Houden datahandelaren zich aan de wet?
Datahandelaren volgen je gedrag op de voet. Wat je koopt, waar je woont, wat je leuk vindt en wat dat over je zegt. Zij verkopen profielen op grond van deze informatie aan andere bedrijven. Vorige zomer deden we samen met De Correspondent onderzoek naar datahandelaren in Nederland. We bekeken de praktijken van datahandelaren en betwijfelen of hun gedrag legaal is.
Datahandelaren waren al eerder in het nieuws. In Amerika bijvoorbeeld bleek dat er een grote groep bedrijven is, data brokers, die informatie over mensen verzamelt om profielen te maken. Die profielen kunnen zeer specifiek zijn. Of je vegetariër bent bijvoorbeeld. Of “enthousiast” bent over “winteractiviteiten”. Daarnaast bezaten ze nog veel gevoeligere categorieën informatie zoals “cholesterolfocus” of “relevant vanwege diabetes”, waaruit gezondheidsrisico’s konden worden afgeleid. Ze bieden vervolgens deze profielen aan aan hun klanten (andere bedrijven) die ze vervolgens gebruiken voor bijvoorbeeld marketing of kredietanalyses.
Het te gedetailleerd volgen van mensen brengt risico’s met zich mee. Persoonsgegevens kunnen op een manier verwerkt worden die veel macht over mensen geeft aan bedrijven en overheden. Het biedt de mogelijkheid om iemand stap voor stap te volgen, om hun economische beslissingen te manipuleren, om mensen te categoriseren, om te discrimineren, om te voorkomen dat bijvoorbeeld gênante dingen ooit vergeten worden, om te verhinderen dat mensen veranderen of groeien en maken identiteitsdiefstal mogelijk (zoals helder uiteengezet door Federico Ferretti). Met andere woorden: in de verkeerde handen of verkeerd toegepast kunnen deze technologieën mensen schaden.
Datahandelaren weten meer van jou dan jij van hen
Journaliste Maaike Goslinga dook met ons in die datahandelwereld. Het onderzoek, waar we al eerder over berichtten, liet onder andere zien dat er veel (180+) datahandelaren zijn in Nederland die persoonlijke (en soms gevoelige) informatie verzamelen en verder verwerken. Ook maakte het onderzoek duidelijk dat er veel commerciële bronnen zijn voor datahandelaren. Bijvoorbeeld: je koopt iets in een webwinkel en informatie daarover wordt doorgespeeld naar andere (niet verder gespecificeerde) bedrijven. Dat ging soms erg ver. Zo was er een christelijke camping die (gevoelige) informatie over bezoekers gewoon verkocht.
Datahandelaren in strijd met de wet
Mag dat? In ons onderzoek vergeleken we deze uitkomsten met de Nederlandse privacywet en we vinden dat datahandelaren op meerdere punten illegaal bezig zijn. Om bijvoorbeeld legaal gegevens te verwerken heb je een geldige grondslag nodig, zoals toestemming. Zeker als er gevoelige informatie wordt verwerkt, dan is iemands expliciete toestemming vereist. Maar mensen hebben geen toestemming gegeven, want er is geen direct contact tussen hen en de datahandelaar.
Daarnaast is een andere grondslag, het commerciële ‘gerechtvaardigd’ belang dat datahandelaren kunnen claimen te zwak om zo’n privacyschending te rechtvaardigen. (Dat zeggen ook anderen.) En is er te weinig transparantie en is het onvoldoende mogelijk om te protesteren. Het is dus mogelijk dat gegevens over jou in een systeem zitten zonder dat je daar weet van hebt of toestemming voor hebt gegeven, dat je daardoor vervolgens niet in aanmerking komt voor een dienst, én dat het onmogelijk is om erachter te komen waarom dat het geval is.
Datahandelaren moeten uitgebreid bestudeerd worden
Dat is in strijd met de wet en moet door de toezichthouder, de Autoriteit Persoonsgegevens, onderzocht worden. Ondertussen worden de risico’s alleen maar groter door nieuwe technologieën als big data en het Internet of Things en de steeds dichter tot elkaar komende private en publieke sfeer. In Amerika bijvoorbeeld zijn data brokers een bron van informatie voor de politie. Gebeurt dat ook in Nederland? Hoe zit het met onze waarborgen? Hoe verhoudt zich dat tot de nieuwe privacywet? Wij vinden dus dat deze handelswijze ook in bredere zin goed onderzocht moet worden.
Dat moet niet alleen door de autoriteit persoonsgegevens gebeuren, maar ook door bijvoorbeeld NGO’s en wetenschappers. Is dit businessmodel nog houdbaar? Jij kan ook zelf onderzoek doen. Je kan onze Privacy Inzage Machine gebruiken om te kijken welke gegevens en welk profiel datahandelaren over jou hebben. Als je iets interessants tegen komt, horen we dat natuurlijk graag.