Big Business is watching you
Met geavanceerde trackers op websites slaan onbekende bedrijven talloze persoonsgegevens van ons op. Hoewel er miljarden aan worden verdiend, weet niemand wat deze bedrijven er precies mee doen. Deel 1 in een serie over de verborgen economie achter het web.
Het is een doordeweekse dag. Je staat op, start je computer, opent je internetbrowser en typt de naam van je favoriete site in. Laten we voor het gemak even zeggen: nu.nl. Je dag begint zoals iedere dag met het laatste binnenlandse nieuws, het weerbericht en achterklap. Wakker worden in alle rust. Jij, alleen met je scherm en nu.nl.
Denk je.
Maar vanaf het moment dat de homepage van nu.nl verschijnt, kijken talloze bedrijven met je mee. Na een halve minuut surfen zijn het er negenentwintig. Klik je verder en lees je een artikel, dan staat de teller al snel op vierenveertig. Surf je vervolgens naar bijvoorbeeld zalando.nl of geenstijl.nl, dan gebeurt hetzelfde: tientallen trackers die iedere stap volgen die je online zet. Als je het zou zien, zou je niet weten wat je meemaakt. Maar je ziet het niet.
Wij hebben het wel gezien. En ondanks dat we al jaren schrijven over dit onderwerp, schrokken we toch van deze verborgen economie achter het internet. Een wereld waar Facebook en Google bekende spelers zijn, maar waar ook onbekende bedrijven als BlueKai en Datalogix miljarden verdienen. Een marktplaats waar de persoonsgegevens van de individuele internetgebruiker handelswaar is. Waar wordt gejaagd, verzameld en verhandeld. Waar massasurveillance het verdienmodel is en onze persoonsgegevens de valuta.
Liefst 215 trackers
Met behulp van een tool, ontwikkeld door onderzoekers van de Universiteit van Amsterdam, vonden we in totaal 215 verschillende trackers op de honderd populairste sites van Nederland. Ze horen bij bedrijven met namen als ATLAS, Acxiom of APPNexus. Ze gebruiken technologieën als cookies en beacons om informatie over ons te verzamelen. Wát ze precies van ons bijhouden, laten ze het liefst in het midden. Een ding is wel duidelijk: de gemiddelde internetgebruiker heeft geen flauw benul wat er met zijn gegevens gebeurt.
Zo vonden wij onder de vierenveertig trackers op nu.nl bedrijven die de recente surfgeschiedenis en ingevoerde zoektermen van bezoekers verzamelen, het type computer van gebruikers registreren en ook de ‘demografische’ gegevens van bezoekers zeggen te kunnen achterhalen. Twee daarvan beloven op hun site daar ‘persoonlijk identificerende informatie’ aan te kunnen koppelen die zij van andere partijen kopen of ontvangen, zoals naam en geboortedatum, maar ook de persoonlijke financiële situatie en werkgeversinformatie. En van zeventien trackers op nu.nl is niet bekend met wie zij de gegevens delen of aan wie ze die gegevens doorverkopen.
Twee jaar geleden ontdekten Amerikaanse onderzoekers al dat de trackers van een groot advertentienetwerk, Epic Marketplace, vooral geïnteresseerd waren in personen die in de menopauze zitten, zwanger willen worden of rood staan. Dezelfde onderzoekers achterhaalden ook dat een tracker van een datahandelaar op de datingsite van OkCupid gericht informatie kon achterhalen of leden dronken, rookten of drugs gebruikten. We weten verder dat databedrijven in de Verenigde Staten worden ingezet door andere bedrijven om de kredietwaardigheid van individuen te onderzoeken.
Een Amerikaans bedrijf kon voorspellen of een vrouw zwanger was
Maar verontrustender dan wat we al wel weten, is wat we allemaal niet weten. ‘Er is een totaal gebrek aan transparantie in deze wereld,’ zegt Frederik Zuiderveen-Borgesius, privacyonderzoeker aan het Instituut voor Informatierecht van de Universiteit van Amsterdam. ‘Mensen hebben nauwelijks een idee wat deze bedrijven met hun informatie doen, waardoor wij amper controle hebben over die gegevens.
Wat we wel weten is dat ons geregistreerd surfgedrag inzicht kan geven in persoonlijke zaken als arbeidsstatus, seksuele oriëntatie of medische situatie. Ga maar eens na welke sites je op één dag bezoekt en wat dit over jou kan vertellen. Een Amerikaans bedrijf bleek vorig jaar in staat om aan de hand van het koopgedrag vrij secuur te kunnen voorspellen of een vrouw zwanger was . Enkele trackers die we vonden horen bij bedrijven die hun klanten beloven ‘gedetailleerde informatie over 700 miljoen consumenten’ te bezitten. Ze zeggen gespecificeerde profielen te bezitten van grote groepen internetgebruikers en bieden bijvoorbeeld contactgegevens van pasgetrouwden, vegetariërs en liefhebbers van interieurarchitectuur te koop aan.
Waar dat toe kan leiden? Twee weken geleden nog, op 25 september 2013, werd bekend dat drie grote dataverzamelaars in de VS waren gehackt door een ‘bedrijf’ dat gespecialiseerd is in identiteitsdiefstal en waar onder andere de Amerikaanse variant van BSN-nummers en geboortecertificaten te koop zijn, maar ook analyses over de kredietwaardigheid van individuen.
Uit onderzoek van de technologiejournalist Brian Krebs bleek dat klanten van het bedrijf honderdduizenden dollars hadden gespendeerd om informatie in te zien van meer dan vier miljoen Amerikanen. Deze Amerikaanse dataverzamelaars zijn we in ons onderzoek niet tegengekomen op Nederlandse sites, maar het laat zien dat ook onze gegevens niet vanzelfsprekend veilig zijn.
Geen vrije keuze
Sinds de aanpassing van de Nederlandse Telecommunicatiewet (ook wel: ‘cookiewet’ ) zijn websites verplicht hun bezoekers te informeren welke gegevens er op hun site worden verzameld. Zo geven veel Nederlandse sites uit ons onderzoek aan dat gebruikersinformatie ‘door derden’ kan worden verzameld en gebruikt.
Maar wat kun je daar mee als gebruiker? Hoe kun je toestemming geven voor iets als je niet weet waar je ‘ja, ik ga akkoord’ tegen zegt? ‘Eigenlijk is dat absurd,’ zegt Borgesius. ‘De techniek en de gegevensstromen zijn veel te ingewikkeld om uit te leggen aan de meeste internetgebruikers, helemaal als er tientallen partijen betrokken zijn. Het is voor onderzoekers als ik al amper te volgen. En als iemand wel volledige informatie had, zou hij dan echt toestemming geven voor dit soort verregaande dataverzameling?’
Inderdaad. Zijn de bezoekers van bijvoorbeeld geenstijl.nl zich er van bewust dat vijf bedrijven hun gegevens ‘twee tot drie jaar’ opslaan? Realiseren de bezoekers van volkskrant.nl zich dat vier afzonderlijke trackers hun ip-adressen bewaren? En dat vijf andere in hun eigen voorwaarden zeggen telefoonnummers van bezoekers te kunnen toevoegen aan persoonsprofielen? Weten surfers die wel eens voetbalzone.nl, de site van de Kamer van Koophandel, hyves.nl, Autoscout24.com, nu.nl of groupon.nl bezoeken, dat zij getracked worden door een bedrijf dat op de eigen site zegt de ‘persoonlijk identificeerbare data’ zoals namen en financiële informatie aan derden te verkopen? Nee, dat kunnen ze niet. Of ze moeten dezelfde tool gebruiken waar wij mee werkten.
En hoe zit het eigenlijk met deze site? Zijn hier ook trackers te vinden? Het antwoord is: ja, twee. Dat aantal is niet zo hoog als op de sites die we hebben onderzocht, omdat De Correspondent een advertentievrij platform is - en de meeste trackers zijn bedoeld voor advertentie-doeleinden. Maar niettemin kijken twee bedrijven met ons en jullie mee, die ook niet bepaald bekend staan om hun voorliefde voor privacy: Google en Adobe. Wij hebben voor diensten van deze twee bedrijven gekozen vanwege de gebruiksvriendelijkheid, de functionaliteit en de lage kosten. Er zijn alternatieven, maar die werken minder goed of zijn duurder. Het is een duivels dilemma: om de site naar de standaarden van ons en onze ontwerpers te laten draaien, kunnen we niet om deze bedrijven heen. Hierdoor staan ook wij gegevens van onze bezoekers af aan derde partijen, waardoor wij de bezoekers van onze site ook niet volledig kunnen informeren over wat er met hun data gebeurt.
