Infographic REPORT-2026-001 — De volledige dataketen van tracking pixel tot bankhelpdeskfraude
Infographic REPORT-2026-001 — De volledige dataketen van tracking pixel tot bankhelpdeskfraude

Wat is er gebeurd?

Een scammer belt je 73-jarige moeder. Hij weet haar volledige naam, haar adres, dat haar man drie jaar geleden is overleden, dat ze klant is bij ING en dat haar zoon vorige maand een nieuwe auto heeft gekocht. Hij klinkt overtuigend. Hij heet zogenaamd Mark, fraude-afdeling. Binnen 40 minuten staat €28.000 op een geldezelrekening.

Hoe wist Mark dit allemaal?

Het korte antwoord: omdat jij — én je moeder — websites bezoeken die geld verdienen aan tracking pixels. En omdat geen enkele bestuurder van die websites weet wat die pixels precies doen.

Dit artikel legt de keten bloot. Het is geen samenzwering. Het is geen hack. Het is hoe het systeem op dit moment werkt.

Infographic: Van cookie naar bankhelpdeskfraude — de 7 stappen van de dataketen
REPORT-2026-001 — De volledige dataketen van tracking pixel tot bankhelpdeskfraude

De keten in zeven stappen

Stap 1 — Jij bezoekt een vertrouwde website. Een Nederlandse krant, webshop, verzekeraar, of ziekenhuissite. Tracking pixels vuren soms af voordat je ergens op klikt.

Stap 2 — De pagina deelt je data met tientallen partijen. IP-adres, browsertype, klikgedrag, soms ingevulde formuliervelden. By design onzichtbaar. De FTC en EFF hebben dit gerapporteerd: gemiddeld 18-47 trackerpixels per pagina op vertrouwde bedrijfssites.

Stap 3 — Adtech-bedrijven aggregeren. Meta, Google, ad-exchanges combineren duizenden datapunten tot één profiel over weken en maanden.

Stap 4 — Databrokers verrijken met offline data. Acxiom, Epsilon, kredietinformatiebureaus koppelen online profielen aan kadaster, autobezit, abonnementen, gezinssamenstelling. Duizenden datapunten per persoon.

Stap 5 — Het profiel wordt verkocht of gestolen. Legaal aan marketeers en verzekeraars. Illegaal via datalekken en Telegram-handel. Het OM Noord-Nederland eiste in april 2026 celstraffen tot vier jaar tegen handelaren in lijsten als "106 vrouw 65 plus" — profielen die exact zo samengesteld waren.

Stap 6 — De scammer bouwt zijn aanval. Met échte naam, geboortedatum, bank, gezinsleden wordt bankhelpdeskfraude overtuigend. De FBI IC3 rapporteert dat meer dan de helft van fraudezaken tegen ouderen direct verband houdt met blootgestelde data.

Stap 7 — De betalende oma. Het eindresultaat van de keten: een kwetsbaar slachtoffer verliest geld aan bankhelpdeskfraude. Oma verliest €28.000. De website van stap 1 weet van niets — en draagt toch verantwoordelijkheid voor de keten die zij in gang zette.

Waarom dit ertoe doet

Drie Zweedse IMY-zaken uit 2024–2025 illustreren wat "onwetendheid" de markt kost.

Apohem (online apotheek): Meta Pixel deelde namen, e-mails, telefoonnummers, en aankoopgeschiedenis. Geen DPIA, geen risicoanalyse. 8 miljoen SEK boete. Het probleem: Marketing vroeg de pixel aan. IT zette hem in via Google Tag Manager. Privacy-officer zag het niet. Bestuur tekende af op "AVG-compliant." Niemand controleerde wat er feitelijk werd verzonden.

Avanza Bank: Marketing zette per ongeluk Meta's "Automatic Advanced Matching" aan. Leningbedragen en rekeningnummers vlogen naar Meta. 15 miljoen SEK boete. Zweedse IMY: "Dit zijn financiële gegevens. De bank was aansprakelijk, zelfs al wisten zij niet dat het gebeurde."

Apoteket AB: Persoonsnummers en gezondheidsgerelateerde data lekten ondanks filters. 37 miljoen SEK boete. Dit was geen hack — het systeem werkte zoals ontworpen.

Zweedse IMY zei het helder: "Onwetendheid is geen excuus." De verwerkingsverantwoordelijke — in dit geval de website — is aansprakelijk voor de gehele verwerkingsketen die zij in gang zet.

Meta zelf betaalde €1,2 miljard aan de Ierse DPC in 2023 voor onrechtmatige datatransfers naar de VS.

