Stiekeme fingerprinting bij Bol.com en Rabo

Aardig onderzoek van Rosanne De Jong voor De Telegraaf: winkels als Bol.com, Vinted, Zalando, Ikea, AliExpress, Amazon, De Bijenkorf, Marktplaats, Wehkamp, H&M, maar ook bij de sites van banken Rabobank en ABN Amro doen aan ’browser fingerprinting’ van bezoekers nog voordat ze cookies hebben geaccepteerd of geweigerd. Zelfs in incognitomodus wordt op deze wijze de AVG overtreden.

Met de digitale vingerafdruk worden schermresolutie, lettertype, besturingssysteem, taal, locatie en andere browserinstellingen verwerkt, waarmee de bezoeker een volgende keer te identificeren is.

Partijen bevestigen dit, maar stellen dat fingerprinting-technologie die wordt ingezet voor fraudepreventie en -bestrijding, en niet voor tracking of voor advertentiedoeleinden, een ‘gerechtvaardigd belang’ dienen. Dan mag het wel van de AVG. Rabobank en  ABN Amro zeggen dat ze met fingerprinting proberen om bots te weren.

Brenno over alternatief voor DigiD

In een artikel van Marloes Koning in NRC wordt de invloed van de Amerikaanse overname van DigiD gerelativeerd aan de hand van inbreng van Brenno de Winter en van hoogleraar Paul Timmers (Leuven). Immers, DigiD wordt overbodig met de introductie van de ‘identiteitswallet’.

 Iedere EU-lidstaat moet zijn burgers per 2027 een ‘wallet’ aanbieden, een kluis op de telefoon, voor belangrijke gegevens om die te delen met instanties en bedrijven in heel Europa. Niet enkel bsn, zoals met DigiD, maar nog veel meer.

Ook buitenlandse online platformen moeten die accepteren. Bart Jacobs, hoogleraar aan Radboud, noemt de wallets “een pronkstuk voor de Europese digitale autonomie”, omdat ze de macht van die bedrijven kunnen helpen verkleinen als die niet meer zelf onder de naam van personen data verwerken. Hij is belanghebbende met Yivi (voorheen Irma), een kluisje dat is getest in EU-projecten en al in gebruik bij de gemeente Nijmegen als alternatief voor DigiD.

Maar het ministerie van Binnenlandse Zaken haalt de Europese deadline van eind 2026 niet en is op z’n vroegst in 2028 klaar. Dat moet sneller kunnen volgens De Winter. Echter, Nederlanders mogen ook andere apps gebruiken als die eerder klaar zijn, maar overheden zouden die dan moeten accepteren, zoals Nijmegen met Yivi.

Nog even ophef over Odido, zinloze Kamervragen?

Telecombedrijf Odido, dat begin deze maand werd getroffen door een datalek, bewaart persoonsgegevens van voormalige klanten langer dan het zelf zegt. Het Financieele Dagblad meldt dat klanten die jaren geleden overstapten, nu mail hebben gekregen dat hun gegevens zijn buitgemaakt.

“Odido zegt in zijn privacystatement dat gegevens worden bewaard tot maximaal twee jaar na het einde van het contract. Odido kan tegenover het FD niet zeggen hoeveel oud-klanten bericht hebben gehad. Het bedrijf zegt meer tijd nodig te hebben om uit te zoeken waarom gegevens langer dan twee jaar worden bewaard.”

Ik kreeg ook een mail terwijl ik geen klant meer ben bij Odido (Ben), maar de overstap was anderhalf jaar geleden. Volgens Jeroen Terstegge klopt de berichtgeving niet (helemaal): Odido geeft in de privacyverklaring redenen aan om persoonsgegevens eventueel langer dan twee jaar te bewaren. Waarop kritiek komt.

Guido van Nispen schreef vorige week op Netkwesties (en op LinkedIn) dat Odido en andere partijen die data lekken bagatelliserend taalgebruik toepassen om ophef te voorkomen. Michiel Buitelaar ging ertegenin. Hij meent dat schade meevalt.

De AP wordt overspoeld door meldingen van het datalek en zegt die niet langer nodig te hebben. En de ‘effuh vanguh’ massaclaim dan? Die is er wel, maar die is nep: mensen mogen 50 euro storten. Zijn ze die kwijt, lekker dan.

En een serieuze claim? Erg kansrijk is die niet want het wachten is nog op Europese jurisprudentie over het claimen van immateriële schade.

Odido beantwoordt vooralsnog geen vragen van me. Is de doofpot nabij? Nog niet: in de Tweede Kamer zijn vragen aan demissionair minister Vincent Karremans van Economische Zaken en de Staatssecretaris van BZK gesteld door D66-Kamerleden El Boujdaini en Schoonis. Dat lezende vraag ik me af: wat willen jullie nu? Is dit geen uiting van volslagen machteloosheid?

Dan De Speld: Slimme jongeren nemen massaal nieuw telefoonnummer na Odido-hack

Anonimiteit ICE-agenten schenden

Bureau Buitenland van NPOradio 1 en VPRO bood een reportage over de Ierse activist Dominick Skinner (31) die vanuit Amsterdam letterlijk agenten van de Amerikaanse immigratiedienst ICI ontmaskert via zijn website ICEList. In NRC schreef Indy Scholtens er een boeiend artikel over.

Door middel van open source intelligence (osint) en aanvullende AI-technieken identificeert hij samen met honderden vrijwilligers ICE-agenten die betrokken zijn bij invallen, schietpartijen en uitzettingen. 

Skinner begon de ICEList in juni 2025 nadat minister Kristi Noem (Binnenlandse Veiligheid) had gedreigd dat iedereen die een ICE-agent online zou identificeren, vervolgd zou worden. “Ik maakte er een screenshot van, plaatste het online en zei dat ik niet in de Verenigde Staten was… Ik zei dat mensen screenshots van [ICE-agenten] moesten maken en naar me toe moeten sturen.” Zijn inbox stroomde vol. Skinner voegde ICEList toe aan zijn nieuwsplatform The Crustian Daily. 

Vordering voor ICE-criticasters

Het ministerie van Binnenlandse Veiligheid in Washington stuurde Google, Meta, Reddit en chatplatform Discord honderden dagvaardingen voor informatie over gebruikers die immigratiepolitie ICE volgen en bekritiseren. Dat bericht The New York Times, en ook Bloomberg.

De regering kan dit soort dagvaardingen versturen zonder toestemming van een rechter, zoals bij juridische dagvaardingen verplicht is. Techbedrijven zijn niet verplicht gehoor te geven aan administratieve dagvaardingen.

The Intercept ontdekte dat Google echter na zo’n dagvaarding alle gegevens van de Britse student en journalist Amandla Thomas-Johnson verstrekte, zonder hem daarvan op de hoogte te stellen.

Volkskrant bericht dat Google in de eerste helft van 2025 bijna 30.000 dagvaardingen van de Amerikaanse overheid ontving, 15 procent meer dan de zes maanden daarvoor. Meta ontving er in die periode ruim 80.000, een stijging van 9 procent.  Reddit kreeg er 1.200. De bedrijven maken in hun cijfers geen onderscheid in administratieve en juridische dagvaardingen. Meta en Google stellen aan 90 procent van de verzoeken te voldoen.

Starmer gispt platforms

Deepfake-naaktfoto's en wraakporno moeten binnen 48 uur na melding worden verwijderd, anders lopen technologiebedrijven het risico in het Verenigd Koninkrijk te worden geblokkeerd. Dat zegt de Britse premier Keir Starmer tegen The Guardian. Hij spreekt van een “nationale noodsituatie…De last van het aanpakken van misbruik mag niet langer op de slachtoffers rusten. Die last moet rusten op de daders en op de bedrijven die het misbruik mogelijk maken.”

