Data: het nieuwe goud

Colofon

Samenstelling en regie: Sander Rietveld
Research: Simone Tangelder
Eindredactie: Manon Blaas

Camera: Jeroen van der Drift
Montage: Lennart Reijnders
Graphics: Bas Swelheim

Gasten
 

M. De Boer

CDDN


 
 
 

F. Borgesius

Privacy onderzoeker UVA

 
 
 

P. Dixon

Privacy onderzoeker

Interview
 
 

O. Hoedeman

Corporate Europe Observatory
 
 
 

A. Holden

Beveiligings expert

Interview
 

S. Klous

Hoogleraar Big data

Interview
 
 

A. Soltani

Hoofd technologie FTC

 
 
 

T. Sparapani

Privacy Jurist
 
 
 

D. Vladeck

Voormalig directeur FTC

Interview
 
   

 

 

Transcriptie

00.00.18

[caption]

Zembla

 

voice-over

Internet. De wereld in onze huiskamer. Kleding kopen, het nieuws checken, vakanties boeken. Je kunt het zo gek niet bedenken of het kan van achter een tablet of een laptop. Mar waar we meestal niet bij stilstaan is dat tientallen datahandelaren ons gedrag op internet nauwlettend volgen. Elke muisklik wordt vastgelegd.

 

Vladeck

Je voorliefdes, je hobby’s, je godsdienstige overtuiging,  je seksuele geaardheid, noem maar op.

 

Kohnstamm

Het is het nieuwe goud in deze wereld..

 

voice-over

Ons gedrag op internet levert kostbare informatie op die wordt opgeslagen en verhandeld door bedrijven waar u waarschijnlijk nog nooit van heeft gehoord. Die handel levert jaarlijks tientalen miljarden euro’s op.

 

Man

De grootse business waar niemand van weet.

 

voice-over

Onze uiterst persoonlijke gegevens blijken door data bedrijven bovendien slecht te worden beveiligd.

 

Man

Ze worden elk dag aangevallen. Dus er wordt elke dag continu informatie gestolen.

 

voice-over

Hoever gaat de verzamelhonger van de data business? En bij wie komen onze privacygevoelige gegevens terecht?

 

Stem

We kunnen eventueel zelfs aan medische gegevens komen.  

 

Redacteur

Medische gegevens van Nederlanders.

 

Stem

Ja.

 

voice-over

Zembla onderzoekt de wereld van de datahandelaren. Wie zijn ze, wat weten ze van ons en wat doen ze ermee?

00.01.50

[caption]

Data, het nieuwe goud  - deel 1

 

voice-over

Wat gebeurt er met de gegevens die we achterlaten op internet? Om  daar achter te komen neemt Zembla journalist Sander Rietveld de proef op de som.

 

Redacteur

Ik wil mijn auto verkopen. Daarom zoek ik op internet naar de prijs van tweedehands Volvo’s. Op autowebsites en op marktplaats zoek ik uit wat mijn eigen auto zou kunnen opbrengen. In de dagen daarna zie ik op allerlei websites opeens autoreclames opdoemen. Ik weet dat ik gevolgd word op internet, maar door wie eigenlijk?

 

Borgesius

Het komt er op neer dat eigenlijk bijna ieder websitebezoek wat je doet wordt vastgelegd door allerlei marketingpartijen.

 

voice-over

Frederik Borgesius is privacy jurist aan de Universiteit van Amsterdam. Hi doet onderzoek naar databedrijven die ons internetgedrag registreren.

 

Redacteur

Welke gegevens mogen bedrijven van ons verzamelen?

 

[caption]

Borgesius

F. Borgesius, privacy onderzoeker UVA

In beginsel mogen ze bijna alles verzamelen als ze mar netjes toestemming vragen aan de betrokkenen.

 

voice-over

Zo werkt het. Bedrijven plaatsen een uniek nummer, een cookie, op uw computer om u te kunnen herkennen en te volgen wat u op hun website doet. Soms is dat nodig, bijvoorbeeld om video’s te laten zien en bij te houden of u iets in een winkelwagentje stopt. Voor het plaatsen van die cookies geeft u toestemming door op akkoord te klikken. Maar u geeft ook automatisch toestemming voor andere cookies die worden gebruikt om uw surfgedrag in kaart te brengen. Die informatie wordt opgeslagen en verkocht.

00.0327

[caption]

Borgesius

F. Borgesius, privacy onderzoeker UVA

Als een bedrijf cookies kan plaatsen en lezen via meerdere websites, dan kan dat bedrijf je herkennen en volgen van website naar website.

 

voice-over

Die informatie wordt opgeslagen, vaak samen met het unieke IP adres van uw internetaansluiting. Zo ontstaan uitgebreide profielen.

 

Borgesius

Bij mij weet je al na twee weken heb je een heel aardig beeld van wat ik interessant vind. Dus daar kun je heel veel conclusies uit trekken.

 

Redacteur

Wat doen ze met al die informatie?

 

Borgesius

In het algemeen is het eh adverteerders de mogelijkheid geven om steeds gerichter te kunnen adverteren.

 

redacteur

Databedrijven bouwen zulke profielen van miljarden internetgebruikers. Ze weten precies wie we zijn en wat we willen.  Die informatie verkopen ze aan andere bedrijven die ons gericht met advertenties willen bestoken. In mijn profiel staat dat ik geïnteresseerd ben in auto’s. Daarom krijg ik autoreclames te zien.  Maar welke bedrijven zitten daarachter?

 

Borgesius

Die data en adressen en persoonsgegevenshandel is helaas heel erg intransparant.

 

Redacteur

Daarom installeer ik een speciaal programma, ghostery. Dat laat zien welke bedrijven over mijn schouder meekijken als ik online ben. Ik zie dat Google en Facebook mij in de gaten houden. Maar ook heel veel bedrijven waar ik nog nooit van heb gehoord. Op onze eigen Zembla website blijk ik te worden gevolgd door Dotomi. Dat bedrijf zegt consumenten beter te kennen dan ze zichzelf kennen en per individu wel 7000 gegevens te hebben. Maar ook op andere websites zie ik volstrekt onbekende namen, zoals eXelate en Experian. Over dat bedrijf vinden we een recent nieuwsbericht.  

 

[caption]

nieuwslezer

Local 12 News, 5 oktober 2015

“Een grote datadiefstal bij Experian treft 15 miljoen klanten van T-Mobile. T-Mobile laat Experian klanten natrekken. Namen, adressen, BSN-nummers…. “

 

voice-over

Criminelen hebben persoonlijke kredietgegevens van 15 miljoen T-Mobile klanten buitgemaakt, gegevens die bij Experian waren opgeslagen.  Met dat soort gegevens stelt Experian vast of je kredietwaardig bent. Zo kunnen bedrijven als T-Mobiile bepalen of ze je wel als klant willen. Maar Experian doet nog meer. Het bedrijf verzamelt ook op grote schaal informatie over het gedrag van consumenten.

00.05.56

[caption]

Stem

Bedrijfsfilm Experian

“Experian. Wereldspeler in informatieverzameling. Verzamelt en analyseert data. Wij doen heel belangrijk werk. We veranderen het leven van mensen.”

 

Redacteur

Experian is ook in Nederland actief. Er is een grote kans dat het bedrijf ook gegevens over mij heeft. Maar welke informatie precies? Om daar achter te komen beroep ik mij op de wet bescherming persoonsgegevens. Die zegt dat ik het recht heb op inzage in mijn dossier. Ik kan ook bezwaar maken tegen opslag van mijn gegevens. Ik stuur brieven naar Experian en naar andere databedrijven.

 

Redacteur

Gebeurt dat veel, dat mensen hier bezwaar tegen maken?

 

[caption]

Borgesius

F. Borgesius, privacy onderzoeker UVA

Nee, dat komt heel weinig voor.

 

Redacteur

Hoe komt dat?

 

Borgesius

Vooral door het volslagen gebrek aan transparantie van dat profileren.

 

voice-over

Datahandelaren opereren in Nederland in de luwte. Ze krijgen weinig aandacht. Maar in de Verenigde Staten is dat heel anders. Daar doet zelfs  het Witte Huis onderzoek naar de risico’s van datahandel. Ook in de Senaat liggen databedrijven onder vuur. Ze zouden hier op grove wijze de privacy van burgers schenden.

00.07.10

 

[caption]

Dixon

C-Span 2, 18 december 2013

“Het is veel meer dan een site bezoeken en daar een advertentie zien. Het is de verkoop van herleidbare persoonsgegevens en uitermate gevoelige informatie, van Amerikanen.”

 

voice-over

We gaan naar Washington. Daar zullen we spreken met Amerikaanse experts die onderzoek doen naar de datamarkt. Twee jaar geleden publiceert de Federal Trade Commission, zeg maar de Amerikaanse consumentenwaakhond, een uitgebreid onderzoeksrapport.

 

[caption]

Vladeck

D. Vladeck, voormalig directeur FTC

Het vermogen van bedrijven om data te verzamelen  is de laatste jaren exponentieel gegroeid.  Ineens had je datahandelaren die hun data uit allerlei bronnen haalden. En wij wilden weten: wat weten ze nou precies over jou? En waar wordt dat voor gebruikt?

 

voice-over

Hoogleraar privacy recht David Vladeck was de directeur bij de FTC die het onderzoek naar de data handelaren leidde.

 

Redacteur

Hoe ver gaat het?

 

[caption]

Vladeck

D. Vladeck, voormalig directeur FTC

Waarschijnlijk nog verder dan je je kunt voorstellen. Internet is overal zover in doorgedrongen, dat er continu sporen te vinden zijn van wat wij doen.  Datahandelaren verzamelen die data en krijgen een steeds preciezer beeld van wie je bent, wat je godsdienstige overtuiging is en je seksuele geaardheid. Noem maar op. Je contacten met je familie. Dat doen ze vooral om je beter producten te kunnen aansmeren. Maar ze verkopen die ook aan mensen die voor jou heel ingrijpende beslissingen nemen.

00.09.01

voice-over

De meeste databedrijven hebben hun hoofdkantoor in de Verenigde Staten. Hier mogen ze bijna alle persoonsgegevens verzamelen, zelfs zonder dat burgers dat weten.

 

Redacteur

Is het niet vreemd dat de VS, een land dat individuele vrijheid zo belangrijk vindt, de burger op dit punt niet wettelijk beschermt?  

 

[caption]

Vladeck

D. Vladeck, voormalig directeur FTC

Iedereen heeft vrijheid binnen zijn eigen fysieke ruimte. De overheid mag die niet zonder gerechtelijk bevel betreden.  Je mag een bordje ophangen: niet betreden. En wie dat toch doet mag je neerschieten. Dat is diep verankerd in onze wet: je huis is heilige grond. Daar mag niemand komen, ook de overheid niet. Helaas hebben we geen digitale tegenhanger van die wet.

 

voice-over

Er zijn weinig regels. Maar als datahandelaren die regels overtreden, maakt de FTC daar korte metten mee , zegt Vladeck.

 

Vladeck

We hebben veel datahandelaren aangeklaagd. Ook Experian. Zij verkochten wat wij  ‘sukkellijsten’ noemden.  Lijsten van mensen die makkelijk op te lichten zijn, aan een aanbieder van rommelhypotheken. Die verkochten zo rommelhypotheken aan mensen die daar snel intrapten.  

 

Dixon

“Voorzitter Rockefeller, commissieleden,  bedankt dat ik mag vertellen wat ik weet over de datahandel van vandaag de dag.”

 

voice-over

In 2013 houdt de senaat hoorzittingen om de datahandel in kaart te brengen.

00.10.39

[caption]

Marketing Consumer Information

Pam Dixon, World Privacy Forum Executive Director

 

voice-over

Pam Dixon, Privacy onderzoekster, getuigt voor de Senaatcommissie.

 

[caption]

Dixon

C-Span 2, 18 december 2013

“De datahandel van vandaag de dag kent geen beperkingen en kent geen schaamte. Ze verkopen alle gegevens over wie dan ook hoe gevoelig die informatie ook kan zijn voor 7,9 dollarcent per naam:  de prijs van een lijst met slachtoffers van verkrachting die onlangs is verhandeld.”

 

Dixon

Ik raak heel geëmotioneerd door de enorm gedetailleerde informatie die door datahandelaren wordt verkocht.

 

voice-over

Pam Dixon is directeur van het World Privacy Forum. Ze schreef negen boeken over haar onderzoek naar de datahandel.

 

[caption]

Dixon

P. Dixon, Privacy onderzoekster

Vooral in de VS is dat schering en inslag.  Je etnische afkomst en religieuze overtuiging en of je homo of hetero bent, dat zit allemaal bij de gegevens die je kunt kopen.

 

 Sparapani

Het is gevaarlijk omdat men het niet weet en er geen enkel toezicht op is.

 

voice-over

Tim Sparapani geldt in Washington als een invloedrijke privacy jurist. Hij werkt jarenlang voor een grote mensenrechtenorganisatie, maar stapt in 2008 over naar Facebook. Een bedrijf dat niet bepaald bekend staat om zijn respect voor privacy.

 

Redacteur

Waarom hebt u dat gedaan?

 

[caption]

Sparapani

T. Sparapani, privacy jurist

Zuckerberg zei: je hebt de privacy van 300 miljoen Amerikanen verbeterd. Wil je bij Facebook een miljard mensen meer privacy geven?

00.12.17

voice-over

Sparapani is nu weg bij Facebook en probeert als advocaat de datahandel bloot te leggen. Hij ziet wel een groot verschiltussen Facebook en de datahandelaren.

 

[caption]

Sparapani

T. Sparapani, privacy jurist

Dat is een enorm verschil. Als ik online ga, kies ik er zelf voor om de sites van Facebook en Google te bezoeken en te gebruiken. Ik wee als consument naar welk bedrijf ik stap. Ik weet wat ik zoek en welke informatie ik die bedrijven geef.  En ik wil daar iets voor terug. De datahandel aan de andere kant is volkomen ondoorzichtig. We weten niet wat voor bedrijven het zijn. 7000 bedrijven die niemand kent. Ze verzamelen data op plekken waar je het niet verwacht.

 

voice-over

Waar halen datahandelaren onze gegevens vandaan? We vinden op internet een Amerikaans bedrijf dat adreslijsten aanbiedt. Ook veel lijsten met Nederlanders. We zien een lijst met casinobezoekers en een met alle leden van de KNVB. Het is allemaal te koop. Zelfs een lijst met donateurs van de internationale stichting Alzheimer onderzoek. 

00.13.30

[caption]

Dixon

P. Dixon, privacy onderzoeker

Een datahandelaar verkoopt je echte naam. Meestal ook je telefoonnummer en mailadres. Of je kinderen hebt, waar je precies woont. Heel gedetailleerde informatie over jou.

 

voice-over

De lijst met donateurs van de stichting Alzheimeronderzoek wordt aangeboden aan andere goede doelen. Een praktijk die onder vuur ligt. Onder meer omdat gegevens zo terecht kunnen komen bij datahandelaren. We bellen met de stichting.

 

[caption]

Stem

Internationale stichting Alzheimer onderzoek

Wij hebben begin dit jaar de gedragscode ondertekend voor de vereniging van fondswervende instellingen. Daar staat heel expliciet in dat wij op geen enkele wijze onze adressen willen uitwisselen, verkopen of verhuren aan anderen. En dat doen wij ook niet.

 

Redacteur

nee maar dat is al gebeurd.

 

Stem

Dat is in het verleden gebeurd, dat klopt.

 

voice-over

En we ontdekken nog iets. Ook via webshops kunnen databedrijven onze gegevens bemachtigen. Bij veel internetwinkels kun je betalen via PayPal. Op de website van PayPal staat een privacyverklaring. Daarin vinden we een lijst van 53 pagina’s met alle bedrijven die van PayPal inzage kunnen krijgen in onze betaalgegevens. PayPal mag onder meer namen en rekeninggegevens doorgeven, inclusief het rekeningsaldo en de verkochte producten.

 

Vladeck

Daarom gebruik ik PayPal niet.

 

Redacteur

Dat gebruikt u niet? Beseffen mensen dit?

 

[caption]

Vladeck

D. Vladeck, voormalig directeur FTC
Er gaapt een grote kloof tussen wat mensen denken dat er gebeurt en wat er werkelijk gebeurt.

 

Redacteur

Een van de bedrijven die gegevens van PayPal krijgen, is Experian. Van Experian heb ik inmiddels antwoord gekregen op mijn inzageverzoek. Het bedrijf zegt alleen mijn naam, adres en telefoonnummer te kennen. Vreemd, want Experian claimt wereldwijd een miljard consumentenprofielen te hebben. Experian wil geen interview geven. Geen enkele datahandelaar wil voor onze camera plaatsnemen. Alleen bij databedrijf CDDN in Nieuw Vennep zijn we welkom.

00..15.37

[Caption]

De Boer

M. de Boer, CDDN

Ons bedrijf verdient geld door klantgegevens van bedrijven in Nederland te onderhouden. Dus denkt u aan de achternaam, het adres van een persoon, het telefoonnummer, z’n e-mail adres. Een geboortedatum, de initialen, de geslachtscode. Dat heeft te maken met de wet bescherming persoonsgegevens waar bedrijven verplicht worden hun klantgegevens actueel te houden.

 

redacteur

Van hoeveel mensen heeft u die data?

 

De Boer

Dan heb je het, ik denk, over een, meer dan 12 miljoen unieke klantgegevens van Nederlanders.

 

Redacteur

CDDN controleert de adresbestanden voor onder meer winkelketens en uitgeverijen en ook voor omroepen, zoals mijn eigen werkgever de VARA. Maar CDDN doet nog meer. Stel dat de VARA wil weten wat de inkomensklasse is van de omroepleden, dan kan CDDN daarbij helpen. Het bedrijf werkt namelijk samen met grote datahandelaren .Ook met Experian. Misschien is het mogelijk om er hier achter te komen welke informatie Experian over mij heeft.

 

Redacteur

Experian zie ik.

 

De Boer

Ja.

 

Redacteur

Daar kunt u ook bij, bij wat zij over mij weten.

 

[caption]

De Boer

M. de Boer, CDDN

Ja, dat is dus een verbinding die wij met ze hebben waardoor we dus deze informatie kunnen toevoegen aan het bestand wat he, van het bedrijf die op dat moment de vraag heeft.

 

Redacteur

In hun profiel staat dat ik getrouwd ben

 

De Boer

Ja

 

Redacteur

Dat ik kinderen heb, bruto gezinsinkomen weten ze.

 

De Boer

Ja, ja.

 

Redacteur

Ze weten de opleiding, of het opleidingsniveau eigenlijk.

 

De Boer

Ja.

 

Redacteur

En een sociale klasse, even kijken F22.

 

De Boer

Ja. Ik geloof dat ze met 42 groepen werken en dat is eigenlijk een samenraapsel van allerlei kenmerken die dus bepalen in wat voor soort profiel je valt. En in dit geval is dat F22, de Randstedelijke Pubergezinnen.

 

Redacteur

Ik heb een Randstedelijk Pubergezin. Experian blijkt dus wel degelijk veel over mij te weten. Niet alles klopt, maar ze komen een heel eind in de richting.

 

Redacteur

Ben ik dan interessant voor bedrijven, als ik een Randstedelijk Pubergezin heb?

 

De Boer

Ja ik kan me voorstellen dat er verschillende bedrijven zijn, denk aan telecomaanbieders, denk aan kabelaars he, de, de aanbieders van televisie, telefonie en dat soort zaken, maar dat kan ook met autohandelaren te maken hebben dus ja, we moeten u waarschijnlijk geen coupé of een sportauto aanbieden maar meer een gezinsauto.

 

Redacteur

Dus als ik op internet ga zoeken naar auto’s, dan zou Experian deze informatie kunnen verstrekken aan….

 

De Boer

..ja..

 

Redacteur

..autobedrijven.

 

De Boer

…dan zou dat dus gecombineerd kunnen worden met dat surfgedrag.

00.18.19

Redacteur

Waarom heeft Experian mij niets verteld over het uitgebreide consumentenprofiel wat ze van me hebben? Experian laat weten dat per ongeluk alleen is gekeken naar mijn kredietgegevens en niet naar mijn consumentendata. Die gegevens worden strikt gescheiden gehouden zegt het bedrijf. Ook zeggen ze dat ze zich altijd aan de wet houden.

 

voice-over

De computers van Experian kunnen uitrekenen wie u bent. Dat doen ze door uw informatie te combineren met alles wat ze weten over mensen die op u lijken. Big Data heet dat. Hoogleraar Sander Klous geldt als de Nederlandse expert op dat terrein.

 

[caption]

Klous

S. Kous, hoogleraar Big Data

Ieder bedrijf is bezig met het verzamelen van zoveel mogelijk interessante informatie, iedere organisatie eigenlijk. Jij loopt door een winkel en je gebruikt een bonuskaart en op die manier worden allerlei gedragingen van jou vastgelegd waardoor een supermarkt nog beter weet wat jij zou willen en daar dus ook zijn aanbiedingen op af kan stemmen.  

 

voice-over

Supermarkten kunnen heel veel over ons te weten komen. Dat blijkt als een paar jaar geleden winkelketen Target het nieuws haalt in de Verenigde Staten

 

[caption]

Nieuwslezer

WCPO 9, 20 februari 2012

“We weten allemaal dat winkels dingen over ons koopgedrag weten”

 

Nieuwslzers2

“Maar soms is het een beetje eng wat ze allemaal weten.”

 

[caption]

Vladeck

D. Vladeck, voormalig directeur FTC

Het verhaal gaat zo: een van de lucratiefste marktsegmenten zijn mensen die kinderen krijgen. Ga maar na: als je een kind krijgt moet je van alles kopen. Target verkoopt al die dingen. Dus zij dachten: hoe vergroten we ons marktaandeel  in die demografische groep?  Jonge mensen die een gezin beginnen, zwangere vrouwen.

 

[caption]

Klous

S. Klous, hoogleraar Big Data

En wat blijkt, zwangerschap is heel makkelijk te identificeren voor een supermarkt. Vrouwen die zwanger zijn die kopen gewoon andere producten dan voordat ze zwanger zijn.

 

Vladeck

De data-analisten van Target zagen: dit zijn indicatoren dat iemand zwanger is. Dus gingen ze allerlei aanbiedingen naar dat huishouden sturen.  Want volgens hun data was in dat huis iemand zwanger.

 

Nieuwslezer

“Sommige winkels weten al dat een vrouw zwanger is voordat ze het iemand vertelt.”

 

Vladeck

Wat veel aandacht kreeg, was het verhaal dat een vader van een meisje dat nog geen 18 was, begreep dat ze zwanger was doordat hij die aanbiedingen van Target kreeg.

 

Klous

Zij is een soort van personificatie geworden van alles wat eng is rondom Big Data.

 

Redacteur

Maar dat gaat ook wel heel ver.

 

Klous

Dat gaat heel ver. ja.

 

Vladeck

Target bood excuses aan. En dat was een waarschuwing voor marketeers, dat ze soms omgaan met informatie die heel gevoelig is.

00.21.25

voice-over

Talloze bedrijven doen wat Target doet. Maar hoe beveiligen ze de gevoelige gegevens die ze hebben? We komen erachter dat Target in 2014 slachtoffer is van een cyberaanval. Hackers maken creditcardgegevens en andere data van miljoenen klanten buit. We gaan op zoek naar de persoon die de hack heeft ontdekt. Zo komen we uit bij een beveiligingsbedrijf, Holden Security. We maken een afspraak met de Oekraïense eigenaar.

