
Het internet heeft ons kwetsbaar gemaakt. Mal- en ransomware, hackers, cyberspionnen en zwarte markten bedreigen de online én fysieke wereld. Parallel daaraan groeit de cybersecurity-industrie, waar overheid en bedrijfsleven een vruchtbare kruisbestuiving aangaan. FTM verkent dit nieuwe speelveld. Wat zijn de spelregels? Waar liggen de grenzen? Wie bedreigen ons? Wie beschermen ons? En wat verdienen ze eraan?
Techgiganten delen plots hun data
Wie stopt de algoritmes?
FTM Audio - Amsterdamse “dotcom-beloftes” bouwden imperium op manipulatie en misleiding
Wat het betekent als jouw bank straks je gegevens moet delen
Amsterdamse “dotcom-beloftes” bouwden imperium op manipulatie en misleiding
Waarom ‘Bye bye Facebook’ niet genoeg is
Hoe de digitale halsband van Magister de privacy van schoolkinderen nekt
Het 'onafhankelijk' onderzoek over de Haagse veiligheidslobby rammelt aan alle kanten
‘Jonge internetondernemers’ spelen met vuur en grootschalige fraude
Een spelletje Monopoly met onze privacy
Beeld © AFP Photo / Patricia de Melo Moreira
Facebook wil ook weten wat je offline doet
Facebook mag dan tot op zekere hoogte tonen welke informatie het zelf verzamelt over zijn gebruikers, over de persoonlijke gegevens die het bedrijf aankoopt bij gespecialiseerde dataleveranciers is het minder transparant. Voor een Facebooklid is het allesbehalve eenvoudig om te weten te komen welke gegevens deze bedrijven precies over jou bijhouden, of om je uit hun databases te laten schrappen.
Dat Facebook op grote schaal informatie verzamelt over het doen en laten van zijn gebruikers op zijn site, maar ook daarbuiten, is al lang geen geheim meer. Wat de sociale netwerksite er niet altijd bij vertelt, is welke persoonlijke informatie over gebruikers het daarbovenop aankoopt bij ‘externe partners’. Veel gebruikers zijn zich mogelijk zelfs niet bewust van het feit dat Facebook extra informatie over hen aankoopt, en dat ook over hun offline levens.
Dataproviders verzamelen via verschillende kanalen persoonlijke gegevens en delen die met Facebook
'Facebook werkt samen met een selecte groep externe dataproviders om bedrijven te helpen in contact te komen met mensen die mogelijk geïnteresseerd zijn in hun producten en diensten.' Zo verwoordt de sociale netwerksite het zelf op één van zijn help-pagina’s. Facebook voegt er nog aan toe dat gebruikers controle hebben over welke advertenties ze te zien krijgen. Nochtans is het niet evident om te weten te komen op basis van welke persoonlijke informatie deze advertenties aan een bepaalde persoon getoond worden, en dus over welke informatie die externe dataproviders dan wel beschikken.
Categoriseren
Volgens de Amerikaanse nieuwswebsite ProPublica beschikken deze dataproviders over gedetailleerde dossiers, inclusief gegevens over het offline leven van gebruikers. Omdat Facebook deze informatie niet zelf verzamelt en ze bovendien op grote schaal beschikbaar is, acht Facebook het niet nodig om gebruikers erover in te lichten, schrijft ProPublica.
Die dataproviders verzamelen dus via verschillende kanalen, online en offline, persoonlijke gegevens en bieden die aan bedrijven aan zodat zij gerichter reclame kunnen aanbieden aan potentiële of bestaande klanten. Een van die kanalen waarlangs reclame wordt aangeboden is Facebook, dat allerhande bedrijven zeer uitgebreide opties aanbiedt om gericht reclame aan te bieden aan z’n gebruikers. Die worden onderverdeeld in categorieën, op basis van gegevens die Facebook zelf verzamelt of dus via derde partijen verkrijgt.
Volgens ProPublica worden ongeveer 600 van die categorieën opgesteld op basis van informatie die Facebook van dataproviders krijgt. Deze categorieën zijn hoofdzakelijk financieel van aard: geschat gemiddeld gezinsinkomen of -vermogen, of mensen die vaak bij discounters winkelen.
Als je wil weten welk type gegevens deze dataproviders verzamelen en op welke manier ze die gegevens delen, zal je het hun zelf moeten vragen, schrijft Facebook op zijn help-pagina.
Opt-out
Er is weliswaar een ontsnappingsroute voor Facebook-gebruikers die niet willen dat Facebook reclame aanbiedt op basis van deze ‘externe’ informatie. Zoals de sociale netwerksite ook zelf aangeeft zal je die dataproviders opnieuw zelf moeten contacteren.
Een opt-out cookie zorgt er alvast voor dat derde partijen niet langer informatie over jou verzamelen
De meeste van deze dataproviders zijn in de Verenigde Staten gevestigd. Een aantal onder hen heeft wel filialen in Europa. Zo is er Acxiom, met filialen in Frankrijk, Duitsland en het Verenigd Koninkrijk. Een andere grote speler waarmee Facebook een deal sloot is Oracle, een bedrijf met filialen in meer dan 80 landen.
Zoals elk bedrijf dat persoonlijke gegevens vanuit de EU naar de VS overbrengt, moeten deze dataproviders sinds 1 augustus 2016 voldoen aan de regels van het Privacy Shield akkoord dat de EU en de VS afsloten. Dat akkoord bepaalt ook de rechten van gebruikers. Zo heb je als gebruiker het recht om informatie te krijgen over welk type gegevens een bedrijf over jou heeft verzameld, waarvoor het die gegevens gebruikt en met welke derde partijen het die gegevens deelt. Het bedrijf moet je ook de keuze geven om het gebruik en de verspreiding van jouw gegevens te beperken.
Op de eerder aangehaalde help-pagina geeft Facebook zelf een aantal links naar de websites van de dataproviders waarmee het samenwerkt. De meeste bedrijven voorzien een zogenaamde opt-out cookie, die je makkelijk kan installeren. Die zorgt ervoor dat het bedrijf in kwestie alvast niet langer gegevens over jou kan verzamelen.
Het is echter iets omslachtiger om ook inzage te krijgen in de gegevens die ze intussen al over jou verzameld hebben. We verstuurden vandaag (28/12/2016, red.) alvast per e-mail een verzoek tot inzage in onze persoonlijke data naar Acxiom, Oracle en Experian. Het Privacy Shield-akkoord schrijft voor dat een vraag of klacht binnen de 45 dagen beantwoord moet worden.
Heel veel verschillende bedrijven beschikken over persoonlijke informatie
Het indienen van zo’n aanvraag is niet bij elk bedrijf even eenvoudig. Oracle biedt via zijn website enkel een Amerikaans postadres aan, en vraagt bovendien om een kopie van een identiteitsbewijs mee te sturen. Via het openbaar register van de Belgische Privacycommissie krijg je wel contactgegevens van het Belgische filiaal, al blijkt het opgegeven e-mailadres niet langer in gebruik te zijn. Ook telefonisch was Oracle niet bereikbaar. Om inzage te krijgen in de persoonlijke gegevens die Experian verzamelt, kan je contact opnemen met het Nederlandse filiaal.
Controle
Dit alles maakt nog maar eens duidelijk hoe moeilijk het is om controle te krijgen over je persoonlijke gegevens. Zeker als je weet dat die gegevens over ontzettend veel en vaak onbekende bedrijven verdeeld zijn, en die bedrijven die gegevens ook nog eens onderling met elkaar uitwisselen.
Onder Privacy Shield mag een organisatie geen persoonlijke informatie gebruiken op een manier die niet strookt met het doel waarvoor die informatie is verzameld of waarvoor de gebruiker toestemming heeft gegeven. Als je als gebruiker natuurlijk niet meer weet wie precies welke 'vrij beschikbare' gegevens over jou heeft en waarvoor die worden gebruikt, is het maar de vraag hoe je als gebruiker die voorwaarde uit het Privacy Shield-akkoord kan controleren.
5 Bijdragen
Lydia Lembeck 12
Hoorde kort geleden van iemand die zowel Twitter, Instagram, FaceBook, Direct messenger, Apps en nog een paar van die dingen heeft. Daar moet je dan een dagtaak aan hebben, denk ik. EN hij schrijft er ook zijn hartenroerselen op. Hoe gek kan je het hebben?
Jan Smid 8
Lydia LembeckLydia Lembeck 12
Jan SmidMartin van der Wiel 7
Want naar "goede" Amerikaanse maatstaven moet er wel gewoon zoveel mogelijk geld worden verdiend. Onder de noemer van high-tech bedrijven zijn Google en Facebook niets meer dan advertentieverkopers.
Jan Smid 8
Martin van der Wiel