1. Inleiding
Uit een technische analyse van het overheidsplatform https://fines.justonweb.be blijkt dat de website meerdere bepalingen van de Algemene Verordening Gegevensbescherming (AVG/GDPR) en de Belgische Wet van 30 juli 2018 schendt. De privacyverklaring van het platform komt niet overeen met de technische realiteit. Op deze pagina documenteren wij de bevindingen.
2. Wat de privacyverklaring beweert vs. de realiteit
De privacyverklaring (gedateerd 12/12/2025, artikel 13) stelt dat de website uitsluitend sessie-opslag (session storage) gebruikt en geen cookies. Technische inspectie via de browserontwikkelaarstools bewijst dat dit feitelijk onjuist is.
Naast session storage maakt het platform actief gebruik van Local Storage — een persistente opslagvorm die blijft bestaan na het sluiten van de browser en die de verwerkingsverantwoordelijke verzwijgt.
Aangetroffen gegevens in Local Storage
| Sleutel | Beschrijving | Risico |
|---|---|---|
token | JWT-authenticatietoken | Sessie-kaping, ongeoorloofde toegang |
loggedInEid | eID-gebaseerde gebruikersidentificatie | Herleidbaar tot rijksregisternummer |
eldPvNumber | Procesverbaal-nummer | Koppeling aan strafrechtelijk dossier |
selectedMyFines | Lijst van boetes (base64) | Financiële persoonsgegevens, persistent |
infractionType | Type overtreding | Gedragsgegevens blijven na sessie beschikbaar |
detailedPageRedirection | Navigatiegedrag | Gedragstracking buiten sessie |
3. Geschonden AVG-artikelen
Artikel 13 — Informatieplicht
De verwerkingsverantwoordelijke moet de betrokkene volledig en nauwkeurig informeren over verwerkingsactiviteiten. De privacyverklaring stelt geen persistente opslag te gebruiken, terwijl Local Storage wel actief is. De betrokkene kon daardoor geen geïnformeerde toestemming verlenen.
Artikel 5(1)(a) — Transparantiebeginsel
Persoonsgegevens moeten transparant worden verwerkt. De privacyverklaring geeft een valse voorstelling van de feitelijke gegevensverwerking.
Artikel 5(1)(b) — Doelbinding
JWT-tokens en eID-identificatie in permanente Local Storage gaan verder dan wat strikt noodzakelijk is. Dit wijst op een verwerkingsdoel dat niet werd vermeld en waarvoor geen rechtsgrond werd opgegeven.
Artikel 5(1)(c) — Minimale gegevensverwerking
Het persistent opslaan van authenticatietokens, rijksregisternummers en PV-gegevens buiten de levenscyclus van de sessie is disproportioneel.
Artikel 32 — Beveiliging van verwerking
JWT-tokens in Local Storage is een erkend beveiligingsrisico (OWASP). Local Storage is toegankelijk voor elke JavaScript op de pagina, wat het risico op Cross-Site Scripting (XSS) vergroot.
Artikel 5(2) — Verantwoordingsplicht
Door een feitelijk onjuiste privacyverklaring te publiceren en tegelijkertijd persoonsgegevens via Local Storage te verwerken, is de verantwoordingsplicht geschonden.
4. Ontbrekend cookiebeleid (HTTP 404)
De website verwijst naar een cookiebeleid op https://fines.justonweb.be/Cookie%20policy.pdf. Deze URL geeft een HTTP 404-fout terug — het document bestaat niet. De verwerkingsverantwoordelijke verwijst dus naar documentatie die wettelijk verplicht is, maar die feitelijk niet beschikbaar is voor de burger.
5. Tegenstrijdigheid in de eigen gebruiksvoorwaarden
De gebruiksvoorwaarden van JustOnWeb stellen enerzijds:
“FPS Justice does its utmost to ensure the information provided is complete, correct, accurate and up to date.”
Deze verbintenis tot nauwkeurigheid geldt onverkort voor de privacyverklaring. De vastgestelde discrepantie is aantoonbaar en reproduceerbaar.
Anderzijds tracht de FOD Justitie elke aansprakelijkheid uit te sluiten. Artikel 82 AVG bepaalt echter dat dit dwingend Europees recht is dat niet kan worden uitgesloten door een eenzijdige aansprakelijkheidsbeperkingsclausule.