 

Redacteur

Kunt u een paar van uw klanten noemen?

 

[caption]

Holden

A. Holden, beveiligingsexpert.

Helaas niet. We hebben vertrouwelijkheid beloofd.  We proberen de data van hen en hun klanten geheim te houden.

 

Redacteur

Werkt u voor datahandelaren?

 

Holden

Voor een paar. We helpen ze met de beveiliging. Manieren om data te beveiligen en inzicht te krijgen in wat hackers willen.

 

voice-over

In 2013 is Holden ook betrokken bij de onthulling van een andere cyberdiefstal, die veel aandacht trekt. De kredietprofielen van bekende Amerikanen als Michelle Obama, Beyoncé en Bill Gates liggen op straat. Ze blijken afkomstig te zijn van hackers die hebben ingebroken bij grote datahandelaren. Daarbij zijn gegevens van miljoenen mensen buitgemaakt.

 

[caption]

Holden

A. Holden, beveiligingsexpert

Een paar Russische en Oekraïense hackers hebben een dienst opgezet  die informatie bij datahandelaren steelt. En de identiteit van Amerikaanse en Europese burgers verkoopt. Ze stelen informatie over de achtergrond en kredietwaardigheid van individuen. Die verkopen ze aan andere hackers die dan weer financiële informatie of identiteiten stelen.

 

[caption]

Vladeck

D. Vladeck, voormalig directeur FTC

Datahandelaren zijn een snoeppot. Ze zijn enorm aantrekkelijk voor hackers, omdat ze zulke precieze informatie over mensen hebben dat je er nieuwe accounts mee kunt openen. En dat kan heel schadelijk zijn.

 

[caption]

Holden

A. Holden, beveiligingsexpert

Datahandelaren hebben nog steeds problemen met hun beveiliging. Ze hebben een grote verantwoordelijkheid en in onze ervaring nemen ze die niet. Want ze blijven kwetsbaar voor aanvallen.

 

voice-over

Terug naar de datahandelaren die ons volgen op internet om advertenties aan te kunnen bieden. Hoever gaan zij in de jacht op onze gegevens? Met behulp van Ghostery zoeken we naar zogenaamde trackers op websites met gevoelige onderwerpen. Die vinden we bijvoorbeeld op sites over scheiding en alimentatie. Bedrijven als Crux Digital noteren dat u op deze website kijkt en wat u daar doet.

 

Redacteur

Die informatie belandt ook in profielen?

 

Soltani

Ja, ze kijken naar elke site die je bezoekt. Datingsites, pornosites.

 

voice-over

Ashkan Soltani is de belangrijkste technologie expert van de Federal Trade Commission, de Amerikaanse consumentenwaakhond. Hij legt uit hoe trackers werken.

 

[caption]

Soltani

A. Soltani, hoofd technologie FTC

Als jij een site bezoekt, vraagt die site aan een advertentienetwerk: ik heb een klant. Wie wil een advertentie tonen? Het netwerk vraagt dat aan alle potentiële adverteerders. Die adverteerders zoeken uit om welke sitebezoeker het gaat. Hoe oud is hij, hoeveel verdient hij, houdt ‘ie van auto’s of sport? Dat halen ze uit informatie van de datahandelaren. Op basis van je surfgedrag en mogelijk ook je gedrag buiten internet. Op basis daarvan berekenen ze hoeveel die persoon ze waard is. En dan bieden ze een paar cent om een advertentie te tonen. Em dat allemaal razendsnel, in nog geen seconde.

 

voice-over

Databedrijven willen dus alles van ons weten om binnen een seconde advertenties te kunne veilen. Om aan die informatie te komen, gebruiken ze trackers. Als w na de websites over scheiding verder zoeken naar financiële problemen, wordt dat ook in kaart gebracht. Als we bijvoorbeeld klikken op Schuldsanering.nu, wordt dat opgeslagen in een profiel, bijvoorbeeld bij LiveRamp. Met dat bedrijf nemen we contact op.

 

Redacteur

Ik wil weten wat u met die informatie doet.

 

[caption]

Stem

Liveramp

Daar kan ik geen antwoord op geven. Ik raad mensen altijd aan om minder naïef te zijn over wat je bezoekt en de sporen die je daar nalaat.

 

voice-over

Dus LiveRamp volgt ons zonder dat we dat weten op allerlei gevoelige websites. Maar volgens het bedrijf zijn we naïef als we daar gen rekening mee houden.

 

Stem

Bezoek je een site, kijk dan of ze een privacy beleid hebben. Hebben ze dat niet, bezoek die site dan niet. Hebben ze het wel, kijk dan of ze je gegevens met anderen delen.

 

voice-over

We moeten gewoon goed de privacy verklaringen lezen zegt LiveRamp.

 

Redacteur

Is er ook onderzoek gedaan naar hoeveel mensen die privacy verklaringen lezen?

00.26.37

[caption]

Borgesius

F. Borgesius, privacy onderzoeker UVA

Ja, ongeveer 1 op de 1000 mensen klikt op een, op een knopje richting de privacy statement. Maar die mensen die zitten gemiddeld maar een paar seconden op die pagina, dus ik vermoed dat veel mensen per ongeluk op die link hadden geklikt.

 

voice-over

LiveRamp weet precies hoe het ons internetgedrag moet combineren met andere gegevens die over ons bekend zijn. Het bedrijf werkt daarvoor onder meer samen met Experian. De Nederlandse tak van Experian wil geen interview geven. Daarom proberen we het bij het kantoor in Washington.  

 

Redacteur

We zijn van de Nederlandse televisie en willen graag met Experian praten.

 

Receptioniste

Weten ze van uw komst?

 

Redacteur

Nee, ze weten van niks.

