Je gaat naar je club, zoals je dat al jaren doet. Alleen de manier waarop je binnenkomt, verandert. Bij een groeiend aantal clubs scan je eerst je paspoort voordat je toegang krijgt. Het wordt gebracht als gemak: je identiteit is je toegangsbewijs, dus geen los kaartje meer nodig, gewoon even scannen en doorlopen.

De vraag die daaronder ligt, krijgt weinig aandacht. Wat geef je precies weg voor dat gemak, en waar belanden die gegevens? Privacyonderzoeker Mick Beer zocht het uit voor het systeem dat erachter zit. Zijn bevindingen roepen vragen op die elke supporter aangaan.

Je paspoort aan de poort

Het systeem heet Persoonlijke Digitale Toegang, kortweg PDT, en komt van het Zwolse bedrijf SIIP. Bij de eerste registratie houd je je paspoort of ID tegen je telefoon, die de chip uitleest. Daarna kom je binnen met een simpele barcode. Handig, is de gedachte: je scant en je staat binnen, zonder gedoe.

Je was al niet anoniem, maar dit gaat verder

Laten we eerlijk zijn: volledig anoniem naar het voetbal ga je al lang niet meer. Wie een seizoenkaart heeft, staat met naam en toenaam in de administratie van zijn club. De vraag of je recht hebt op anonimiteit in een stadion is dus niet nieuw, en het antwoord was ook vóór PDT al niet zwart-wit.

Het verschil zit in de diepte. Een seizoenkaart koppelt je naam aan een stoel. Een paspoortscan koppelt je aan het document waarmee de overheid je identiteit vaststelt. Dat is een andere categorie gegevens. En juist omdat het als gemak wordt gepresenteerd, sta je er misschien niet bij stil hoeveel je meegeeft.

Vier clubs, één app, en een bond die verder wil

PDT draait niet bij één club. Onder meer PEC Zwolle, FC Eindhoven, ADO Den Haag en NAC Breda gebruiken dezelfde app, een gestandaardiseerde versie die per club wordt uitgerold op gedeelde servers in Ierland. Volgens Beer wil de KNVB het systeem vanaf het seizoen 2027/28 tot landelijke standaard maken. Wat nu bij een handvol clubs draait, kan straks overal aan de poort staan.

Wat het onderzoek laat zien

Beer, die zich als onafhankelijk onderzoeker op privacy richt, mat het dataverkeer van de app. Niet alles is negatief. De gevoeligste onderdelen, zoals je identiteit en je tickets, zijn volgens hem netjes beveiligd, en reclamecode van andere bedrijven trof hij niet aan.

Zijn zorgen zitten elders. Meteen bij het opstarten stuurt de app volgens zijn metingen gebruiksgegevens naar Amerikaanse partijen, zonder dat je daar toestemming voor geeft. En bij de registratie gaat er meer naar de servers dan de paar velden die je op je scherm ziet. In een vervolgonderzoek legt Beer op basis van het onderschepte dataverkeer vast dat ook je burgerservicenummer en de foto uit de chip van je paspoort worden verstuurd. De verplichte privacytoets achter het systeem, de zogeheten DPIA, is niet openbaar, en de privacyverklaring vertelt volgens hem niet het hele verhaal over wie je gegevens verwerkt.

Beer wijst ook op de commerciële kant. SIIP-directeur Remco Voorhorst omschrijft geïdentificeerde bezoekers volgens hem als “exciting commercial opportunities”, oftewel mensen aan wie je gericht iets kunt aanbieden.

SIIP betwist de conclusie

Voorhorst is het niet eens met de zwaarste conclusie. In zijn reactie aan Beer stelt hij dat het niet klopt dat je identiteit het toestel verlaat en een profiel op de server wordt. Wel bevestigt hij dat er commerciële voordelen aan het systeem zitten, en noemt hij privacy “randvoorwaardelijk”. Beer houdt daar zijn eigen meting tegenover, die volgens hem juist het tegendeel laat zien. Het is dus geen uitgemaakte zaak, maar een discussie tussen een onderzoeker en de leverancier van het systeem.

Wat dit voor supporters betekent

Waar het op neerkomt, zijn drie dingen. Het eerste is de keuze, of het gebrek daaraan. Wil je je paspoort niet laten scannen, dan is er straks misschien geen andere manier om binnen te komen.

Het tweede is de veiligheid van je gegevens, en dat is misschien wel het grootste punt. Hoe meer identiteitsdata er op één plek wordt bewaard, hoe interessanter die plek wordt voor mensen met verkeerde bedoelingen. Datalekken zijn allang geen uitzondering meer, ze halen bijna wekelijks het nieuws. De eerdere hack bij Ajax, waarbij de gegevens van honderdduizenden supporters kwetsbaar bleken, liet al zien dat ook een grote voetbalclub niet onaantastbaar is. Gaat het een keer mis, dan gaat het niet om een verloren pasje, maar om je burgerservicenummer en de foto uit je paspoort. Die liggen dan op straat, en je BSN verander je niet even zoals een wachtwoord.

Het derde is de transparantie. Zolang niet helder is welke gegevens waarheen gaan, kun je geen eerlijke afweging maken.

En dat is precies het punt. Het gemak is echt, maar het is ook het verkoopargument. Zolang het als handigheidje wordt gebracht, valt makkelijk weg hoeveel van jezelf je ervoor inlevert.

De vraag die overblijft

Toegangscontrole is niet nieuw, en clubs hebben goede redenen om te weten wie er binnen is. De vraag is niet óf er controle mag zijn, maar hoeveel van je identiteit daarvoor nodig is, waar die gegevens terechtkomen, en wie daarover beslist. Zolang de onderliggende stukken niet openbaar zijn en onderzoeker en leverancier het oneens zijn over wat er precies gebeurt, blijft die vraag open. Voor iets dat straks misschien overal geldt, is dat het waard om scherp te blijven volgen.