party camouflage van tracking — omzeiltbrowser-bescherming en ad-blockers op domeinnaam\nLET OP AVG art. 32 — beveiliging CSP mist frame-ancestors directive (clickjacking-risico)\nTracking-cookies vóór consent (5):\nNaam Levensduur SameSite Secure HttpOnly Party Type Vendor\nstg_traffic_source_pri Scan: 2026-05-02T23:47:47.500771, BeforeYouMick v3.3.1.", "wat_lekt": "tracking-cookies, externe trackers, mogelijk fingerprint", "wetsartikel": "Tw art. 11.7a, AVG art. 5", "rapport": "hackedemia.nl/100sites", "tag_eerste": false }, { "id": "WEB-015", "naam": "rvo.nl", "organisatie": "rvo.nl", "sector": "overheid", "vendors": [ "piwik" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Wie rvo.nl bezoekt: 7 tracking-cookies vóór consent.", "details": "Vóór toestemming: 7 tracking-cookies, 0 externe trackers. CNAME-cloaking: first-party camouflage van tracking — omzeiltbrowser-bescherming en ad-blockers op domeinnaam\nLET OP AVG art. 32 — beveiliging Geen Strict-Transport-Security header (HSTS ontbreekt)\nTracking-cookies vóór consent (7):\nNaam Levensduur SameSite Secure HttpOnly Party Type Vendor\nstg_traffic_source_prior Scan: 2026-05-02T23:09:14.026715, BeforeYouMick v3.3.1.", "wat_lekt": "tracking-cookies, externe trackers, mogelijk fingerprint", "wetsartikel": "Tw art. 11.7a, AVG art. 5", "rapport": "hackedemia.nl/100sites", "tag_eerste": false }, { "id": "WEB-004", "naam": "svb.nl", "organisatie": "svb.nl", "sector": "overheid", "vendors": [ "google", "mopinion", "piwik" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Wie svb.nl bezoekt: 3 tracking-cookies vóór consent; 5 externe trackers vóór consent.", "details": "Vóór toestemming: 3 tracking-cookies, 5 externe trackers. CNAME-cloaking: first-party camouflage van tracking — omzeilt\nbrowser-bescherming en ad-blockers op domeinnaam\nTracking-cookies vóór consent (3):\nNaam Levensduur SameSite Secure HttpOnly Party Type Vendor\nABTastySession minder dan1 dag None Y N 1st tracking ABTasty\n_pk_id.8bda5495-3d5b-40c3-a4ac-3636b5895400.d8ba 1 Scan: 2026-05-02T23:08:02.638069, BeforeYouMick v3.3.1.", "wat_lekt": "tracking-cookies, externe trackers, mogelijk fingerprint", "wetsartikel": "Tw art. 11.7a, AVG art. 5", "rapport": "hackedemia.nl/100sites", "tag_eerste": false }, { "id": "WEB-018", "naam": "thuisarts.nl", "organisatie": "thuisarts.nl", "sector": "overheid", "vendors": [ "piwik" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Wie thuisarts.nl bezoekt: 2 tracking-cookies vóór consent.", "details": "Vóór toestemming: 2 tracking-cookies, 0 externe trackers. Scan: 2026-05-02T23:46:46.757236, BeforeYouMick v3.3.1.", "wat_lekt": "tracking-cookies, externe trackers, mogelijk fingerprint", "wetsartikel": "Tw art. 11.7a, AVG art. 5", "rapport": "hackedemia.nl/100sites", "tag_eerste": false }, { "id": "NL-019", "naam": "Op alle gemeten overheidssites werkt de 'weigeren'-knop niet", "organisatie": "Top-overheidssites NL", "sector": "overheid", "vendors": [], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Op elke overheidssite met een werkende 'weigeren'-knop blijven cookies en/of trackers actief na de klik. AVG art. 7(3) verplicht dat intrekken net zo makkelijk moet zijn als toestemming geven.", "details": "Op