Als je bij de geheime dienst solliciteert, weet Google dat als eerste

donderdag, 30 oktober 2025 (06:08) - Follow the Money

In dit artikel:

Een undercoveronderzoek van Follow the Money toont dat sollicitaties voor de Nederlandse inlichtingendiensten online niet zo geheim zijn als gedacht: tijdens het bekijken en invullen van vacatures op werkenvoornederland.nl kunnen Amerikaanse techbedrijven meekijken en mogelijk zelfs gegevens aan Amerikaanse autoriteiten toegankelijk worden. Dit brengt volgens experts de veiligheid van (potentiële) medewerkers van de AIVD en MIVD in gevaar.

Het verhaal begint met een fictieve sollicitante, ‘Marleen’, die op werkenvoornederland.nl een vacature bij de AIVD bekijkt en op “solliciteren” klikt. Die handelingen sturen volgens het onderzoek realtime signalen naar diensten als Google Analytics: IP-adres, informatie over besturingssysteem en browser, en client-ID’s. Tech- en inlichtingenexpert Bert Hubert en juridisch-onderzoeker Cristiana Santos stellen dat deze gegevens gecombineerd identificerend kunnen zijn. Google zegt IP-adressen te anonymiseren en betwist dat personen herleidbaar zijn, maar de AIVD, MIVD en het ministerie van Binnenlandse Zaken (BZK) erkennen dat zij niet kunnen controleren of Google zich aan die belofte houdt.

Naast Google lopen er volgens FTM meerdere Amerikaanse partijen mee in het proces. De vacaturepagina’s worden gehost via Bloomreach, dat servercapaciteit afneemt bij Amazon Web Services; al het verkeer gaat ook langs Cloudflare. Voor het sollicitatieformulier gebruikt de overheid de HR-software van Tangram (Houten), waar sollicitanten persoonlijke gegevens invullen (naam, geboortedatum, adres, telefoon, e-mail). Tangram deelt lijsten met de diensten. Voorheen werden cv’s automatisch uitgelezen met Textkernel; dat bedrijf is inmiddels verkocht aan het Amerikaanse Bullhorn, waardoor ook die verwerking onder Amerikaanse jurisdictie valt. De AIVD heeft de automatische cv‑uitlezing inmiddels stopgezet; de MIVD was daar al eerder mee gestopt.

Juridisch rijmt dit slecht met de AVG, aldus Santos: als data herleidbaar zijn tot een persoon gaat het om persoonsgegevens die alleen met expliciete toestemming mogen worden verwerkt — toestemming die bezoekers van werkenvoornederland.nl niet expliciet krijgen. Privacytoezichthouders in Europa hebben eerder al kritiek geuit op Google Analytics; Italië oordeelde in 2022 dat Google onvoldoende beschermt tegen toegang door Amerikaanse autoriteiten. De Nederlandse Autoriteit Persoonsgegevens maakte geen definitief oordeel, maar waarschuwde voor risico’s bij doorgifte naar de Verenigde Staten.

Een extra politiek gevoelige factor is dat Amerikaanse wetgeving (zoals het CLOUD Act en soortgelijke regimes) bedrijven kan dwingen data te overhandigen aan de Amerikaanse overheid, ongeacht waar die data staan. Experts en oud-AIVD’ers waarschuwen dat buitenlandse inlichtingendiensten via deze routes kunnen achterhalen wie zich bij Nederlandse diensten meldt — waardevolle aanknopingspunten om mensen te benaderen, onder druk te zetten of te rekruteren. CDA-Kamerlid Derk Boswijk noemt de officiële reacties te rooskleurig en pleit voor een kritische heroverweging van de afhankelijkheid van Amerikaanse systemen.

De diensten en het ministerie houden vol dat het selectieproces “pas” begint zodra een volledige sollicitatie is verzonden en dat nadere selectie offline en binnen beveiligde systemen plaatsvindt; critici noemen die onderscheiding een semantische redenering die de reële risico’s niet wegneemt. Ironisch genoeg waarschuwde de AIVD onlangs publiekelijk nog voor het gevaar dat buitenlanders online vacatures afspeuren op mogelijke kandidaten.

Kortom: door gebruikte trackers, Amerikaanse hosting/HR-leveranciers en de complexiteit van internationale wetgeving bestaat het risico dat gegevens van personen die een carrière bij de AIVD of MIVD overwegen, buiten Nederlandse controle belanden. Deskundigen en politici vinden dat dit moet veranderen: de overheid zou minder afhankelijk moeten zijn van buitenlandse techleveranciers of strengere beschermingsmaatregelen moeten afdwingen om gevoelige sollicitatiegegevens echt af te schermen.