In gesprekken rondom gegevensprivacy en beveiliging wordt de focus vaak gelegd op wat de Big Tech-reuzen (zoals Google en Facebook) doen met de gegevens van hun gebruikers. Er wordt minder gesproken over bedrijven die als bedrijfsmodel hebben om persoonlijke gegevens te verzamelen en deze daarna voor winst te verkopen. Deze bedrijven worden ook wel datahandelaren genoemd. Wie zijn dit echter en hoe verzamelen ze je gegevens? En wat doen ze met je gegevens en hoe kun je je afmelden?
Wat zijn datahandelaren?
Datahandelaren zijn bedrijven die persoonlijke gegevens van jou verkopen. Datahandelaren verzamelen informatie van verschillende bronnen om een gedetailleerd beeld te creëren van wie jij bent; deze gegevens worden daarna doorverkocht. De handel in gegevens is enorm groot. Naar schatting gaat in de branche $ 200 miljard per jaar om en zijn er tot wel 4000 datahandelbedrijven wereldwijd. De grootste datahandelaren zijn Experian, Equifax, Acxiom en Epsilon.
De datahandelbranche wordt al lange tijd bekritiseerd. Datahandelaren hebben namelijk geen enkele reden om contact te hebben met de mensen van wie ze gegevens verzamelen, analyseren en delen en waarvan ze profiteren.
Betekenis van 'datahandelaar'
De termen 'informatiehandelaar' en 'datahandelaar' worden soms door elkaar gebruikt en betekenen exact hetzelfde. Datahandelaren hebben geen rechtstreekse relatie met de mensen waarvan ze gegevens verzamelen, dus de meeste mensen weten niet eens dat hun gegevens worden verzameld. Mensen klikken vaak op 'Ik ga akkoord' bij online privacybeleidsregels en gebruiksvoorwaarden (soms zonder na te denken). Het is dan niet altijd duidelijk hoeveel gegevens er als gevolg precies van jou mogen worden verzameld en wat de gevolgen zijn als je op veel verschillende websites akkoord gaat.
Hoe verzamelen datahandelaren informatie?
Datahandelsites verkrijgen op verschillende manieren informatie over jou, zowel online als offline, en koppelen alles aan elkaar om uitgebreide consumentenprofielen te maken:
- Je browsinggeschiedenis. Elke keer dat je een zoekmachine, sociale-media-app of ander type app gebruikt, elke keer dat je een online quiz invult of meedoet aan een wedstrijd en wanneer je verschillende websites bezoekt, laat je een elektronisch spoor achter. Datahandelaren gebruiken dit spoor om een beeld te krijgen van wie jij bent. Op veel websites zijn trackers ingebouwd die informatie verzamelen over je online activiteiten. Datahandelaren gebruiken 'webscraping' (een stukje software of script dat gegevens van websites haalt) om die informatie te verzamelen.
- Openbare bronnen. Dit omvat geboortecertificaten, trouwakten, scheidingsakten, informatie over stemgerechtigdheid, juridische documenten, faillissementsgegevens, voertuigregistratiegegevens en statistieken.
- Commerciële bronenn. Je aankoopgeschiedenis: wat je hebt gekocht, wanneer je het hebt gekocht, voor hoeveel, en of je een kortingsbon of klantenkaart hebt gebruikt.
- Je toestemming. Wanneer je je aanmeldt voor bijvoorbeeld een loyaliteitsprogramma van een winkel, kan het zijn dat je toestemming geeft voor het delen van je gegevens zonder dat je je dit realiseert (tenzij je de kleine lettertjes leest).
Welke informatie verzamelen datahandelaren?
Aan de hand van deze verschillende bronnen stellen datahandelaren een enorme database samen met informatie over jou. De gegevens kunnen het volgende omvatten:
- Je naam
- Adres (zowel je huidige adres als oude adressen)
- Geboortedatum
- Geslacht
- Burgerlijke staat
- Gezinssamenstelling (ook of je kinderen hebt, hoeveel en hoe oud ze zijn)
- Burgerservicenummer
- Opleidingsniveau
- Eigendommen
- Beroep
- Telefoonnummer
- E-mailadressen
- Koopgedrag: wat je koopt, wanneer je aankopen doet en voor hoeveel
- Persoonlijke interesses en hobby's
Mogelijk weten ze ook wat je inkomensniveau is, hoe het gaat met je gezondheid, wat je politieke voorkeur is en of je een strafblad hebt.
Datahandelaren verzamelen deze gegevens om gebruikerssegmenten te ontwikkelen (voorbeelden: nieuwe moeders, fitnessliefhebbers, etc.) die ze vervolgens voor commerciële doeleinden verkopen aan andere bedrijven. Sommige categorieën lijken misschien onschuldig, maar deze praktijken vallen in een grijs gebied en kunnen zelfs tot ethische vraagstukken leiden als het bijvoorbeeld gaat om medische of persoonlijke omstandigheden (voorbeeld: mensen met HIV).
