Volle tribune met voetbalsupporters in een stadion tijdens een wedstrijd.
Nieuws7 juli · 20:095 min leestijd

Voetbal-app stuurt paspoortdata naar Amerikaanse cloud, maker betwist het

Een app waarmee fans van vier eredivisieclubs kaarten kopen, uploadt volgens onderzoeker Mick Beer bij registratie je BSN, pasfoto en handtekening naar een AWS-server in Ierland. De maker spreekt dat tegen. De echte les zit in de jurisdictie.

De supporters-app PDT, waarmee fans van vier eredivisieclubs stadionkaarten kopen, uploadt bij registratie je BSN, pasfoto en handtekening uit de chip van je paspoort naar een server op AWS in Ierland, meet beveiligingsonderzoeker Mick Beer. Maker Siip spreekt dat tegen: volgens het bedrijf blijft je identiteit op je eigen telefoon.

Voor elk Nederlands bedrijf dat persoonsgegevens bij een Amerikaanse cloudpartij onderbrengt, zit de kern niet in de ruzie maar in de jurisdictie. Een server in Ierland klinkt Europees, maar zolang de aanbieder een Amerikaans bedrijf is, kan de Amerikaanse overheid via de Cloud Act toegang eisen tot die data, waar de schijven ook draaien. Dat waar je data staat en wie er juridisch bij kan een bedrijfsrisico is en geen politiek statement, wordt in deze casus heel concreet.

Een Nederlands paspoort-specimen met de pasfoto, het documentnummer, de handtekening en de machine-leesbare zone onderaan, precies de velden die de app volgens de onderzoeker uit de chip leest. Bron: Rijksdienst voor Identiteitsgegevens (RvIG) / Wikimedia Commons (CC0)
Een Nederlands paspoort-specimen met de pasfoto, het documentnummer, de handtekening en de machine-leesbare zone onderaan, precies de velden die de app volgens de onderzoeker uit de chip leest. Bron: Rijksdienst voor Identiteitsgegevens (RvIG) / Wikimedia Commons (CC0)

Wat de onderzoeker meet

Beer legde op 2 juli het netwerkverkeer van de app vast tijdens de registratie. Volgens zijn meting gaan de pasfoto uit de chip, de volledige machine-leesbare zone met een geldig BSN en de digitale handtekening van de staat naar onboarding.siip.io, de server van Siip op AWS in Ierland, nog voordat je een kaartje koopt. De chipfoto was een JPEG2000-bestand van 14.869 bytes; het negencijferige persoonsnummer klopt met de Nederlandse BSN-controle.

De server stuurt daarna een compleet profiel terug, inclusief de foto. Dat wijst volgens Beer op verwerking aan de serverkant, niet op louter versleuteling op het toestel. Hij verzegelde zijn bewijs met SHA-256-hashes en een Bitcoin-tijdstempel en zette het in een openbare repository, zodat anderen de meting kunnen narekenen. De app toont bij het delen maar vijf velden, terwijl de upload er meer bevat.

De maker weerspreekt het

Siip, gevestigd in Zwolle, houdt vol dat je identiteit het toestel niet verlaat en persoonsgegevens uitsluitend op je eigen smartphone blijven staan. Directeur Remco Voorhorst verwijst naar een rapport van advocatenkantoor Pels Rijcken als onderbouwing. Beer tekent daarbij aan dat dat rapport een juridische toets was die juist een aparte technische audit aanbeval, en dus geen technische audit zelf. De twee partijen zijn het niet oneens over de wet, maar over wat er feitelijk over de lijn gaat.

Waarom de locatie niet het hele verhaal is

De discussie draait al snel om de vraag óf data de EU verlaat. Maar zelfs een server die keurig in Ierland staat, verandert de jurisdictie niet: ook binnen een Europese databoundary of een ’soevereine’ EU-cloud blijft de Cloud Act van kracht. Daar komt bij dat de app volgens Beer telemetrie naar Google Firebase en Sentry stuurt, allebei Amerikaanse diensten. De optelsom is dat een door en door Nederlandse dienst alsnog met minstens één been in Amerikaans recht staat.