Dat probleem brengen veel webmasters ter berde. Zij zijn wettelijk verplicht om hun bezoekers te informeren wat er met hun gegevens gebeurt, maar in hoeverre kan er eigenlijk wel aan die verplichting worden voldaan? ‘Ik heb geen enkel zicht op wat derde partijen op onze site allemaal voor informatie meetrekken. Ik vertrouw erop dat die bedrijven zelf hun verantwoordelijkheid nemen,’ antwoordde een webmaster van een Nederlandse site met honderdduizenden bezoekers per maand, die anoniem wilde blijven. Een ander zei: ‘ik heb ook geen idee hoe die cookiewet er nu precies uitziet.’ Van de vijftien webmasters die we voor dit artikel benaderden, wilden de meesten niet reageren.
Toezichthouder spelen
Een andere webmaster van een van de populairste sites in Nederland die niet met naam en toenaam geciteerd wilde worden, verwoordde kernachtig het probleem. ‘Er is niks wat een kwaadwillende tegenhoudt. Wij kijken of dat soort bedrijven geen boeven zijn, meer kun je niet doen.’ Sanoma, de uitgever van onder andere nu.nl, stuurde ons eerst een e-mail over de voorwaarden van het bedrijf waarin uitgebreid staat dat Sanoma de bezoekers voorlicht en de mogelijkheid geeft bepaalde trackers te weren.
Maar er staat ook: ‘Sanoma kan niet de rol van de toezichthouder op zich nemen bij het controleren of derde partijen onrechtmatig handelen.’ Telefonisch voegt Martijn Eindhoven, hoofd Digital Advertising, daar later nog aan toe dat Sanoma ‘zorgvuldig’ haar partners uitkiest, maar dat het onmogelijk is om exact na te gaan wat zij [de trackers, red.] doen. ‘Als je alles zou checken, kun je de zaak wel opheffen.’
Martin van der Meij, hoofd online inkomsten van de Telegraaf Media Groep, kon wel exact vertellen welke trackers er op zijn site aanwezig waren en welke bedrijven erachter zitten. ‘Wij weren bepaalde bedrijven die wij niet vertrouwen. Het is alleen praktisch onmogelijk om honderd procent zeker te weten wat derde partijen precies van je site halen. Je kunt van tevoren onderzoek doen, maar je runt ook een site waarmee je geld moet verdienen. Je hebt die derden uiteindelijk toch nodig.’ Samengevat: de meeste websitebeheerders zeggen niet aan de regels te kunnen voldoen.
Dat werpt de vraag op of de Nederlandse websitebezoeker - die geen idee heeft wat er met zijn gegevens gebeurt - wel genoeg beschermd wordt. We legden onze bevindingen voor aan het College Bescherming Persoonsgegevens, de Nederlandse privacyautoriteit die er op toeziet dat ‘persoonsgegevens zorgvuldig worden gebruikt en beveiligd.’ Ook zij wilden niet inhoudelijk reageren: ‘Er ligt een vernieuwd wetsvoorstel van ons klaar, waardoor wij over inhoudelijke zaken als hoe we trackers analyseren en beoordelen geen uitspraken doen.’
Privacyparadox
En de gebruiker? Het merendeel geeft in enquetes aan het idee van trackers en gepersonaliseerde advertenties maar een eng idee te vinden. Twee jaar geleden bleek uit onderzoek van Synovate dat zeven op de tien Nederlanders geen reclame wilde ontvangen die was gebaseerd op zijn klik- en surfgedrag. Toch klikken we meestal braaf op ‘ja, ik accepteer’ en lezen we de (vaak onleesbare en ellenlange) privacyvoorwaarden niet. Academici noemen dat de ‘privacyparadox’: we zeggen privacy belangrijk te vinden, maar kiezen er toch voor om die op te geven.
Maar het is te makkelijk om te zeggen dat het onze eigen schuld is. We klikken wel op ja, maar hebben geen flauw idee wat dit betekent en hebben ook niet de mogelijkheid dat wel te weten. Websites - ook De Correspondent - ontkomen vaak niet aan de trackers. Er is wetgeving die de gebruikers moet beschermen, maar die voldoet niet. Er is een toezichthouder, maar die laat zijn tanden niet zien. En in de tussentijd verzamelen de trackers rustig door.
Dit is deel 1 van ons onderzoek naar trackers. De komende weken zullen we een aantal van de onbekende Nederlandse databedrijven profileren, onderzoeken of het nog mogelijk is om anoniem te surfen en een aantal gevallen beschrijven van personen die directe consequenties hebben ondervonden van de gedetailleerde profielen die bedrijven van hen bezitten. Suggesties voor andere invalshoeken zijn meer dan welkom.