De supporters-app PDT, waarmee fans van vier eredivisieclubs stadionkaarten kopen, uploadt bij registratie je BSN, pasfoto en handtekening uit de chip van je paspoort naar een server op AWS in Ierland, meet beveiligingsonderzoeker Mick Beer. Maker Siip spreekt dat tegen: volgens het bedrijf blijft je identiteit op je eigen telefoon.
Voor elk Nederlands bedrijf dat persoonsgegevens bij een Amerikaanse cloudpartij onderbrengt, zit de kern niet in de ruzie maar in de jurisdictie. Een server in Ierland klinkt Europees, maar zolang de aanbieder een Amerikaans bedrijf is, kan de Amerikaanse overheid via de Cloud Act toegang eisen tot die data, waar de schijven ook draaien. Dat waar je data staat en wie er juridisch bij kan een bedrijfsrisico is en geen politiek statement, wordt in deze casus heel concreet.

Wat de onderzoeker meet
Beer legde op 2 juli het netwerkverkeer van de app vast tijdens de registratie. Volgens zijn meting gaan de pasfoto uit de chip, de volledige machine-leesbare zone met een geldig BSN en de digitale handtekening van de staat naar onboarding.siip.io, de server van Siip op AWS in Ierland, nog voordat je een kaartje koopt. De chipfoto was een JPEG2000-bestand van 14.869 bytes; het negencijferige persoonsnummer klopt met de Nederlandse BSN-controle.
De server stuurt daarna een compleet profiel terug, inclusief de foto. Dat wijst volgens Beer op verwerking aan de serverkant, niet op louter versleuteling op het toestel. Hij verzegelde zijn bewijs met SHA-256-hashes en een Bitcoin-tijdstempel en zette het in een openbare repository, zodat anderen de meting kunnen narekenen. De app toont bij het delen maar vijf velden, terwijl de upload er meer bevat.
De maker weerspreekt het
Siip, gevestigd in Zwolle, houdt vol dat je identiteit het toestel niet verlaat en persoonsgegevens uitsluitend op je eigen smartphone blijven staan. Directeur Remco Voorhorst verwijst naar een rapport van advocatenkantoor Pels Rijcken als onderbouwing. Beer tekent daarbij aan dat dat rapport een juridische toets was die juist een aparte technische audit aanbeval, en dus geen technische audit zelf. De twee partijen zijn het niet oneens over de wet, maar over wat er feitelijk over de lijn gaat.
Waarom de locatie niet het hele verhaal is
De discussie draait al snel om de vraag óf data de EU verlaat. Maar zelfs een server die keurig in Ierland staat, verandert de jurisdictie niet: ook binnen een Europese databoundary of een ’soevereine’ EU-cloud blijft de Cloud Act van kracht. Daar komt bij dat de app volgens Beer telemetrie naar Google Firebase en Sentry stuurt, allebei Amerikaanse diensten. De optelsom is dat een door en door Nederlandse dienst alsnog met minstens één been in Amerikaans recht staat.
Voor een ondernemer verschuift daarmee de vraag die je je leverancier stelt. Niet “staat mijn data in de EU”, maar “onder welk rechtsstelsel valt het bedrijf dat erbij kan, en wat gebeurt er als een buitenlandse overheid toegang eist”. Een verwerkersovereenkomst dekt dat niet af; jurisdictie zit een laag dieper.
Meer dan één app
PDT, voluit Persoonlijke Digitale Toegang, draait nu bij PEC Zwolle, FC Eindhoven, ADO Den Haag en NAC Breda en moet in seizoen 2027/28 de standaard worden bij Nederlandse clubs. Dat maakt deze zaak groter dan één supporters-app: identiteit koppelen aan toegang wordt normaal, en de infrastructuur eronder leunt bijna vanzelf op een handvol Amerikaanse hyperscalers. Wie persoonsgegevens verwerkt, koopt daarmee ongemerkt een stuk buitenlandse jurisdictie in. De ruzie tussen onderzoeker en maker gaat over de meting van vandaag; de vraag die eronder ligt, waar je gevoeligste gegevens terechtkomen en wie er juridisch bij kan, ligt bij vrijwel elk digitaal product op tafel.
Veelgestelde vragen
Data in eigen hand houden
Ik denk met je mee waar je gevoelige gegevens veilig staan en bouw de oplossing end to end, van ontwerp tot self-hosted verwerking waar dat kan, zodat jij weet wie er juridisch bij je data kan en niet een cloudprovider in een ander rechtsgebied.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
