Alle gepubliceerde analyses en intelligence-briefs.
4 briefs
De Mijn Toeslagen-app communiceert met een live Microsoft Azure-backend (mdl-api.azurewebsites.net/MTB/) — een primair uitvoeringsproces voor kinderopvangtoeslag. Heijnen beloofde de Kamer op 2 oktober 2025 dat primaire processen in Apeldoorn zouden blijven. Die belofte klopt technisch niet. Microsoft documenteert zelf: alle App Center-data gaat naar de VS, medewerkers hebben toegang, geen externe audits (geen SOC 2, geen ISO 27001). App Center is per 31 maart 2025 gedeprecieerd. Geen publieke DPIA vindbaar voor de Azure-backend of het App Center-gebruik.
Hersteloperatie Toeslagen: dezelfde overheid geeft gedupeerden opnieuw door aan Adobe De Belastingdienst verzendt het zoekgedrag, de chatbot-vragen en de feedback van slachtoffers van de toeslagenaffaire naar een Amerikaans data-bedrijf. Ruim twee jaar nadat de woordvoerder publiek zei dat de Adobe-cookie was uitgeschakeld.
Het kabinet heeft besloten het DigiD-contract met Solvinity — op weg naar het Amerikaanse Kyndryl — te verlengen tot 2028. Een meerderheid van de Tweede Kamer riep het kabinet op dit te voorkomen. Dat beroep werd genegeerd. Ondertussen onthulde onafhankelijk privacyonderzoeker Mick Beer dat DigiD al jaren trackingcookies plaatst zonder toestemming, en dat Logius vijf jaar lang opereerde zonder volwaardige AVG-conforme DPIA. Het diagram in Logius' eigen documentatie laat zien dat Solvinity niet een leverancier is, maar de ruggengraat van het systeem. En intern: de CPO van Solvinity werd ontslagen, documenten lekten naar BZK, en strafrechtadvocaten zijn ingeschakeld. De vraag is niet langer technisch — ze is constitutioneel.
Niet 6,2 miljoen accounts — 17 miljoen dataregels, zestien jaar bewaard. Odido's eigen directie stond erin. Als de architecten van het systeem zichzelf niet beschermen, is het systeem kapot. Wat dit onthult over de datakluis van uw eigen organisatie.
Cybersecurity-intelligence voor Nederlandse bestuurders. Gratis.