Beleidscontext

Infographic: Pixel vs Cookie — vergelijkingstabel
REPORT-2026-002 — Pixel vs Cookie: wat is het verschil en wat betekent dat voor AVG-aansprakelijkheid?

Artikel 6: Rechtmatig grondslag voor verwerking. "Gerechtvaardigd belang" voor marketing. Maar de verwerking mag niet onevenredig inbreuken op rechten van betrokkenen maken.

Artikel 32: Veiligheidsniveaus die van toepassing zijn. Dit betekent: controleer wat je pixels verspreiden.

Artikel 35: Gegevensprotectie-impactassessment (DPIA). Verplicht voor risicovolle verwerking. De Apohem-zaak werd gewonnen door Noyb omdat Apohem gén DPIA had gemaakt voor Meta Pixel.

Artikel 44-49: Internationale datatransfers. Veel trackers sturen data naar de VS. Na Schrems II (HvJ EU, 2020) is dit juridisch risicovol zonder aanvullende waarborgen.

Artikel 82: Schadevergoeding. Sinds C-300/21 (HvJ EU, 2023) kunnen slachtoffers rechtstreeks aansprakelijkheid eisen. Oma kan Apohem aanklagen en schadevergoeding vorderen, zelfs als de directe oorzaak een scammer was — zolang te bewijzen valt dat de datablootstelling de fraude mogelijk maakte.

Nederlandse context: Autoriteit Persoonsgegevens en de Rijksoverheid hebben sinds 2023 standaard-AVG-vervolgingen tegen databrokers ingesteld. Het Openbaar Ministerie behandelt datalekken steeds vaker als strafrecht (zie OM Noord-Nederland).

Persoonlijke actiepunten

Zoek je naam op via Google en people-search-sites. Schrik niet. Dit is in de publieke adtech-keten beschikbaar.

Gebruik je AVG-rechten. Artikel 15-21 geeft je recht op inzage, correctie, en verwijdering. Hulpmiddel: NL Data Optout — schrijft automatisch AVG-verwijderingsmails naar databrokers.

Beperk wat je deelt. Loyaliteitskaarten, online quizzes, "gratis" apps zijn datakanalen.

Praat met je ouders. Bankhelpdeskfraude richt zich op 65+. Als zij weten dat bellers hun gegevens kunnen hebben zonder hen te kennen, herkennen zij de truc sneller.

Wat kunt u morgen doen?

  • 1 Voer deze week een pixel-audit uit. Laat IT inventariseren welke trackers op jullie sites en apps draaien en naar welke partijen ze data sturen. Gebruik browser-tools als The Markup Blacklight of een Google Tag Manager export. Leg een spreadsheet aan: Tracker naar Ontvanger naar Data naar Rechtmatig grondslag.
  • 2 Eis een DPIA per marketing-tracker. Onder AVG artikel 35 is dit verplicht. Elke Meta Pixel, elke Google Analytics-integratie verdient een eigen risicoanalyse. Laat twee vragen beantwoorden: Welke persoonsgegevens verlaten ons domein? Wat kunnen die ontvangers ermee doen?
  • 3 Schrap elke tracker die je niet in een zin kunt uitleggen. Vraag Commercial: Waar gaat deze data naartoe en waarom? Kunnen zij het niet beantwoorden in dertig seconden, haal hem weg. Dit is een verwerkingsbeslissing met persoonlijke aansprakelijkheid.
  • 4 Breng je verwerkersketen tot het einde in kaart. Niet alleen wie je data ontvangt, maar wat zij ermee doen, aan wie zij doorverkopen, en of die partijen in de adtech/databroker-keten zitten. De AVG maakt jou aansprakelijk voor de gehele keten.
  • 5 Zet tracking op de bestuurstafel. Een pixel plaatsen is een verwerkingsbeslissing met persoonlijke aansprakelijkheid voor bestuurders. Onderzoek: dekt je D&O-verzekering AVG-boetes? Vaker niet dan wel.
SLOTSOM

De keten van cookie naar bankhelpdeskfraude is geen samenzwering. Het is geen hack. Het is hoe het systeem op dit moment werkt — en elke organisatie die een tracking pixel plaatst zonder de verwerkersketen tot het einde te kennen, houdt dat systeem in stand.

De AVG is hier ondubbelzinnig: de verwerkingsverantwoordelijke is aansprakelijk voor de gehele keten die zij in gang zet. Niet alleen voor de eerste ontvanger, maar ook voor de databroker in stap vier en de Telegram-handelaar in stap vijf.

De vraag is niet of uw organisatie gehackt is. De vraag is: kunt u aantonen dat u weet wat uw pixels delen, met wie, en waarom? Zolang niemand op bestuursniveau die vraag stelt, blijft Mark bellen.