Privacy-onderzoeker weerlegt verklaring Landsadvocaat

Pels Rijcken – dat optreedt als advocaat van de Nederlandse staat – reageerde eerder op haar website ontkennend op berichtgeving van BNR Nieuwsradio over vermeende privacy-overtredingen op haar websites. Het kantoor verklaarde op basis van een second opinion door beveiligingsbedrijf Northwave dat er géén gegevens zonder toestemming met Amerikaanse techbedrijven werden gedeeld. De analysetool Hotjar zou data immers keurig binnen de Europese Unie (EU) verwerken. Volgens onderzoeker Mick Beer rammelt dat weerwoord aan alle kanten.

De blinde vlek: Waarom EU-hosting de CLOUD Act niet stopt

Het hoofdargument van Pels Rijcken – dat data binnen de grenzen van de EU blijft – raakt volgens Beer aan een wezenlijke juridische laag die het kantoor weglaat. Hoewel Hotjar de data van websitebezoekers fysiek host op servers in Ierland, maakt het platform gebruik van de cloud-infrastructuur van Amazon Web Services (AWS). AWS is een directe dochteronderneming van het Amerikaanse Amazon.com Inc. Onder de Amerikaanse CLOUD Act van 2018 kunnen Amerikaanse autoriteiten techbedrijven uit de VS dwingen om gegevens af te staan, ongeacht waar ter wereld de servers fysiek staan opgesteld, aldus Beer.

Het Europees Hof van Justitie trok hierin in het spraakmakende Schrems II-arrest al een harde streep: opslag bij een Amerikaanse partij geldt juridisch gezien als een datadoorgifte naar de Verenigde Staten en daarmee aanvullende waarborgen vereist conform AVG artikel 44 tot en met 49, aldus Beer.

De European Data Protection Board (EDPB) schrijft in haar richtlijnen voor dat in zulke constructies zware, aanvullende technische waarborgen vereist zijn – waarborgen die op de websites van de Landsadvocaat ontbraken zo meldt Beer.

De juridische logica is hiermee exact gelijk aan de actuele privacy-rel rondom Microsoft, waarbij namen van Nederlandse DSA-ambtenaren via de Microsoft-cloud in handen kwamen van de Amerikaanse overheid, aldus Beer.

Grote schoonmaak achter de schermen

Daarnaast weerspreekt Beer de bewering van Pels Rijcken dat het slechts ging om enkele „slordigheden” met embedded YouTube-video's die inmiddels via dagelijkse cookiescans worden gladgestreken. De werkelijke hersteloperatie (remediation) op de achtergrond was vele malen omvangrijker dan het advocatenkantoor doet voorkomen. Uit de monitoring van de Nationale Privacy Index blijkt dat Pels Rijcken tussen 18 en 21 mei 2026 –  in de drie dagen tussen ontvangst van de bevindingen en de BNR Nieuwsradio publicatie – haastig zware tracking- en analytics software van de homepages heeft verwijderd, zo beweert Beer.

Niet alleen werden YouTube-video's die al vóór expliciete toestemming (pre-consent) cookies plaatsten aangepakt, ook Google Tag Manager en de omstreden session-recording van Hotjar werden volledig van de websites verwijderd. Met die laatste functie kan het exacte muis- en navigeergedrag van websitebezoekers worden vastgelegd en achteraf worden teruggekeken via een dashboard, aldus Beer.

Context en standpunten in het debat

Met de technische en juridische repliek van onderzoeker Mick Beer zijn de verschillende standpunten in het debat nader gedefinieerd. De discussie raakt aan de rol van Pels Rijcken als Landsadvocaat, een functie waarin het adviseren van de overheid over privacy risico’s en compliance deadlines een belangrijk onderdeel vormt.

Waar Pels Rijcken publiekelijk vasthoudt aan het standpunt dat de initiële berichtgeving technisch onjuist was, wijst Mick Beer op de aanpassingen die in dezelfde periode aan de tracking-scripts zijn doorgevoerd. Deze gelijktijdige gebeurtenissen leiden tot verschillende interpretaties: critici zien hierin een bevestiging dat de situatie eerder werd gebagatelliseerd, terwijl de doorgevoerde wijzigingen vanuit een ander perspectief kunnen worden beschouwd als een directe en adequate reactie op de binnengekomen signalen.