Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Awards
    • Computable Awards
    • Nieuws
    • Winnaars
    • Partner worden
    • Inzendingen
    • De jury en experts
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Magazine
    • Magazine
    • Adverteren in het magazine
  • Nieuwsbrief

Ethisch hacker en app-maker ruziën over privacy-lek in supporters-app

[Afbeelding: Mtkang/Shutterstock]
07 juli 2026 - 14:003 minuten leestijdActueelGovernance & PrivacySiip
Pim van der Beek
Pim van der Beek

Een app waarmee voetbalsupporters van eredivisieclubs wedstrijdkaarten kopen, stuurt privacygevoelige data zoals een pasfoto, BSN en handtekening naar een Amazon-server in Ierland en slaat die gegevens daar op. Daardoor vallen die data onder de Amerikaanse Cloud Act en kunnen deze gevorderd worden door de Amerikaanse staat, waarschuwt maatschappelijk hacker Mick Beer. Volgens de app-maker Siip zit Beer door een verkeerde aanname in een tunnelvisie en is zijn conclusie onjuist. De zaak is verhard en de beschuldigingen vliegen inmiddels over en weer.

Mick Beer is zelfstandig bouwer en onderzoeker van ‘privacy-first systemen’. Eerder vond hij ongeoorloofde cookies in een app van de Belastingdienst. Hij onderzoekt nu de app PDT (Persoonlijke Digitale Toegang). Deze app van de Zwolse leverancier Siip koppelt de identiteit van de gebruiker aan een toegangsticket voor voetbalwedstrijden. De ontwikkelaar stelt dat het id-profiel van de gebruiker het toestel niet verlaat en dat dit niet op een server wordt opgeslagen. Volgens Beer is dat wel het geval.

In een mailwisseling die Beer integraal heeft gepubliceerd, schrijft Siip-directeur Remco Voorhorst. ‘Om te zorgen dat er met gevalideerde gegevens wordt gewerkt, voeren wij passive authentication uit volgens de ICAO 9303 standaard. De datagroepen die noodzakelijk zijn om dit uit te voeren, worden versleuteld via de backend geleid voor de noodzakelijke cryptografische echtheidscontrole, waarna ze direct van onze servers worden verwijderd.’ Hij stelt dat zodra de echtheid van een document is gevalideerd, dit leidt dit tot een gebruikersaccount bij Siip. ‘De gevalideerde persoonsgegevens worden vervolgens teruggeleid tot het finaliseren van het account en decentraal opgeslagen op de telefoon.’

Er is volgens Voorhorst geen sprake van opslag van deze persoonsgegevens op een server. Er wordt op de server wel een account aangemaakt om dienstverlening te kunnen uitvoeren en daarvoor accepteert de gebruiker de voorwaarden van Siip. ‘Het e-mailadres van de gebruiker wordt wel versleuteld op de server opgeslagen’, voegt Voorhorst toe.

Publicatie van onderzoek

Beer beweert dat zijn bewijs wel klopt en heeft hiervoor ter onderbouwing inmiddels een hele serie documenten gepubliceerd. Volgens de app-maker zijn er daarmee regels geschonden voor responsible disclosure doordat Beer zijn ‘aannames’ zonder een juiste melding heeft verspreid. Beer blijft in zijn standpunt onderbouwen met uitgebreide publicaties, documenten en onderzoeken waaruit volgens hem blijkt dat de privacy van de app niet deugt.

De app waar het over gaat wordt inmiddels door meerdere clubs gebruikt en er zijn plannen om deze in het seizoen 2027/2028 eredivisie-breed in te voeren, zegt Beer. In zijn blog deelt hij zijn bevindingen en testmethoden. De KNVB is om een reactie gevraagd. De voetbalbond zegt daar later deze week op terug te komen.

Meer over

dataethiekPrivacyserver

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Videobeveiliging naar de cloud

    Ontwikkelingen in videobeveiliging en cloud-gebaseerde securityplatformen

    Computable.nl

    Route naar digitale autonomie en soevereiniteit

    Van A(merikaans) naar Beter. Complexiteit zit niet in de nieuwe locatie, maar de weg er naar toe.

    Computable.nl

    Comeback? Private Cloud heroverwogen.

    Waarom regie, security en controle opnieuw centraal staan

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Awards-nominaties

    Pijl naar rechts icoon

    Check Point

    Nadia van Beelen (Sales Associate, Check Point Technologies)
    Pijl naar rechts icoon

    ForceFusion

    Amber Quist (Cyber security specialist, ForceFusion)
    Pijl naar rechts icoon

    Hyperfox

    Vereenvoudiging bestelproces bij Duplast, specialist in voedselverpakkingen (Duplast en Hyperfox)
    Pijl naar rechts icoon

    Prodek Solutions BV

    Compleet pakket voor digitale aansturing duurzame energie bij Odura (Odura en Prodek Solutions)
    Pijl naar rechts icoon

    Norday

    Hyper-gepersonaliseerde cultuurpodcasts die nieuwe bezoekers vaker laten terugkomen via Wondercast (Norday en het Rotterdams Philharmonisch Orkest)
    Alle inzendingen
    Pijl naar rechts icoon

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    Software & Development

    Businessanalyse als fundament voor duu...

    Een effectief traject begint bij het expliciet maken van businesswaarde. Die businesswaarde bestaat uit meer dan alleen functionele wensen. Het vraagt inzicht in de essentiële data, afhankelijkheden binnen processen en...

    Meer persberichten

    Meer lezen

    Cloud & Infrastructuur

    Rijk scherpt cloudbeleid aan: minder afhankelijk van VS en strengere eisen, maar lange overgangstermijn

    Overheid

    Solvinity in de aanval: Staat blokkeert verkoop maar wilde zelf nooit toehappen

    De overstap
    Data & AI

    Soevereiniteit: gemak wint nog vaak van principes

    Cloud & Infrastructuur

    Azure en AWS voorlopig onder DMA-toezicht: 9 vragen over EC‑besluit

    Google Big Tech
    Cloud & Infrastructuur

    Kort: Google Cloud doorstaat privacytoets Rijk, ai ‘vertaalt’ ziekenhuisgesprekken (en meer)

    Governance & Privacy

    Mobiele security stopt niet bij Android en iOS

    ...

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Computable Awards
    • Magazine
    • Ontvang Computable e-Magazine
    • Cybersec e-Magazine
    • Topics
    • Phishing
    • Ransomware
    • NEN 7510

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten
    • Blogwire

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2026 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs