FYI.

This story is over 5 years old.

Tech

Hoe mijn data een marketingtool werd met goedkeuring van de overheid

Hoogleraar eLaw Gerrit-Jan Zwenne: “De wetgeving is soms complex, maar de rechter kan zonder meer zeggen: dit mag niet op deze manier.”
Afbeelding via Flickr-gebruiker matthewblack

Op 6 maart om half zes ‘s middags krijg ik een mail van onderzoeksbureau Kantar TNS, in opdracht van de provincie Noord-Holland. In de mail wordt gevraagd of ik een vragenlijst over de omgeving van station Amsterdam Centraal wil invullen.

Niets geks, tot zover. Maar in de mail staat ook dit: “U ontvangt deze mail omdat u nu in de buurt van station Amsterdam Centraal bent.”

En dat is vreemd. Want ik ben op dat moment helemaal niet in de buurt van het station. Ik zit thuis op de bank in Amsterdam-West, twintig minuten fietsen verderop, na te denken over of ik ga koken of iets af ga halen.

Advertentie

De mail waar het allemaal mee begon

Waarom denkt Kantar dat ik op het station ben? En hoe zouden ze überhaupt kunnen weten waar ik me bevind?

Een aantal weken later zou ik het antwoord hebben: mijn gegevens blijken in de database van wifi-aanbieder SO Connect te zitten. Zij installeren routers bij Amsterdamse cafés en andere bedrijfjes om “interest, real-time behaviours and whereabouts” vast te stellen. Mensen te volgen dus. Iets dat in mijn dus geval mislukte, omdat ik werd verwisseld met iemand anders.

Hoogleraar eLaw Gerrit-Jan Zwenne geeft desgevraagd aan dat het “zeer twijfelachtig” is of het bedrijf achter de techniek, die ‘location based onderzoek’ wordt genoemd, zich aan de privacywetgeving houdt.

Live locatie

Maar eerst: terug naar 6 maart. In de kleine lettertjes in de mail van Kantar staat dat ik “een opt-in heb gegeven” via de database van SO Connect, een bedrijf dat ik niet ken. Ik neem contact op met Kantar, waar een hooggeplaatste medewerker die anoniem wil blijven me mailt dat SO Connect wifi-hotspots aanbiedt aan cafés, restaurants en andere ondernemingen.

Dankzij de techniek en database van SO Connect kan Kantar bij een deel van de gebruikers achterhalen of ze zich op een bepaalde locatie bevinden, en hen vervolgens contacteren. Het Amsterdamse bedrijf baat wereldwijd 18.000 wifi-hotspots uit en claimt in presentaties dat het een ‘brug’ slaat tussen offline en online consumentendata.

Dit is hoe het werkt. Stel, je drinkt een biertje in een café en wil even met je iPhone op de wifi. De lokale wifi-hotspot is van SO Connect en vraagt je om aan te melden met je Facebook of emailadres. Wanneer je dit doet, ga je akkoord met het gebruik van je gegevens voor direct marketing.

Advertentie

Eén van die gegevens is het zogenoemde MAC-adres van je iPhone, een uniek identificatienummer. Als je later langs een ander café loopt waar een router van SO Connect in de buurt is, word je, als je wifi aanstaat, automatisch verbonden met die wifi-hotspot. Als daarbij je MAC-adres wordt herkend, kun je gecontacteerd worden.

Ik ben dus verzeild geraakt in een soort ‘sleepnet’: een netwerk van zoemende routers in de stad die voorbijgangers uitlezen. Unheimisch.

Een dubbelganger

Om precies te zijn heb ik in mei 2016 met een iPhone ingelogd op de wifi van een speciaalbiercafé in Amsterdam-Zuid, mailt CFO Daniel Bisley van SO Connect me. Daarbij heb ik toestemming gegeven om mijn gegevens te gebruiken. Iets wat ik normaal niet zou doen, zeker niet als ik wist waar het voor was. Maar goed - met een flinke bak speciaalbier voor m’n neus ben ik kennelijk niet zo geneigd meer om de kleine lettertjes aan te klikken.

Kantar had me al laten weten dat de routers die voor de enquête over het station gebruikt zijn, op maximaal drie kilometer van Amsterdam Centraal liggen. Maar ik was op 6 maart verder dan drie kilometer weg.

De verklaring dat ik toch de enquête ontving is dat ik mijn iPhone in 2017 heb verkocht via Marktplaats. De man aan wie ik ‘m verpatste, liep op 6 maart om half 6 waarschijnlijk langs een van de andere routers in het net rond Centraal. Hij werd voor mij aangezien, en dus kreeg niet hij, maar ik de enquête opgestuurd. Hoe kan dit gebeuren?

Advertentie

Een bewaartermijn van vier jaar noemt Bisley van SO Connect “redelijk”.

SO Connect bewaart persoonlijke gegevens vier jaar, mailt Bisley, die alleen wil mailen en “niet direct de pers te woord wenst te staan”. Ik kan dus niet de eerste zijn die dit overkomt - want hoeveel mensen hebben vier jaar dezelfde smartphone zonder die van de hand te doen? Zelf ik heb in de afgelopen vier jaar drie verschillende iPhones gehad.

Toch zeggen zowel SO Connect als Kantar dat persoonsverwisselingen zelden voorkomen. Volgens Kantar worden mobiele telefoons wel veel doorverkocht, maar omdat mensen gauw opnieuw inloggen worden de gegevens die bij een MAC-adres horen ook snel ‘ververst’. De bewaartermijn van vier jaar noemt Bisley (SO) “redelijk”. Ter vergelijking met een andere vorm van data-opslag: Facebook bewaart cookiedata 180 dagen.

Hoe redelijk is het om te verwachten dat iemand vier jaar lang achter een afweging blijft staan die hij of zij in een oogwenk in een café heeft gemaakt? Zeker als je bedenkt dat het bewustzijn over privacy is veranderd - kijk maar naar de afwijzing-per-referendum van de inlichtingenwet en de massale woede over Facebooks omgang met persoonlijke data.

SO Connect zegt dat het zich houdt aan de huidige privacywet en zich momenteel aanpast aan de Algemene verordening gegevensbescherming (AVG), een nieuwe wet voor bescherming van persoonsgegevens die vanaf 25 mei moet worden nageleefd in heel Europa.

Advertentie

Volgens SO Connect weet je als gebruiker waar je mee instemt. Wie inlogt, ziet inderdaad een link naar de ‘Privacy Policy’ – maar daarin staat niets over location based onderzoek. Dat geldt wel voor een pagina die gelinkt wordt onder het woordje ‘partners’.

Naar die pagina wordt in de Privacy Policy alleen verwezen via een dode URL:

En op geen van beide pagina’s staat iets over de bewaartermijn van vier jaar. Kantar TNS is een groot onderzoeksbureau dat als Kantar Public ook politieke peilingen uitvoert. Kan zo’n bureau dit soort methodes anno 2018 verantwoorden? Ja, vinden ze zelf: de wet wordt gerespecteerd en het is duidelijk genoeg dat een gebruiker zijn of haar data geeft in ruil voor wifi.

Het is simpelweg een nieuwe fase in marktonderzoek, legt de eerdergenoemde medewerker uit. Vroeger deed Kantar enquêtes op straat of via de telefoon. De huidige fase noemt het bedrijf ‘in the moment’-onderzoek: je weet dat iemand ergens is en kunt die persoon direct benaderen. Klachten komen er volgens Kantar zelden. De vraag is of dit legaal is.

Om te weten of SO Connect en Kantar zich inderdaad aan de wet houden, bel ik Gerrit Jan Zwenne, jurist en hoogleraar aan de afdeling eLaw van de Universiteit Leiden.

“Dit is een geval van op listige wijze geld verdienen door de gegevens van mensen te bewaren. Daar moeten gebruikers beter over worden geïnformeerd dan nu gebeurt.”

Die zegt dat het “zeer twijfelachtig” is of SO Connect zich aan de Wet bescherming persoonsgegevens (op dit moment onze belangrijkste privacywet) houdt. Hij vindt dat niet duidelijk genoeg is waar mensen mee akkoord gaan.

Advertentie

“Dit is een geval van op listige wijze geld verdienen door de gegevens van mensen te bewaren. Daar moeten gebruikers beter over worden geïnformeerd dan nu gebeurt.”

In mei gaat onder de noemer AVG een nieuwe Europa-brede privacywet gelden, die nog strenger is dan de huidige wet. Zwenne: “Onder de AVG is de voorlichting van SO Connect hoe dan ook onvoldoende. Die wet stelt verregaande eisen: je moet heel duidelijk maken wat je gaat doen met iemands gegevens en mag die informatie niet verstoppen. De gebruiker moet ‘ondubbelzinnig’ en ‘uitdrukkelijk’ instemmen.”

“Onder de AVG is de voorlichting van SO Connect hoe dan ook onvoldoende."

Sterker nog: de AVG kan zo worden gelezen dat het überhaupt niet toegestaan is om iemands gegevens te bewaren als dat niet noodzakelijk is. “Wat dat betreft is de wet misschien wat onduidelijk. Maar vast staat dat het niet mag zonder de gebruiker goed te informeren.”

Zwenne wist dat wat SO Connect doet technisch mogelijk was, maar is verbaasd dat het "nu al" gebeurt. Ook stuit de bewaartermijn van vier jaar hem tegen de borst. “Dat is langer dan redelijkerwijs te verwachten is, want je kunt ervan uitgaan dat mensen binnen die termijn van telefoon gaan wisselen.”

Of de huidige wet hier echt wordt overtreden, zou een rechter moeten beoordelen, zegt Zwenne. “De wetgeving is soms complex, maar de rechter kan zonder meer zeggen: dit mag niet op deze manier.”

Het blijkt bovendien dat ik aardig wat gezelschap heb in de database van SO Connect. Op een moment in 2017 had het bedrijf meer dan 220.000 profielen van Nederlandse consumenten (of claimde het dit). Dat blijkt uit informatiesheets die Motherboard heeft ontvangen van een bedrijf dat ze in die periode toegestuurd kreeg.

Advertentie

"We gather location and consumer data from over 18.000 off-line locations worldwide. (…) Our user database contains full demographic information, interest, real-time behaviours and whereabouts."

In de sheets is ook te lezen hoe SO Connect zichzelf in de markt zet: "We gather location and consumer data from over 18.000 off-line locations worldwide. (…) Our user database contains full demographic information, interest, real-time behaviours and whereabouts."

Behalve Kantar zijn ook commerciële bedrijven als Tripadvisor, Yelp en Zoover ‘data-partner’ van SO Connect. Maar ook ‘local authorities’ kunnen je locatiegegevens krijgen. Ik wil weten of de provincie Noord-Holland daaronder valt - want de enquête die ik op 6 maart kreeg, werd namens hen verstuurd.

In op 10 april gepubliceerde antwoorden op vragen van Noord-Hollandse statenleden bezweert de provincie dat het de persoonsgegevens niet kan inzien. Die vragen werden gesteld na een column van NRC-redacteur Tom-Jan Meeus. Ook Meeus had een ervaring met dit onderzoek en werd mogelijk met iemand verwisseld, al claimt Kantar dat Meeus ooit een opt-in heeft gegeven om zijn gegevens te gebruiken. En het dus onzeker is wat er precies mis is gegaan.

Het is opvallend dat de provincie zegt dat het niet wist dat er persoonsverwisselingen kunnen ontstaan. Het gaat nog evalueren of het dit acceptabel vindt. Als ik SO Connect vraag met welke ‘local authorities’ het persoonsgegevens deelt wilde het geen antwoord meer geven.

SO Connect heeft er onder druk van de aankomende wet AVG inmiddels voor gezorgd dat je nu overal kunt inloggen zonder verplicht gegevens te delen. Dat scheelt, maar gegevens uit het pre-AVG-tijdperk, toen dit op veel plekken nog niet zo was, blijven nog jaren bewaard. En zolang de informatie over location based onderzoek weggestopt blijft, zullen mensen daar zonder het te beseffen mee blijven instemmen. Of dat nou door te veel onverschilligheid, te kleine lettertjes of te veel speciaalbier komt.

Volg Motherboard op Facebook en Twitter.