Belastingdienst stopt voorlopig met tracker waarmee Adobe data verzamelt

De Nederlandse Belastingdienst stopt voorlopig met Adobe-trackingsoftware, die data doorgaf aan de Amerikaanse softwarefirma. De fiscus onderzoekt ook waarom dat analyticspakket ooit is geïnstalleerd. Dit volgt op de onthulling door een ethisch hacker en Kamervragen.

De site van de Belastingdienst verstuurt niet langer structureel gegevens van Nederlandse belastingplichtigen naar systemen van Adobe, meldt NRC. Deze datadoorgifte gebeurde wanneer mensen inlogden en betaalden, ontdekte securityonderzoeker Mick Beer. Hij openbaarde dit begin deze maand. Vervolgens kwamen er Kamervragen hierover aan staatssecretarissen Eerenberg van Financiën en Aerdts voor Digitale Economie.

De Belastingdienst bevestigt nu aan NRC dat de tracker van Adobe uit staat, naar aanleiding van de publicatie van Beer en de Kamervragen. De staatssecretarissen moeten deze vragen nog beantwoorden. Ondertussen onderzoekt de fiscus waarom die analyticssoftware ooit is geïnstalleerd in de betaalomgeving van de belastingwebsite. De Belastingdienst bedankt de hacker en moedigt meldingen van dit soort zaken aan.

belasting

Door Jasper Bakker

Nieuwsredacteur

10-06-2026 • 16:38

38

Submitter: r.kruisselbrink

Reacties (38)

Sorteer op:

Weergave:

Ik kan me herrineringen dit al jaren terug gelezen / gehoord te hebben...


Maar dat is dus alleen voor het uitzetten, maar dat hebben ze dus wel gedaan maar niet verwijderd.

https://www.agconnect.nl/maatschappij/privacy/belastingdienst-zet-uit-voorzorg-adobe-functies-uit


https://over-ons.belastingdienst.nl/cookies/

[Reactie gewijzigd door squareware op 10 juni 2026 21:37]

Ondertussen onderzoekt de fiscus waarom die analyticssoftware ooit is geïnstalleerd in de betaalomgeving van de belastingwebsite.
Ik ben een totale leek op analyticsgebied, maar zou iemand kunnen duiden wat een niet-commerciële partij als de Belastingdienst zou kunnen met de vergaarde analytics? Er is kennelijk ooit iemand geweest binnen de Belastingdienst die het een goed idee vond om die tracker te installeren... Kan me alleen (nogmaals, als leek) niet voorstellen wat de reden geweest zou kunnen zijn.

Maar, in het licht van de huidige tendens naar het behouden van eigen data binnen NL/EU lijkt me het een goede zaak als gevoelige informatie niet meer de plas overgaat.
Analytics kan je voor honderden dingen inzetten maar over het algemeen: weten wat voor devices, software je gebruikers gebruiken zodat je jouw website daar op kan toespitsen. Weten welke knoppen veel gebruikt worden, weten welke formulieren wel/niet/deels ingevuld worden. Welke paden door de website heen bewandelt worden. Weten via welke externe bron iemand op de pagina komt. Weten waar gebruikers vandaan komen (landen, zodat je evt andere talen kan aanbieden). Dat is wat ik zo snel kan bedenken wat daadwerkelijk met de service die je aanbied te maken heeft. Vul me gerust aan.

[Reactie gewijzigd door Krahk op 10 juni 2026 16:55]

Aahhh check, dank voor de verheldering. Dus het hoeft hier niet per sé om (al dan niet herleidbare) persoonsgegevens te gaan maar kan ook om puur technische info te gaan.
Alle persoonsgegevens zijn direct of indirect herleidbaar naar een persoon.
Dat is heel kort door de bocht (lees nogal kortzichtig).

Persoonsgegevens zijn bijv. naam, geboortedatum, adres en dat soort zaken. Daarnaast heb je tal van andere zaken die verzameld kunnen worden, zoals surfgedrag, koopgedrag, met wie je contact hebt enz. Als die aan je profiel toegevoegd worden en zonder anonimisering doorverkocht of doorgestuurd worden, zijn die zaken dus ook herleidbaar naar een persoon.
Dat is heel kort door de bocht (lees nogal kortzichtig).
Artikel 4, lid 1, AVG:
"persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
Het is letterlijk een onderdeel van de definitie. Een persoonsgegeven is direct of indirect herleidbaar naar een persoon. Anders is het geen persoonsgegeven.

Toelichting door de Autoriteit Persoonsgegevens:
In de Algemene verordening gegevensbescherming (AVG) staat als definitie voor persoonsgegevens: ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is.
(...)
Sommige persoonsgegevens gaan direct over iemand (directe persoonsgegevens). Daarnaast zijn er gegevens die niet direct over iemand gaan, maar die wel naar die persoon te herleiden zijn (indirecte persoonsgegevens).

[Reactie gewijzigd door The Zep Man op 10 juni 2026 18:19]

Dat is niet wat er staat, in beide definities.
"persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”);
Persoonsgegevens omvatten dus álle informatie die over een persoon gaat die identificeerbaar of geïdentificeerd is. Dit is geen classificatie van de gegevens, maar van de persoon.
alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is.
Hier staat ongeveer hetzelfde. Gegevens die te herleiden zijn, maar ook “informatie [die] direct over iemand gaat”. Daar is niet geclassificeerd dat de gegevens herleidbaar zijn naar een persoon, maar alleen dat het informatie is die over een persoon gaan.

Het is dus meer afhankelijk van de context dan welke specifieke gegevens je opslaat. Als het mogelijk is om gegevens te herleiden naar een persoon, dan zijn álle gegevens die je verzamelt over die persoon per definitie persoonsgegevens. Als dat niet mogelijk is, dan zijn het dus ook geen persoonsgegevens.

Als we bijvoorbeeld kijken naar woonplaats, dan wordt het onderscheid duidelijker. Als ik in mijn database opsla “gebruiker 123 woont in Amersfoort” dan zijn dat persoonsgegevens. Als ik opsla “we hebben vandaag 100 bezoeken gehad van gebruikers in Amersfoort” dan zijn dit geen persoonsgegevens. Zelfde gegevens, op dezelfde manier verworven, maar op basis van context al dan niet persoonsgegevens.

Nu zijn er natuurlijk ook gegevens die áltijd herleidbaar zijn naar een persoon: naam, e-mailadres, BSN, etc. Deze gegevens zijn dus ook persoonsgegevens als ze zonder context worden opgeslagen.
Een IP werd ook gezien als een persoonsgegeven (met wat aantekeningen voor wat betreft cgnat/dynamische IP's, etc.).
Maar daarvoor kun je ook gewoon de W3C logs van je webserver controleren. Jaren geleden (dacht 2009) kreeg mijn oude werkgever een brief van de AFM dat financiele dienstverleners geen Google Analytics tag mogen plaats op de bedank pagina omdat dat mogelijk privacy gevoelige informatie zou weggeven aan derden partijen. Maar blijkbaar is het prima dat de Nederlandse overheid Adobe vertelt wanneer mensen inloggen of betalen.

Misschien wordt het tijd dat toezichthouders als de AFM (o.a. kredieten/beleggen) en DNB (o.a. spaarproducten/verzekeringen/betaalrekeningen) de overheid iets beter gaan controleren.
Het is dus niet prima want ze hebben t weggehaald ;)
Bedoel je met w3c logs de server logs? Ik weet in ieder geval dat je daar wel wat uitgaalt maar niet alles. En tools als google analytics e.d. bieden natuurlijk een scala aan functionaliteiten die je anders zelf uit zon log moet halen.

Ik heb ervaring bij de overheid en weet dat t vaak geen onwil of kwade bedoeling is maar onkunde waarom dit soort oplossingen gebruikt worden. Ja tuurlijk zijn er soms slechte gevallen van tracking te vinden. Maar men vergeet vaak dat de overheid niet 1 bedrijf is maar tientallen/honderden instanties. Maar het zou inderdaad goed zijn als de overheid door een officiele onstantie gechecked wordt op dit soort zaken. En burgers mogen dat ook doen!
Dit niet alleen, maar tevens hoe de tracker langs de privacy impact analyse is gekomen van de belastingdienst. Doen ze uberhaupt assesments voor informatiebeveiliging en privacy?
De meeste organisaties hebben helemaal de kennis en mankracht niet om uitgebreide security en privacy assessments te doen.
we spreken over een van jullie belangrijkste overheidsdiensten, niet over een klein dorp op het platteland
Je hebt kleine sukkels en grote sukkels. Één pot nat.

Als jij het doet kun je een boete betalen. Zelf lekken ze als een vergiet en bij een eventuele boete, betaal je ook voor hun fout, want dat geld komt oa van jou.

[Reactie gewijzigd door Zwatelaar op 10 juni 2026 17:53]

De meeste organisaties hebben helemaal de kennis en mankracht niet om uitgebreide security en privacy assessments te doen.
Daar hebben ze bij het rijk zelfs een speciale club voor.

Letterlijk iedere dienst bij de overheid wordt gepentest, iedere versie opnieuw.
Hoe is dit er door heen gekomen?
Hoe is dit er door heen gekomen?
Simpel, het is geen risico voor het systeem. Het leeft in de browser en geeft telemetry door aan een server. Security wise is het totaal niet boeiend voor een pentester, want het kan geen enkel security risico vormen voor de applicatie / omgeving die ge-pentest wordt.

Qua privacy is het natuurlijk een no-no van jewelste. Maar dat is out of scope voor de pentester.

Bij veel onderdelen van het rijk gebruiken ze een centraal-hosted piwik of matomo. (Ik ben vergeten welke). Daar komt de data uitsluitend bij het rijk terecht. (Ik dacht dat dat bij AZ stond)
Dit geldt overigens alleen voor diensten met DigiD-aansluitingen. Is een van de weinige dingen die de overheid best goed geregeld heeft, verplichte DigiD ICT-beveiligingsassessments.

[Reactie gewijzigd door ocn op 10 juni 2026 22:17]

Dit geldt overigens alleen voor diensten met DigiD-aansluitingen. Is een van de weinige dingen die de overheid best goed geregeld heeft, verplichte DigiD ICT-beveiligingsassessments.
ik heb 't ook gezien bij niet DigiD gekoppelde applicaties :)

bij DigiD is het twee-ledig, enerzijds is er de reguliere pentest van de applicatie, waar de instantie zelf bovenop zit. Anderzijds is er jaarlijk ook nog een audit en pentest vanuit Logius zelf.
ding passeert en wordt daarna aangepast of het is gewoon in zijn geheel, dan wel gedeeltelijk destijds voldoende bevonden.
Ook een niet commercieel organisatie wil zijn dienstverlening verbeteren en heeft daarvoor analyse nodig :) volgens mij dus een development team die voor dit product koos (of beschikbaar was als standaard) voor analyse.
Misschien vergeten een vinkje uit te zetten in een ander software pakket?
Hoeveel websites hebben nog steeds cookies of icoontjes die geladen worden van de bij behorende organisatie hun server zodat anderen weten op welk moment iemand kijkt incl meta data en IP? Retorisch. Iedere link is teveel.
Even kritisch lezende. Hij staat uit, maar is dus niet verwijderd?
ik vind persoonlijk het woord voorlopig ernstiger. Komt op mij over als dat het zo weer aangezet kan worden als het stof weer is gaan liggen.
Gelukkig blokkeert mijn safari browser all trackers, dus ik neem aan dat mijn gegevens niet werden getrackt. toch? Desondanks best wel amateuristisch dat deze tracker geinstalleerd stond.
Dit lijkt mij geen kwade opzet maar een product implementeren zoals het out-of-the-box is aangeleverd door de leverancier die de aanbesteding won. Ingehuurde consultant doet wat hij bij alle klanten doet en iedereen blij als het eindelijk Live staat en goed werkt. Maar kennelijk niet onafhankelijk gecheckt of al het verkeer van het product ook strikt noodzakelijk is voor de functionele werking.
Even naar de Belastingdienst website gegaan en binnen 3 klikken had ik alweer een link naar Google te pakken. Simpelweg Noscript links bekijken wat de site er allemaal bij laadt. Geen hacker voor nodig om dit soort dingen te ontdekken.
En wie zou er verdiend kunnen hebben met deze tracker? Of werkt dat niet zo?
Nee.

Dit kan zijn voor: Usability rapporten, funnel-analyse, gebruikers-statistieken, analyse van drukke dagen/tijdstippen etc. etc.

Design afdelingen bijvoorbeeld gebruiken pad-analyses om te kijken hoe de gebruiker zaken vind, of hij ze wel vind, of er misschien wat mist etc. etc.

Deze trackers zijn niet voor advertentie-verkopen (als het goed is...)
Ik gebruik alleen het ondernemersdeel en ik kan je vertellen dat is by far de slechtste user interface die je anno 2026 nog tegen kunt komen.
Dus voor design is het niet gebruikt.
Maar deze data gaat wel naar de vs. Dit adres hier hier op dit stukje site geweest
De hele cloud van de belastingdienst is in Amerikaanse handen. Als het er echt om gaat spannen gaat Amerikaans recht boven alles.
Ja jammer dat onze overheid legacy niet ziet als risico maar als betrouwbaar.
Lijkt mij een beetje laat.. Zat gratis open source alternatieven en de Firefox browser kan het zelfs native....
Beetje vreemd dat een hacker dit moet vinden.
Lijkt me dat het bedrijf of developers toch de code moeten kennen?
Of is het allemaal zo complex met meerdere developers dat er niemand is die alle code kent, lijkt me ook kwalijk wat zal er verder nog verstopt zitten dan.

Op dit item kan niet meer gereageerd worden.