Zo houden datahandelaren ons in de gaten (maar wie controleert hen?)
Zonder dat je het doorhebt, worden jouw persoonlijke data elke dag verhandeld. Een wereld waar dagelijks miljoenen in omgaan. Toch weten we in Nederland weinig van deze handel af. Wat gebeurt er precies met onze gegevens? Een inzicht in een wereld waarin je constant wordt geobserveerd, geregistreerd en geïnterpreteerd.
Ik ben 45 jaar oud en dol op beleggen. Mijn buren zijn hier geboren, net als ik. Ik rijd een Volvo, maar ik heb aanschafplannen voor een Hummer. Dat is handig voor mijn gezin met drie kinderen.
O, en ik lees de Linda.
Dit is wat datahandelaar Experian over mij weet. In 2015 zette de Nederlandse tak van dat Amerikaanse bedrijf 16,2 miljoen euro om met het verzamelen, analyseren en verhandelen van persoonsgegevens van burgers.
Experian staat hier niet alleen in. In Nederland zijn zo’n 180 datahandelaren actief die de gedragingen van burgers constant in de gaten houden.
De gegevensverzameling van deze bedrijven voltrekt zich volledig onder de radar. Denk er maar eens over na: heb jij ooit data over jezelf aan 4Orange, Cendris of Experian gegeven? Grote kans van niet. Toch hebben ze die in handen en verdienen ze er flink wat geld aan.
Maar waarom is die wereld met zoveel schimmigheid omgeven? Welke gegevens hebben bedrijven in handen? Waar halen ze die vandaan en wat doen ze daarmee?
Dat wilde ik weten. Eerst vroeg ik jullie mij te helpen met dit onderzoek. Het leverde veel bruikbare tips op. Vervolgens sprak ik met verscheidene datahandelaren, experts uit het bedrijfsleven en academici die mij een inzicht boden in deze wereld. Ook was ik benieuwd naar mijn eigen dataspoor, dus vroeg ik aan een selectie bedrijven wat zij over mij weten.
Wat blijkt: datahandelaren analyseren je constant. En daar kun je maar weinig tegen doen.
De wereld van de datahandel
Datahandelaren verzamelen, analyseren en verhandelen jouw gegevens. Die data kunnen ze voor verschillende doelen inzetten, op persoonlijk en doelgroepniveau.
Zo helpen datahandelaren marketeers om doelgroepen te selecteren. Een bedrijf dat een duur espressoapparaat wil verkopen, adverteert niet in de wijk Woensel-Noord in Eindhoven maar in een hippe, rijke buurt als het Amsterdamse Oud-West. De kans op een ‘conversie,’ het omzetten van een advertentie in een bestelling, is daar namelijk veel hoger.
Een bedrijf dat een duur espressoapparaat wil verkopen, adverteert niet in de wijk Woensel-Noord
Omdat datahandelaren over veel gegevens van burgers en woonwijken beschikken, weten zij precies waar de juiste doelgroep zit voor een bepaald product. Zo biedt handelaar 4Orange, die gegevens van ‘alle Nederlandse consumenten’ bezit, een zogenoemde ‘lifestyle scan’ aan. Hiermee krijgen bedrijven een ‘gedetailleerd inzicht in de karakteristieken van de doelgroep gegeven aan de hand van een groot aantal kenmerken op het gebied van socio-demografie, koopgedrag, media en lifestyle.’
Persoonsgegevens kunnen ook voor risicobeheer gebruikt worden. Handelsinformatiebureaus gebruiken data over jou (zoals je betaalgeschiedenis, maar ook je postcode) om een kredietscore van je op te stellen met een bijbehorend advies. Zo’n score geeft aan hoe kredietwaardig je bent en of je dus een rekening of lening zult (terug)betalen. Handig voor banken en webshops.
Datahandelaren verzamelen informatie over jou (zonder dat je dat doorhebt)
Op 13 augustus 2015 doe ik een grote stapel enveloppen op de post. In die enveloppen zitten inzageverzoeken aan 25 verschillende bedrijven. Met deze verzoeken hoop ik bij bedrijven en datahandelaren te ontfutselen of zij persoonsgegevens van mij hebben en, zo ja, welke. Ook wil ik weten wat ze daarmee doen.
Terwijl ik op reacties wacht, struin ik het internet af op zoek naar datahandelaren en hun waar.
