Wat is er gebeurd?
Het volledige rapport 'Hersteloperatie Toeslagen , powered by Adobe USA' is downloadable op https://mickbeer.com/#papers.
Op herstel.toeslagen.nl, de website die de Belastingdienst heeft opgezet voor slachtoffers van de toeslagenaffaire, wordt elke pagina-aanroep, elke zoekopdracht, elke chatbot-vraag en elk feedback-bericht via een DNS-truc doorgesluisd naar Adobe in de Verenigde Staten.
Het gaat om bezoekers die al door de Belastingdienst zijn beschadigd: zij kwamen op een zwarte lijst, verloren hun kinderen, verloren hun huizen. Nu bezoeken zij een hersteloperatie-website die hun zoekgedrag opnemen, paginatitel "Website voor gedupeerde ouders" incluis, en die data, gekoppeld aan een persistente 38-cijferige identifier met twee jaar levensduur, naar Adobe Inc. in de Verenigde Staten sturen.
De Belastingdienst-woordvoerder verklaarde op 14 december 2023 aan het ANP dat de Adobe-cookie "uit voorzorg uitgeschakeld" was. Op 1 mei 2026, negenentwintig maanden later, draait de Adobe-stack onverminderd, met dezelfde organisatie-ID, dezelfde CNAME-architectuur, en uitgebreid met een aparte Adobe Launch-container specifiek voor herstel.toeslagen.nl.
Waarom dit ertoe doet
De Belastingdienst weet beter. Op mijn.toeslagen.nl, de geauthenticeerde inlogomgeving, staat geen tracking. Geen Adobe, geen Google, geen Meta, geen AB Tasty. Schoon. Dezelfde overheid, dezelfde technische kennis, en achter de inlogmuur koos men voor privacy. Op de publieke kant niet.
Wat er gebeurt: bij elk bezoek aan herstel.toeslagen.nl genereert Adobe een Experience Cloud ID (ECID): 38 cijfers, bewaartermijn twee jaar, opgeslagen op drie plaatsen. Per page-view gaan twintig tot zestig datapunten naar Adobe, waaronder:
Paginatitel: "Website voor gedupeerde ouders | Herstel Toeslagen (UHT)"
Classificatie: toeslagen-herstel-kot-nl — Adobe weet daarmee niet alleen dát iemand een hersteloperatie-pagina bezoekt, maar ook de specifieke categorie (kinderopvangtoeslag)
Zoekqueries: "herstel operatie", "toeslagen", "schuldsanering", "echtscheiding aftrek", "fraude melden", integraal naar de VS
Chatbot-input: vrije tekst die bezoekers naar de virtuele assistent typen: "hoe regel ik kinderopvangtoeslag na scheiding" gaat letterlijk naar Adobe
Feedback-tekst: wat gedupeerden in het feedback-formulier schrijven wordt meegestuurd, ongecodeerd
Foutmeldingen: "BSN niet bekend", "geboortedatum komt niet overeen": indirecte persoonsgegevens
Dit alles via CNAME-cloaking: het subdomein adobe-analytics-dc.belastingdienst.nl wijst via CNAME naar wdbvhtupcp.data.adobedc.net. De browser ziet een first-party cookie; tracker-blokkers herkennen geen Adobe-domein; Safari ITP en Firefox ETP blokkeren dit niet. De Belastingdienst gebruikt daarvoor een eigen JavaScript-bibliotheek, bld-metrix.js, 44 KB, gebouwd in eigen huis, geserveerd vanaf het Belastingdienst-domein, die rechtstreeks events naar Adobe stuurt.
Beleidscontext
En dan is er Sandra Palmen: van klokkenluider naar bewindspersoon. De ironie rondom Sandra Palmen-Schlangen is een van de scherpste verhalen in dit dossier. In 2017 schreef zij als jurist bij de Belastingdienst een intern advies, het later bekende "memo Palmen", waarin zij stelde dat de Belastingdienst en Toeslagen "laakbaar" hadden gehandeld: de keiharde aanpak van ouders deugde niet. Haar advies werd genegeerd, het memo verdween in een la. In een interview met NOS Met het Oog op Morgen vertelde Palmen later dat zij overwoog klokkenluider te worden, maar dit niet deed: "Dan zou ik zelf het probleem zijn geworden." Noot: Palmen was de eerste die intern alarm sloeg over de toeslagenpraktijk en werd geplaatst in een positie waar ze geen invloed meer kon uitoefenen. Nu, jaren later, staat dezelfde jurist aan het roer van het herstel.
Volgens parlement.com is Sandra Palmen-Schlangen sinds december 2024 aangetreden als staatssecretaris Fiscaliteit, Belastingdienst, Toeslagen-uitvoering en Douane en continueert in kabinet-Jetten (beëdigd 23 februari 2026). In april 2026 bleek bovendien dat de Belastingdienst opnieuw een datakluis met miljoenen documenten over de toeslagenaffaire had ontdekt, wat de situatie pijnlijk actueel houdt. Op haar bureau ligt, bij vraag, een dossier dat de spanning tussen herstelbelofte en uitvoeringspraktijk concreet maakt: de ambtenaar die alarm sloeg over onrecht, draagt nu politieke verantwoordelijkheid voor een hersteloperatie die de slachtoffers van datzelfde onrecht opnieuw doorgeeft aan een Amerikaans bedrijf.
AVG (GDPR) artikelen 6, 32, 44-49: rechtsgrondslag voor verwerking, beveiligingsplicht en doorgifte buiten de EU. Geen van de zes gronden uit artikel 6 is van toepassing op de doorgifte van zoekgedrag aan Adobe.
ePrivacy Richtlijn 2002/58/EG artikel 5(3) : vereist ondubbelzinnige toestemming vóór plaatsing van trackingcookies. Belastingdienst.nl toont géén consent-dialog.
AP-rapport 2020 (FSV-fraudemodel): de Autoriteit Persoonsgegevens concludeerde dat de Belastingdienst systematisch en onrechtmatig persoonsgegevens verwerkte via het Fraude Signalering Voorziening-systeem. Dit dossier toont een vergelijkbaar patroon via tracking.
Europese AI-verordening 2024/1689 : classificeert profileringsalgoritmen die financiële kwetsbaarheid voorspellen als hoog-risico AI-systeem met meld- en transparantieplicht.
NIS2 Richtlijn 2022/2555: stelt cybersecurity-eisen aan essentiële diensten. De Belastingdienst kwalificeert als essentiële dienst; CNAME-cloaking ondermijnt de integriteit van DNS-beveiliging.
Digital Services Act 2022: vereist transparantie over profilerings- en trackingpraktijken jegens consumenten.
SDBN-massaclaim (Rechtbank Rotterdam, zakenummer C/10/668332 / HA ZA 23-965, tussenvonnis ECLI:NL:RBROT:2025:6254 d.d. 28 mei 2025) ) Stichting Data Bescherming Nederland voert een collectieve vordering tegen grootschalige trackingpraktijken. Dit dossier levert aanvullend bewijsmateriaal. .
Wat kunt u morgen doen?
- 1De Belastingdienst moet de Adobe-cookie daadwerkelijk uitzetten
- 2Ook vrije-tekst-events: chatbot-input, feedback-tekst, foutmeldingen direct uit de tracking-laag halen
- 3 Bestuurlijke verantwoording over de discrepantie tussen de woordvoerder-verklaring van december 2023 en de meetdata van mei 2026
De eigen cookieverklaring op belastingdienst.nl/.../cookies beweert dat cookies geen persoonsgegevens bevatten (Nb. geraadpleegd 1 mei 2026). Onder de Breyer-uitspraak (HvJ EU C-582/14) kwalificeert een unieke 38-cijferige identifier met twee jaar levensduur als persoonsgegeven. De claim is aantoonbaar onjuist.
Het verkeer gaat naar Adobe Inc. in de Verenigde Staten, een derde partij. Hoewel Adobe sinds juli 2023 gecertificeerd is onder het EU-VS Data Privacy Framework, laat dat de overige AVG-verplichtingen onverlet. De doorgifte van paginatitels als "gedupeerde ouder" en chatbot-input vereist een geldige rechtsgrondslag onder AVG artikel 6. Geen Consent Management Platform aangetroffen; tracking begint vóór enige interactie.
De Telecommunicatiewet artikel 11.7a vereist voorafgaande toestemming voor cookies. De uitzondering, alleen "bezoekers tellen", dekt geen 38-cijferige persistente ID met cross-site profiling-configuratie via Adobe Audience Manager. De Autoriteit Persoonsgegevens legde in 2024 in vijf van de vijf onderzoeken naar cookie-banners overtredingen vast. De AP legde op 16 juli 2024 een boete van €600.000 op aan Kruidvat, dat is een precedent. Drie dingen die nu moeten gebeuren: De Belastingdienst moet: de Adobe-cookie daadwerkelijk uitzetten, conform de Kamerbrief Van Huffelen + Adriaansens, 5 september 2023 (Kamerstuk 32 761-286), "Cookies en online tracking", "geen third-party cookies of andere tracking, ongeacht het verkrijgen van toestemming"; een DPIA voor herstel.toeslagen.nl openbaar maken of alsnog uitvoeren onder AVG artikel 35; en de vrije-tekst-events: chatbot-input, feedback-tekst, foutmeldingen uit de tracking-laag halen.
Wat verder uitblijft: bestuurlijke verantwoording over de discrepantie tussen de woordvoerder-verklaring van december 2023 en de meetdata van mei 2026. Dit dossier raakt Den Haag op drie niveaus tegelijk: juridisch, politiek en institutioneel.
Sandra Palmen-Schlangen is als staatssecretaris Herstel Toeslagen persoonlijk verantwoordelijk voor de bescherming van gedupeerden en moet nu uitleggen waarom de Belastingdienst het zoekgedrag van diezelfde gedupeerden doorspeelt naar Silicon Valley. Dit valt rechtstreeks op háár bureau. Eelco Eerenberg draagt als staatssecretaris Fiscaliteit, Belastingdienst, Toeslagen-uitvoering en Douane de systeemverantwoordelijkheid voor toeslagen inclusief de digitale infrastructuur van mijn.toeslagen.nl. Twee bewindspersonen, één dienst, dezelfde schending.
In de Kamer liggen de vragen klaar. Senna Maatoug (GroenLinks-PvdA) en Michiel van Nispen (SP). beiden lid van de Parlementaire Enquêtecommissie Fraudebeleid en Dienstverlening, die in februari 2024 haar rapport "Blind voor mens en recht" presenteerde, kunnen dit dossier oppakken als concrete naleving van hun aanbevelingen. Van Nispen bewaakt de Leijten-erfenis rond institutioneel falen; Maatoug combineert digitale grondrechten met het sociaal-economische slachtofferverhaal. D66 pakt het op vanuit de techhoek: AVG-handhaving, doorgifte naar derde landen, Schrems II-implicaties.
De juridische druk komt van twee kanten. SDBN (Stichting Data Bescherming Nederland) heeft de massaclaim al lopen en dit dossier levert hen munitie op een presenteerblaadje. Daarnaast is de Autoriteit Persoonsgegevens onder Aleid Wolfsen de afgelopen twee jaar actiever gaan handhaven tegen overheden. Een bewuste schending van een Kamertoezegging door een bestuursorgaan is precies het type casus waar de AP een voorbeeldboete op zet. De institutionele vraag snijdt het diepst. De Belastingdienst deed in september 2023 een formele toezegging aan de Kamer over privacy-naleving en activeerde de Adobe-stack op herstel.toeslagen.nl in diezelfde maand. Dit is geen technische misconfiguratie. Dit is een bestuursorgaan dat het parlement informeert over beleid dat het niet uitvoert. In het post-toeslagenaffaire tijdperk is dat niet alleen een AVG-overtreding: het is een vertrouwensbreuk met de Kamer zelf.
De vraag voor de bestuurstafel is niet óf dit politiek wordt, maar hoe snel.