Ondanks dat er enorm veel gegevens worden verzameld, zitten datahandelaren er soms ook naast. Het kan bijvoorbeeld zijn dat je babykleertjes koopt voor een vriend of familielid, maar dat de datahandelaar de conclusie trekt dat jij zelf een kind hebt. Dit beeld is dan onjuist. Het kan ook zijn dat je medicatie koopt voor een ouder familielid, waardoor de datahandelaar denkt dat jou iets mankeert. Zo kunnen er talloze voorbeelden worden bedacht.
Hoe worden je gegevens gebruikt?
Datahandelaren verkopen je gegevens voor verschillende commerciële doeleinden aan andere bedrijven. Daarbij kun je denken aan het volgende:
- Marketing en reclame. Bedrijven kopen gegevens zodat ze marketingberichten, speciale aanbiedingen en online advertenties kunnen personaliseren. Tijdens verkiezingscampagnes kunnen politieke partijen gegevens gebruiken om jou te targeten met politieke berichten.
- Risicobeperking. Sommige bedrijven gebruiken de gegevens van datahandelaren om fraude te helpen beperken. Ze kunnen bijvoorbeeld controleren of de gegevens die zijn ingevoerd op een leningaanvraagformulier overeenkomen met de gegevens van de datahandelaren. De informatie kan ook worden gebruikt om te berekenen wat de kans is dat een consument een lening niet kan terugbetalen.
- Zorgverzekering. Informatie over je gezondheid (welke medicijnen je koopt en naar welke symptomen je zoekt, bijvoorbeeld) kunnen door zorgverzekeringsbedrijven worden gebruikt om te bepalen welke tarieven moeten worden gehanteerd voor dekking.
- Sites om mensen te zoeken. Op sites om mensen te zoeken (zoals Spokeo, PeekYou, PeopleSmart en Pipl) kun je mensen op naam zoeken en informatie over hen ontvangen, zoals hun adres, telefoonnummer, e-mailadres en geboortedatum. Vaak moet je hiervoor betalen. De informatie die op deze sites wordt gebruikt, is afkomstig van datahandelaren en kan soms worden gebruikt voor doxing, social engineering en identiteitsdiefstal.
Zijn datahandelaren legaal?
De wetgeving verschilt in elk land en er is niet altijd een eenduidig antwoord. Over het algemeen is het zo dat als datahandelaren openbare records gebruiken om gegevens te verkrijgen, ze legaal handelen, maar er is natuurlijk wel grijs gebied.
In de EU is er de Algemene Verordening Gegevensbescherming (AVG), wetgeving op het gebied van gegevensprivacy en beveiliging die van toepassing is op alle organisaties die consumentengegevens targeten of verzamelen in de Europese Unie. In deze wetgeving staat dat consumenten expliciet toestemming moeten geven voordat hun gegevens mogen worden verzameld. De AVG biedt consumenten ook het recht om om verwijdering van hun gegevens te vragen bij organisaties. In andere landen zijn er vergelijkbare wetten, zoals de LGPD in Brazilië (Lei General de Proteção de Dados).
In de Verenigde Staten is er geen eenduidig equivalent omdat er niet landelijk een regeling als de AVG is. De wetgeving is per staat anders en in sommige staten ligt er meer focus op datahandel dan in andere. De Consumer Privacy Act in Californië stelt consumenten bijvoorbeeld in staat om een kopie op te vragen van de gegevens die datahandelaren van hun hebben verzameld. De consumenten hebben ook het recht om de gegevens te laten wissen en om zich af te melden voor de verkoop van hun gegevens.
Vaak wordt kwestie met betrekking tot het verzamelen van gebruikersgegevens verborgen in de kleine lettertjes van websites. Het is dus niet altijd duidelijk voor personen hoeveel controle over hun gegevens ze overhandigen.
Voorbeelden van gegevenslekken bij datahandelaren
Naast de ethische en juridische vraagstukken die datahandel oproept, moeten we ons ook zorgen maken over het lekken van gegevens. Datahandelaren verzamelen gevoelige gegevens en het zou voor de betroffen personen ernstige gevolgen kunnen hebben als die gegevens bij de verkeerden terechtkomen.
Bekende incidenten op het gebied van datahandel zijn:
- In 2017 kondigde Equifax aan dat er een gegevenslek had plaatsgevonden waarbij de gegevens van 147 miljoen mensen op straat zijn komen te liggen. Het bedrijf kondigde later aan een overeenkomst te hebben bereikt met de Federal Trade Commission en 50 staten; hierbij is er tot $ 425 miljoen uitgekeerd om de betroffen personen te compenseren.