Bedrijven kunnen miljoenenboetes krijgen of zelfs volledig worden geblokkeerd als ze toestaan dat de beelden worden verspreid of opnieuw worden gepost nadat slachtoffers hiervan melding hebben gemaakt.

Er zullen wetswijzigingen volgen, ook om AI-chatbots zoals Grok van Elon Musk te reguleren. Grok bleek vaardig te zijn om beelden van geklede vrouwen om te zetten in bikini-, naakt- en seksbeelden.

X gecontroleerd voor Hongaarse verkiezingen

X moet onderzoekers toegang geven tot gegevens rond de verkiezingen in Hongarije op 12 april 2026. Dit heeft het hof van beroep in Berlijn bepaald. De beslissing wordt gezien als een mijlpaal in de uitvoering van de Digital Services Act van de EU.

Volgens die wet zijn grote platforms als X verplicht onderzoekers toegang te geven tot gegevens om desinformatie, haatzaaien en (verkiezings)manipulatie te monitoren. X moet informatie delen over bijvoorbeeld het bereik van, en reacties op berichten rond de aanstaande Hongaarse parlementsverkiezingen.

Een lagere rechtbank oordeelde eerder dat de rechtsmacht in Ierland lag, waar X zijn Europese hoofdkantoor heeft. Het hof in Berlijn bepaalde echter dat Duitse rechtbanken ook kunnen optreden bij een lokaal probleem. Het onderzoek wordt gedaan vanuit Duitsland.

Heerlijk: 'pig butchering'

Van weinig misdaad geniet ik zozeer als van een handig opgezette fraude met een privacy-inbreuk. De combinatie van dating- en financiële fraude kreeg de naam pig butchering', afgelopen weken weer in het nieuws.

De oplichter, meestal in de vorm van een succesvolle zakenman of aantrekkelijke rijke vrouw, verleidt een potentieel slachtoffer via een dating-app en begint na het winnen van vertrouwen (oftewel schermverliefdheid) met het overhalen om te gaan investeren in crypto. Eind van het liedje: Privacy en geld foetsie, en een liefdesillusie armer. Deze fraudevorm neemt toe, heerlijk, heerlijk.

Er is trouwens prachtige docu over geld, liefde en dating, rakend aan ‘pitch butchering’: The Tinder Swindler: de Israëlische oplichter Simon Leviev (geboren als Shimon Hayut) gebruikt Tinder om vrouwen emotioneel te manipuleren om zijn luxueuze levensstijl financieel te ondersteunen. Tot een Nederlandse vrouw (Ayleen) hem bij de ballen neemt, ze verdient een standbeeld voor betoonde moed. Hier een Brits interview met andere slachtoffers.

Marktplaats is verantwoordelijk voor verwerking advertenties

In de zaak Russmedia (C 492/23),  heeft het Hof van Justitie van de Europese Unie (HvJ-EU) op 2 december 2025 geoordeeld dat de exploitant van een online marktplaats moet worden aangemerkt als verwerkingsverantwoordelijke in de zin van de AVG, voor persoonsgegevens in advertenties die door gebruikers op het platform worden geplaatst.

Het Hof oordeelt dat de exploitant en de adverteerder als gezamenlijke verwerkingsverantwoordelijken optreden wanneer de exploitant invloed uitoefent op het doel van de verwerking door het platform beschikbaar te stellen en commercieel te exploiteren. De exploitant moet vóór de publicatie maatregelen nemen om advertenties met bijzondere persoonsgegevens te identificeren, te verifiëren of de adverteerder de betrokkene is, en de publicatie te weigeren indien de betrokkene geen uitdrukkelijke toestemming heeft gegeven.

Het Hof van Justitie benadrukt dat exploitanten zich bij een schending van deze verplichtingen niet kunnen beroepen op de vrijstellingen voor hostingdiensten (momenteel vastgelegd in de DSA).