Skip to main content
Blog
Blog

De PII blinde vlek in webbeveiliging

Maar PII beweegt zich door de frontend, waar de controles zwakker zijn en het zicht vaak beperkt is.

Jul 30, 2025 11 min read
blog-cover-the-pii-blind-spot
Share this post on X (Twitter) Visit cside on Instagram Share this post on LinkedIn

Personally Identifiable Information (PII) staat centraal in privacywetgeving en standaarden voor gegevensverwerking. De meeste organisaties richten zich op hoe deze gegevens worden opgeslagen en verwerkt in backendsystemen. Maar PII beweegt zich ook door de frontend, waar de controles zwakker zijn en het zicht vaak beperkt is.

Client-side scripts introduceren privacyrisico's die moeilijk te detecteren zijn. Deze scripts zijn doorgaans bedoeld voor analytics, advertenties, verbetering van de gebruikerservaring of betalingsverwerking. Zodra ze in de browser zijn geladen, kunnen ze pagina-inhoud observeren, met formulieren interacteren, cookies raadplegen en uitgaande verbindingen maken.

De meeste websites houden niet bij wat deze scripts doen. Daardoor kunnen ze gevoelige gegevens aan derden blootstellen zonder dat ze het weten.

Om het risico te beperken, is het belangrijk te begrijpen wat als PII kwalificeert. Het is ook belangrijk te weten waar het in de browser kan verschijnen. Ons onlangs uitgebrachte behavior dashboard helpt die informatie zichtbaar te maken.

Wat valt er onder PII?

De kern van het PII-begrip is in de meeste regelgeving consistent. PII verwijst naar alle gegevens waarmee een persoon kan worden geïdentificeerd, hetzij op zichzelf, hetzij in combinatie met andere informatie.

Veelvoorkomende voorbeelden van PII zijn:

  • Naam
  • Thuisadres
  • Telefoonnummer
  • E-mailadres
  • Geboortedatum
  • Nationaal ID- of paspoortnummer
  • Financiële rekeninggegevens
  • Inloggegevens

Dit zijn allemaal directe identificatoren. Maar veel privacyregelgeving omvat ook indirecte identificatoren wanneer deze herleid kunnen worden naar een persoon. Dit omvat:

  • IP-adressen
  • Apparaat-ID's
  • Browser fingerprints
  • Cookie-waarden
  • Locatiegegevens
  • Unieke tracking-ID's
  • Sessietokens

GDPR-vereisten met betrekking tot PII

De GDPR definieert PII als:

Uit overweging 30 van de GDPR:

"Natuurlijke personen kunnen worden geassocieerd met online identificatoren die worden verstrekt door hun apparaten, applicaties, hulpmiddelen en protocollen, zoals internetprotocoladressen, cookie-identificatoren of andere identificatoren zoals radiofrequentie-identificatietags."

Link

Uit artikel 4(1) GDPR:

"Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon… met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator…"

Link

De GDPR noemt specifieke voorbeelden:

  • IP-adressen
  • Cookie-identificatoren
  • Locatiegegevens
  • Online identificatoren zoals apparaat- of browser-ID's

Deze vallen allemaal onder "online identificator."

HIPAA-vereisten met betrekking tot PII

HIPAA definieert PII als:

Uit de HIPAA de-identificatierichtlijnen:

"Apparaat-identificatoren en serienummers; web-URL; internetprotocol (IP)-adres; … Elk ander uniek identificerend nummer, kenmerk of code."

Link

HIPAA definieert 18 identificatoren die moeten worden verwijderd om Protected Health Information (PHI) te de-identificeren. Deze omvatten onder andere:

  • Apparaat-identificatoren en serienummers
  • IP-adressen
  • Web-URL's
  • Elk ander uniek identificerend nummer of code

PCI DSS-vereisten met betrekking tot PII

PCI DSS definieert PII als:

Uit PCI DSS v4.0, sectie 3.3:

"Maskeer PAN bij weergave (de eerste zes en laatste vier cijfers zijn het maximale aantal weer te geven cijfers)."

Link

PCI DSS richt zich specifiek op de bescherming van kaarthoudergegevens en gevoelige authenticatiegegevens. Dit omvat:

  • Primary Account Number (PAN)
  • Naam van de kaarthouder
  • Vervaldatum
  • Servicecode Card Verification Value (CVV, CVC)
  • PIN- en PIN-blockgegevens
  • Magnetische streep- of chipgegevens

Anders dan GDPR of HIPAA classificeert PCI DSS IP-adressen, cookies, apparaat-ID's of browser-identificatoren niet als gevoelige gegevens. De reikwijdte van de standaard is beperkt tot de bescherming van betaalkaartinformatie, wat logisch is gezien het doel ervan.

Al het bovenstaande maakt uiteraard wel deel uit van PII.

CCPA / CPRA

CCPA / CPRA definieert PII als:

Van het California Privacy Protection Agency:

"Persoonlijke informatie omvat alle gegevens die u of uw huishouden identificeren, betrekking op hebben, of redelijkerwijs direct of indirect aan u kunnen worden gekoppeld … IP-adres."

Link

"Informatie die een bepaalde consument of huishouden identificeert, betrekking op heeft, beschrijft, in verband kan worden gebracht met, of redelijkerwijs direct of indirect aan een bepaalde consument of huishouden kan worden gekoppeld."

Link

Uit Colorado Senate Bill 21‑190:

"'GEÏDENTIFICEERD OF IDENTIFICEERBAAR INDIVIDU' betekent een individu dat gemakkelijk kan worden geïdentificeerd, direct of indirect, met name door verwijzing naar een identificator zoals een naam, een identificatienummer, specifieke geolocatiegegevens of een online identificator."

Link

CCPA/CPRA beschermt een breed scala aan identificatoren, waaronder:

  • IP-adressen
  • Apparaat-ID's
  • Browser fingerprints
  • Cookie-waarden
  • Locatiegegevens
  • Unieke tracking-ID's
  • Sessietokens
  • Browsegeschiedenis

Hoe PII in de browser wordt blootgesteld

PII wordt vaak verwerkt op de frontend. Daar is het zichtbaar voor de gebruiker en wordt het in formulieren ingevoerd. Het zicht op wat scripts kunnen raadplegen is beperkt, en gedrag is moeilijker te controleren. Vrijwel alle moderne websites bevatten JavaScript-bibliotheken en -diensten van derden. Deze kunnen afkomstig zijn van analytics-aanbieders, advertentieplatforms, klantenondersteuningstools of marketingoptimalisatieleveranciers.

Zodra deze scripts in de browser zijn geladen, worden ze uitgevoerd met volledige toegang tot de pagina.

Ze kunnen:

  • Formulierinvoer lezen terwijl gebruikers typen
  • Cookies en lokale opslag raadplegen
  • De DOM analyseren en zichtbare gegevens extraheren
  • Gebruikersgedrag volgen
  • Netwerkverzoeken doen naar externe domeinen

Sommige scripts zijn ontworpen om deze informatie te verzamelen. Andere krijgen onbedoeld toegang door de manier waarop ze zijn geïmplementeerd. En het allerbelangrijkste: alle scripts hebben technisch gezien toegang tot die PII.

Dit betekent: persoonsgegevens kunnen worden blootgesteld aan systemen buiten uw controle.

Deze gegevens hoeven niet in een database te worden opgeslagen om een risico te vormen. Als een script formulierinvoer of cookiegegevens naar een externe server stuurt, kwalificeert dat als een PII-overdracht. Als dat script toebehoort aan een leverancier die u niet volledig controleert, of aan een domein dat u niet herkent, kan dit snel een complianceprobleem worden.

De meeste websites loggen niet wat er in de browser gebeurt. Dat maakt client-side activiteit moeilijk te auditen. Zelfs geavanceerde server-side monitoring legt dit gedrag niet vast.

Ons behavior dashboard helpt nu deze lacune op te vullen.

Het volgt twee kritieke soorten blootstelling:

  1. Verzoekgegevens: welke scripts uitgaande verzoeken doen en naar welke domeinen.
  2. Formuliertoegang: welke scripts invoervelden lezen of ermee interacteren.

Als een script het e-mailadres van een gebruiker leest of naar een externe server stuurt, registreert het dashboard dit. Als een sessietoken naar een trackingpixel of analytics-domein wordt gestuurd, verschijnt dat ook. Deze informatie kan teams helpen om onbedoelde blootstellingen of beleidsschendingen te detecteren voordat ze escaleren.

PII kan dus worden blootgesteld op manieren die geen inbreuk op uw servers vereisen. Het kan volledig binnen de browser worden verwerkt, geraadpleegd en verzonden. Als die activiteit niet wordt gemonitord, weet u niet wanneer of welke persoonsgegevens worden gedeeld met externe partijen.

Privacyregelgeving vereist dat u de PII van uw klanten beheerst. En dat omvat ook wat er aan de client-side gebeurt. Door te begrijpen wat als PII kwalificeert en hoe het door de frontend stroomt, kunt u risico's verminderen en aan compliancevereisten voldoen.

Het monitoren van formuliertoegang en uitgaand scriptgedrag is een praktische stap. Het helpt problemen aan het licht te brengen die backend-tools vaak missen. Het geeft ook een nauwkeuriger beeld van hoe persoonsgegevens in de praktijk door uw website bewegen.

Aanvullende vragen beantwoord

V: Wat is personally identifiable information (PII), en waarom is het belangrijk voor websites?

PII is alle gegevens waarmee iemand kan worden geïdentificeerd. Soms gebeurt dat direct, andere keren wanneer persoonsgegevens worden gecombineerd met publieke gegevens. PII omvat voor de hand liggende zaken zoals namen, e-mailadressen en telefoonnummers. Maar het omvat ook minder zichtbare gegevens zoals IP-adressen, apparaat-ID's en cookie-waarden.

Privacywetten zoals GDPR, CCPA en HIPAA verplichten u deze gegevens te beschermen.

V: Hoe kan personally identifiable information (PII) via de frontend van mijn website worden blootgesteld zonder dat ik het weet?

De frontend van uw website voert scripts van derden uit met volledige toegang tot de pagina. Deze scripts kunnen persoonsgegevens lezen terwijl gebruikers formulieren invullen. Ze kunnen cookies raadplegen, gegevens vastleggen en deze naar externe servers exfiltreren. De meeste websites houden niet bij wat deze scripts doen. Dit betekent dat persoonsgegevens kunnen worden gedeeld zonder uw medeweten.

V: Welke soorten PII vallen onder privacywetten?

Privacywetten dekken zowel directe als indirecte persoonsgegevens.

Directe identificatoren zijn: namen, adressen, telefoonnummers, e-mailadressen en burgerservicenummers.

Indirecte identificatoren zijn zaken zoals: IP-adressen, apparaat-ID's, browser fingerprints, cookie-waarden en sessietokens.

Dit alles geldt zowel binnen als buiten cybersecurity.

De meeste regelgeving definieert PII als alle gegevens waarmee een persoon kan worden geïdentificeerd, hetzij direct, hetzij door koppeling met andere details. Verschillende wetten hanteren verschillende categorieën, maar weten wat als PII telt helpt u overal compliant te blijven.

V: Waarom schieten traditionele beveiligingstools tekort bij het detecteren van client-side PII-blootstelling?

Traditionele beveiligingstools richten zich op de server-side. Maar client-side PII-blootstelling vindt in werkelijkheid plaats in de browser van de gebruiker, niet op uw servers. In ieder geval niet in eerste instantie.

Wanneer een script van een derde partij persoonlijk identificeerbare informatie uit formulieren leest en die informatie naar een extern domein stuurt, verschijnt die activiteit niet in uw serverlogs.

Client-side monitoring is nodig om te zien welke persoonsgegevens worden geraadpleegd en waar ze naartoe gaan.

V: Welk specifiek client-side gedrag moet ik monitoren om PII te beschermen?

U moet twee dingen monitoren:

1) welke scripts uitgaande verzoeken doen.

2) welke scripts formulierinvoer raadplegen die persoonsgegevens bevatten.

Ons behavior dashboard volgt deze activiteit. Het toont wanneer scripts gegevens raadplegen zoals e-mailadressen of persoonsgegevens naar trackingdomeinen sturen. Het markeert ook wanneer PII naar externe servers wordt geëxfiltreerd. Dit helpt u te zien wat als een PII-blootstelling kwalificeert.

V: Hoe verschilt PCI DSS van andere privacywetten met betrekking tot PII?

De PCI Data Security Standard heeft een smallere focus dan kaders zoals GDPR, CCPA of HIPAA. Het is specifiek van toepassing op betaalkaartinformatie, niet op algemene persoonsgegevens. Beide vallen echter onder dezelfde overkoepelende noemer.

PCI DSS definieert kaarthoudergegevens als Primary Account Numbers (PAN), namen van kaarthouders en vervaldatums. Het classificeert IP-adressen, cookies of andere indirecte identificatoren niet als gevoelige gegevens.

Bedrijven moeten alle soorten persoonsgegevens beschermen op grond van bredere privacywetten. Tegelijkertijd moeten ze voldoen aan de PCI DSS-vereisten voor het beveiligen van betalingsgegevens. Meer daarover leest u hier.

V: Wanneer leidt client-side PII-blootstelling tot een complianceschending?

Een complianceschending treedt op wanneer persoonsgegevens zonder toestemming aan derden worden doorgegeven. Als een script formulierinvoer of cookiegegevens naar een externe server stuurt die u niet beheert, is dat een schending van privacyregels, naast het handmatig delen van die gegevens uiteraard.

Weten wat als PII telt en bijhouden waar het naartoe gaat, helpt u compliant te blijven met GDPR, CCPA, HIPAA en andere privacykaders.

V: Wie is binnen een organisatie verantwoordelijk voor het monitoren van client-side PII-blootstelling?

Het monitoren en beschermen van persoonsgegevens vereist inzet van het hele bedrijf. Dit geldt voor grote én kleinere bedrijven. Sommige organisaties hebben fulltime privacyfunctionarissen, andere hebben misschien alleen een privacygericht ontwikkelaar.

Het hele bedrijf moet begrijpen hoe persoonsgegevens stromen, zodat ze kunnen voldoen aan de rapportagevereisten onder wetten zoals GDPR, CCPA en HIPAA.

De uiteindelijke verantwoordelijkheid ligt bij het bedrijfsmanagement.

V: Wat zijn de meest voorkomende manieren waarop websites onbedoeld PII blootstellen via scripts van derden?

Veelvoorkomende blootstellingen vinden plaats via scripts die op zichzelf gewoon zijn, maar gehackt worden of kwaadaardig worden:

  • Analytics-scripts die plotseling formuliergegevens vastleggen buiten hun scope
  • Advertentiepixels die cookies lezen buiten hun aangewezen domeinen
  • Supportwidgets die gebruikersinvoer raadplegen in ongeautoriseerde formulieren
  • Scripts die zijn ontworpen voor legitieme gegevensverzameling maar hun grenzen overschrijden
  • … en meer

Sommige scripts verzamelen PII bewust by design. Andere doen het per ongeluk of met kwaadaardige bedoelingen.

Weten welke persoonsgegevens worden verzameld en waar ze naartoe gaan, helpt onbedoelde lekken te voorkomen.

V: Welk risiconiveau vormt ongecontroleerde client-side activiteit voor mijn bedrijf?

Toezichthouders onder GDPR, CCPA en HIPAA kunnen en hebben al zware boetes opgelegd voor het onjuist omgaan met PII. Klanten verwachten ook dat hun gegevens worden beschermd. Inbreuken waarbij persoonsgegevens betrokken zijn, schaden vertrouwen en reputatie. In het verleden zijn class action-rechtszaken met succes ingediend en gewonnen.

V: Welke directe maatregelen kan ik nemen om de risico's van client-side PII-blootstelling te minimaliseren?

Begin met het auditen van alle scripts van derden om te zien welke persoonsgegevens ze kunnen raadplegen. Implementeer tools voor detectie van data-exfiltratie om zicht te krijgen op die scripts. Monitor en bescherm ze vervolgens.

Bekijk uw privacybeleid om er zeker van te zijn dat het omschrijft hoe gegevens door uw frontend stromen en daar worden vastgelegd.

Implementeer zowel traditionele server-side bescherming als client-side bescherming.

Simon Wijckmans
Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

Ask ChatGPT
Ask Perplexity AI
Ask Gemini
Grok Ask Grok
Ask Claude

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.
Boek een demo
Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics
Related Articles
Boek een demo