Voor een ondernemer verschuift daarmee de vraag die je je leverancier stelt. Niet “staat mijn data in de EU”, maar “onder welk rechtsstelsel valt het bedrijf dat erbij kan, en wat gebeurt er als een buitenlandse overheid toegang eist”. Een verwerkersovereenkomst dekt dat niet af; jurisdictie zit een laag dieper.

Meer dan één app

PDT, voluit Persoonlijke Digitale Toegang, draait nu bij PEC Zwolle, FC Eindhoven, ADO Den Haag en NAC Breda en moet in seizoen 2027/28 de standaard worden bij Nederlandse clubs. Dat maakt deze zaak groter dan één supporters-app: identiteit koppelen aan toegang wordt normaal, en de infrastructuur eronder leunt bijna vanzelf op een handvol Amerikaanse hyperscalers. Wie persoonsgegevens verwerkt, koopt daarmee ongemerkt een stuk buitenlandse jurisdictie in. De ruzie tussen onderzoeker en maker gaat over de meting van vandaag; de vraag die eronder ligt, waar je gevoeligste gegevens terechtkomen en wie er juridisch bij kan, ligt bij vrijwel elk digitaal product op tafel.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Data in eigen hand houden

Ik denk met je mee waar je gevoelige gegevens veilig staan en bouw de oplossing end to end, van ontwerp tot self-hosted verwerking waar dat kan, zodat jij weet wie er juridisch bij je data kan en niet een cloudprovider in een ander rechtsgebied.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Claude Fable 5 uitgeschakeld door VS-exportcontrole: wat het voor jouw bedrijf betekent
Nieuws
4 min

13 jun 09:24

Claude Fable 5 uitgeschakeld door VS-exportcontrole: wat het voor jouw bedrijf betekent

Op 13 juni schakelde de Amerikaanse overheid zonder waarschuwing Claude Fable 5 en Mythos 5 uit voor alle gebruikers wereldwijd. Wat er precies is gebeurd en wat elk ondernemer nu moet weten.

Welke privacy-veilige AI-chatbot voor je MKB: Proton Lumo, Mistral Le Chat of zelf hosten
Gids
Uitgebreide gids11 min

8 jul 09:00

Welke privacy-veilige AI-chatbot voor je MKB: Proton Lumo, Mistral Le Chat of zelf hosten

Geen bedrijfsdata bij Amerikaanse AI, maar welke Europese of self-hosted route past bij jou? Een koperskeuzegids die Proton Lumo, Mistral Le Chat en zelf hosten afweegt op prijs, EU-databodem en beheerslast.

Micron investeert in Anthropic en gaat AI-geheugen samen ontwerpen voor Claude
Nieuws
5 min

22 jun 22:16

Micron investeert in Anthropic en gaat AI-geheugen samen ontwerpen voor Claude

Micron en Anthropic sluiten een brede deal: samen geheugen ontwerpen, een meerjarige leveringsovereenkomst en een investering in de Series H. De inzet is goedkopere, betrouwbaardere capaciteit voor Claude.

Anthropic opent kantoor in Seoul en belooft Fable 5 binnen dagen terug
Nieuws
5 min

19 jun 06:26

Anthropic opent kantoor in Seoul en belooft Fable 5 binnen dagen terug

Het exportverbod op Claude Fable 5 en Mythos 5 gaat dag zes in. Vanuit een nieuw kantoor in Seoul zegt Anthropic dat de modellen snel terugkomen, terwijl Fortune onthult hoe een telefoontje van Amazon-CEO Andy Jassy alles in gang zette.

Wat is vendor lock-in? Betekenis, voorbeelden en hoe je eruit komt
Gids
8 min

1 jul 17:45

Wat is vendor lock-in? Betekenis, voorbeelden en hoe je eruit komt

Vendor lock-in is de situatie waarin overstappen zo duur of ingewikkeld is dat je vastzit. Wat het is, hoe het eruitziet per softwarecategorie, en een zelftest plus beslisboom naar je volgende stap.

VS heft exportblokkade op Anthropics Fable 5 en Mythos 5 volledig op
Nieuws
4 min

1 jul 02:05

VS heft exportblokkade op Anthropics Fable 5 en Mythos 5 volledig op

Iets minder dan drie weken na het exportbevel heft de VS de blokkade op Anthropics krachtigste modellen Fable 5 en Mythos 5 volledig op. Het topmodel keert terug, maar de les over afhankelijkheid blijft staan.