het bredere 100-sites-onderzoek: 0 van de 44 sites met werkende refuse-knop is effectief. Voor de overheid in het bijzonder geldt dat de meeste sites helemaal geen refuse-knop tonen.", "wat_lekt": "Tracking blijft doorlopen ondanks weigeren", "wetsartikel": "Tw art. 11.7a, AVG art. 7(3)", "rapport": "hackedemia.nl/100sites", "tag_eerste": true }, { "id": "NL-020", "naam": "Google Tag Manager geladen vóór consent op overheidssites", "organisatie": "Top-overheidssites NL", "sector": "overheid", "vendors": [ "google" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Google Tag Manager wordt vóór consent geladen — inclusief op overheidssites die in hun cookieverklaring beweren géén Google te gebruiken.", "details": "Op het bredere 100-sites-onderzoek: GTM op 90 van 100 sites vóór consent. _ga gezet vóór consent op 73 sites. Per overheidssite te zien in WEB-* bevindingen hieronder.", "wat_lekt": "Bezoeker-IP, request-headers, referrer — voor toestemming", "wetsartikel": "Tw art. 11.7a, AVG art. 5(1)(a), AVG art. 13", "rapport": "hackedemia.nl/100sites", "tag_eerste": true }, { "id": "WEB-002", "naam": "uwv.nl", "organisatie": "uwv.nl", "sector": "overheid", "vendors": [ "piwik", "usabilla" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Wie uwv.nl bezoekt: 3 tracking-cookies vóór consent; 2 externe trackers vóór consent; 3 cookies actief na refuse.", "details": "Vóór toestemming: 3 tracking-cookies, 2 externe trackers. Na klik op 'weigeren': 3 cookies + 0 trackers blijven actief — refuse-knop werkt niet. CNAME-cloaking: first-party camouflage van tracking — omzeiltbrowser-bescherming en ad-blockers op domeinnaam\nTracking-cookies vóór consent (3):\nNaam Levensduur SameSite Secure HttpOnly Party Type Vendor\nwt3_eid 5 maanden (179 dagen) Lax N N 1st tracking —\nwt3_sid sessie (verdwijnt bij sluiten browser) Lax N N 1st Scan: 2026-05-02T23:07:31.994632, BeforeYouMick v3.3.1.", "wat_lekt": "tracking-cookies, externe trackers, mogelijk fingerprint", "wetsartikel": "Tw art. 11.7a, AVG art. 5, AVG art. 7(3)", "rapport": "hackedemia.nl/100sites", "tag_eerste": false }, { "id": "NL-011", "naam": "Mijn Belastingdienst-app × Microsoft App Center USA", "organisatie": "Belastingdienst", "sector": "app", "vendors": [ "microsoft" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-03", "samenvatting": "Wie de Mijn Belastingdienst-app gebruikt, stuurt telemetrie naar Microsoft App Center in de VS via een ingebakken secret.", "details": "Secret in productie-APK: a9b8c4b5-b4a9-4800-8268-e8ec3b93d9ac. Microsoft Xamarin-stack.", "wat_lekt": "App-telemetrie naar Microsoft USA", "wetsartikel": "AVG art. 5, AVG art. 28", "rapport": "hackedemia.nl/deel2", "tag_eerste": false }, { "id": "NL-009", "naam": "Mijn Toeslagen-app × Microsoft Azure USA", "organisatie": "Belastingdienst (Toeslagen)", "sector": "app", "vendors": [ "microsoft" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-03", "samenvatting": "Wie de Mijn Toeslagen-app opent, communiceert met een Microsoft Azure-server in de VS — terwijl Heijnen aan de Kamer schreef dat primaire processen in Apeldoorn blijven.", "details": "Live JSON-API mdl-api.azurewebsites.net/MTB/. Server-headers wijzen op Microsoft-IIS / Azure App