Alle gepubliceerde analyses en intelligence-briefs.
11 briefs
De aangekondigde overname van DigiD-beheerder Solvinity door het Amerikaanse Kyndryl brengt de Europese digitale soevereiniteit in gevaar. (i) Amerikaanse toegang: Via de CLOUD Act kunnen Amerikaanse autoriteiten metadata van burgers opvragen bij Kyndryl, ongeacht de serverlocatie en zonder dat de overheid of burger dit weet (gag-orders). (ii) Europese impact: Omdat DigiD een verplichte koppeling (eIDAS-node) is voor het hele continent, worden ook de gegevens van niet-Nederlandse EU-burgers kwetsbaar. (iii) Transparantiegebrek: De Nederlandse overheid hield kritische interne analyses over de onmogelijkheid om data technisch af te schermen achter voor de Kamer. (iv) Juridische omweg: door de overname via de Telecomwet in plaats van de Wet Vifo te toetsen, is de Europese Commissie mogelijk niet officieel geïnformeerd.
Een forensisch trackingonderzoek op 113.nl legt negen privacybevindingen bloot op de website van de nationale suïcidepreventielijn. Eén kritieke bevinding — Microsoft Clarity actief na weiger-klik — is inmiddels verholpen. Zes andere ernstige bevindingen zijn na uitwisseling van onderzoeksresultaten ook in orde gebracht door 113.nl . De Autoriteit Persoonsgegevens (187 FTE) handhaaft actief op exact deze configuraties. 113 heeft snel en constructief gereageerd. Het herstelwerk is inmiddels compleet voltooid (update 14 mei).
Van Odido tot lamgelegde ziekenhuissystemen via ChipSoft, van de aanval op Booking.com tot de AIVD-waarschuwing. De incidenten uit dit retrospectief zijn geen verzameling ongelukkige toevalligheden. Zij vormen de consequentie van jarenlang structureel onderinvesteren in digitale weerbaarheid bij bedrijven, bij overheden, bij vitale infrastructuur
De Mijn Toeslagen-app communiceert met een live Microsoft Azure-backend (mdl-api.azurewebsites.net/MTB/) — een primair uitvoeringsproces voor kinderopvangtoeslag. Heijnen beloofde de Kamer op 2 oktober 2025 dat primaire processen in Apeldoorn zouden blijven. Die belofte klopt technisch niet. Microsoft documenteert zelf: alle App Center-data gaat naar de VS, medewerkers hebben toegang, geen externe audits (geen SOC 2, geen ISO 27001). App Center is per 31 maart 2025 gedeprecieerd. Geen publieke DPIA vindbaar voor de Azure-backend of het App Center-gebruik.
Hersteloperatie Toeslagen: dezelfde overheid geeft gedupeerden opnieuw door aan Adobe De Belastingdienst verzendt het zoekgedrag, de chatbot-vragen en de feedback van slachtoffers van de toeslagenaffaire naar een Amerikaans data-bedrijf. Ruim twee jaar nadat de woordvoerder publiek zei dat de Adobe-cookie was uitgeschakeld.
Een bijdrage van Mr. Vincent Mans (Lexent). Begin mei 2026 ondertekent de Nederlandse overheid de verlenging van een contract met een bedrijf dat mogelijk binnenkort onder Amerikaanse jurisdictie valt. Daarmee legt zij de technische infrastructuur van DigiD, het inlogsysteem dat 17 miljoen Nederlanders gebruiken voor belastingaangifte, zorg, toeslagen en overheidsdiensten, voor twee jaar vast bij een partij waarover Washington in theorie bevoegdheden kan uitoefenen. Het besluit daartoe is op 27 maart intern genomen. Het is drie weken voor de Kamer verborgen gehouden, terwijl die actief debatteerde. De ambtenaar die intern waarschuwde dat dit een onacceptabel risico is, is naar eigen zeggen inmiddels ontslagen. Het verhaal waarvan de overheid ons wil overtuigen gaat over continuïteit: een snelle migratie naar een andere leverancier zou DigiD in gevaar brengen. Dat klopt, maar het is een antwoord op een vraag die niemand stelt. De vraag luidt wel of het contract verlengd moet worden terwijl de veiligheidssituatie nog onduidelijk is. Dat zijn twee volledig verschillende kwesties, die stelselmatig worden samengevoegd.
Tracking pixels op vertrouwde websites delen persoonsgegevens met tientallen partijen. Die data worden verrijkt door databrokers en landen — legaal of gestolen — in scam-arsenalen. Bestuurders weten niet welke trackers hun sites gebruiken of waar die data naartoe gaan. De AVG maakt hen aansprakelijk voor de gehele verwerkingsketen, zelfs de Telegram-handelaars aan het einde.
Op 7 april 2026 trof een professionele ransomware-aanval het Nederlandse EPD-bedrijf ChipSoft, beheerder van de patiëntdossiers van 76 procent van alle Nederlandse ziekenhuizen. Honderd gigabyte aan medische gegevens werd buitgemaakt door Embargo, een criminele RaaS-operatie met een geschatte omzet van 34 miljoen dollar. ChipSoft bevestigde onderhandelingen met de aanvallers en claimde op 28 april dat de gestolen data 'op technisch juiste wijze vernietigd' is — zonder te onthullen of er losgeld is betaald. De vraag is niet óf er betaald is: het is hoe een monopolistische leverancier jarenlang marktmacht boven weerbaarheid kon stellen.
Het kabinet heeft besloten het DigiD-contract met Solvinity — op weg naar het Amerikaanse Kyndryl — te verlengen tot 2028. Een meerderheid van de Tweede Kamer riep het kabinet op dit te voorkomen. Dat beroep werd genegeerd. Ondertussen onthulde onafhankelijk privacyonderzoeker Mick Beer dat DigiD al jaren trackingcookies plaatst zonder toestemming, en dat Logius vijf jaar lang opereerde zonder volwaardige AVG-conforme DPIA. Het diagram in Logius' eigen documentatie laat zien dat Solvinity niet een leverancier is, maar de ruggengraat van het systeem. En intern: de CPO van Solvinity werd ontslagen, documenten lekten naar BZK, en strafrechtadvocaten zijn ingeschakeld. De vraag is niet langer technisch — ze is constitutioneel.
Niet 6,2 miljoen accounts — 17 miljoen dataregels, zestien jaar bewaard. Odido's eigen directie stond erin. Als de architecten van het systeem zichzelf niet beschermen, is het systeem kapot. Wat dit onthult over de datakluis van uw eigen organisatie.
In februari 2024 verliest een medewerker bij het Britse ingenieursbedrijf Arup HK$200 miljoen (~€25 miljoen) aan fraudeurs die in real-time deepfakes zijn van de CFO en vier collega's — een precedent dat zich nu verspreidt naar Ferrari, WPP en tientallen niet-gerapporteerde incidenten. CFO's zijn nu het meest gerichte executiveniveau bij financiële fraude; de PwC-prognose voor 2026 waarschuwt expliciet voor deepfake-operaties als dominant fraudemodus. Dit is niet 'binnenkort' — dit is nu.
Cybersecurity-intelligence voor Nederlandse bestuurders. Gratis.