>> Hackedemia is hét onafhankelijk platform voor cyber-journalistiek, dat forensische diepgang en digitale risico's vertaalt naar strategische inzichten voor bestuurders.

Forensische privacyaudit

Op 9 mei 2026 voerde Hackedemia een geautomatiseerde forensische privacyaudit uit op 113.nl in drie toestemmingsmodi: NOOP (geen klik), REFUSE (weigeren) en ACCEPT (toestaan). Elke meting startte vanuit een schone browsercontext. Resultaten zijn SHA-256-geverifieerd en cryptografisch verankerd op de Bitcoin-blockchain via OpenTimestamps.

De audit legde negen bevindingen vast: één kritiek (inmiddels verholpen), zes ernstig (donveranderd), twee aandachtspunten. De ernstige bevindingen vormen herhaalde schendingen van AVG-bepalingen.

Wat gebeurde er

Bevinding 1 — Microsoft Clarity actief na weiger-klik [KRITIEK — VERHOLPEN]

Op 113.nl liep Microsoft Clarity op het moment van de audit actief nadat bezoekers expliciete toestemming weigerden. Clarity is een session-recording- en heatmaptool die muisbewegingen, klikgedrag en scrollpatronen vastlegt. Op een website voor bezoekers in acute psychische nood is session-recording bijzonder gevoelig: navigatiepatronen op een suïcidepreventielijn kunnen herleidbaar zijn tot gezondheidsdata in de zin van AVG artikel 9.

Pre-consent tracking via Microsoft Clarity

De Clarity-scripts activeerden vóórdat bezoekers hun cookievoorkeuren instelden. De cookiewet (implementatie van de ePrivacy-richtlijn) vereist actieve, geïnformeerde toestemming voor het plaatsen van trackingtechnologieën. Pre-consent-tracking is geen grijs gebied — het is onrechtmatig.

Dode weiger-knop

De 'weiger'-knop werkte niet. Na het klikken op 'Nee' bleef de Clarity-cookie actief. Een vals gevoel van controle voor de bezoeker, terwijl tracking gewoon doorliep. De AVG stelt in artikel 7(3) dat toestemming even gemakkelijk moet kunnen worden ingetrokken als gegeven.

Browser fingerprinting

De audit documenteerde fingerprinting-technieken: het verzamelen van tijdzone-informatie om gebruikers te identificeren zonder cookies. Bijzonder verontrustend in de context van een suïcidepreventielijn: meerdere crisissessies kunnen worden gekoppeld zonder toestemming.

Obfuscatie van gezondheidsdataverwerking

113.nl classificeert als verwerkingsverantwoordelijke voor bijzondere categorieën persoonsgegevens onder AVG artikel 9. De forensische audit stelde vast dat de verwerking via Clarity niet was gedocumenteerd in het register van verwerkingsactiviteiten (AVG artikel 30), niet was opgenomen in het cookiebeleid, en niet was voorzien van een DPIA — wettelijk verplicht onder AVG artikel 35 voor systemische verwerking van gezondheidsgegevens.

Status hermeting 11 mei: Clarity verwijderd. Bevinding opgelost.

Bevinding 2 — Google Tag Manager, AdSense en Analytics geladen vóór toestemming [ERNSTIG]

In NOOP-modus — vóór enige interactie — laden zonder rechtmatige grondslag: Google Tag Manager (GTM-MQ7B2P5), Google Analytics 4 (G-NSYB6F1YZJ, met actieve /g/collect-data-verzending), Google Ads conversion-tags (AW-793289595 en AW-938136512), Floodlight / Google Marketing Platform (DC-6063336) en DoubleClick (pagead2.googlesyndication.com). Tracking zonder rechtmatige grondslag is niet toegestaan onder Telecommunicatiewet artikel 11.7a en AVG artikelen 6 en 7.

Bevinding 3 — Vijf trackerdomeinen actief na weigering [ERNSTIG]

Na een expliciete weiger-klik blijven vier Google-trackerdomeinen actief: Google Tag Manager, Google Analytics, Google Ads en DoubleClick. Cookiebot, het Consent Management Platform, blijft eveneens geladen omdat het de gebruikerskeuze moet onthouden, maar de Cookiebot-configuratie blokkeert de andere trackers feitelijk niet. Van toepassing: Telecommunicatiewet artikel 11.7a, AVG artikel 7 lid 3.

