Als mijn zoon Elias (4) op vrijdagmiddag thuiskomt van school, wil hij een spelletje doen op mijn smartphone. Om vijf over halfvier precies opent hij Talking Tom, een maf spel waarbij je een pratende poes kan aaien en plagen.

Als de app opstart, wandelt een meneer in strak pak onze huiskamer binnen. Hij stelt zich niet voor, kijkt ons niet aan, loopt rechtstreeks op Elias af en gaat met een notitieblok achter hem staan. Op zijn aktetas staat ‘IQzone.’ Af en toe kijkt hij waar mijn zoon met zijn kleine vingers allemaal op drukt. Wat hij leuk vindt. Hoe hij zich gedraagt.

Al snel loopt nog een meneer de kamer binnen. Op zijn aktetas staat ‘Google.’ Ook hij gaat achter Elias staan en krabbelt een code op een etiket: e58a53dc-9c17-46fc-a241-7e4a4696f2. Vervolgens plakt hij dit etiket op de rug van mijn zoon. Die heeft, begeesterd door Talking Tom, niets in de gaten.

Binnen een minuut lopen nog acht mannen en vrouwen de kamer binnen. Ook zij zeggen niets. Op hun koffertjes zie ik namen als Mopub, Millennium Media, Nexage, Appclick, Flurry, Bluekai, Celtra en Bee7. Net als de man van Google plakken sommigen een etiketje op Elias’ rug. Vaak meerdere.

Na vier minuten spelen staan er twaalf personen om Elias heen. Als hij het spelletje zat is en de app sluit, rennen ze schielijk weg. Enkelen grissen hun etiketje mee, maar de meesten laten het gewoon hangen. Een paar van deze vreemde mannen zie ik later weer verschijnen als Elias een ander spel doet.

Volgen om te beïnvloeden

Als je een website bezoekt of een app gebruikt, zijn er tientallen, soms honderden bedrijven die over je schouder meekijken. Dit zijn adverteerders, datahandelaren en analysebedrijven. Het enige verschil met dit scenario: je merkt er doorgaans niks van. Het spioneren vindt plaats via ingewikkelde software.

Deze bedrijven ontfutselen informatie over je de instellingen van je browser en smartphone, waar je bent en wie je vrienden en bekenden zijn.

Het bezoek van één site of app levert niet zoveel informatie op, maar als je over lange tijd op genoeg sites en apps gevolgd wordt, kunnen die vele kleine beetjes data een gedetailleerd beeld opleveren. Dat beeld onthult wat voor iemand je bent, hoe je je gedraagt en – de Heilige Graal van adverteerders – hoe je het beste te beïnvloeden bent.

Over zulke commerciële surveillance hebben collega Maurits Martijn en ik het afgelopen jaar uitvoerig geschreven.

Al deze stukken gingen over volwassen consumenten, van wie kan worden verwacht dat ze zich op de hoogte stellen van dit soort zaken. Maar hoe volgen bedrijven onze kinderen, als ze op de tablet, smartphone of pc van hun ouders een spelletje spelen?

Kinderen verdienen extra bescherming

Kinderen en privacy is een gevoelig onderwerp. Niet voor niets staat in dat gegevens die het mogelijk maken om kinderen te identificeren en te profileren niet verzameld mogen worden. Daarnaast moeten ouders toestemming geven voor de verwerking van de gegevens van kinderen

De gedachte is dat kinderen nog niet in staat zijn om afgewogen keuzes te maken, of om voor hun eigen belangen op te komen. Ze zijn bijvoorbeeld makkelijker te beïnvloeden en kunnen onbedoeld veel informatie over zichzelf of over hun vriendjes en gezin prijsgeven. Daarnaast zijn ze nieuw op internet en moeten ze zich onbespied en vrij kunnen ontwikkelen, zonder dat er jarenlang allerlei profielen van ze worden bewaard.

Veel websites, apps en advertentiebedrijven beloven in hun privacy policy’s geen data over kinderen te verzamelen

Veel websites, apps en advertentiebedrijven erkennen deze gevoeligheid en beloven daarom in hun privacy policy’s geen data over kinderen te verzamelen, of daar heel voorzichtig mee om te gaan.

Maar als je kijkt wat er écht gebeurt op je computer of smartphone, dan zie je dat die belofte zelden wordt waargemaakt.

Samen met redacteuren van het VARA-consumentenprogramma KASSA hebben we veertig goedbezochte kinderwebsites en veertig veelgebruikte kinderapps getest. We hebben met speciale software onder de motorkap van een browser en smartphone gekeken om te zien welke bedrijven onze kinderen volgen en hoe ze dat doen.

Toen we aan dit onderzoek begonnen, hadden we gezien de beloften enige terughoudendheid verwacht in het volgen van onze kinderen door websites, apps en adverteerders.

Niets bleek minder waar.

Op de 72 kinderwebsites en -apps waarvan we betrouwbare werden we door minstens 179 verschillende bedrijven gevolgd. Dit tracken vindt vooral plaats op websites.

Illustratie: Doeke van Nuil

Laten we eerst eens naar de kindersites kijken.

Op de site Disney.nl vond ik maar liefst 58 verschillende bedrijven die met elkaar tientallen cookies plaatsten. Dat wordt verklaard door de die voor een gewone gebruiker ongemerkt plaatsvindt. Op het moment dat ik de pagina laad, mogen tientallen adverteerders binnen een fractie van een seconde bieden om mij een advertentie te leveren. Al die bedrijven kijken of ze mij al kennen en zo ja, of een advertentie relevant is en hoeveel

Maya de Bij heeft veel commerciële vriendjes

Een andere site waar veel bedrijven aan de achterkant meekijken, is Daar kun je leuke spelletjes spelen met Maya de Bij, Wickie de Viking, Mega Mindy, Bumba en K3. In de drie minuten die ik op Studio 100 doorbreng, vinden er vier flitsveilingen plaats waar enkele tientallen bedrijven

De softwarecode verraadt dat niet alleen adverteerders mijn data krijgen. Zo wordt de DemDex-database van Adobe aangeroepen. DemDex is, in de woorden van Adobe ‘een product dat online en offline informatie uit iedere mogelijke bron integreert [...] waarmee je snel je meest waardevolle klanten kunt herkennen en ze gericht kunt aanspreken om ze zo tot handelen aan te zetten.’

Lees: op een advertentie klikken en iets kopen.

Een ander bedrijf dat meedoet in de flitsveiling is Acxiom, een enorme Amerikaanse datahandelaar die online dossiers beheert van honderden miljoenen consumenten. Deze bedrijven verkopen data en analyses door aan adverteerders.

Wat er precies met mijn data gebeurt, is echter moeilijk te achterhalen. In de privacy policy schuift Studio 100 de verantwoordelijkheid af. Zo staat er: ‘Wij kunnen niet garanderen dat deze derden [de advertentiebedrijven, DT] op een betrouwbare of veilige manier met persoonsgegevens omgaan. Wij raden je aan de privacy policy van deze websites en applicaties te lezen alvorens ervan gebruik te maken.’

Alleen al voor deze drie minuten op Studio100.be zouden we dus 54 privacy policy’s moeten lezen.

Illustratie: Doeke van Nuil

Google is de grootste spion

Veel van die bedrijven volgen mij over meerdere websites. Google kom je het meeste tegen. Google Analytics volgt mij op 45 sites en apps en DoubleClick (ook van Google) op 37. Facebook is ook een grote tracker. Die plaatst namelijk bij iedere deel- of vind-ik-leukknop op internet een cookie, zodat leden maar ook niet-leden buiten Facebook gevolgd kunnen

Maar hoe werkt dat eigenlijk, volgen over internet?

Om 14.01 uur en 46 seconden zit ik op Cartoonnetwork.nl. Vrolijke cartoonfiguren rennen over mijn scherm. Tegelijkertijd zie ik onder de motorkap van mijn browser Adnxs opduiken. Dit platform is van AppNexus. AppNexus veilt advertentieruimte, bouwt profielen over consumenten met online en offline data en koopt voor klanten advertentieruimte op andere grote online veilingen, zoals die van Google DoubleClick en

Adnxs plaatst een cookie met een code (2168608468115370000) die de rest van de middag door bijna veertig andere bedrijven Als ik niets doe, blijft dit cookie tot zeker 16 februari 2015 op mijn computer Op Cartoonnetwork.nl zie ik bijvoorbeeld MLN Advertising, Microsoft, Rubicon Project en de Media Innovation Group hetzelfde cookie gebruiken. Even later komt de code terug op Disney.nl, Funnygames.nl, Kidznet.nl, Studio100.be, Minipret.nl en Spele.nl.

MLN Advertising vertelt in zijn dat het informatie verzamelt over je computer, IP-adres en wat je op een site doet. Maar ook koopt MLN Advertising data over je gedrag en omgeving van gespecialiseerde handelaren. En o ja, MLN Advertising zegt geen data van kinderen te verzamelen.

Wat zien we niet?

Of ik verder nog gevolgd word, weet ik niet, maar dat is niet onwaarschijnlijk. Omdat steeds meer mensen een adblocker gebruiken – een browser-plugin die advertenties en cookies tegenhoudt – nemen steeds meer adverteerders hun toevlucht tot volgmethoden die moeilijk te herkennen zijn.

raakte bijvoorbeeld eerder dit jaar omdat onderzoekers erachter kwamen dat het bedrijf aan zogenoemd canvas fingerprinting doet. AddThis geeft dan opdracht aan de browser om een onzichtbare tekening te maken. Omdat iedere browser dat op net iets andere wijze doet, kan AddThis iedere browser herkennen. AddThis staat op meer dan honderdduizend websites en kan je dan dus over al die sites volgen.

Illustratie: Doeke van Nuil

Hoe zit het met apps?

Hoe je op apps wordt gevolgd, is moeilijker bloot te leggen. Adverteerders en appbouwers kunnen veel meer gevoelige informatie opslurpen, want op een smartphone of tablet kunnen ze ook toegang krijgen tot contacten, en locatiegegevens, welke andere apps er zijn geïnstalleerd, socialemedia-accounts en nog veel meer. Apps en adverteerders kunnen bijvoorbeeld allerlei opvragen van je toestel, waarmee ze je kunnen volgen.

De mate waarin apps en adverteerders je kunnen volgen, verschilt per besturingssysteem. Adverteerders kunnen veel minder informatie opvragen op een iPhone en moeten per app toestemming vragen als ze contact- of locatiegegevens willen opvragen. Op Android geef je die toestemming voordat je de app installeert: je moet alle voorwaarden accepteren, anders kun je de app niet gebruiken.

Dit verschil is simpel veelzeggend. Apple verdient zijn geld met hardware, dus met mooie apparaten. Google, waar Android onder valt, verdient zijn geld met

Illustratie: Doeke van Nuil

Verleid om informatie te lekken

Wat gebeurt er bij de apps?

In Minion Rush van Gameloft ben je een minion, een hulpje van Gru, de hoofdpersoon uit de animatiefilm Despicable Me. Je moet muntjes verzamelen op een soort lopende band en allerlei gevaren ontwijken. De game zit professioneel in elkaar, maar vraagt daar ook wat voor terug. Zo wil de app inzage in de lijst met accounts op mijn smartphone, dus welke Twitter-, Facebook- en Google-accounts ik heb. Hij neust ook in data van mijn contactgegevens, vraagt het serienummer op van mijn telefoon, wil weten hoe de netwerken heten waar ik mee verbonden ben en wil graag updates krijgen van mijn locatie. Gameloft wil ook graag weten wie mijn telefoonprovider is, wat mijn unieke klantnummer is bij die provider en een lijst hebben van alle sensoren en apps die geïnstalleerd zijn. Voor sommige toepassingen zijn deze gegevens nodig, maar vele

Maar het gaat nog verder. Tijdens het spelen krijg ik namelijk de mogelijkheid om tokens bij te kopen, waarmee ik weer verder in het spel kan komen. Maar na een paar minuten spelen krijg ik bericht dat ik vijftig tokens gratis krijg als ik mijn Facebook- of Google Plusaccount aan het spel koppel.

