In 2025 registreerde de Autoriteit Persoonsgegevens 44.374 datalekmeldingen — opnieuw een record. Van die meldingen waren 2.424 het gevolg van een cyberaanval: klein in aantal, groot in impact. Aanvallen treffen al gauw honderden tot soms meer dan een miljoen slachtoffers tegelijk. Survey-software staat zelden bovenaan de lijst van beveiligingsprioriteiten. Dat is precies waarom het een aantrekkelijk doelwit is.
In maart 2023 drong een aanvaller binnen in de systemen van Nebu, een Nederlands softwarebedrijf dat enquêtesoftware levert aan marktonderzoeksbureaus. Één inbraak. Één leverancier. De gevolgen: meer dan 2 miljoen Nederlandse klantgegevens gecompromitteerd, 139 organisaties die melding deden bij de AP, en een rechtszaak waarbij marktonderzoeker Blauw de rechter moest inschakelen om Nebu überhaupt tot openheid te dwingen.
NS, VodafoneZiggo, Heineken, ArboNed, CZ — ze hadden allemaal klantendata doorgegeven aan een onderzoeksbureau, dat die opsloeg bij een softwareleverancier, die ze bewaarde op eigen servers. Een klassieke ketenaanval: de zwakste schakel bepaalt het risico voor iedereen erboven.
Achteraf werd de vraag gesteld die eigenlijk voor de hand lag: waarom bewaart een marktonderzoeksbureau überhaupt herleidbare persoonsgegevens? Als de data structureel onherleidbaar was geweest, was er bij een hack niets aan de hand geweest.
Het is precies de vraag waarop S3ntiment een antwoord is.
De drie lagen hieronder zijn geen 1:1 oplossing per risicotype — ze versterken elkaar. Samen elimineren ze het aanvalsoppervlak dat traditionele platforms structureel met zich meebrengen.
Respondenten krijgen toegang via hun e-mailadres. Maar dat adres wordt nergens opgeslagen.
In plaats daarvan wordt het omgezet naar een anonieme sleutel via OPRF — een Oblivious Pseudorandom Function. Het protocol werkt via een blindingstap: het e-mailadres wordt wiskundig vervormd voordat het de server bereikt, zodat de server meewerkt aan de berekening zonder het invoer-adres zelf ooit te zien. Dit gebeurt niet op één server maar via een netwerk van servers. Het resultaat is een unieke, persistente identifier die volledig onherleidbaar is naar de persoon.
Er bestaat geen database met e-mailadressen. Er is geen respondententabel om te exfiltreren. Er valt niets te stelen — omdat het er niet is.
De antwoorden van respondenten worden verwerkt via Nillion, een gedecentraliseerd netwerk voor blind computation — berekeningen op data die versleuteld blijft, ook tijdens de verwerking zelf.
Nillion werkt met twee typen nodes die samenwerken.
nilDB — gedistribueerde opslag. Antwoorden worden versleuteld opgesplitst in geheime deelstukken en verspreid over meerdere onafhankelijke nodes. Geen enkele node bezit de volledige data. Een aanvaller die één machine compromitteert heeft een betekenisloos fragment — onbruikbaar zonder de andere delen.
nilCC — berekening in een afgeschermde enclave. Wanneer een aggregaat berekend wordt, gebeurt dat in nilCC: een Trusted Execution Environment. Op geen enkel moment is de data leesbaar buiten die enclave, ook niet voor de operator van de onderliggende server. De berekening zelf vindt plaats via additief homomorfe encryptie — een beperktere variant van FHE die alleen optellingen ondersteunt, maar precies genoeg voor aggregaten over surveydata, en wiskundig aantoonbaar veilig.
Voor gestructureerde antwoorden — meerkeuze, schalen, rangordeningen — gelden beide niveaus: distributie over nodes én berekening op versleutelde waarden. Voor open tekstantwoorden geldt TEE-isolatie als enige beschermingsniveau. Dat is sterker dan een platformbelofte, maar het is één niveau. Zodra een enquête tekstantwoorden bevat, of zodra segmentatie over antwoordtypes nodig is, bepaalt de zwakste schakel het geheel: TEE-isolatie. Dat is eerlijk om te benoemen — en het onderscheidt S3ntiment van platforms die dit onderscheid niet maken.
Antwoorden zijn van de respondent. De organisator heeft toegang tot aggregaten — niet tot individuele antwoorden. Een juridisch bevel om respondentdata te overhandigen kan niet worden opgevolgd, simpelweg omdat die data er niet is. Niet bij S3ntiment, niet bij de organisator.
De code die dit afdwingt is open source en onafhankelijk verifieerbaar vastgelegd. Er is geen masterkey, geen beheerder die onder druk kan worden gezet. Je hoeft S3ntiment niet te vertrouwen op zijn woord — de code vertelt je wat er gebeurt.
De AVG verplicht organisaties tot dataminimalisatie, beveiliging van persoonsgegevens, en een meldplicht bij datalekken. Dat levert verwerkersovereenkomsten op, audits, en — als het misgaat — juridische procedures en boetes.
S3ntiment maakt het meeste hiervan overbodig. Niet omdat de AVG wordt omzeild, maar omdat de architectuur dataminimalisatie afdwingt: er zijn geen persoonsgegevens om te verwerken, te beveiligen of te lekken.
S3ntiment is geen verwerker van persoonsgegevens maar een protocolfacilitator — wij raken de data niet, wij maken het mogelijk dat de organisator dat veilig doet. Wat dit juridisch precies betekent voor verwerkersovereenkomsten en DPIA-verplichtingen werken we momenteel uit met juridische professionals.