Bevinding 4 — gtm.js (GTM-MQ7B2P5) actief na weigering [ERNSTIG]

Het GTM-script voor container GTM-MQ7B2P5 blijft geladen na een weiger-klik. GTM fungeert als verzamelaar voor tags; activiteit van de container na weigering betekent dat de volledige tagstructuur buiten het toestemmingsregime opereert. Van toepassing: Tw 11.7a.

Status hermeting 11 mei: Onveranderd.

Bevinding 5 — Vijf POST-verzoeken met body naar derde partijen [ERNSTIG]

In NOOP-modus verstuurt de browser vijf POST-verzoeken met body naar externe servers: drie naar Google-advertentie-endpoints (pagead2.googlesyndication.com, Google Ads / DoubleClick), twee naar Google Analytics (region1.google-analytics.com/g/collect). Op een suïcidepreventielijn raakt dit potentieel aan AVG artikel 9 (bijzondere persoonsgegevens). Van toepassing: AVG 6, 9.

Status hermeting 11 mei: Onveranderd.

Bevinding 6 — Fingerprinting-indicator in GTM-bestanden [ERNSTIG]

De audit documenteerde een fingerprinting-indicator in de Google Tag Manager-bestanden: tijdzone-uitlezing. In combinatie met andere browser-eigenschappen kan dit ingrediënt voor identificatie zonder cookies vormen. Van toepassing: AVG 9, 13, EDPB GL 02/2023.

Status hermeting 11 mei: Onveranderd.

Bevinding 7 — Obfuscatiepatroon in trackerbestand [AANDACHTSPUNT]

In een actief trackerbestand is een combinatie van atob en eval/Function aangetroffen. Code die zich tegen inzicht verzet, staat op gespannen voet met het transparantiebeginsel van AVG artikel 5 lid 1 sub a.

Status hermeting 11 mei: Onveranderd.

L1 — Referrer-Policy: no-referrer-when-downgrade [AANDACHTSPUNT]

De huidige instelling kan ertoe leiden dat volledige URL's — inclusief paginapaden die de aard van het bezoek onthullen — worden doorgegeven aan externe partijen. Op een website voor suïcidepreventie zijn paginapaden gevoelig. Advies: strict-origin-when-cross-origin. Van toepassing: AVG 32.

Status hermeting 11 mei: Onveranderd.

L2 — Acht unieke trackeridentificatoren in scripts [AANDACHTSPUNT]

De audit identificeerde acht unieke trackeridentificatoren. Verificatie aan de hand van twee onafhankelijke HAR-captures (9 mei en 11 mei) toont dat vijf hiervan actieve productie-traffic genereren: GTM-MQ7B2P5, GA4 G-NSYB6F1YZJ, AW-793289595, AW-938136512 en Floodlight DC-6063336. Drie identificatoren — GTM-5N44BF4, G-9LJGQ20WLQ en UA-10657158-3 — zijn aangetroffen in scriptcontent maar verzonden geen eigen requests; Deze zijn vermoedelijk legacy-restanten in de container-configuratie. Onder AVG artikel 30 hoort het verwerkingsregister voor alle acht verklaring te bieden. Op grond van het Fashion ID-arrest (HvJ-EU C-40/17, 2019) kan 113 als gezamenlijk verwerkingsverantwoordelijke worden aangemerkt voor de fase van gegevensverzameling door scripteigenaren van de vijf actieve trackers.

Status hermeting 11 mei: Onveranderd.

Juridisch kader

Artikel Toepassing
AVG artikel 6 Verwerking zonder rechtsgeldige grondslag
AVG artikel 7 Toestemming moet even gemakkelijk intrekbaar zijn
AVG artikel 9 Bijzondere categorieën — verhoogde beschermingsplicht
AVG artikel 13 Informatieplicht bij gegevensverzameling
AVG artikel 17 Recht op verwijdering — dode weiger-knop blokkeert dit
AVG artikel 30 Register van verwerkingsactiviteiten ontbreekt
AVG artikel 35 DPIA verplicht voor systematische gezondheidsdataverwerking
ePrivacy-richtlijn Pre-consent tracking is onrechtmatig

Hoe 113.nl wél reageerde — sectorvoorbeeld

Binnen uren na verantwoording was Microsoft Clarity verwijderd. 113 vroeg actief om de ruwe auditgegevens om onafhankelijke verificatie mogelijk te maken. Geen juridisch verweer, geen ontkenning, geen communicatieteam dat de bevindingen probeerde te marginaliseren. Dat is bestuurlijke volwassenheid. Instructioneel voor de sector.

Het bredere landschap — systeemprobleem, geen incident

De DPG Media-brief onderzocht hulpverleningssites breed. Resultaat: 9 sites, 44 weiger-knoppen getest, 0 functioneel. De vraag dringt zich op wat er draait op:

  • GGZ-portalen waar patiënten diagnostische tests doen en behandelplannen inzien
  • EPD-toegangspoorten met embedded third-party scripts
  • Huisartsenplatforms met online intakeformulieren en consultatie-tools
  • Ziekenhuiswebsites met afsprakenportalen en pre-consultatievragenlijsten

Gemeenschappelijke noemer: zorgorganisaties willen compliant zijn maar missen technische capaciteit. Third-party scripts worden toegevoegd door marketingbureaus die de privacy-implicaties niet doorgronden.

De CLOUD Act-dimensie

Bijna alle grote analytics-tools zijn Amerikaans. Onder de CLOUD Act (2018) kunnen Amerikaanse autoriteiten direct toegang vorderen tot data bij Amerikaanse cloudproviders zonder dat de gebruiker wordt geïnformeerd, zonder dat de Europese overheid hoeft te worden gewaarschuwd. Voor Nederlandse gezondheidsdata onder AVG-artikel 9 is dit een verzwegen risico dat in vrijwel geen DPIA wordt meegenomen.

Waarom het ertoe doet

113.nl bedient bezoekers in acute psychische nood. Paginabezoek, navigatiepatronen en sessieduur op deze website kunnen direct herleidbaar zijn tot de geestelijke gezondheidstoestand van de bezoeker: bijzondere persoonsgegevens in de zin van AVG artikel 9 met een verhoogde beschermingsgraad. De combinatie van een kwetsbare doelgroep en de aangetroffen verwerkingen activeert ook een wettelijke DPIA-plicht onder AVG artikel 35.

De Autoriteit Persoonsgegevens (187 FTE) waarschuwde in april 2025 vijftig Nederlandse organisaties formeel voor exact dezelfde configuratiepatronen, met een handhavingsdreigement binnen drie maanden. De AP beschikt per 2025 over extra budget voor toezicht op tracking-technologie. De bevindingen op 113.nl komen overeen met de typen schendingen die de AP in dat traject documenteerde.

Het juridische kader omvat Telecommunicatiewet artikel 11.7a, AVG artikelen 6, 7(3), 9, 13, 26, 28, 30, 32 en 35, en het Fashion ID-arrest van het HvJ-EU (C-40/17, 2019). Nederlandse rechters hebben in een reeks kort gedingen tussen 2023 en 2025 geoordeeld dat tracking zonder geldige voorafgaande toestemming onrechtmatig is en dat ook de derde partij (niet alleen de site-eigenaar) verwerkingsverantwoordelijk is.

113 heeft snel en constructief gereageerd: publieke erkenning binnen 24 uur na onze eerste melding, intern onderzoek gestart, externe experts ingeschakeld, en Microsoft Clarity feitelijk verwijderd. Geen advocatenbrief, geen ontkenning. De hermeting van 11 mei bevestigt de verwijdering van Clarity. Dat is de constructieve norm voor de sector. Het herstelwerk is echter niet afgerond: de zes resterende ernstige bevindingen zijn bij de hermeting ongewijzigd aanwezig.

Actiepunten

  1. Implementeer een werkende Consent Management Platform-configuratie. De huidige cookiebanner heeft geen meetbaar effect op trackeractiviteit. Consent Mode v2 voor GTM en Analytics kan tracking blokkeren totdat de bezoeker toestemming geeft. Technisch oplosbaar binnen dagen.
  2. Voer een DPIA uit conform AVG artikel 35. De combinatie van bijzondere persoonsgegevens en een kwetsbare doelgroep maakt deze verwerking hoog-risico. Een gegevensbeschermingseffectbeoordeling is wettelijk verplicht.
  3. Saneer de trackerstack. Beoordeel per script of aanwezigheid noodzakelijk en proportioneel is voor de primaire hulpfunctie. Veel aangetroffen trackers zijn gericht op fondsenwerving en marketing: weeg dat af tegen het dataminimalisatiebeginsel van AVG artikel 5 lid 1c.
  4. Laat een onafhankelijke audit uitvoeren na implementatie van de CMP. Laat de werking van de nieuwe configuratie toetsen door een partij zonder commerciële relatie met de leveranciers van de gebruikte tracking-tools.
  5. Actualiseer de privacyverklaring. Alle acht trackeridentificatoren moeten expliciet vermeld staan met doelen, ontvangers en bewaartermijnen conform AVG artikel 13.
  6. Onderzoek gezamenlijk verwerkingsverantwoordelijkheid. In het licht van Fashion ID: beoordeel de joint controllership-verhoudingen met Google en Microsoft en verwerk dit in het privacybeleid en het verwerkingsregister.

Checklist voor zorgbestuurders — technische privacyaudit

  1. Consent Mode v2 implementatie. Controleer of uw CMP correct is geconfigureerd zodat tracking-scripts pas activeren ná expliciete toestemming — niet eerder.
  2. DPIA-plicht voor gezondheidsdata. Voer een gegevensbeschermingseffectbeoordeling uit voor alle verwerkingen waarbij AVG-artikel 9-gegevens betrokken zijn. Dit is geen keuze maar een wettelijke verplichting.
  3. Tracker-stack opschonen. Inventariseer elk third-party script op uw zorgplatform. Verwijder wat geen directe functionele noodzaak heeft. Elk extern script is een potentieel dataverwerkingsrisico.
  4. Joint controllership-check. Beoordeel uw verwerkersrelaties in het licht van het Fashion ID-arrest. Indien u scripts insluit van derden, bent u mogelijk gezamenlijk verwerkingsverantwoordelijke.
  5. Cloud Act-blootstelling meten. Beoordeel welke van uw tools en leveranciers onder Amerikaanse jurisdictie vallen. Documenteer dit expliciet in uw DPIA.
  6. Onafhankelijk audit-protocol. Laat uw privacyconfiguratie periodiek forensisch controleren door een partij zonder commercieel belang bij uw tool-stack.

Beleidskader — EU-wetgeving en uitvoering in Nederland

De relevante wetgeving vormt een gelaagd kader: de AVG (van kracht sinds 2018) als horizontale privacywet, de ePrivacy-richtlijn (2009) als specifieke grondslag voor tracking-technologie, en de NIS2-richtlijn (geïmplementeerd in Nederland per 2026) voor netwerk- en informatiebeveiliging in vitale sectoren waaronder de zorg.

De handhavingsbevoegdheden zijn substantieel. Artikel 82 AVG regelt aansprakelijkheid voor schade als gevolg van onrechtmatige verwerking — ook voor verwerkers. Artikel 83 AVG voorziet in administratieve boetes tot €20 miljoen of 4% van de wereldwijde jaaromzet. De Autoriteit Persoonsgegevens beschikt over 187 FTE voor toezicht op miljoenen Nederlandse organisaties. Dat capaciteitsdeficit is reëel: structureel toezicht op alle zorgaanbieders is feitelijk onmogelijk.

De conclusie is onvermijdelijk: toezicht alleen is ontoereikend. Zorgbestuurders moeten eigen compliance-engineering doen, niet omdat de Autoriteit Persoonsgegevens kijkt: die handhaaft slechts wetgeving. De zorgbestuurder is eindverantwoordelijk voor een data-ethische, digitale omgeving waarin de bezoeker zich veilig kan bewegen én veilig mag wanen. Technische privacy is een randvoorwaarde voor vertrouwen, en vertrouwen is de randvoorwaarde voor effectieve hulpverlening.

Slotsom

Voor een zorginstelling waar anonimiteit van levensbelang is, zou digitale privacy geen keuze, maar een randvoorwaarde moeten zijn — zonder commerciële trackers van partijen als Google. De verwijdering van Microsoft Clarity binnen 24 uur na onze eerste melding heeft de Microsoft-aanwezigheid teruggebracht tot de Advertising-pixel die alleen ná uitdrukkelijke toestemming laadt. De snelheid en transparantie van de respons — publieke erkenning, intern onderzoek, externe expertise, daadwerkelijke verwijdering van Clarity binnen 24 uur — is van uitzonderlijk niveau in de Nederlandse hulpverleningssector.

Zes ernstige bevindingen staan echter nog open. Op een website voor mensen in acute psychische nood is dat geen administratieve achterstand — het is een structureel risico voor de mensen die 113.nl het hardst nodig hebben. Hackedemia voorziet een vervolgmeting rond 9 juni 2026 om eventuele verdere verbeteringen aantoonbaar te maken.

12 mei 2026. Mick Beer is onderzoeker bij Hackedemia. De volledige 22-pagina forensische audit is beschikbaar voor relevante autoriteiten en pers. Gebruik hiervoor het formulier op de pagina 'Samenwerken'.