- In 2015 is er onrechtmatig toegang verkregen tot 15 miljoen records van T-Mobile (die waren opgeslagen op de servers van Experian).
- In 2011 is Epsilon gehackt, waarbij de namen en e-mailadressen van miljoenen mensen op e-mailmarketinglijsten op straat zijn komen te liggen. Deze mensen zijn vervolgens het slachtoffer geworden van spam en pogingen tot spear-phishing.
- In 2003 is Acxiom gehackt; hierbij zijn er meer dan 1,6 miljard records (met o.a. namen, adressen en e-mailadressen) gestolen en verkocht aan spammers.
Jezelf beschermen tegen datahandelaren
Het is niet eenvoudig om volledig uit de lijsten van datahandelaren te blijven. Je kunt je echter wel afmelden voor het verzamelen van gegevens door contact op te nemen met de verschillende datahandelsites en hen te vragen om alle gegevens over jou te verwijderen. Dit proces kost wel een hoop tijd. Er zijn ook bedrijven die je kunt betalen om dit voor jou te doen. Het is handiger om te proberen van de lijsten van datahandelaren af te blijven door stappen te nemen voor het beschermen van je online privacy.
Jezelf van gegevensverzamelwebsites verwijderen
Privacy Rights Clearinghouse biedt hier een uitgebreide lijst met datahandelaren. Daar is ook een link te vinden naar de verschillende privacybeleidsregels, met informatie over hoe je je kunt afmelden bij elke handelaar. Afmelden is niet iets dat je eenmalig doet; waarschijnlijk moet je het vaker doen om voor een grote effectiviteit te zorgen. Als je in de EU woont, lees je in deze gids hoe je op basis van de AVG verwijderingsverzoeken indient én lees je meer over hoe je je zelf verwijdert van websites voor gegevensverzameling.
Het bedrijf Brand Yourself zoekt naar jouw gegevens in de databases van grote datahandelaren en biedt je een rapport waarin je kunt zien waar je gegevens zijn gevonden. Je weet dan bij welke datahandelaren je moet aankloppen om je gegevens te laten verwijderen.
Als je je wilt afmelden bij deze sites, moet je in de meeste gevallen per e-mail contact opnemen. Het is handig als je hiervoor een nieuw en onbelangrijk secundair e-mailaccount maakt. Dit is om je primaire e-mailaccount te beschermen en te voorkomen dat je ineens heel veel spam ontvangt.
Als je je zorgen maakt over wat een bedrijf doet met je persoonlijke gegevens, kun je een klacht indienen bij de relevante overheidsinstelling in jouw land. De namen van deze instellingen zullen overal per wereld verschillen. In de VS is het bijvoorbeeld de Federal Trade Commission en in het VK is het de Information Commissioner's Office.
Privébedrijven betalen om je af te schermen voor datahandelaren
PrivacyDuck en DeleteMe zijn twee voorbeelden van bedrijven die je kunnen helpen je gegevens privé te houden. Deze bedrijven vragen hiervoor echter wel een vergoeding.
Bescherm je online privacy door de onderstaande stappen te volgen
- Zorg ervoor dat je weet welke wetten en regels er gelden op het gebied van gegevensprivacy in jouw land of staat, zodat je weet wat je rechten zijn.
- Plaats geen persoonlijke gegevens op sociale media. Je geboortedatum wordt bijvoorbeeld vaak als identificatiemiddel of als antwoord op een beveiligingsvraag gebruikt; publiceer deze dus niet openbaar.
- Overweeg je sociale-media-accounts privé te maken zodat alleen familieleden en vienden ze kunnen zien.
- Doe niet mee aan online quizzen en wedstrijden; hiermee worden vaak gegevens van jou verzameld.
- Download geen riskante apps van onbetrouwbare bronnen en verwijder de apps die je niet nodig hebt en niet gebruikt.
- Beperk het aantal online accounts dat je hebt tot een minimum; maak alleen een account als je dat ook echt gaat gebruiken.
- Open geen e-mails van een onbekende bron.
- Om tracking te beperken, gebruik je een webbrowser waarin trackers kunnen worden geblokkeerd en software voor het blokkeren van advertenties.
Je kunt ook een VPN (Virtual Private Network) gebruiken om je online privacy te vergroten. Als je via een VPN verbinding maakt met internet, blijft je IP-adres verborgen en worden je gegevens versleuteld. Kaspersky VPN Secure Connection zorgt ervoor dat hackers je gegevens niet kunnen lezen en biedt online privacy.
Gerelateerde artikelen: