Ethisch hacker en app-maker ruziën over privacy-lek in supporters-app

dinsdag, 7 juli 2026 (14:03) - Computable

In dit artikel:

De discussie draait om PDT, een app van de Zwolse leverancier Siip waarmee supporters van eredivisieclubs wedstrijdkaarten kunnen kopen en hun identiteit koppelen aan een ticket. Maatschappelijk hacker Mick Beer zegt dat de app gevoelige gegevens zoals een pasfoto, BSN en handtekening via een Amazon-server in Ierland laat lopen en daar opslaat. Daardoor zouden die data onder de Amerikaanse Cloud Act kunnen vallen, wat betekent dat de Amerikaanse overheid ze mogelijk kan opeisen.

Siip bestrijdt dat fel. Directeur Remco Voorhorst stelt dat de gegevens alleen tijdelijk versleuteld via de backend gaan voor een controle op echtheid volgens ICAO-standaarden, waarna ze direct worden verwijderd. Volgens hem worden de persoonsgegevens uiteindelijk alleen decentraal op de telefoon opgeslagen; op de server zou hooguit een versleuteld e-mailadres staan.

Beer zegt dat zijn bevindingen goed zijn onderbouwd met documenten, tests en publicaties, en verwijt Siip juist dat het bedrijf zijn kritiek wegzet als verkeerde aannames. Siip vindt op zijn beurt dat Beer zijn zorgen zonder correcte melding heeft gedeeld en daarmee de regels voor responsible disclosure heeft overtreden. De app wordt al door meerdere clubs gebruikt en zou vanaf seizoen 2027/2028 mogelijk breed in de eredivisie worden ingevoerd. De KNVB heeft nog geen inhoudelijke reactie gegeven.

BEKIJK OOK:

De Oranjezomer: Guido den Aantrekker over Frans Timmermans als Minister van Staat: 'Wat heeft hij gepresteerd?!'