6. Structureel gebrek aan zorgvuldigheid
De toegankelijkheidsverklaring werd voor het laatst herzien op 19/04/2022, enkel op basis van een automatische controle. Het patroon — een verouderde toegankelijkheidsverklaring, een onjuiste privacyverklaring, een niet-bestaand cookiebeleid en persistente opslag buiten het gedocumenteerde kader — wijst op een stelselmatig verzuim.
7. Gevolgen
De burger is wettelijk verplicht dit platform te gebruiken voor de afhandeling van financiële sancties, terwijl het platform zijn eigen privacyverplichtingen niet nakomt. Gegevens die via dit platform worden verwerkt zijn:
- Niet verwerkt conform de AVG en de Belgische Wet van 30 juli 2018
- Verkregen zonder geldige, geïnformeerde toestemming
- Mogelijk blootgesteld aan beveiligingsrisico’s door de onveilige opslagmethode
Download het volledige analysedocument als bijlage bij uw bezwaarschrift:
1. Introduction
Une analyse technique de la plateforme gouvernementale https://fines.justonweb.be révèle que le site viole plusieurs dispositions du Règlement Général sur la Protection des Données (RGPD) et de la loi belge du 30 juillet 2018. La déclaration de confidentialité de la plateforme ne correspond pas à la réalité technique. Cette page documente nos conclusions.
2. Déclaration de confidentialité vs. réalité
La déclaration de confidentialité (datée du 12/12/2025, article 13) affirme que le site utilise uniquement le stockage de session (session storage) et aucun cookie. L'inspection technique via les outils de développement du navigateur prouve que cela est factuellement inexact.
En plus du session storage, la plateforme utilise activement le Local Storage — une forme de stockage persistant qui subsiste après la fermeture du navigateur et que le responsable du traitement dissimule.
Données trouvées dans le Local Storage
| Clé | Description | Risque |
|---|---|---|
token | Jeton d'authentification JWT | Détournement de session, accès non autorisé |
loggedInEid | Identification basée sur l'eID | Traçable au numéro de registre national |
eldPvNumber | Numéro de procès-verbal | Lien avec un dossier pénal |
selectedMyFines | Liste d'amendes (base64) | Données personnelles financières, persistantes |
infractionType | Type d'infraction | Données comportementales persistantes |
detailedPageRedirection | Comportement de navigation | Suivi comportemental hors session |
3. Articles du RGPD violés
Article 13 — Obligation d'information
Le responsable du traitement doit informer complètement la personne concernée. La déclaration de confidentialité est factuellement incorrecte. La personne concernée n'a pas pu donner un consentement éclairé.
Article 5(1)(a) — Principe de transparence
La déclaration de confidentialité donne une représentation erronée du traitement réel des données.
Article 5(1)(b) — Limitation des finalités
Les jetons JWT et l'identification eID en Local Storage persistent dépassent ce qui est strictement nécessaire. Cela suggère une finalité non déclarée et sans base juridique.
Article 5(1)(c) — Minimisation des données
Le stockage persistant de jetons d'authentification, numéros de registre national et données PV au-delà du cycle de vie de la session est disproportionné.
Article 32 — Sécurité du traitement
Les jetons JWT dans le Local Storage constituent un risque de sécurité reconnu (OWASP), vulnérable aux attaques Cross-Site Scripting (XSS).
Article 5(2) — Obligation de responsabilité
En publiant une déclaration de confidentialité factuellement inexacte tout en traitant des données via Local Storage, l'obligation de responsabilité est violée.
4. Politique de cookies manquante (HTTP 404)
Le site renvoie vers une politique de cookies à l'adresse https://fines.justonweb.be/Cookie%20policy.pdf. Cette URL renvoie une erreur HTTP 404 — le document n'existe pas.
5. Contradictions dans les propres conditions d'utilisation
« FPS Justice does its utmost to ensure the information provided is complete, correct, accurate and up to date. »
Cet engagement de précision s'applique également à la déclaration de confidentialité. Par ailleurs, l'article 82 du RGPD est du droit européen impératif et ne peut être exclu par une clause de limitation de responsabilité.
