De Stemwijzer is lek. De belangrijke tool waarmee kiezers aan de hand van een aantal stellingen een stemadvies krijgt blijkt last te hebben van privacy- en beveiligingsproblemen. Wat is er de afgelopen 2 dagen nou precies ontdekt?

De ophef over de Stemwijzer is tweeledig. Aan de ene kant ontdekte een beveiligingsonderzoeker dat er meerdere beveiligingslekken in de website zaten, maar er is nog een ander probleem: het is niet erg anoniem. De Stemwijzer maakt namelijk gebruik van een aantal tools van Google, én stuurt ieder antwoord door naar de makers van de wijzer.

De site van de Stemwijzer maakt gebruik van zowel Google Analytics voor het meten van websitebezoek, als van Google AdSense voor het tonen van advertenties.
 

Analytics

Google Analytics draait op een groot aantal websites op internet, en is een gedetailleerde manier om het bezoek van websites te meten. Dat betekent dat Google ook precies weet wie wat aanklikt op de website. Opvallend is daarbij dat de website elke keer een berihtje naar Analytics stuurt als er een keus is gemaakt. Dat betekent dat Google via Analytics precies kan zien welke aparte keuzes stemmers maken.

Google-data is via Analytics grotendeels geanonimiseerd, maar dat wil niet zeggen dat gegevens niet tot de persoon te herleiden zijn. ProDemos zegt zelf ip-adressen door Google te laten anonimiseren, maar dat geldt alleen voor Googles eigen diensten. Dat betekent dat het bedrijf zelf niets met de gegevens mag doen, maar dat kan wel als Google er bijvoorbeeld om gevraagd wordt in een gerechtelijk bevel. Ook zou het kunnen dat berichten onderweg onderschept worden.
 

Google Analytics is nooit écht anoniem

Daar komt bij dat de stemkeuzes nog steeds te koppelen zijn aan een unieke identifier. Als je die van iemand kunt achterhalen, is het in theorie mogelijk zijn keuzes te onderscheppen.
 

Data voor onderzoek gebruikt

Er staat daarnaast een opvallende clausule in het privacybeleid van de StemWijzer: data wordt "geanonimiseerd" gebruikt voor onderzoek. Dat gebeurt dit jaar voor het eerst. Er wordt ruwe data 'met encryptie' opgeslagen, en aangeboden aan de Universiteit van Amsterdam. Volgens de clausule is de data geanonimiseerd is kan niemand achterhalen vanaf welke computer de antwoorden zijn verstuurd.

Dat wordt bevestigd door de vondst van Kloeze, die ook zag dat alle data ná het stemmen wordt teruggestuurd naar de server van ProDemos. "Je kunt je afvragen of dat nodig is", schrijft hij in een post. De hele stemwijzer wordt namelijk al voor je begint ingeladen. "Je kunt dan je computer van het internet ontkoppelen en nog steeds de Stemwijzer gewoon maken".
 

Advertentienetwerken

Er is ook kritiek op de advertentienetwerken die op de site van de Stemwijzer staan. Ook die komen van Google af, en zijn afkomstig van het DoubleClick-netwerk. Volgens de Stemwijzer zijn advertenties nodig om de kosten te betalen, maar sommige critici zijn het daar niet mee eens. Uit een jaarverslag bleek vorig jaar namelijk dat ruim 90% van de kosten van de Stemwijzer door de overheid werd gesubsidieerd. Advertenties beslaan maar een minimaal deel van de inkomsten, en kunnen volgens critici dan ook makkelijk van de site worden gehaald.
 

Resultaten af te lezen

De resultaten zijn makkelijk uit te lezen

Er is echter meer aan de hand met de website. Die is namelijk lek, en de resultaten zijn makkelijk uit te lezen. Er wordt al maanden gewaarschuwd dat de website niet veilig is, al zijn er sinds die tijd ook wel veel maatregelen ingevoerd. Zo ging het verkeer lange tijd niet over SSL, maar is er inmiddels https geïmplementeerd. Toch zijn er nog meer dan genoeg fouten in de website te vinden.

Dat ontdekte beveiligingsonderzoeker Loran Kloeze, die zijn bevindingen op Twitter zette. Dat is niet eens moeiijk, want volgens Kloeze kon dat gewoon met de standaard debugging-tools die in browsers zitten. Een gedetailleerdere beschrijving heeft Kloeze op zijn blog gezet. Waar het op neer komt, is dat het eindresultaat te vinden is in een php-script op de pagina. Met een python-applicatie die Kloeze schreef kon hij onderscheppen welke resultaten uit de Stemwijzer naar voren kwamen. Zo kan hij monitoren welke partijen het vaakst wordt gegeven. Dat is belangrijke informatie, al zegt de organisatie achter de Stemwijzer dat dat geen representatieve weergave is van de uiteindelijke resultaten.
 

Manipuleren van resultaten

Belangrijker is het secundaire bewijs dat de website lek is. Waar Kloeze slechts data kan uitlezen, zijn er ook aanwijzingen dat de data actief gemanipuleerd is. In de broncode is namelijk ergens de variabele "SijmenRuwhofIsEenLul" te zijn, een verwijzing naar de beveiligingsonderzoeker die vorige week met RTL aantoonde dat het verkiezingsproces onveilig is.

Het lijkt erop alsof data ook te manipuleren is

Het lijkt erop dat het via een soort injectie mogelijk is eigen velden aan de Stemwijzer toe te voegen. De website 'Meedogenloos.nl' heeft inmiddels geclaimd die wijziging te hebben gedaan, maar geeft daar verder geen bewijs of uitleg over. Volgens een Tweakers-forumlid is het mogelijk om een JSON-injectie op te site uit te voeren. Dat gebeurt door een kwetsbaarheid in het AJAX-script dat ervoor zorgt dat de resultaten uiteindelijk weer worden teruggestuurd naar de server van ProDemos - opnieuw dat punt waar Kloeze zich al zorgen over maakte.

Reactie van ProDemos

ProDemos heeft inmiddels gereageerd op de aantijgingen. Volgens de organisatie heeft het al enkele maanden contact met het Nationaal Cyber Security Centrum om diverse beveiligingsproblemen op te lossen, maar zijn er sinds de onthullingen van Kloeze nog extra maatregelen genomen. De instantie erkent dat het mogelijk was dat de code 'SimonRuwhofiseenlul' op de site kon komen, maar voegt daar direct aan toe dat het nooit mogelijk is geweest om stemmen te beïnvloeden.

Het gevaar van onveilige stemwijzers

Onveilige stem-tools zijn zeker nu een heet hangijzer

Ondanks die uitspraak is de beveiliging van de website juist nu een belangrijk onderwerp. Security-experts waarschuwen er namelijk al maanden voor dat de beveiliging van de aankomende verkiezingen gevaar loopt. Vorige week ontdekte RTL bijvoorbeeld al dat de software waarmee de stemmen worden geteld lek was, waardoor het van een afstandje mogelijk is die te onderscheppen en zelfs te manipuleren.

Daarnaast onthulde de Nationaal Coördinator Terrorismebestrijding Dick Schoof vorige week dat Rusland diverse inbraakpogingen had gedaan bij het Ministerie van Algemene Zaken, al werd er tijdens die hacks geen data buitgemaakt.

Inmiddels is ook al bekend dat Rusland achter de hacks zat op de Democratic National Committee, de Amerikaanse Democratische Partij waarvan vorig jaar tienduizenden emails naar buiten kwamen. Amerikaanse inlichtingen- en opsporingsdiensten hebben inmiddels geconcludeerd dat Rusland dat deed om de verkiezingen actief te beïnvloeden.

De ETNA CM250MZ is officieel bekroond met de Best Reviewed 2025 award van Kieskeurig.nl. Deze matzwarte combi-oven combineert een ruime inhoud van 50 liter met geavanceerde turbo-hetelucht en een intuïtieve touch-bediening. In dit artikel ontdek je waarom consumenten dit model massaal verkiezen boven andere ovens en wat deze award precies betekent voor jouw aankoopkeuze.

Partnerbijdrage - in samenwerking met ETNA

Het vinden van de juiste keukenapparatuur voelt vaak als een gok waarbij je moet kiezen tussen design en functionaliteit. Veel consumenten laten zich leiden door alléén het uiterlijk, om er later achter te komen dat de bakresultaten tegenvallen of de bediening onnodig ingewikkeld is. De jaarlijkse Best Reviewed-award van Kieskeurig.nl maakt een einde aan die onzekerheid door echte gebruikerservaringen centraal te stellen. Na het lezen van dit artikel weet je exact of de ETNA CM250MZ de juiste aanvulling is voor jouw keuken.

©ETNA

Het keurmerk van échte consumentenervaringen

De Best Reviewed 2025-award is geen prijs die door een vakjury achter gesloten deuren wordt uitgereikt, maar een erkenning gebaseerd op talloze onafhankelijke reviews van gebruikers. Een product komt pas in aanmerking voor deze titel als het gedurende het hele jaar consistent hoog scoort op gebruiksvriendelijkheid, prijs-kwaliteitverhouding en prestaties. Voor een merk als ETNA is dat de hoogste vorm van erkenning, omdat het direct reflecteert hoe de apparatuur in de dagelijkse praktijk functioneert. Wanneer je een combi-oven zoekt die dit label draagt, weet je dat andere kopers je al voorgingen en hun goedkeuring hebben gegeven aan de duurzaamheid en het gebruiksgemak van het apparaat.

De techniek achter de matzwarte afwerking

Zodra je de deur van de ETNA CM250MZ opent, voel je de degelijkheid van de scharnieren en het gladde oppervlak van de binnenruimte. Onder de motorkap vind je een krachtig turbo-heteluchtsysteem dat temperaturen tussen de 50 en 250 graden Celsius nauwkeurig vasthoudt.