Al snel stuit ik op datahandelaar N.A.W.plus. Het bedrijf heeft complete lijsten beschikbaar van predikanten, pastores en ‘actieve christenen,’ verkregen van een uitgeverij die zich bezighoudt met ‘materiaal voor dagelijkse bezinning.’ N.A.W.plus verkoopt ook namen en adresgegevens van de bezoekers van een christelijk vakantiepark op de Veluwe. Het beschikt over e-mailadressen van bezoekers van jongerencommunity Refoweb én datingwebsite Christianmatch. Stel dat je een nieuw christelijk magazine start, dan kun je deze data goed gebruiken.
Het is niet de enige bijzondere lijst die ik tegenkom.
Het bedrijf WIJ Special Media, onderdeel van Prénatal, claimt ‘nagenoeg alle’ adressen van zwangere vrouwen in Nederland te hebben. Het bedrijf biedt gratis zwangerschapspakketten aan in ruil voor persoonlijke informatie. Het bedrijf vraagt niet alleen om adresgegevens, maar ook naar de uitgerekende datum en zelfs de geboortedatum, de naam en het geslacht van het kind. Deze data kunnen interessant zijn voor bedrijven die baby- en kinderspullen willen verkopen. Zij weten precies wanneer een vrouw de juiste aanbieding moet ontvangen.
Er zijn ook datahandelaren, zoals Elite-Miljonairs en VIP-Leads, die contactgegevens van Nederlandse miljonairs, welgestelden en bekende Nederlanders verhandelen. Welvaart drijft de prijs op: zo betaal je bij Elite-Miljonairs voor bekende Nederlanders 70 eurocent per adres en voor een multimiljonair 1,25 euro.
Ieder bedrijf kan zo’n lijst met namen en adressen van burgers huren of kopen. Bij N.A.W.plus betaal je rond de 7.000 euro voor ongeveer 20.000 gegevens van lezers van het Reformatorisch Dagblad. Elite-Miljonairs verkoopt adressen van 1.500 rijke Nederlanders voor 720 euro.
Ik vraag me af: in welke categorie val ík eigenlijk?
De inzageverzoeken die ik terugkrijg helpen mij niet verder. Maar drie datahandelaren zeggen gegevens van mij te hebben. Experian weet waar ik woon, dat ik een vrouw ben en dat ik een vastetelefoonaansluiting heb. Sandd kan mij alles vertellen over mijn huis en woonomgeving; van Graydon krijg ik een kopietje van mijn bedrijfsgegevens mee, inclusief het aantal werknemers dat ik in dienst heb en mijn kredietscore.
Het is niet veel. Toch heb ik die data nooit bewust afgegeven.
Het is me bovendien niet helemaal duidelijk waar ze hun informatie precies vandaan hebben. In hun brieven schrijven Sandd en Graydon dat ze mijn informatie uit openbare bronnen hebben, zonder verder uit te leggen welke dat precies zijn. Een medewerkster van Experian laat mij schriftelijk weten dat het bedrijf rekening houdt ‘met een schat aan informatie van bronnen met registratiedata – zoals uitgebreide en gedetailleerde vastgoedgegevens en diverse personenbestanden.’
Hoe een profiel gemaakt wordt
Het blijft vaag. Dus besluit ik bij een zestal bedrijven langs te gaan. Wellicht kunnen ze mij meer vertellen over hun vergaringstactieken.
De woorden ‘openbare bronnen’ komen in elk gesprek terug. Handelaren raadplegen bijvoorbeeld de Kamer van Koophandel (KvK), het Centraal Bureau voor de Statistiek (CBS) en Kadaster, veelal voor informatie over wijken en straten.
Hoe algemeen en onpersoonlijk deze informatie ook lijkt, in de praktijk is het dat niet. Want nee, ik ben geen 45-jarige Volvo-rijder. De Linda lees ik hooguit bij de kapper.
Nee, ik ben geen 45-jarige Volvo-rijder. De Linda lees ik hooguit bij de kapper
Dit zijn gewoon kenmerken van de wijk waarin ik woon. Vergaard door databases van het CBS en Kadaster aan elkaar te koppelen. Experian deelde me op basis daarvan in bij het groepsprofiel ‘Gouden Rand.’ Anders dan mensen met de profielen ‘Vergrijsde Eenvoud’ en ‘Sociale Huurders’ ben ik, als je naar mijn wijk kijkt, waarschijnlijk rijk en een harde werker.
Ook vind ik een groepsprofiel van Experian genaamd ‘Minder Geslaagden.’ Dit zijn arme mensen die ‘veel thuis zitten’ en daardoor ‘kunnen nadenken over hoe het had kunnen zijn.’ Ze wonen in ‘vervallen wijken’ met een ‘ratjetoe’ aan huizen en mensen. In hun huis hangen ‘gordijnen voor de ramen’ en staan ‘vetplanten’ op de vensterbank. Het profiel is inmiddels uit het assortiment gehaald. Destijds is het onder andere door brandweer Amsterdam-Amstelland gebruikt.
Uit gesprekken met handelaren blijkt dat zij dit soort groepsprofielen constant updaten – en niet alleen met actuele informatie van het CBS en andere openbare bronnen. Zo sturen 4Orange en EDM ‘onderzoeksenquêtes’ uit waarin mensen worden bevraagd over hun interesses, leefstijl en woonomgeving. Dit is persoonlijke informatie die aan individuen wordt gekoppeld. Vul je een keer zo’n enquête in, dan zullen handelaren en hun klanten jouw mening over je buurt en favoriete shampoomerk jarenlang bewaren.
Frank de Beun van EDM legt uit hoe dat gaat: ‘Als we enquêtes rondsturen, krijgen we bijvoorbeeld gegevens terug van burgers die hockeyen. We zien dat die gemiddeld een hoger inkomen hebben, tussen de 30 en 40 jaar zijn en kinderen hebben. Deze resultaten passen we toe op heel Nederland. Het is een kans dat jij een bepaalde hobby of interesse hebt. Misschien klopt het niet voor elk huishouden, maar die foutmarge heb je altijd.’
En het aantal openbare informatiebronnen neemt alleen maar toe. Cookies en andere online data vormen steeds vaker onderdeel van een profiel. ‘Als jij je hele ziel en zaligheid op LinkedIn zet, moet je je er altijd bewust van zijn dat iedereen daarnaar kan kijken. Sociale media en andere online bronnen, zoals websites van bedrijven, zijn publiek. Handelsinformatiebureaus kunnen die informatie dus ook inzien,’ aldus Gertjan Kaart, voorzitter van de Nederlandse Vereniging van Handelsinformatiebureaus (NVH).
Ook commerciële partijen blijken een goudmijn. Koop jij een paar schoenen in een webshop, dan kun je ervan uitgaan dat sommige bedrijven jouw gegevens delen met ‘geselecteerde partners.’ Op het moment dat jij besluit de algemene voorwaarden aan te vinken, ga je hier namelijk mee akkoord.
Handelaren weten veel over ons, maar wij weinig over hen
Er is zo een onbekend aantal commerciële partijen dat klantgegevens verhandelt aan datahandelaren. Wie die partijen precies zijn, dat willen datahandelaren niet delen. Zijn dat telecomproviders? Webshops? Specifieker: Etos? Albert Heijn? ‘Ik kan een openbare bron zo noemen,’ zegt Jan-Hendrik Fleury, de Director Data Management van Cendris, ‘maar de commerciële bron delen wij niet, omdat het concurrentiegevoelig is.’
‘Concurrentiegevoelig.’ Het is een woord dat ik nog vaker zal horen. Stellig delen datahandelaren mij mee dat commerciële bronnen bedrijfsgeheim zijn. ‘Uiteindelijk wil ieder bedrijf een grote, complete database,’ legt Roland Pluut van Maxidelta, ook een datahandelaar, uit. ‘Exclusieve en kwalitatieve bronnen zijn een competitive advantage, dat voordeel wil je als bedrijf niet kwijt. Wie zijn geheime recept verklapt, is morgen failliet.’
Uiteindelijk vertellen enkele handelaren dat het onder andere gaat om uitgeverijen, webwinkels, telecombedrijven en retailers die klantendata registreren. Ze geven verder geen commentaar, máár, stellen ze me gerust, persoonsgegevens zijn in alle gevallen wettelijk verkregen.
Het toverwoord is hier de ‘opt-in.’ In theorie betekent dat: jij geeft expliciet toestemming dat jouw gegevens mogen worden verwerkt en gedeeld door een bedrijf waarmee je zaken doet.
Volgens Jitty van Doodewaerd, Compliance Officer van de Nederlandse branchevereniging Data-Driven Marketing Association (DDMA), zijn bedrijven verplicht consumenten duidelijk te informeren over wat ze met hun data doen. ‘Het moet niet zo zijn dat je dat op pagina 15 van de algemene voorwaarden zet. Het moet voor een consument meteen duidelijk zijn welke gegevens je gebruikt en met wie je die deelt. ‘Zorgvuldig geselecteerde partners’ volstaat niet.’