6. Manque structurel de diligence
La déclaration d'accessibilité date du 19/04/2022, basée uniquement sur un contrôle automatisé. Le schéma — déclaration d'accessibilité obsolète, déclaration de confidentialité erronée, politique de cookies inexistante — témoigne d'une négligence systématique.
7. Conséquences
Le citoyen est légalement obligé d'utiliser cette plateforme, qui ne respecte pas ses propres obligations en matière de confidentialité. Les données traitées :
- N'ont pas été traitées conformément au RGPD et à la loi belge du 30 juillet 2018
- Ont été obtenues sans consentement valable et éclairé
- Ont potentiellement été exposées à des risques de sécurité
Téléchargez le document d'analyse complet en annexe à votre contestation :
1. Einleitung
Eine technische Analyse der Regierungsplattform https://fines.justonweb.be zeigt, dass die Website mehrere Bestimmungen der Datenschutz-Grundverordnung (DSGVO) und des belgischen Gesetzes vom 30. Juli 2018 verletzt. Die Datenschutzerklärung der Plattform stimmt nicht mit der technischen Realität überein. Auf dieser Seite dokumentieren wir die Ergebnisse.
2. Datenschutzerklärung vs. Realität
Die Datenschutzerklärung (datiert 12.12.2025, Artikel 13) behauptet, dass die Website ausschließlich Session Storage verwendet und keine Cookies einsetzt. Die technische Überprüfung über die Browser-Entwicklertools beweist, dass dies faktisch falsch ist.
Neben Session Storage verwendet die Plattform aktiv Local Storage — eine persistente Speicherform, die nach dem Schließen des Browsers bestehen bleibt und vom Verantwortlichen verschwiegen wird.
Im Local Storage gefundene Daten
| Schlüssel | Beschreibung | Risiko |
|---|---|---|
token | JWT-Authentifizierungstoken | Session-Hijacking, unbefugter Zugriff |
loggedInEid | eID-basierte Benutzeridentifikation | Rückführbar auf Nationalregisternummer |
eldPvNumber | Protokollnummer | Verbindung zu Strafakte |
selectedMyFines | Bußgeldliste (base64) | Finanzielle Personendaten, persistent |
infractionType | Art des Verstoßes | Verhaltensdaten über Session hinaus |
detailedPageRedirection | Navigationsverhalten | Verhaltens-Tracking außerhalb der Session |
3. Verletzte DSGVO-Artikel
Artikel 13 — Informationspflicht
Der Verantwortliche muss die betroffene Person vollständig informieren. Die Datenschutzerklärung ist faktisch falsch. Die betroffene Person konnte keine informierte Einwilligung erteilen.
Artikel 5(1)(a) — Transparenzgrundsatz
Die Datenschutzerklärung gibt eine falsche Darstellung der tatsächlichen Datenverarbeitung.
Artikel 5(1)(b) — Zweckbindung
JWT-Token und eID-Identifikation in persistentem Local Storage gehen über das Notwendige hinaus. Dies deutet auf einen nicht angegebenen Verarbeitungszweck ohne Rechtsgrundlage hin.
Artikel 5(1)(c) — Datenminimierung
Persistente Speicherung von Authentifizierungstoken, Nationalregisternummern und PV-Daten über den Lebenszyklus der Session hinaus ist unverhältnismäßig.
Artikel 32 — Sicherheit der Verarbeitung
JWT-Token im Local Storage sind ein anerkanntes Sicherheitsrisiko (OWASP), anfällig für Cross-Site Scripting (XSS)-Angriffe.
Artikel 5(2) — Rechenschaftspflicht
Durch die Veröffentlichung einer faktisch falschen Datenschutzerklärung bei gleichzeitiger Datenverarbeitung über Local Storage wurde die Rechenschaftspflicht verletzt.
4. Fehlende Cookie-Richtlinie (HTTP 404)
Die Website verweist auf eine Cookie-Richtlinie unter https://fines.justonweb.be/Cookie%20policy.pdf. Diese URL gibt einen HTTP 404-Fehler zurück — das Dokument existiert nicht.
5. Widersprüche in den eigenen Nutzungsbedingungen
„FPS Justice does its utmost to ensure the information provided is complete, correct, accurate and up to date.“
Diese Genauigkeitsverpflichtung gilt auch für die Datenschutzerklärung. Zudem ist Artikel 82 DSGVO zwingendes europäisches Recht, das nicht durch Haftungsausschlussklauseln umgangen werden kann.
6. Struktureller Mangel an Sorgfalt
Die Barrierefreiheitserklärung wurde zuletzt am 19.04.2022 aktualisiert, nur auf Basis automatisierter Tests. Das Muster — veraltete Barrierefreiheitserklärung, fehlerhafte Datenschutzerklärung, nicht existierende Cookie-Richtlinie — deutet auf systematische Versäumnisse hin.
7. Konsequenzen
Der Bürger ist gesetzlich verpflichtet, diese Plattform zu nutzen, die ihre eigenen Datenschutzpflichten nicht erfüllt. Die verarbeiteten Daten:
- Wurden nicht gemäß DSGVO und belgischem Gesetz vom 30. Juli 2018 verarbeitet
- Wurden ohne gültige, informierte Einwilligung erlangt
- Waren möglicherweise Sicherheitsrisiken durch unsichere Speichermethoden ausgesetzt
Laden Sie das vollständige Analysedokument als Anlage zu Ihrem Einspruch herunter:
1. Introduction
A technical analysis of the Belgian government platform https://fines.justonweb.be reveals that the website violates multiple provisions of the General Data Protection Regulation (GDPR) and the Belgian Law of 30 July 2018. The platform's privacy statement does not match the technical reality. This page documents our findings.
2. Privacy statement vs. reality
The privacy statement (dated 12/12/2025, article 13) claims the website uses only session storage and no cookies. Technical inspection via browser developer tools proves this is factually incorrect.
In addition to session storage, the platform actively uses Local Storage — a persistent storage mechanism that persists after closing the browser and which the data controller conceals.
Data found in Local Storage
| Key | Description | Risk |
|---|---|---|
token | JWT authentication token | Session hijacking, unauthorised access |
loggedInEid | eID-based user identification | Traceable to national registry number |
eldPvNumber | Official report number | Link to criminal case file |
selectedMyFines | List of fines (base64) | Financial personal data, persistent |
infractionType | Type of infraction | Behavioural data persists beyond session |
detailedPageRedirection | Navigation behaviour | Behavioural tracking outside session |
3. GDPR articles violated
Article 13 — Duty to inform
The data controller must fully and accurately inform the data subject. The privacy statement is factually incorrect. The data subject could not provide informed consent.
Article 5(1)(a) — Transparency principle
The privacy statement provides a false representation of the actual data processing activities.
Article 5(1)(b) — Purpose limitation
JWT tokens and eID identification stored persistently in Local Storage go beyond what is strictly necessary. This suggests a processing purpose that was not disclosed and for which no legal basis was provided.
Article 5(1)(c) — Data minimisation
Persistently storing authentication tokens, national registry numbers and case data beyond the session lifecycle is disproportionate.
Article 32 — Security of processing
JWT tokens in Local Storage are a recognised security risk (OWASP), vulnerable to Cross-Site Scripting (XSS) attacks.
Article 5(2) — Accountability
By publishing a factually incorrect privacy statement while processing personal data via Local Storage, the accountability obligation has been violated.
4. Missing cookie policy (HTTP 404)
The website refers to a cookie policy at https://fines.justonweb.be/Cookie%20policy.pdf. This URL returns an HTTP 404 error — the document does not exist.
5. Contradictions in own terms of use
“FPS Justice does its utmost to ensure the information provided is complete, correct, accurate and up to date.”
This accuracy commitment applies equally to the privacy statement. Furthermore, Article 82 GDPR is mandatory European law that cannot be excluded by a unilateral liability limitation clause.
6. Structural lack of diligence
The accessibility statement was last reviewed on 19/04/2022, based solely on automated testing. The pattern — an outdated accessibility statement, an inaccurate privacy statement, a non-existent cookie policy — points to systematic negligence.
7. Consequences
Citizens are legally required to use this platform to process financial sanctions, while the platform fails to comply with its own privacy obligations. The data processed:
- Was not processed in accordance with the GDPR and the Belgian Law of 30 July 2018
- Was obtained without valid, informed consent
- May have been exposed to security risks due to unsafe storage methods
Download the full analysis document as an attachment for your contestation: