Een app waarmee voetbalsupporters van eredivisieclubs wedstrijdkaarten kopen, stuurt privacygevoelige data zoals een pasfoto, BSN en handtekening naar een Amazon-server in Ierland en slaat die gegevens daar mogelijk ook op. In dat geval vallen die data onder de Amerikaanse Cloud Act en kunnen deze gevorderd worden door de Amerikaanse staat, waarschuwt maatschappelijk hacker Mick Beer. Volgens de app-maker Siip zit Beer door een verkeerde aanname in een tunnelvisie en zijn diens vervolgconclusies onjuist. De zaak is verhard en de beschuldigingen vliegen inmiddels over en weer.
Mick Beer is zelfstandig bouwer en onderzoeker van ‘privacy-first systemen’. Eerder vond hij ongeoorloofde cookies in een app van de Belastingdienst. Hij onderzoekt nu de app PDT (Persoonlijke Digitale Toegang). Deze app van de Zwolse leverancier Siip koppelt de identiteit van de gebruiker aan een toegangsticket voor voetbalwedstrijden. De ontwikkelaar stelt dat het id-profiel van de gebruiker het toestel niet verlaat en dat dit niet op een server wordt opgeslagen. Volgens Beer is dat mogelijk wel het geval en staat sowieso vast dat er data naar de server wordt gestuurd, of er ook opslag plaatsvindt is nog onderdeel van vervolgonderzoek.
In een mailwisseling die Beer integraal heeft gepubliceerd, schrijft Siip-directeur Remco Voorhorst. ‘Om te zorgen dat er met gevalideerde gegevens wordt gewerkt, voeren wij passive authentication uit volgens de ICAO 9303 standaard. De datagroepen die noodzakelijk zijn om dit uit te voeren, worden versleuteld via de backend geleid voor de noodzakelijke cryptografische echtheidscontrole, waarna ze direct van onze servers worden verwijderd.’ Hij stelt dat zodra de echtheid van een document is gevalideerd, dit leidt dit tot een gebruikersaccount bij Siip. ‘De gevalideerde persoonsgegevens worden vervolgens teruggeleid tot het finaliseren van het account en decentraal opgeslagen op de telefoon.’
Er is volgens Voorhorst geen sprake van opslag van deze persoonsgegevens op een server. Er wordt op de server wel een account aangemaakt om dienstverlening te kunnen uitvoeren en daarvoor accepteert de gebruiker de voorwaarden van Siip. ‘Het e-mailadres van de gebruiker wordt wel versleuteld op de server opgeslagen’, voegt Voorhorst toe.
Publicatie van onderzoek
Beer beweert dat er onrechtmatig persoonlijke data wordt verstuurd en heeft hiervoor ter onderbouwing inmiddels een hele serie documenten gepubliceerd. Volgens de app-maker zijn er daarmee regels geschonden voor responsible disclosure doordat Beer zijn ‘aannames’ zonder een juiste melding heeft verspreid. Beer blijft in zijn standpunt onderbouwen met uitgebreide publicaties, documenten, onderzoeken en een juridisch onderbouwing waaruit volgens hem blijkt dat de privacy van de app niet deugt. ‘De AVG kent geen vrijstelling voor vluchtige data of transit-verwerkingen’, schrijft Beer.
De app waar het over gaat wordt inmiddels door meerdere clubs gebruikt en er zijn plannen om deze in het seizoen 2027/2028 eredivisie-breed in te voeren, zegt Beer. In zijn blog deelt hij zijn bevindingen en testmethoden. De KNVB is om een reactie gevraagd. De voetbalbond zegt daar later deze week op terug te komen.
Dit bericht is 7 juli rond 22.00 uur aangepast. Eerder stond er dat Beer zou claimen dat persoonlijke data op de server wordt bewaard, maar dat is niet vastgesteld. Alleen het verzenden van de data naar de server is vastgesteld of de gegevens ook worden opgeslagen is onderwerp van vervolgonderzoek.

Een interessante discussie. De uitleg van de applicatiebouwer roept namelijk wel enkele vragen op als we kijken naar de commerciële belangen rond persoonsgegevens en de rol van de sportbonden daarin. Dat is niet zozeer een tunnelvisie, maar een logisch gevolg van de economische werkelijkheid want de persoonsgegevens vertegenwoordigen waarde en verschillende partijen hebben uiteenlopende belangen bij een verwerking ervan. Juist daarom is transparantie over technische architectuur, de gegevensstromen en de governance van een app belangrijker dan het afdoen van kritiek als een verkeerde aanname. De kern van de discussie is namelijk niet of gegevens wel of niet worden opgeslagen maar hoe, waar, door wie en onder welke voorwaarden zij worden verwerkt.