Service. Strijdig met Heijnen-Kamerbrief 2 oktober 2025.", "wat_lekt": "Toeslagen-data, app-telemetrie, gebruikssignalen", "wetsartikel": "AVG art. 5, AVG art. 28, AVG art. 35 (DPIA), AVG art. 44+ (doorgifte)", "rapport": "hackedemia.nl/deel2", "tag_eerste": false }, { "id": "NL-010", "naam": "Berichtenbox-app × Microsoft App Center USA", "organisatie": "Logius / MijnOverheid", "sector": "app", "vendors": [ "microsoft" ], "severity": "kritiek", "status": "bewezen", "datum": "2026-05-03", "samenvatting": "Wie de Berichtenbox-app gebruikt om overheidspost te lezen (10+ miljoen Nederlanders), stuurt telemetrie naar Microsoft App Center in de VS — een product dat door Microsoft zelf is afgeschreven.", "details": "Secrets ingebed in APK: 628949cb-8cea-4a1a-8974-b0e8c5d6aaff + 258EAFA5-E914-47DA-95CA-C5AB0DC85B11. Microsoft Xamarin, OneCollector telemetry, OkHttp 3.8.1 (juni 2017, bijna 9 jaar oud), SHA-1 cert-pinning. App Center is gedeprecieerd sinds 31 maart 2025.", "wat_lekt": "App-telemetrie, gebruikspatronen", "wetsartikel": "AVG art. 5, AVG art. 32, AVG art. 28", "rapport": "hackedemia.nl/deel2", "tag_eerste": false }, { "id": "NL-013", "naam": "DigiD platform × Solvinity → Kyndryl USA", "organisatie": "Logius", "sector": "rijksbreed", "vendors": [ "kyndryl" ], "severity": "kritiek", "status": "sterk", "datum": "2026-05-06", "deadline": "2026-05-06", "samenvatting": "Vanaf 7 mei 2026 valt het platform waarop DigiD draait potentieel onder Amerikaans recht door de Kyndryl-overname van Solvinity.", "details": "Logius-CPO Pieter van Oordt (klokkenluider): de Amerikaanse overheid kan na overname bij persoonlijke gegevens van vrijwel alle Nederlanders. ACM heeft overname al goedgekeurd. 6 mei 2026 is laatste dag waarop Logius de optie tot verlenging niet hoeft te lichten. Logius gaat tóch verlengen.", "wat_lekt": "Authenticatie-data van vrijwel alle Nederlanders met DigiD", "wetsartikel": "AVG art. 5, AVG art. 32, AVG art. 44+, US CLOUD Act", "rapport": "nos.nl + computable.nl", "tag_eerste": false }, { "id": "NL-016", "naam": "EAP2023 — rijksbrede software-aanbesteding", "organisatie": "9 ministeries + Belastingdienst + Politie + AP + ICTU", "sector": "rijksbreed", "vendors": [ "microsoft", "adobe", "google" ], "severity": "ernstig", "status": "bewezen", "datum": "2023-12-01", "samenvatting": "€300 miljoen per jaar aan rijksbrede software-licenties — vooral Microsoft, voor 9 ministeries plus Belastingdienst, Politie en de Autoriteit Persoonsgegevens zelf.", "details": "Software-aanbesteding voor 9 ministeries plus Belastingdienst, ICTU, Politie, Autoriteit Persoonsgegevens en meer.", "wat_lekt": "Bestuurlijke en uitvoerende werkstromen rijksbreed", "wetsartikel": "AVG art. 5, AVG art. 28", "rapport": "consultancy.nl", "tag_eerste": false }, { "id": "NL-017", "naam": "EAP2025 — Justitie + Defensie geblokkeerd door rechter", "organisatie": "Ministerie van Justitie + Ministerie van Defensie", "sector": "rijksbreed", "vendors": [ "adobe", "microsoft" ], "severity": "ernstig", "status": "bewezen", "datum": "2026-03-01", "samenvatting": "€3,3 miljard over 4 jaar voor software bij Justitie en Defensie — door de rechter geblokkeerd in maart 2026 wegens disproportionaliteit.", "details": "Adobe, Oracle en VMware weigerden mee te werken aan het sublicentie-model. Voor 80-85% van de software stond al vast wie zou leveren — geen echte concurrentie.", "wat_lekt": "Vendor-lock-in als structureel risico", "wetsartikel": "Aanbestedingswet, Mededingingswet", "rapport": "ECLI:NL:RBDHA:2025:11349", "tag_eerste": false }, { "id": "WEB-020", "naam": "apotheek.nl", "organisatie": "apotheek.nl", "sector": "overheid", "vendors": [], "severity": "ernstig", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Wie apotheek.nl bezoekt: geen tracking-bevindingen.", "details": "Scan: 2026-05-02T23:47:30.237671, BeforeYouMick v3.3.1.", "wat_lekt": "tracking-cookies, externe trackers, mogelijk fingerprint", "wetsartikel": "Tw art. 11.7a, AVG art. 5", "rapport": "hackedemia.nl/100sites", "tag_eerste": false }, { "id": "NL-004", "naam": "Hersteloperatie post-chat survey × Verint USA/Israel", "organisatie": "Belastingdienst (UHT)", "sector": "overheid", "vendors": [ "verint" ], "severity": "ernstig", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Na een chat-gesprek met de hersteloperatie krijgt de toeslagouder een tevredenheidsonderzoek dat naar Verint EFM in de VS/Israël gaat.", "details": "CNAME efm.belastingdienst.nl → Verint. Survey-antwoorden worden ook gepushed naar Adobe DataLayer.", "wat_lekt": "Open-tekstantwoorden over Belastingdienst-ervaring", "wetsartikel": "AVG art. 5, AVG art. 28", "rapport": "hackedemia.nl/deel1", "tag_eerste": false }, { "id": "WEB-019", "naam": "kvk.nl", "organisatie": "kvk.nl", "sector": "overheid", "vendors": [ "google", "mopinion" ], "severity": "ernstig", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Wie kvk.nl bezoekt: 4 tracking-cookies vóór consent; 3 externe trackers vóór consent.", "details": "Vóór toestemming: 4 tracking-cookies, 3 externe trackers. Scan: 2026-05-02T23:08:57.958629, BeforeYouMick v3.3.1.", "wat_lekt": "tracking-cookies, externe trackers, mogelijk fingerprint", "wetsartikel": "Tw art. 11.7a, AVG art. 5", "rapport": "hackedemia.nl/100sites", "tag_eerste": false }, { "id": "NL-018", "naam": "Defensie + OM + RIVM × gedeelde Piwik PRO-tenant", "organisatie": "Rijksoverheid (AZ-tenant)", "sector": "overheid", "vendors": [ "piwik", "google" ], "severity": "ernstig", "status": "bewezen", "datum": "2026-05-02", "samenvatting": "Defensie, het Openbaar Ministerie en het RIVM verzamelen bezoekers-statistieken in dezelfde Piwik PRO-tenant als Rijksoverheid.nl. Cross-departementale koppeling architectonisch mogelijk — en de tenant draait mogelijk op Amerikaanse cloud-infrastructuur.", "details": "CNAME-cloak via statistiek.rijksoverheid.nl (Ministerie van Algemene Zaken). Piwik PRO is een Pools bedrijf — maar Piwik PRO Cloud draait op AWS of Google Cloud (Amerikaanse hyperscalers). Zelfs als de tenant 'EU' is geconfigureerd, valt de onderliggende infrastructuur onder de CLOUD Act. De exacte hosting-keuze van de Rijksoverheid-tenant is niet publiek bekend.", "wat_lekt": "Bezoekgedrag op Defensie/OM/RIVM-sites in dezelfde tenant", "wetsartikel": "AVG art. 5(1)(b) doelbinding, AVG art. 32 organisatorische maatregelen", "rapport": "hackedemia.nl/100sites", "tag_eerste": true }, { "id": "NL-006", "naam": "Zoekbalk