Dit zijn de virtuele stalkers van uw kind
Kinderen verdienen online extra bescherming. Maar uit onderzoek dat ik samen met het consumentenprogramma KASSA deed, blijkt dat online adverteerders geen enkele terughoudendheid betonen in het volgen en in kaart brengen van het online gedrag van onze kinderen.
Als mijn zoon Elias (4) op vrijdagmiddag thuiskomt van school, wil hij een spelletje doen op mijn smartphone. Om vijf over halfvier precies opent hij Talking Tom, een maf spel waarbij je een pratende poes kan aaien en plagen.
Als de app opstart, wandelt een meneer in strak pak onze huiskamer binnen. Hij stelt zich niet voor, kijkt ons niet aan, loopt rechtstreeks op Elias af en gaat met een notitieblok achter hem staan. Op zijn aktetas staat ‘IQzone.’ Af en toe kijkt hij waar mijn zoon met zijn kleine vingers allemaal op drukt. Wat hij leuk vindt. Hoe hij zich gedraagt.
Al snel loopt nog een meneer de kamer binnen. Op zijn aktetas staat ‘Google.’ Ook hij gaat achter Elias staan en krabbelt een code op een etiket: e58a53dc-9c17-46fc-a241-7e4a4696f2. Vervolgens plakt hij dit etiket op de rug van mijn zoon. Die heeft, begeesterd door Talking Tom, niets in de gaten.
Binnen een minuut lopen nog acht mannen en vrouwen de kamer binnen. Ook zij zeggen niets. Op hun koffertjes zie ik namen als Mopub, Millennium Media, Nexage, Appclick, Flurry, Bluekai, Celtra en Bee7. Net als de man van Google plakken sommigen een etiketje op Elias’ rug. Vaak meerdere.
Na vier minuten spelen staan er twaalf personen om Elias heen. Als hij het spelletje zat is en de app sluit, rennen ze schielijk weg. Enkelen grissen hun etiketje mee, maar de meesten laten het gewoon hangen. Een paar van deze vreemde mannen zie ik later weer verschijnen als Elias een ander spel doet.
Volgen om te beïnvloeden
Als je een website bezoekt of een app gebruikt, zijn er tientallen, soms honderden bedrijven die over je schouder meekijken. Dit zijn adverteerders, datahandelaren en analysebedrijven. Het enige verschil met dit scenario: je merkt er doorgaans niks van. Het spioneren vindt plaats via ingewikkelde software.
Deze bedrijven ontfutselen informatie over je unieke IP-adres, de instellingen van je browser en smartphone, waar je bent of was en wie je vrienden en bekenden zijn.
Het bezoek van één site of app levert niet zoveel informatie op, maar als je over lange tijd op genoeg sites en apps gevolgd wordt, kunnen die vele kleine beetjes data een gedetailleerd beeld opleveren. Dat beeld onthult wat voor iemand je bent, hoe je je gedraagt en – de Heilige Graal van adverteerders – hoe je het beste te beïnvloeden bent.
Over zulke commerciële surveillance hebben collega Maurits Martijn en ik het afgelopen jaar uitvoerig geschreven.
- We hebben bijvoorbeeld aangetoond dat veel websitebeheerders zélf niet eens weten door wie hun bezoekers worden gevolgd, wat die advertentiebedrijven aan informatie ontfutselen en wat ze daar vervolgens mee doen.
- We toonden aan dat op smartphones sprake is van een oncontroleerbare situatie: adverteerders en andere bedrijven kunnen er vrijwel ongehinderd met allerlei persoonsgegevens vandoor gaan.
- We beschreven hoe jouw online gegevens in milliseconden worden verhandeld op flitsveilingen.
- We lieten zien dat je met weinig data en heel basale middelen een intiem gedragsprofiel van iemand kunt maken.
Al deze stukken gingen over volwassen consumenten, van wie kan worden verwacht dat ze zich op de hoogte stellen van dit soort zaken. Maar hoe volgen bedrijven onze kinderen, als ze op de tablet, smartphone of pc van hun ouders een spelletje spelen?
Kinderen verdienen extra bescherming
Kinderen en privacy is een gevoelig onderwerp. Niet voor niets staat in nieuwe Europese wetgeving dat gegevens die het mogelijk maken om kinderen te identificeren en te profileren niet verzameld mogen worden. Daarnaast moeten ouders toestemming geven voor de verwerking van de gegevens van kinderen onder de zestien jaar.
De gedachte is dat kinderen nog niet in staat zijn om afgewogen keuzes te maken, of om voor hun eigen belangen op te komen. Ze zijn bijvoorbeeld makkelijker te beïnvloeden en kunnen onbedoeld veel informatie over zichzelf of over hun vriendjes en gezin prijsgeven. Daarnaast zijn ze nieuw op internet en moeten ze zich onbespied en vrij kunnen ontwikkelen, zonder dat er jarenlang allerlei profielen van ze worden bewaard.
Veel websites, apps en advertentiebedrijven beloven in hun privacy policy’s geen data over kinderen te verzamelen
Veel websites, apps en advertentiebedrijven erkennen deze gevoeligheid en beloven daarom in hun privacy policy’s geen data over kinderen te verzamelen, of daar heel voorzichtig mee om te gaan.
Maar als je kijkt wat er écht gebeurt op je computer of smartphone, dan zie je dat die belofte zelden wordt waargemaakt.
Samen met redacteuren van het VARA-consumentenprogramma KASSA hebben we veertig goedbezochte kinderwebsites en veertig veelgebruikte kinderapps getest. We hebben met speciale software onder de motorkap van een browser en smartphone gekeken om te zien welke bedrijven onze kinderen volgen en hoe ze dat doen.
Toen we aan dit onderzoek begonnen, hadden we gezien de beloften enige terughoudendheid verwacht in het volgen van onze kinderen door websites, apps en adverteerders.
Niets bleek minder waar.
Op de 72 kinderwebsites en -apps waarvan we betrouwbare data hebben vergaard, werden we door minstens 179 verschillende bedrijven gevolgd. Dit tracken vindt vooral plaats op websites.
Laten we eerst eens naar de kindersites kijken.
Op de site Disney.nl vond ik maar liefst 58 verschillende bedrijven die met elkaar tientallen cookies plaatsten. Dat wordt verklaard door de flitsveiling die voor een gewone gebruiker ongemerkt plaatsvindt. Op het moment dat ik de pagina laad, mogen tientallen adverteerders binnen een fractie van een seconde bieden om mij een advertentie te leveren. Al die bedrijven kijken of ze mij al kennen en zo ja, of een advertentie relevant is en hoeveel die mag kosten.
Maya de Bij heeft veel commerciële vriendjes
Een andere site waar veel bedrijven aan de achterkant meekijken, is Studio100.be. Daar kun je leuke spelletjes spelen met Maya de Bij, Wickie de Viking, Mega Mindy, Bumba en K3. In de drie minuten die ik op Studio 100 doorbreng, vinden er vier flitsveilingen plaats waar enkele tientallen bedrijven aan meedoen.
De softwarecode verraadt dat niet alleen adverteerders mijn data krijgen. Zo wordt de DemDex-database van Adobe aangeroepen. DemDex is, in de woorden van Adobe ‘een product dat online en offline informatie uit iedere mogelijke bron integreert [...] waarmee je snel je meest waardevolle klanten kunt herkennen en ze gericht kunt aanspreken om ze zo tot handelen aan te zetten.’
Lees: op een advertentie klikken en iets kopen.
Een ander bedrijf dat meedoet in de flitsveiling is Acxiom, een enorme Amerikaanse datahandelaar die online dossiers beheert van honderden miljoenen consumenten. Deze bedrijven verkopen data en analyses door aan adverteerders.
Wat er precies met mijn data gebeurt, is echter moeilijk te achterhalen. In de privacy policy schuift Studio 100 de verantwoordelijkheid af. Zo staat er: ‘Wij kunnen niet garanderen dat deze derden [de advertentiebedrijven, DT] op een betrouwbare of veilige manier met persoonsgegevens omgaan. Wij raden je aan de privacy policy van deze websites en applicaties te lezen alvorens ervan gebruik te maken.’
Alleen al voor deze drie minuten op Studio100.be zouden we dus 54 privacy policy’s moeten lezen.
Google is de grootste spion
Veel van die bedrijven volgen mij over meerdere websites. Google kom je het meeste tegen. Google Analytics volgt mij op 45 sites en apps en DoubleClick (ook van Google) op 37. Facebook is ook een grote tracker. Die plaatst namelijk bij iedere deel- of vind-ik-leukknop op internet een cookie, zodat leden maar ook niet-leden buiten Facebook gevolgd kunnen worden.
Maar hoe werkt dat eigenlijk, volgen over internet?
Om 14.01 uur en 46 seconden zit ik op Cartoonnetwork.nl. Vrolijke cartoonfiguren rennen over mijn scherm. Tegelijkertijd zie ik onder de motorkap van mijn browser Adnxs opduiken. Dit platform is van AppNexus. AppNexus veilt advertentieruimte, bouwt profielen over consumenten met online en offline data en koopt voor klanten advertentieruimte op andere grote online veilingen, zoals die van Google DoubleClick en Facebook Exchange.
Adnxs plaatst een cookie met een code (2168608468115370000) die de rest van de middag door bijna veertig andere bedrijven wordt gebruikt. Als ik niets doe, blijft dit cookie tot zeker 16 februari 2015 op mijn computer staan. Op Cartoonnetwork.nl zie ik bijvoorbeeld MLN Advertising, Microsoft, Rubicon Project en de Media Innovation Group hetzelfde cookie gebruiken. Even later komt de code terug op Disney.nl, Funnygames.nl, Kidznet.nl, Studio100.be, Minipret.nl en Spele.nl.
MLN Advertising vertelt in zijn privacy policy dat het informatie verzamelt over je computer, IP-adres en wat je op een site doet. Maar ook koopt MLN Advertising data over je gedrag en omgeving van gespecialiseerde handelaren. En o ja, MLN Advertising zegt geen data van kinderen te verzamelen.
Wat zien we niet?
Of ik verder nog gevolgd word, weet ik niet, maar dat is niet onwaarschijnlijk. Omdat steeds meer mensen een adblocker gebruiken – een browser-plugin die advertenties en cookies tegenhoudt – nemen steeds meer adverteerders hun toevlucht tot volgmethoden die moeilijk te herkennen zijn.
AddThis raakte bijvoorbeeld eerder dit jaar in opspraak omdat onderzoekers erachter kwamen dat het bedrijf aan zogenoemd canvas fingerprinting doet. AddThis geeft dan opdracht aan de browser om een onzichtbare tekening te maken. Omdat iedere browser dat op net iets andere wijze doet, kan AddThis iedere browser herkennen. AddThis staat op meer dan honderdduizend websites en kan je dan dus over al die sites volgen.
Hoe zit het met apps?
Hoe je op apps wordt gevolgd, is moeilijker bloot te leggen. Adverteerders en appbouwers kunnen veel meer gevoelige informatie opslurpen, want op een smartphone of tablet kunnen ze ook toegang krijgen tot contacten, agenda en locatiegegevens, welke andere apps er zijn geïnstalleerd, socialemedia-accounts en nog veel meer. Apps en adverteerders kunnen bijvoorbeeld allerlei unieke codes opvragen van je toestel, waarmee ze je kunnen volgen.
De mate waarin apps en adverteerders je kunnen volgen, verschilt per besturingssysteem. Adverteerders kunnen veel minder informatie opvragen op een iPhone en moeten per app toestemming vragen als ze contact- of locatiegegevens willen opvragen. Op Android geef je die toestemming voordat je de app installeert: je moet alle voorwaarden accepteren, anders kun je de app niet gebruiken.
Dit verschil is simpel veelzeggend. Apple verdient zijn geld met hardware, dus met mooie apparaten. Google, waar Android onder valt, verdient zijn geld met gebruikersdata.
Verleid om informatie te lekken
Wat gebeurt er bij de apps?
In Minion Rush van Gameloft ben je een minion, een hulpje van Gru, de hoofdpersoon uit de animatiefilm Despicable Me. Je moet muntjes verzamelen op een soort lopende band en allerlei gevaren ontwijken. De game zit professioneel in elkaar, maar vraagt daar ook wat voor terug. Zo wil de app inzage in de lijst met accounts op mijn smartphone, dus welke Twitter-, Facebook- en Google-accounts ik heb. Hij neust ook in data van mijn contactgegevens, vraagt het serienummer op van mijn telefoon, wil weten hoe de netwerken heten waar ik mee verbonden ben en wil graag updates krijgen van mijn locatie. Gameloft wil ook graag weten wie mijn telefoonprovider is, wat mijn unieke klantnummer is bij die provider en een lijst hebben van alle sensoren en apps die geïnstalleerd zijn. Voor sommige toepassingen zijn deze gegevens nodig, maar vele zijn overbodig.
Maar het gaat nog verder. Tijdens het spelen krijg ik namelijk de mogelijkheid om tokens bij te kopen, waarmee ik weer verder in het spel kan komen. Maar na een paar minuten spelen krijg ik bericht dat ik vijftig tokens gratis krijg als ik mijn Facebook- of Google Plusaccount aan het spel koppel.
De letter en de geest van de wet
Dan resten twee belangrijke vragen: Mag dit zomaar? En wat is er nu eigenlijk erg aan deze vorm van commerciële surveillance?
Volgens privacyadvocaat Ot van Daalen is de wet duidelijk. Voor het plaatsen van een cookie heb je toestemming nodig. Voor minderjarigen, onder de zestien, geldt dat ouders die toestemming moeten geven. Gericht adverteren op basis van surf- of appgedrag is dan ook ontoelaatbaar.
Gezien de complexe datastromen en het internationale karakter van de advertentiemarkt zijn deze regels echter moeilijk te handhaven. Van Daalen vindt het niet de verantwoordelijkheid van kinderen en ouders om zich tegen datagraaien te beschermen. ‘Het zijn de websites, appontwikkelaars en de advertentieplatformen die ervoor moeten zorgen dat kinderen niet op deze manier worden gevolgd.’
Specialist internetmarketing Arjan Haring zegt dat er altijd meer kan dan juridisch mag. ‘Daardoor zal de wetgever er altijd achteraan blijven hobbelen. Van mij mag dit soort tracken wel worden ingeperkt. Als we meer van klanten weten, kunnen we meer dingen verkopen. Maar is dat een steekhoudend argument? Ik zie de gebruikerservaring niet verbeteren.’
Optimaal manipuleren
Op zich lijkt het niet zo problematisch dat adverteerders informatie proberen te ontfutselen. Op die manier wordt betaald voor de spelletjes die onze kinderen gratis kunnen spelen. Dan hebben die bedrijven maar ergens in hun database staan dat je op Funnygames.nl of Kidznet.nl een spelletje hebt gedaan. Dus? Moeten we dit nu erg of eng vinden?
Een van de beste antwoorden vond ik onlangs in een wetenschappelijk artikel van de Amerikaanse jurist Ryan Calo. Hij benadert deze vraag niet vanuit het oogpunt van het diffuse begrip privacy, maar vanuit een gedragseconomisch perspectief.
Calo bouwt voort op het economische begrip van marktmanipulatie. Mensen handelen lang niet altijd economisch rationeel en marktpartijen maken daar gebruik van. Om met de Israëlisch-Amerikaanse gedragseconoom Dan Ariely te spreken: mensen zijn ‘voorspelbaar irrationeel.’
Marktmanipulatie vindt plaats als bedrijven op deze irrationele drijfveren inspelen. Volgens Calo heeft internet de mogelijkheden voor dit soort manipulatie enorm versterkt. Alle grote webbedrijven – zoals Amazon, Google, Microsoft – hebben antropologen, psychologen en wiskundigen in dienst. Die zoeken in al die gebruikersdata, die voorheen niet beschikbaar waren, naar gedragspatronen van consumenten. Wanneer kopen ze wat?
Het internet, en de bijbehorende dataverzameling, brengen een ogenschijnlijke paradox voort: het is mogelijk om massaal en systematisch mensen persoonlijk te benaderen. Als je weet hoe iemand zich gedraagt en dat vergelijkt met hoe anderen zich gedragen, kun je, aldus Calo, aan persuasion profiling doen: uitvogelen welke pitch het beste werkt bij welke consument. Met andere woorden: je kunt iemand optimaal manipuleren.
Waartegen je je kind moet beschermen
Ik denk dat Calo de vinger op de zere plek legt. Als één advertentiebedrijf je volgt en in ruil daarvoor gratis content mogelijk maakt, dan is dat nog wel te overzien. Als honderden bedrijven dat doen, zonder dat dat expliciet gemaakt wordt, is dit volggedrag al een stuk problematischer. Zeker als je bedenkt dat het doel van advertentiebedrijven is om jouw gedrag te beïnvloeden.
Dát is waar ik Elias tegen wil beschermen. Het gaat mij er niet zozeer om dat allerlei bedrijven zien dat hij drie minuten lang Talking Tom heeft gespeeld. Ik wil niet dat die data ongevraagd en voor mij onzichtbaar worden aangevuld met andere gegevens, dat er allerlei bedrijven zijn data gebruiken om manieren te vinden om zijn gedrag te beïnvloeden.
Ik begrijp dat gratis ook een prijs heeft. Maar ik wil wel graag weten wat er gebeurt, zonder dat ik de motorkap van mijn smartphone moet openbreken. Ik wil graag een keuze hebben. En weten wat al die bedrijven nu precies doen. Laat het opvoeden maar aan mij over.
Bekijk ook de reportage van KASSA terug.