Mijn Toeslagen van Belastingdienst, powered by Microsoft USA

Dit is deel 2 van het Belastingdienst-onderzoek door Mick Beer. In deel 1 onthulden we hoe de Belastingdienst-website Adobe-trackers inzet die het zoekgedrag van toeslagenslachtoffers doorsturen naar Silicon Valley. In dit tweede deel richten we de lens op de mobiele apps — en op wat er in de code zit.

Wat er in de app zit

De officiële Mijn Toeslagen-app — gepubliceerd door de Belastingdienst in de Google Play Store, gedownload door ouders die hun kinderopvangtoeslag beheren — communiceert met een Microsoft Azure-backend op mdl-api.azurewebsites.net/MTB/. Dat is geen zijingang, geen analytics-cookie, geen tijdelijke testomgeving. Het is de structurele backend voor wat de code zelf omschrijft als MijnToeslagenBackend (MTB). Een live .NET JSON-API, gehost op Microsoft-infrastructuur in de Verenigde Staten, diep verweven in een primair uitvoeringsproces.

Op 2 oktober 2025 schreef staatssecretaris Heijnen aan de Tweede Kamer: "De applicaties en dataopslag van de primaire processen voor de heffing en de inning blijven draaien in het eigen datacentrum in Apeldoorn." De toekenning, betaling en herziening van kinderopvangtoeslag is een primair proces. Dat dit primair proces deels via een Azure-backend loopt, was niet aan de Kamer gemeld.

Dit rapport bevat in totaal 12 bevindingen op basis van passieve analyse van zeven publiek beschikbare Belastingdienst-apps. Geen credentials, geen schrijfacties, geen exploitatie — uitsluitend APK-decompilatie en niet-invasieve HTTPS GET-probes. De vier zwaarste bevindingen zijn hieronder uitgewerkt. Het volledige rapport met technisch appendix is beschikbaar via hackedemia.nl.

Bevinding 1 — De Azure-backend: een primair proces in de VS

De Mijn Toeslagen-app (package nl.belastingdienst.mkt) verstuurt productieverkeer naar mdl-api.azurewebsites.net/MTB/. De endpoint reageert met HTTP 200-responses en serverheaders die wijzen op Microsoft-IIS en Azure App Service. Dit is bevestigd via directe HTTPS GET-probe.

In de app-code zijn strings terug te vinden die direct verwijzen naar de algoritmische logica die centraal stond in de Toeslagenaffaire: "hebben wij deze uren omgerekend naar een hele maand." Dit is de sleutelformulering die tot onterechte terugvorderingen leidde. Dezelfde algoritmische mechaniek, voor dezelfde populatie ouders, nu draaiend via een Azure-backend in de Verenigde Staten — en rechtstreeks doorverwijzend naar de FIOD in de eigen privacy-tekst van de app.

Heijnen's Kamerbelofte was helder. De technische realiteit wijkt ervan af. De combinatie is een politiek feit.

Bevinding 2 — Microsoft documenteert het zelf: alle data naar de VS, medewerkers hebben toegang

Drie Belastingdienst-apps — Berichtenbox, Mijn Belastingdienst en Mijn Toeslagen — gebruiken Microsoft App Center voor telemetrie. Microsoft legt op de eigen documentatiesite woordelijk vast:

"App Center operates almost entirely in the United States. All data and processing for Apps, Users, Organizations, Build, Distribution, Analytics and Diagnostics occurs in the United States. There's no option available for hosting this customer data in any other country/region."

En: "From time to time, Microsoft employees need access to customer data stored within App Center."

En: "App Center is a multi-tenant system. All customer data is held within one set of data stores. There's no option to hold a customer's data in a separate or isolated set of data stores."

Dit is geen interpretatie, geen uitleg van een contractor. Dit is Microsoft dat zijn eigen product documenteert. Belastingdienst-app-telemetrie zit in dezelfde multi-tenant datastores als die van willekeurige andere App Center-klanten, gaat naar de VS, en anonieme Microsoft-medewerkers kunnen er onder bepaalde omstandigheden in kijken. Heijnen schrijft in zijn Kamervragen-antwoord van 12 februari 2026: "Ik ben niet naïef over de mogelijkheid dat de informatie waarover de Belastingdienst beschikt interessant kan zijn voor de Amerikaanse overheid." Hij erkent het risico. Hij zet de uitrol voort.

Bevinding 3 — Geen externe audits, geen publieke DPIA

Microsoft documenteert ook: "App Center hasn't pursued external audits (such as SOC 2 or ISO 27001), or external penetration testing." Een dienst zonder SOC 2, zonder ISO 27001, zonder externe penetratietest, waarover anonieme medewerkers in de VS toegang hebben — en waarop Nederlandse overheidstelemetrie draait.

Onder AVG artikel 35 is een DPIA verplicht voor hoog-risicoverwerkingen. Toeslagen kwalificeert onmiskenbaar: de Parlementaire Enquêtecommissie legde vast dat etnisch profileren hier systematisch plaatsvond. Het Adviescollege ICT-toetsing wees in maart 2024 al op het ontbreken van een DPIA voor TVS, het systeem dat 95% van de Toeslagen-verwerkingen uitvoert. Voor de Azure-backend in de Mijn Toeslagen-app, voor het App Center-gebruik in Berichtenbox en Mijn Belastingdienst, is geen publieke DPIA vindbaar. Dat is een Wob/Woo-vraag die de Kamer nu kan stellen.

Bevinding 4 — De Toeslagen-echo: dezelfde logica, een nieuwe infrastructuur

De Toeslagenaffaire kostte naar schatting 9 tot 14 miljard euro aan compensatie. De diagnose van de Parlementaire Ondervragingscommissie: ondoorzichtige algoritmische besluitvorming, afwezigheid van menselijke controle, systematische verwijdering van de burger uit het feitenrelaas. De app die nu via Azure draait bevat strings die precies die besluitvorming spiegelen. De ouders die in de app hun toeslagen beheren zijn deels dezelfde ouders die door de affaire zijn geraakt.

Dit is geen bewijs van een nieuwe affaire. Het is een uitlegbaarheidsprobleem van de eerste orde: hoe legt de overheid aan gedupeerde ouders uit dat hun toeslagdata via een Microsoft Azure-backend in de VS worden verwerkt, op een afgedankt product (App Center is per 31 maart 2025 gedeprecieerd), zonder externe audit, en zonder dat de Kamer hierover volledig is geïnformeerd?

Het volledige rapport bevat 12 bevindingen — waaronder hardcoded App Center secrets in productie-APK's, een 8 jaar oude OkHttp-stack in de Berichtenbox-app (waarmee 13 miljoen Nederlanders hun overheidspost ontvangen), SHA-1 certificaat-pinning, en een gedeprecieerde Genesys-component in de aangifte-app. Het technisch appendix is beschikbaar voor journalisten en onderzoekers via hackedemia.nl.

Dit dossier raakt Den Haag op drie niveaus. Juridisch: AVG-compliance, ontbrekende DPIA's, doorgifte naar derde landen onder de CLOUD Act. Politiek: een Kamerbelofte over Apeldoorn die technisch niet wordt nagekomen. Institutioneel: een Belastingdienst die twee jaar na de PEC-conclusies dezelfde populatie ouders bedient via infrastructuur die zij niet volledig publiek verantwoordt.

Eelco Eerenberg draagt als huidig staatssecretaris Fiscaliteit, Belastingdienst en Toeslagen-uitvoering de systeemverantwoordelijkheid. De vragen liggen klaar.

Auteur: Mick Beer, onafhankelijk security/privacy-onderzoeker.