Toestemming geven, daar kun je niet onderuit
Bij veel bedrijven staan dit soort verklaringen inderdaad diep begraven in de algemene voorwaarden. Je kunt je er bovendien vooraf nooit tegen verzetten: je moet eerst accepteren dat jouw gegevens worden gedeeld voordat je daar tegenin kunt gaan.
Uit mijn inzageverzoeken blijkt dat het zeer veel tijd kost om je naderhand te verzetten tegen dataverwerking. Het is namelijk onmogelijk om na te gaan waar jouw informatie ooit is beland. Bedrijven maken niet duidelijk wie hun partners zijn – dat is concurrentiegevoelig. Wellicht hebben die partners jouw data op dat moment ook al met derden gedeeld.
En zo kan het dus zijn dat jouw data uiteindelijk in een database van christenen of miljonairs terechtkomen.
Datahandelaren nemen beslissingen over ons
Het blijft onduidelijk wat handelaren precies verzamelen en waar ze die data vandaan hebben. Kunnen ze me wel meer vertellen over waar de data voor worden ingezet?
Gertjan Kaart van de NVH doet een poging. Want aan een kredietscore en het bijbehorende advies kleeft een groot voordeel. Klanten met goede scores kunnen makkelijker spullen op rekening betalen, terwijl een bedrijf minder risico loopt. ‘Bij abonnementen voor mobiele telefonie geldt dat de provider jou een service levert en aan het einde van de rit een factuur stuurt. Die provider wil van tevoren weten of er netjes aan de betaling gaat worden voldaan. Het bedrijf schakelt een handelsinformatiebureau in dat allerlei informatie over personen verzamelt en op basis daarvan een advies uitbrengt. Dit beschermt consumenten ook tegen zichzelf, door ze niet met rekeningen te confronteren die ze niet kunnen betalen.’
Mijn kredietscore bij Graydon kan ik wel inzien, maar ik heb geen idee door welke factoren mijn score wordt beïnvloed
Maar scores blijken niet altijd te kloppen. In 2012 onderzocht Kassa een aantal gevallen waarin burgers ten onrechte als ‘betalingsrisico’ werden aangemerkt. Het handelsinformatiebureau in kwestie, EDR, erkende dat dit stempel in sommige gevallen te wijten was aan een eerdere bewoner op dat adres die een rekening niet betaalde, of zelfs aan het postcodegebied waarin mensen wonen. Een bijkomend probleem: de gedupeerden kregen beperkte inzage in de totstandkoming van de score.
Bij mijn eigen inzageverzoeken is dat niet anders. Zo deelt Experian niet welke score het van mij heeft. Mijn kredietscore bij Graydon kan ik wel inzien, maar ik heb geen idee door welke factoren mijn score wordt beïnvloed – wederom: bedrijfsgeheim. Buiten de meest basale bedrijfsinformatie, zoals het aantal werknemers dat ik in dienst heb en mijn bedrijfsadres, weten ze namelijk niks over mij.
Toch zullen de voor mij (en de datahandelaar zelf) onduidelijke scores een belangrijke rol spelen in toekomstige transacties met kredietverstrekkers. Als ik een hypotheek aanvraag bijvoorbeeld, of een nieuw telefoonabonnement afsluit.
Op het gebied van marketing beweren datahandelaren dat gegevensverwerking een hoop gemak met zich meebrengt. Volgens Roland Pluut van MaxiDelta drijft handel in persoonsgegevens ook de kosten van producten omlaag. Bedrijven verdienen namelijk aan de verhuur van hun databases.
Wat als ik dit niet wil?
Maar het wordt een ander verhaal als jij dit niet wilt. Het is namelijk onmogelijk je tegen deze gegevensverwerking te verzetten. Je zou ervoor kunnen kiezen niets meer online te delen, maar dat haalt uiteindelijk weinig uit. Bedrijven schuilen zich namelijk achter het feit dat zij openbare databases gebruiken, zoals die van het CBS, de KvK en Kadaster.
De informatie komt weliswaar niet direct van jou, maar koppel de databases en je krijgt nauwkeurige inschattingen over jouw leefomgeving. Dit mag ook volgens de wet: een profiel is geen persoonsgegeven en mag vrij worden toegepast op huishoudens.