De bediening van dit model verloopt via een modern touch-paneel met een slider die direct reageert op je vingerbewegingen. In plaats van herhaaldelijk op knoppen te tikken, veeg je soepel door de temperatuurinstellingen en tijden. Dit werkt intuïtief en snel, waardoor je de juiste van de acht ovenfuncties binnen enkele seconden hebt ingesteld voordat je de bereiding start.

©ETNA

Optimaal resultaat in een compacte keuken

Deze oven is bij uitstek geschikt voor huishoudens die de ruimte van een volwaardige oven willen zónder een enorme nis op te offeren. Met een inhoud van 50 liter en meerdere bakniveaus kun je probleemloos twee bakplaten met koekjes of een grote ovenschotel kwijt. De dertien automatische programma's nemen het denkwerk uit handen; je selecteert het type gerecht en het gewicht, waarna de oven zelf de juiste verhouding tussen magnetronvermogen en hetelucht bepaalt. Dat werkt bijzonder goed bij het bereiden van vlees dat sappig van binnen moet blijven, maar een krokante korst vereist. De vijf magnetronstanden bieden bovendien genoeg souplesse om zowel voorzichtig te ontdooien als snel een maaltijd op te warmen.

Beste match voor jou?

Er zijn situaties waarin de ETNA CM250MZ niet de beste match voor je is. Als je een professionele thuisbakker bent die regelmatig meerdere grote broden tegelijk bakt, heb je meer aan de inhoud van een volledig formaat oven. Ook wanneer je keuken een nismaat heeft die afwijkt van de standaard 45 centimeter hoogte, zal dit model niet passen zonder ingrijpende aanpassingen aan je kasten. Voor mensen die moeite hebben met digitale menu's en alleen een simpele knop voor start en stop willen, kan de uitgebreide interface misschien wat overweldigend aanvoelen. Tot slot is dit model minder geschikt voor al te kleine studentenkamers waar een vrijstaand model op het aanrecht de enige optie is, aangezien dit toch echt een inbouwmodel is.

©ETNA

Een betrouwbare alleskunner voor dagelijks gebruik

De ETNA CM250MZ is de Best Reviewed combi-oven van 2025 vanwege de uitstekende balans tussen een luxe matzwart design, een ruime 50 liter inhoud en veelzijdige kookfuncties. Met acht ovenfuncties en dertien automatische programma's biedt het apparaat gebruiksgemak voor zowel snelle opwarmtaken als uitgebreide bakprojecten. Het full touch-bedieningspaneel en de turbo-hetelucht zorgen voor een moderne kookervaring en gelijkmatige resultaten. Dit model is de ideale keuze voor wie een betrouwbare, stijlvolle inbouwoplossing zoekt die door echte gebruikers hoog wordt gewaardeerd op Kieskeurig.nl.

Criminelen lijken een nepwebsite te hebben opgetuigd waar slachtoffers van de Odido-hack zich kunnen melden voor een schadevergoeding door middel van een massaclaim. Hiervoor moeten potentiele deelnemers wel eerst 50 euro overmaken.

Het was te verwachten dat criminele organisaties zouden inspelen op de Odido-hack door potentiële slachtoffers via e-mail of via sms te benaderen met de mededeling dat ze in aanmerking komen voor bijvoorbeeld compensatie.

De website odidoschadevergoeding.nl zegt slachtoffers van de Odido-hack te willen helpen met een claim tegen de internetprovider. Hiervoor moeten er eerst veel persoonlijke gegevens worden ingevoerd, waaronder voor- en achternaam, e-mailadres, woongegevens en telefoonnummer.

Opvallend is ook dat de website het Odido-klantnummer wil weten, alsmede welk type abonnement het slachtoffer van de hack bij de provider had afgenomen.

Tienduizenden euro's

Zijn al je gegevens ingevuld, dan beweert odidoschadevergoeding.nl dat je wel zo'n 10.000 euro aan schade kunt verhalen. Volgens de Consumentenbond zou het echter nog veel te vroeg zijn voor een dergelijke schadeclaim omdat het onderzoek ernaar nog niet is afgrond. Daarnaast zijn de beloofde bedragen erg hoog.

Bovendien moet je - om mee te kunnen doen met de claim - een bedrag van 49,99 euro betalen. Je krijgt zelfs 'korting' als je de claim via WhatsApp deelt met je vrienden en familie.

Gegevens

Op de website odidoschadevergoeding.nl wordt een adres in Eindhoven genoemd als zijnde contactgegevens, maar dit blijkt een restaurant te zijn. Het is dus niet duidelijk wie er achter deze website zit. Het domein is geregistreerd op 16 februari 2026, daags nadat de hack naar buiten kwam. De eigenaar lijkt Kollox.nl te zijn, dat bedrijf is volgens de Kamer van Koophandel een eenmanszaak gespecialiseerd in juridische- en ict dienstverlening.

(te)veel klachten bij AP

De Autoriteit Persoonsgegevens roept mensen op om te stoppen met het melden van de Odido-datalek bij de autoriteit. Volgens een melding op hun website houdt de AP de situatie zelf in de gaten. Zij vinden het vooral belangrijk dat Odido haar klanten zo goed mogelijk blijft informeren, ook over de gevolgen.