 

Receptioniste

Ik zal ze even bellen. Ze hebben nu een vergadering. Ik weet dat er een vergadering is…

 

voice-over

Het duurt even voordat bij Experian besloten wordt of we verder mogen komen.

 

Receptioniste

Jullie moeten contact opnemen met het hoofdkantoor om een afspraak te maken. Ze zijn nu in vergadering.

 

Redacteur

Kan er niemand naar beneden komen?

 

Receptioniste

Nee.

 

Redacteur

Hebben ze gezegd met wie we contact op moeten nemen?

 

Receptioniste

Met het hoofdkantoor, zei ze.

 

Redacteur

Kunnen ze ons ook een naam geven?

 

Receptioniste

Helaas niet.

 

Redacteur

Willen ze niet naar beneden komen?

 

Receptioniste

Nee, ze zitten in een vergadering. Er lopen nooit zomaar mensen binnen. Iedereen belt eerst.

 

Redacteur

Bedankt, tot ziens.

00.28.13

Voice-over

Geen gesprek dus. We moeten het hoofdkantoor bellen.

 

Stem

Bedankt dat u Experian belt. Hoe kan ik u helpen?

 

Redacteur

Wilt u me doorverbinden met een persvoorlichter?

 

Stem

Uiteraard, hebt u een momentje?

 

Stem

Sorry, er is nu geen medewerker beschikbaar. Probeer het later nog eens. Bedankt, dag.

 

voice-over

Experian wil alles van ons weten, maar zelf blijft het bedrijf een gesloten bolwerk.

 

[caption]

Vrouw

EP TV, 11 maart 2014

“Dit voorstel zorgt ervoor dat individuen weer controle krijgen over hun persoonlijke data, door hun rechten te vernieuwen.”

 

voice-over

We gaan naar Brussel. In de komende maanden moeten de lidstaten en het Europees Parlement het eens worden over strengere privacyregels. Daar wordt besloten hoe onze persoonsgegevens beschermd gaan worden. De European Privacy Association, kortweg EPA, is een organisatie van privacy experts die nauw samenwerkt met het Europarlement. We maken een afspraak met de wetenschappelijk directeur.

 

[caption]

Balboni

P. Balboni, European Privacy Association

Europeanen zijn heel zuinig op hun data. De grote vraag is hoe je de vrije stroom van data in evenwicht houdt zodat die data kunnen worden gebruikt voor de digitale economie maar tegelijkertijd de burgers worden beschermd.

 

voice-over

De directeur zegt dat EPA een onafhankelijke organisatie is, maar is dat wel zo? We spreken Olivier Hoedeman. Hij doet onderzoek naar de Brusselse lobby van het bedrijfsleven. In 2013 ontdekt Hoedeman iets vreemds aan EPA.

 

[caption]

Hoedeman

O. Hoedeman, Corporate Europe Observatory

De naam doet je denken aan een organisatie die zich inzet voor privacy rechten he, European Privacy Association.

 

Redacteur

ja. Dat denk ik ook.

 

Hoedeman

Dat is de indruk die je krijgt. Eh, alleen uit die debatten die ze organiseren bleek, dat de boodschap een andere was, namelijk je moet niet te ver gaan in het beschermen van die privacy rechten want dat is schadelijk voor de economie. Uiteindelijk is het duidelijk geworden dat ze inderdaad gefinancierd werden door Google, door Yahoo en door Facebook onder andere, in totaal tien internetbedrijven en lobbygroepen.

00.30.30

voice-over

EPA blijkt volgens Hoedeman eigenlijk een lobby organisatie te zijn die wordt betaald door de databedrijven.

 

[caption]

Balboni

P. Balboni, European Privacy Association

We zijn geen lobbygroep. Als je wilt meedoen in de lobbywereld moet je veel geld en macht hebben. Ik kom wel eens lobbyisten tegen, maar ik heb geen idee hoe dat moet. Ik weet alleen hoe je een nauwkeurig onderzoek naar privacy uitvoert.

 

Hoedeman

Uiteindelijk is het duidelijk geworden dat het ging om een mantelorganisatie, betaald door het bedrijfsleven, opgericht ook vanuit een lobby consultancy bedrijf, met het doel om  die boodschap van het bedrijfsleven, om die extra kracht te geven en dat was de strategie eigenlijk.

 

 voice-over

Hoedeman ontdekt dat EPA is opgericht door een lobby adviesbureau, DCI. DCI zet mantelorganisaties op die zogenaamd neutraal zijn maar eigenlijk het belang van de industrie dienen.

00.31.25

Redacteur

EPA is opgericht door DCI. Dat is een lobby organisatie. Is dat correct?

 

Balboni

Dat weet ik niet. Toen ik heir kwam werken, bestond EPA al.

 

Redacteur

U kent de geschiedenis van EPA toch wel?

 

Balboni

Niet echt, want EPA is niet op die maar gestructureerd. EPA heeft geen werknemers in dienst. Ik doe dit werk eigenlijk als bijbaan.

 

voice-over

De wetenschappelijk directeur van EPA zegt van niets te weten maar dat is vreemd. Als we gaan kijken bij het pand van de European Privacy Association zien we dat in hetzelfde gebouw ook lobbyfirma DCI een kantoor heeft.

 

Balboni

We huren kantoorruimte in hetzelfde gebouw. Dus ik denk niet dat we één en dezelfde zijn.  Dat klopt voor mij gewoon niet.

 

voice-over

Als we de lobby verder onderzoeken, komen we ook uit bij een Nederlandse organisatie, bij DDMA. Die behartigt de belangen van marketingbedrijven. De DDMA vindt het niet nodig dat mensen van tevoren expliciet toestemming moeten geven voor de opslag van hun persoonsgegevens, lezen we. Ook pleit de DDMA ervoor dat bedrijven profielen mogen blijven maken van consumenten. De DDMA blijkt grote databedrijven te vertegenwoordigen, maar ook winkelketens, uitgevers en omroepen waaronder onze eigen werkgever, de VARA.

 

Redacteur

Zou je dan kunnen zeggen dat de VARA de lobby tegen strengere privacywetgeving steunt?

 

[caption]

Hoedeman

O. Hoedeman, Corporate Europe Observatory

Ja, de facto is dat zo he, als lid van die organisatie en inderdaad door de financiële bijdrage ondersteunt de VARA die campagne, die lobbycampagne. Ja, dat is duidelijk.

 

voice-over

De VARA is lid omdat de DDMA juridisch advies geeft over het gebruik van persoonsgegevens van bijvoorbeeld omroepleden. Maar is de directie ook op de hoogte van de lobby?

00.33.27

[caption]

Timmer

G. Timmer, directeur BNNVARA

Nou dit is informatie die wij in ieder geval tot op heden niet hadden. In ieder geval niet in deze strenge bewoordingen. En dat is voor ons wel reden om daar actief in te duiken en om ons lidmaatschap van DDMA te heroverwegen om bezien of wij nog altijd wel lid kunnen blijven van een club die, als dat waar is, deze activiteiten verricht. Waarbij ook de vraag kan komen of je die reden waarom wij lid zijn van DDMA, namelijk die juridische expertise die wij ook nodig hebben om de consument goed te kunnen bereiken en ook aan het belang van de consument te kunnen denken, mogelijkerwijs niet elders kunnen betrekken.

 

voice-over

Ook allerlei goede doelen blijken lid van de DDMA. We zien het Rode Kruis en Artsen zonder Grenzen maar ook Greenpeace en KWF Kankerbestrijding. Zelfs Amnesty International steunt, door lidmaatschap van de DDMA, de lobby. Een organisatie die normaalgesproken fel voorstander van privacybescherming is. We bellen Amnesty voor een reactie.

 

[caption]

Stem

Amnesty International

Als het klopt dat DDMA lobbyt voor versoepeling van de Europese privacywetgeving  en daar lijkt het op, dan baart ons dat grote zorgen. Wij zullen DDMA daar op korte termijn op aanspreken en mocht dat niet tot een bevredigende verklaring leiden of tot aanpassing van de lobby, dan zullen we ons lidmaatschap heroverwegen en eventueel zelfs opzeggen.

 

voice-over

De DDMA wil geen interview geven en verwijst ons naar de Europese koepelorganisatie, de FEDMA. Die zegt openheid over dataverwerking juist te stimuleren en te streven naar gebalanceerde wetgeving. Of de  lobby succesvol is geweest zal binnenkort blijken als in Brussel de nieuwe privacyregels worden vastgesteld. Op papier kunnen Europese privacy waakhonden torenhoge boetes gaan opleggen bij overtredingen. Maar of ze de duizenden datahandelaren echt kunnen controleren, is maar de vraag.

 

[caption]

Vladeck

D. Vladeck, voormalig directeur FTC

Er is heel weinig handhaving in de EU. De DPA’s zijn niet bevoegd tot de handhaving die de FTC doet. 

 

voice-over

Zonder handhaving zijn privacyregels weinig waard. Hoe iet het met de Nederlandse toezichthouder, het College Bescherming Persoonsgegevens?

 

Kohnstamm

We hebben gewoon een groter budget nodig. Meer mensen nodig.

 

voice-over

Volgens het college moet het budget voor de bescherming van persoonsgegevens vervijfvoudigd worden.

 

[caption]

Kohnstamm

J. Kohnstamm, College Bescherming Persoonsgegevens

En dan krijg je alleen maar gniffelende reacties in deze tijden van bezuiniging en economische problemen is het vijfvoudige van zo’n budget politiek ook bijna niet doenlijk. Dat begrijp ik goed. Tegelijkertijd moet je ons dan niet te zeer aankijken op het feit dat we, nou ja, in heel veel zaken ze moeten laten lopen. Gewoon niet kunnen optreden.

00.36.21

 

[aftiteling] 

 

Deze uitzending is ook onderdeel van NPO Journalistiek-dossiers: Privacy, Internet en Apps.
Wie kent u het beste? Er zijn bedrijven, zogeheten datahandelaren, die misschien wel meer van u weten dan uw partner of uw beste vriend. Ze zijn op de hoogte van uw interesses en uw geheimen. Deze datahandelaren volgen u namelijk onophoudelijk via uw computer, uw tablet en uw smartphone. Dat doen ze met behulp van geavanceerde ‘trackers’ die ze op websites hebben geplaatst.

Deze trackers leggen alles vast wat u op het internet doet. Ze zien bijvoorbeeld welke kleding u bekijkt of koopt en wat uw vakantiebestemming wordt. Ook als u surfend op het web oplossingen zoekt voor uw relatieproblemen,  schulden, stress en ziekte, de datahandelaren kijken met u mee. Want uw interesses en uw gedrag op internet zijn goud waard.

Met al die gegevens wordt een profiel van u gemaakt, dat voor veel geld verkocht  wordt aan marketeers, kredietbeoordelaars, verzekeraars en andere geïnteresseerden. Mag dat zomaar? En hoe kunt u zich daar tegen beschermen? Zembla onderzoekt de handel in onze data.

Lijsten
lijst

Nextmark
Op deze website worden tienduizenden adreslijsten aangeboden, sommige met zeer gevoelige informatie. Ook de lijsten met KNVB-leden, Nederlandse gokkers en donateurs van de Internationale Stichting Alzheimer Onderzoek zijn via deze website te vinden
Rape list
 In dit artikel van de Wall Street Journal staat het bewijs voor het bestaan van de 'rape sufferers list' waar Pam Dixon in de uitzending aan refereert)
 

Rapporten

FTC rapport over datahandelaars
Onderzoek gedaan onder leiding van David Vladeck
White House rapport over de datahandel.
Scoring rapport World Privacy Forum.  
Over de trend om persoonsgegevens te verwerken in allerlei scores voor burgers en consumenten. Ook in Europa neemt dit toe: burgers krijgen risk scores van verzekeraars, fraude scores van de overheid en consumentenscores van marketingbedrijven.

Lobby

DDMA
Website en documenten DDMA  
De DDMA schrijft op haar website dat de organisatie 'mee heeft samengewerkt om wet- en regelgeving te beïnvloeden zodat deze aansluiten bij de belangen en wensen van de data driven marketing branche.’ Dit document ‘Belangenbehartiging' bevat standpunten van de DDMA.

European Privacy Association
Website EPA 

Artikel op website van Corporate Europe Observatory, een onderzoeksorganisatie die de Brusselse lobby in kaart brengt. CEO ontdekt dat EPA wordt betaald door databedrijven en is opgericht door lobby consultancy firma DCI. EPA verzwijgt dit echter en wordt door het onderzoek van CEO gedwongen om zich als lobbyorganisatie te registreren in het Transparantie Register. Inmiddels lijkt die registratie weer ongedaan te zijn gemaakt. Zie hier

Website DCI
In 2004 schreef DCI op de website: "Corporations seldom win alone. Whatever the issue, whatever the target - elected officials, regulators or public opinion - you need reliable third party allies to advocate your cause. We can help you recruit credible coalition partners and engage them for maximum impact. It’s what we do best." Lees hier.

Lobbydocument FEDMA
Standpunten van lobby-organisatie FEDMA, de Europese koepel van data driven marketing bedrijven, waar ook DDMA en dus BNNVARA en tientallen NGO's bij zijn aangesloten. FEDMA pleit  in dit document onder meer tegen de eis van expliciete toestemming. Ook zonder die toestemming van consumenten moeten bedrijven persoonsgegevens mogen verwerken, vindt FEDMA.

fedma
Handvest FEDMA voor ethische verwerking van persoonsgegevens. Website FEDMA. 


Lobbyplag  
Duitse website die lobby-invloeden op de nieuwe Data Protection Regulation  gedetailleerd zichtbaar maakt. Ook interessant: per Europarlementariër wordt aangegeven hoeveel amendementen zijn ingediend op de oorspronkelijke voorstellen. CDA-er Wim van de Camp blijkt een belangrijke spreekbuis van de datalobby: 132 amendementen waarvan 104 duidelijk in lijn met lobbyteksten van de data industrie.

Lobbydocumenten BoF
NGO Bits of Freedom deed een beroep op de wet Openbaarheid van Bestuur om lobby documenten van de data industrie in handen te krijgen. De website van BoF is sowieso een aanrader voor iedereen die wil weten hoe je jezelf kunt beschermen tegen profilering. Ook veel informatie over de nieuwe Europese privacy wetgeving: BOF

Wederhoor

experian
Experian stuurde ons de volgende reactie:
"We always  comply with data protection laws and legislation. Our businesses are built on clear privacy principles, following industry standards. Experian Marketing Services in The Netherlands is one of the data partners of CDDN.  We work with our data partners to help organisations provide more relevant marketing messages to consumers, in strict compliance with local laws and regulations. This type of data is modelled and anonymized data based on neighbourhoods – it isn’t personally identifiable information, a key point for you to note. A charity might use this insight, for example, to help it understand whether a new store location is right for the types of customer it serves.

We do not collect web tracker data or use this type of data services/products in The Netherlands."
 

amnesty
Amnesty mailde in reactie op onze bevindingen over het steunen van lobbyorganisatie DDMA:
"Amnesty heeft op dit moment onvoldoende kennis van alle ins en outs van het Europese wetgevingstraject, maar staan achter het principe dat de EU het fundamentele recht van burgers op privacy en informatie  als uitgangspunt neemt.  Ook staan we achter het streven van harmonisering van wet- en regelgeving in Europa, omdat dit naar verwachting positief zal uitpakken voor de rechten van burgers.

Als het klopt dat de DDMA lobby voert voor versoepeling van de Europese privacywetgeving, dan baart ons dat zorgen, en zullen we de DDMA daar op korte termijn op aanspreken.  Mocht dat niet tot een bevredigende verklaring of aanpassing van de lobby leiden, dan zullen we ons lidmaatschap heroverwegen/opzeggen.

Tot voor kort waren we niet op de hoogte van de wijze waarop DDMA dit wetgevingstraject probeert te beinvloeden.  We zijn jaren geleden lid geworden van de DDMA om op de hoogte te blijven van het vrij ingewikkelde veld van privacy wet- en regelgeving. We maken nu en dan gebruik van hun expertise op dit gebied, om te waarborgen dat we in ons eigen werk voldoen aan alle wettelijke eisen. We hadden ons actiever kunnen informeren over de lobby die DDMA, mede namens ons, voert.  We hebben inmiddels bij Bits of Freedom nadere informatie opgevraagd, en zullen zoals gezegd hierover het gesprek met DDMA aangaan.

Wederhoor Paypal
"We verkopen geen persoonlijke informatie van onze klanten. Het beschermen van de PayPal accounts, geld en persoonlijke informatie van onze klanten is een fundamenteel onderdeel van wie wij zijn en hoe we zaken doen.  PayPal is een erkende bank in Europa die is onderworpen aan strenge regelgeving met betrekking tot klantgegevens. We hebben een strikt privacybeleid dat de rechten van onze klanten beschermt.  De informatie die wij ontvangen is noodzakelijk om onze diensten te kunnen verlenen aan onze klanten - niets meer, niets minder.

PayPal deelt data over de transacties die gemaakt worden met instituties waar het mee samenwerkt om betalingen te verwerken, bijvoorbeeld met een bank of creditcardverwerker wanneer een transactie is gefinancierd met een bankrekening of creditcard. Dit is een essentieel onderdeel van de manier waarop PayPal werkt."

J a v a S c r i p t staat waarschijnlijk uit!

Deze website maakt gebruik van J a v vS c r ip t, onder andere voor het afspelen van video’s. Het lijkt erop dat J a v aS cr i pt uit staat, waardoor de site niet optimaal werkt.

Lees hier hoe je J av a Sc r i p t aan kunt zetten.