Belastingdienst × Mindbreeze (Chicago + Linz)", "organisatie": "Belastingdienst", "sector": "overheid", "vendors": [ "mindbreeze" ], "severity": "ernstig", "status": "bewezen", "datum": "2026-05-03", "samenvatting": "Iedere toetsaanslag in de zoekbalk van de Belastingdienst-site gaat real-time naar Mindbreeze in Chicago.", "details": "vinden.belastingdienst.nl. Identificatie via mes:relevance + mes:date namespace + datasource Web:bd_all_prod. Mindbreeze HQ Chicago Illinois USA + EU-vestiging Linz Austria.", "wat_lekt": "Iedere zoekquery in real-time (per toetsaanslag)", "wetsartikel": "AVG art. 5, AVG art. 13", "rapport": "hackedemia.nl/deel1", "tag_eerste": true }, { "id": "NL-007", "naam": "Belastingdienst.nl × AB Tasty (Google Cloud USA)", "organisatie": "Belastingdienst", "sector": "overheid", "vendors": [ "abtasty", "google" ], "severity": "ernstig", "status": "bewezen", "datum": "2026-05-03", "samenvatting": "Welke A/B-test-variant je ziet op de Belastingdienst-site, wordt bepaald via AB Tasty op Google Cloud (USA).", "details": "Bidirectionele integratie naar adobeDataLayer.push met 'id;name;status;type;variation.id;variation.name'.", "wat_lekt": "Welke A/B-variant elke bezoeker ziet, gekoppeld aan Adobe-profiel", "wetsartikel": "Tw art. 11.7a, AVG art. 5, AVG art. 28", "rapport": "hackedemia.nl/deel1", "tag_eerste": false }, { "id": "NL-008", "naam": "Belastingdienst.nl × Google fingerprinting", "organisatie": "Belastingdienst", "sector": "overheid", "vendors": [ "google" ], "severity": "ernstig", "status": "bewezen", "datum": "2026-05-03", "samenvatting": "Google's fingerprinting-API (jnn-pa.googleapis.com) wordt geladen, ook al stuur je 'Sec-GPC: 1' (Global Privacy Control) mee.", "details": "41 calls naar jnn-pa.googleapis.com met ~2KB protobuf payloads (browser fingerprint). Sec-GPC: 1 wordt door Google genegeerd.", "wat_lekt": "Browser-fingerprint, device-identifiers", "wetsartikel": "Tw art. 11.7a, AVG art. 5", "rapport": "hackedemia.nl/deel1", "tag_eerste": false }, { "id": "NL-012", "naam": "Aangifte-app × Genesys Mobile Services (USA, gedeprecieerd)", "organisatie": "Belastingdienst", "sector": "app", "vendors": [ "genesys" ], "severity": "ernstig", "status": "bewezen", "datum": "2026-05-03", "samenvatting": "Wie via de aangifte-app contact opneemt, gebruikt een door Genesys zelf afgeschreven Amerikaans contactcenter-systeem.", "details": "Genesys Mobile Services in MAA2019. Door Genesys zelf End-of-Life verklaard.", "wat_lekt": "Contact-flow data, aangifte-context", "wetsartikel": "AVG art. 5, AVG art. 32", "rapport": "hackedemia.nl/deel2", "tag_eerste": false }, { "id": "NL-005", "naam": "Toeslagen-authenticatie × Ping Identity (Denver)", "organisatie": "Belastingdienst (Toeslagen)", "sector": "overheid", "vendors": [ "ping" ], "severity": "ernstig", "status": "bewezen", "datum": "2026-05-03", "samenvatting": "Wie inlogt op Toeslagen, gaat via een identity-broker (PingFederate) in Denver, Colorado.", "details": "CNAME-cloak fibt1.toeslagen.nl → Ping Identity. Identity-broker tussen Toeslagen-systemen.", "wat_lekt": "Authenticatie-tokens, identity-routing", "wetsartikel": "AVG art. 5, AVG art. 28", "rapport": "hackedemia.nl/deel1", "tag_eerste": true } ] }