Als het om kredietscores gaat, kun je je informatie als burger vaak pas achteraf corrigeren. Zo blijkt uit mijn inzageverzoeken dat ik momenteel niet in de database van datahandelaar Dun & Bradstreet sta, maar mocht een bedrijf bij hen aankloppen, dan zullen zij automatisch een advies over mij opstellen. Dit advies is gebaseerd op allerlei databronnen waar ik geen weet van heb.
Handelsinformatiebureaus hóéven bovendien geen inzage te geven in de modellen die zij gebruiken bij het opstellen van een score. Dit is concurrentiegevoelige informatie, waardoor het voor burgers onduidelijk blijft waarom zij een bepaalde score toegewezen kregen.
Dit zeggen de experts over ongeremde datahandel
Bedrijven mogen persoonsgegevens verhandelen als je daar toestemming voor hebt gegeven. Toch is het voor burgers onduidelijk waar zij precies toestemming voor geven. Zij kunnen zich bovendien niet onttrekken aan datavergaring van bedrijven en hun partners. Je wordt hoe dan ook in een profiel geplaatst – is het niet op basis van je eigen data, dan wel op die van anderen. Uit mijn onderzoek blijkt dat het ook onduidelijk is waar data uiteindelijk belanden en waar die voor worden gebruikt.
Wat zeggen de experts over deze ontwikkelingen?
Het delen van data brengt gemakken met zich mee, vinden datahandelaren. Gerichte advertenties online en in je postbus sluiten wellicht beter bij jouw interesses aan dan willekeurige reclameboodschappen. Dit kan een hoop irritatie voorkomen. ‘Er zitten in de Bijlmer minder mensen op een Porscheaanbieding te wachten dan in Laren,’ aldus Frank de Beun van EDM.
Een goede kredietscore maakt het betalen op rekening ook een stuk makkelijker. Gertjan Kaart van de NVH vindt het vervelend dat handelsinformatiebureaus vaak negatief in het nieuws komen. ‘Je wordt pas met het systeem geconfronteerd als je er tegenaan loopt. Maar het gemak waarmee je iets krijgt in ruil voor informatie, daar wordt aan voorbijgegaan. Terwijl alle businessmodellen ook zijn gebaseerd op informatie. Jij geeft je informatie door, omdat je een bedrijf vertrouwt en er iets voor terugkrijgt, zoals op rekening geleverd krijgen.’
De Nederlandse branchevereniging Data-Driven Marketing Association (DDMA) ziet erop toe dat bedrijven zich aan de regels houden. Het gaat weleens mis, erkent Compliance Officer Jitty van Doodewaerd. ‘DDMA controleert of organisaties privacyprincipes borgen. Bij datahandelaren controleren we bijvoorbeeld of zij de burger goed informeren dat zijn gegevens verkocht worden. Bedrijven die goed uit deze tests komen, mogen het Privacy Waarborg voeren.’
Volgens Van Doodewaerd moet het wel afgelopen zijn met de ‘sneaky’ marketing. ‘DDMA heeft in het verleden leden geroyeerd die privacyprincipes niet in hun oren geknoopt kregen. Een daarvan ging begin dit jaar om die reden failliet.’
Datahandel heeft dus zeker niet alleen maar voordelen. Onderzoeker Floris Kreiken van burgerrechtenorganisatie Bits of Freedom, die zich inzet voor de bescherming van persoonsgegevens: ‘In de toekomst zullen we nog véél meer data achterlaten bij wat we doen en laten. Dat betekent dat burgers nu al veel duidelijker moeten worden geïnformeerd over wat er met onze gegevens gebeurt. Met wie worden je gegevens gedeeld? En wat zijn de effecten daarvan voor jou? Je zou ervoor moeten kunnen kiezen dat andere partijen jouw gegevens helemaal niet in handen krijgen.’
Kreiken refereert daarnaast aan de nieuwe boetebevoegdheid van het College Bescherming Persoonsgegevens (CBP). Het CBP kan bedrijven en organisaties per 1 januari 2016 forse boetes opleggen als zij slordig met persoonsgegevens omgaan. ‘Deze nieuwe bevoegdheid kan op een fiks boetefestijn uitlopen als bedrijven over de rand van de wet gaan. Ze zullen zich tweemaal bedenken voordat ze die grens overschrijden.’
Dit artikel kwam tot stand met hulp van een fonds van de Open Society Foundations. Bits of Freedom heeft met behulp van hetzelfde fonds een adviesrapport geschreven, mede op basis van de bevindingen van dit onderzoek. Dat rapport is aanstaande donderdag beschikbaar.