De letter en de geest van de wet

Dan resten twee belangrijke vragen: Mag dit zomaar? En wat is er nu eigenlijk erg aan deze vorm van commerciële surveillance?

Volgens privacyadvocaat Ot van Daalen is de wet duidelijk. Voor het plaatsen van een cookie heb je toestemming nodig. Voor minderjarigen, onder de zestien, geldt dat ouders die toestemming moeten geven. Gericht adverteren op basis van surf- of appgedrag is dan ook ontoelaatbaar.

Gezien de complexe datastromen en het internationale karakter van de advertentiemarkt zijn deze regels echter moeilijk te handhaven. Van Daalen vindt het niet de verantwoordelijkheid van kinderen en ouders om zich tegen datagraaien te beschermen. ‘Het zijn de websites, appontwikkelaars en de advertentieplatformen die ervoor moeten zorgen dat kinderen niet op deze manier worden gevolgd.’

Specialist internetmarketing Arjan Haring zegt dat er altijd meer kan dan juridisch mag. ‘Daardoor zal de wetgever er altijd achteraan blijven hobbelen. Van mij mag dit soort tracken wel worden ingeperkt. Als we meer van klanten weten, kunnen we meer dingen verkopen. Maar is dat een steekhoudend argument? Ik zie de gebruikerservaring niet verbeteren.’

Optimaal manipuleren

Op zich lijkt het niet zo problematisch dat adverteerders informatie proberen te ontfutselen. Op die manier wordt betaald voor de spelletjes die onze kinderen gratis kunnen spelen. Dan hebben die bedrijven maar ergens in hun database staan dat je op Funnygames.nl of Kidznet.nl een spelletje hebt gedaan. Dus? Moeten we dit nu erg of eng vinden?

Een van de beste antwoorden vond ik onlangs in een van de Amerikaanse jurist Ryan Calo. Hij benadert deze vraag niet vanuit het oogpunt van het diffuse begrip privacy, maar vanuit een gedragseconomisch perspectief.

Calo bouwt voort op het economische begrip van marktmanipulatie. Mensen handelen lang niet altijd economisch rationeel en marktpartijen maken daar gebruik van. Om met de Israëlisch-Amerikaanse gedragseconoom te spreken: mensen zijn

Marktmanipulatie vindt plaats als bedrijven op deze irrationele drijfveren inspelen. Volgens Calo heeft internet de mogelijkheden voor dit soort manipulatie enorm versterkt. Alle grote webbedrijven – zoals Amazon, Google, Microsoft – hebben antropologen, psychologen en wiskundigen in dienst. Die zoeken in al die gebruikersdata, die voorheen niet beschikbaar waren, naar gedragspatronen van consumenten. Wanneer kopen ze wat?

Het internet, en de bijbehorende dataverzameling, brengen een ogenschijnlijke paradox voort: het is mogelijk om massaal en systematisch mensen persoonlijk te benaderen. Als je weet hoe iemand zich gedraagt en dat vergelijkt met hoe anderen zich gedragen, kun je, aldus Calo, aan persuasion profiling doen: uitvogelen welke pitch het beste werkt bij Met andere woorden: je kunt iemand optimaal

Waartegen je je kind moet beschermen

Illustratie: Doeke van Nuil


Ik denk dat Calo de vinger op de zere plek legt. Als één advertentiebedrijf je volgt en in ruil daarvoor gratis content mogelijk maakt, dan is dat nog wel te overzien. Als honderden bedrijven dat doen, zonder dat dat expliciet gemaakt wordt, is dit volggedrag al een stuk problematischer. Zeker als je bedenkt dat het doel van advertentiebedrijven is om jouw gedrag te

Dát is waar ik Elias tegen wil beschermen. Het gaat mij er niet zozeer om dat allerlei bedrijven zien dat hij drie minuten lang heeft gespeeld. Ik wil niet dat die data ongevraagd en voor mij onzichtbaar worden aangevuld met andere gegevens, dat er allerlei bedrijven zijn data gebruiken om manieren te vinden om zijn gedrag te beïnvloeden.

Ik begrijp dat gratis ook een prijs heeft. Maar ik wil wel graag weten wat er gebeurt, zonder dat ik de motorkap van mijn smartphone moet openbreken. Ik wil graag een keuze hebben. En weten wat al die bedrijven nu precies doen. Laat het opvoeden maar aan mij over.

Bekijk ook van KASSA terug.

Lees hieronder ons dossier over de werkwijze van online adverteerders:

Methodologie en overige resultaten In dit stuk beschrijf ik hoe we het onderzoek naar de kinderapps- en websites hebben uitgevoerd en geven we de resultaten voor alle sites en apps. Lees verder Big Business is watching you Met geavanceerde trackers op websites slaan onbekende bedrijven talloze persoonsgegevens van ons op. Hoewel er miljarden aan worden verdiend, weet niemand wat deze bedrijven er precies mee doen. Deel 1 in een serie over de verborgen economie achter het web. Lees verder Hoe kun je trackers blocken? Met een aantal simpele programma’s kun je zelf bepalen door wie je online wordt gevolgd. Nou ja, voor een groot deel. Lees verder Wat is Tor? De NSA probeert al jaren om de populaire privacytool Tor te kraken, zo maakten The Guardian en de Washington Post afgelopen weekend bekend. Maar wat is Tor en waarom is dit belangrijk nieuws? Lees verder Hoe je onschuldige smartphone bijna je hele leven doorgeeft aan de geheime dienst Inlichtingendiensten verzamelen metadata over de communicatie van alle burgers. Volgens politici zeggen die data niet zoveel. Een lezer van De Correspondent nam de proef op de som en toonde aan: die metadata verraden véél meer over je leven dan je denkt. Lees verder Wat is device fingerprinting? Als je surft, word je niet alleen gevolgd met behulp van cookies, maar steeds vaker ook door device fingerprinting. Wat is dit en waarom kan je er niets tegen doen? Lees verder Hoe reclameman Don Draper het verliest van Big Data Lange tijd waren de psychologische tegeltjeswijsheden van de reclameman in de advertentie- en reclamewereld de maat der dingen. Maar dat is aan het veranderen. Door het internet maakt de advertentiewereld een transformatie door van onderbuik naar harde data. ‘Het internet is de beste telescoop op menselijk gedrag die wij ooit hebben gemaakt.’ Lees verder Jouw aandacht wordt talloze malen aan de hoogste bieder verkocht Real-time bidding is in opkomst. Zonder dat je het weet, word je iedere dag tientallen keren in milliseconden geveild op online advertentieplatforms. Hoe gaat deze veiling, waarmee vele miljoenen per jaar worden verdiend, precies in zijn werk? Lees verder Deze tracker volgt je in het geniep en is niet uit te schakelen Amerikaanse en Belgische computerwetenschappers hebben een nieuwe, bizarre vorm van tracking aangetroffen op duizenden populaire websites: canvas fingerprinting. Een online tracker die je browser opdracht geeft om een onzichtbare tekening te maken op je scherm. Een tekening die niet is uit te schakelen. Lees verder Dit gebeurt er allemaal onder de motorkap van je smartphone Eerder schreven correspondent Maurits Martijn en ik over online trackers die ons gedrag registeren via pc’s en laptops. In dit verhaal het vervolg: wat houdt het apparaat in onze broekzak allemaal over ons bij? Na langdurig onderzoek naar 85 populaire apps ontdekte ik hoe de smartphone vol privacygevoelige lekken zit. Lees verder