Monseigneur Jeffrey Burrill, secretaris-generaal van de Amerikaanse Bisschoppenconferentie, was een invloedrijk en gerespecteerd man. Maar toen bracht de Amerikaanse katholieke nieuwswebsite The Pillar in juli 2021 naar buiten dat de priester er een niet zo religieus nachtleven op nahield. 

De site onthulde dat Burrill homodatingapps als Grindr gebruikte, gaybars bezocht, en in badhuis Entourage in Las Vegas was geweest – where the hot guys go. 

Burrill diende zijn ontslag in; de zaak maakte veel los in de VS en daarbuiten. Terwijl conservatieve katholieken schande spraken van het ‘abjecte’ gedrag van de geestelijke, rezen in vrijzinniger kringen ethische vragen: had Burrill geen recht op privacy? En hoe kwam The Pillar aan al deze intieme gegevens? 

De redactie liet niet meer los dan dat er een analyse was gedaan op commercieel beschikbare datasets van mobiele-appgegevens. 

In maart 2023 onthulde The Washington Post echter dat Burrill het slachtoffer was geworden van een gerichte aanval door een groep zeer conservatieve katholieken uit Colorado. Deze stichting, gesteund door rijke filantropen, heeft onder meer het doel ‘geestelijken te helpen zich aan hun celibaat te houden’, en richt haar pijlen vooral op homoseksuele priesters. 

De stichting had, zo onthulde The Washington Post, vier miljoen dollar neergeteld voor een database met – onder meer – trackinggegevens van dating-apps voor homoseksuele gebruikers. De data waren afkomstig van ad exchanges: veilingplatforms waar op basis van realtime bieden (RTB) online advertentieruimte wordt verhandeld. 

Locatiegegevens, zoekgedrag, appgebruik, het stond er allemaal in. Geanonimiseerd weliswaar, maar door de data te combineren met bijvoorbeeld kerklocaties, wist de stichting dat probleem te omzeilen. Zo zag men dat de gebruiker van een specifieke telefoon overdag in een pastorie in Wisconsin was, ’s avonds hookup-apps als Grindr gebruikte en ontmoetingsplaatsen voor homoseksuelen bezocht, en ’s nachts in het huis van Burrill sliep. Bingo. 

‘Iedereen wordt geprofileerd’

Amerikaanse burgerrechtenorganisaties noemen de zaak-Burrill de eerste waarin particulieren commerciële data kopen om individuen mee te bespioneren. 

De hoeveelheid persoonlijke gegevens die we dagelijks online delen is enorm, en het toezicht op de wereldwijde handel in dit soort gegevens is nihil. Inlichtingendiensten, criminelen of particulieren: iedereen die ervoor wil betalen kan privédata kopen. 

Westerse regeringen maken zich steeds meer zorgen over de grootschalige verzameling en internationale verspreiding van persoonlijke gegevens, zo blijkt bijvoorbeeld uit maatregelen die de afgelopen weken in diverse landen tegen TikTok zijn genomen.

Experts pleiten echter voor veel strengere maatregelen. Niet alleen tegen apps uit China, maar ook tegen de online advertentie-industrie en grote techbedrijven.

‘Iedereen wordt geprofileerd,’ zegt privacy-expert Johnny Ryan tegen Follow the Money, ‘the things that make you tick: wat je luistert, kijkt, leest en doet.’

De Ierse onderzoeker, ooit zelf werkzaam in de advertentie-industrie, probeert Europese beleidsmakers en wetgevers er al jaren van te overtuigen dat de manier waarop grote techbedrijven met onze data omspringen illegaal is. Dat doet hij inmiddels als senior fellow van de Irish Council for Civil Liberties (ICCL), een in Dublin gevestigd instituut voor burgerrechten. 

Namens ICCL is Ryan betrokken bij meerdere internationale rechtszaken tegen de online-advertentie-industrie in het algemeen en branchevereniging IAB en Google in het bijzonder. Die Zeit noemde hem in 2021 ‘Googles grootste luis in de pels’.

Ryans klachten richten zich vooral op realtime bieden (RTB), een volledig geautomatiseerd veilingssysteem waarmee online advertentieruimte op websites en in apps wordt verkocht aan de hoogste bieder. Denk aan de vakjes op het beeldscherm van je smartphone waarin advertenties verschijnen. 

Zodra je op een website of in een app verschijnt, gaan je gegevens, die zijn opgeslagen in cookies [zie kader], vaak via allerlei tussenpartijen naar honderden en soms duizenden adverteerders, marketeers en socialemediaplatforms. De hoogste bieder mag het vakje vullen met een advertentie en ‘wint’ jouw aandacht. Het hele proces duurt enkele milliseconden. 

In deze online-advertentiemarkt gaan honderden miljarden dollars om. Een flink deel daarvan wordt verdiend met handel in gepersonaliseerde advertenties. 

‘Als jij het economiekatern leest van een kwaliteitskrant als The Irish Times en daarna sites van autobedrijven bezoekt, leggen autofabrikanten graag tientallen dollars neer voor een plekje op je beeldscherm,’ zegt Ryan.

‘Grootste datalek ooit’

Het idee achter gericht adverteren is dat adverteerders het door hen gewenste publiek relatief goedkoop bereiken. Andersom krijgt de gebruiker advertenties te zien van producten waarin hij geïnteresseerd is. Dus iedereen wint, in theorie. Maar het systeem kan gemakkelijk misbruikt worden. Niemand controleert namelijk wat er met al die gegevens gebeurt en waar ze uiteindelijk terechtkomen. Adverteerders die je data via RTB aankopen, kunnen die doorverkopen, aanvullen of houden.

Persoonlijke dataprofielen gaan in Europa minstens 376 keer per dag door het systeem, in de VS 747 keer

‘Realtime bieden is het grootste datalek ooit geregistreerd,’ volgens Ryan. Per jaar worden de online gedragingen en locatiegegevens van consumenten in de Verenigde Staten en Europa volgens de ICCL 178 biljoen keer vastgelegd en gedeeld. Amerikaanse persoonsgegevens maken gemiddeld 747 keer per dag een ronde door het RTB-ecosysteem, waarin adverteerders, marketeers, reclamebureaus, online uitgevers, veilingplatforms en sociale-medianetwerken leven. Voor Europeanen is dit gemiddeld 376 keer per dag. 

Hoe intiem dergelijke data zijn, blijkt uit de categorieën die het Interactive Advertising Bureau (IAB) hanteert. Deze wereldwijd opererende branchevereniging voor online-adverteerders ontwikkelde voor de verwerking van persoonsgegevens op de flitsveilingen een raamwerk dat door vrijwel de hele Europese advertentie-industrie wordt gebruikt. Google, eBay, Amazon, Oracle en SalesForce: het zijn allemaal geregistreerde leden van IAB Europe. 

Zoals biologen insecten op een blad prikken en indelen op uiterlijkheden, kunnen data-analisten personen taxonomisch indelen. 

In de laatste versie van ‘The Content Taxonomy’ worden intieme, persoonlijke karakteristieken onderverdeeld in categorieën met een bijpassende code, zoals mentale gezondheid (code 301), onvruchtbaarheid (304), islamitisch (461), gevoelige sociale problematiek (27rJBM), drugsgebruik (pg0WhF) of terrorisme (8FD8nl). Oudere versies van het raamwerk, die na publieke ophef zijn aangepast, gingen nog verder.

‘Op basis van commercieel beschikbare data konden wij zo’n 200 personen in Ierland identificeren die het slachtoffer zijn van seksueel misbruik,’ zegt Ryan.

Digitale hekken

De mogelijkheden die datahandelaars en adverteerders hun klanten bieden zijn schier eindeloos, en behoorlijk verontrustend. 

Het van origine Singaporese bedrijf Mobilewalla doet aan handel in privégegevens. Ceo Anindya Datta vertelde in 2017 in een podcast dat hij data over heel specifieke doelgroepen te koop aanbiedt, zoals ‘vrouwen in het derde trimester van hun zwangerschap’. 

Ook legt hij in de podcast uit hoe ‘zijn’ data werden gebruikt om de Amerikaanse presidentsverkiezingen van 2016 – gewonnen door Donald Trump – te beïnvloeden. Zijn bedrijf bracht bijvoorbeeld evangelische kiezers in beeld door ‘digitale hekken’ rond duizenden kerken in Amerika te plaatsen.

Ook zette Mobilewalla op verkiezingsdag virtuele hekken rond bepaalde stemlokalen in Amerika, om te observeren wie er nog niet was gepasseerd – en dus nog niet had gestemd. Die informatie werd gebruikt om mensen met de ‘juiste’ politieke voorkeur op te zoeken en die te overtuigen alsnog te gaan stemmen. Welke kandidaat Datta op deze manier hielp laat hij in het midden, wel zegt hij in de podcast dat zijn opdrachtgever tevreden was. ‘We speelden een sleutelrol bij de uitkomst van die verkiezingen.’ 

De geheime dienst is klant

Dergelijk gebruik van advertentiedata beperkt zich niet tot advertentiebedrijven en politieke partijen. De Democratische senator Ron Wyden onderzocht de handel in data in 2021, en ontving een brief waarin Datta opbiechtte dat zijn bedrijf – via tussenpersonen – ook data verkocht aan Amerikaanse inlichtingendiensten. 

En dat gebeurt vaker. Een oud-medewerker van Babel Street, een Amerikaans bedrijf dat digitale surveillance-tools ontwikkelt, bevestigde in 2020 al dat Amerikaanse geheime diensten tools zoals die van Datta gebruiken. Dankzij software als Locate X kunnen zij zien welke mobiele apparaten de afgelopen maanden in een bepaald gebied waren – en waar die apparaten verder allemaal geweest zijn. De software gebruikt hiervoor data uit de online advertentiemarkt.

Commerciële data leveren de geheime diensten soms ‘meer en waardevollere informatie dan een tap’

De Nederlandse inlichtingen- en veiligheidsdiensten gebruiken zulke data ook. Follow the Money schreef eerder over het gebruik van Advertisement based intelligence (Adint) naar aanleiding van een rapport van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) over open source-intelligence of OSINT. Uit dat rapport blijkt dat de diensten deze commercieel beschikbare data net zo ‘openbaar’ vinden als wat iemand bijvoorbeeld op Facebook zet, en dus mogen aankopen. CTIVD-voorzitter Nico van Eijk zei hierover tegen Follow the Money dat zulke informatie de diensten soms ‘meer en waardevollere informatie oplevert dan een internettap’. 

Ironisch genoeg was het voor inlichtingendiensten even schrikken om advertentiedata te gebruiken, vertelt de Ierse onderzoeker Ryan lachend. ‘Toen de Amerikaanse geheime dienst Locate X ging gebruiken, kwam die erachter dat zijn eigen medewerkers ook makkelijk te volgen waren.’

Nieuwe regels, beter toezicht?

Data die verkocht worden aan de hoogste bieder, kunnen overal terechtkomen. Ook in landen als China en Rusland.

‘De tegenstanders van Amerika maken gebruik van deze commerciële gegevens,’ staat in een rapport van het door de Amerikaanse overheid gefinancierde onderzoeksbureau MITRE van 9 januari 2023. ‘Die informatie is een goudmijn voor inlichtingendiensten die deze zouden kunnen misbruiken om hack-, chantage- en beïnvloedingscampagnes aan te jagen,’ zei senator Wyden in een eerdere verklaring.

Dat ecosysteem is in Europa anders, volgens Rob van Eijk. Hij is managing director voor Europa van het Future of Privacy Forum, denktank voor digitale privacyvraagstukken. In 2019 promoveerde hij in Leiden op de bescherming van privacy in RTB. 

‘In de VS ontbreekt het aan wettelijke beperkingen, omdat er geen overkoepelende privacywet is. In Europa hebben we die onder meer in de AVG en er komt nieuwe wet- en regelgeving aan. Die stelt bijvoorbeeld grenzen aan profilering met bijzondere persoonsgegevens, zoals religie en seksuele geaardheid, gericht adverteren op kinderen en het gebruik van trackers rond online politieke campagnes.’

Binnen die nieuwe regels, waaronder de Digital Services Act (DSA) uit Brussel, verhuist het toezicht op naleving naar de Europese Commissie. ‘Dat is namelijk waar het misging,’ zegt Europarlementariër Paul Tang (PvdA). ‘De AVG biedt al veel van de mogelijkheden die de nieuwe regels ook geven, maar er werd nauwelijks gehandhaafd door nationale autoriteiten.’ 

De Ierse Autoriteit Persoonsgegevens deed volgens Tang jarenlang nagenoeg niets. En omdat veel grote techbedrijven zich juist in Ierland hebben gevestigd vanwege de gunstige belastingregels, had dat een negatief effect op de handhaving in de hele Unie. ‘Daarom kiezen we in de nieuwe regels voor centrale handhaving,’ voegt Tang toe. 

De DSA is al van kracht, toch moeten gebruikers volgens Tang nog minstens tot volgend jaar wachten voor zij iets van de verbeteringen merken.

‘Wat er met Jeffrey Burrill is gebeurd, kan technisch gezien ook in Europa’

Intussen wordt er iedere milliseconde gevoelige data van Europese burgers verspreid over duizenden bedrijfjes over de hele wereld. Dat brengt volgens Van Eijk risico’s met zich mee: ‘Of het gebeurt weet ik niet, maar uiteindelijk is wat er in de VS is gebeurd met die priester in Europa technisch gezien ook mogelijk.’ 

Hij vervolgt: ‘Het systeem is zo intransparant dat je geen idee hebt wie er profielen opbouwt en niet kunt inschatten wat die uiteindelijk voor je betekenen. Het fundamentele recht op bescherming van je privéleven geldt ook voor je mobiele telefoon. Surveillance-marketing, waarbij profielen worden opgebouwd zonder dat je daar vanaf weet, valt daar heel moeilijk mee te rijmen.’

‘Het is ook niet nodig,’ vervolgt hij, ‘want er zijn alternatieven om gericht te adverteren, waarbij geen data van gebruikers nodig zijn, en geen profilering.’

Pseudo-legaal

‘De online advertentie-industrie zou persoonlijke data alleen moeten gebruiken als ze die heel erg goed beschermen,’ zegt Ryan. ‘Maar in plaats daarvan zijn er voor iedereen vrij toegankelijke intieme geheimen. Daar bovenop heeft de industrie een dun laagje pseudo-legaliteit aangebracht.’ Dat dunne laagje zit hem in de toestemming die gebruikers geven voor de verwerking van hun gegevens. 

Dat realtime bieden indruist tegen de privacywet wist de industrie al in 2017

Die toestemming is een van de wettelijke grondslagen op basis waarvan gegevensverwerking mag plaatsvinden, maar er zijn wel voorwaarden aan verbonden. Zo moet de toestemming ondubbelzinnig en zonder enige vorm van druk tot stand zijn gekomen en moeten de doeleinden van de gegevensverwerking vooraf duidelijk zijn gemaakt.

Volgens Ryan past deze wettelijke grondslag echter niet bij de praktijk van realtime bieden: ‘De apps die data doorgeven, vragen om toestemming. Maar je kunt iemand pas toestemming vragen als je weet wat er met die gegevens gaat gebeuren en de persoon daar ook goed over informeert.’ En dat juist dit binnen RTB niet goed mogelijk is, schreef branchevereniging IAB jaren geleden zelf al aan adverteerders: 

‘Omdat het technisch onmogelijk is voor de gebruiker om voorkennis te hebben over iedere gegevensbeheerder die betrokken is bij een real-time-bidding scenario [..] is dat op het eerste gezicht onverenigbaar met toestemming onder AVG.’

‘Dit is groter dan TikTok’

Op 23 maart 2023 kondigde staatssecretaris Alexandra van Huffelen (D66) aan dat rijksambtenaren als het aan de overheid ligt alleen nog apps op hun werktelefoon mogen zetten die vooraf zijn goedgekeurd. Apps uit landen met een offensief cyberprogramma tegen Nederland, zoals China en Rusland, zijn dan niet meer toegestaan. Van Huffelen zei dit naar aanleiding van de internationale discussie over TikTok.

Diverse westerse landen en de Europese Commissie verboden ambtenaren onlangs de app van het Chinese ByteDance nog langer te gebruiken op hun werktoestellen, omdat dit de nationale veiligheid en die van betrokkenen in gevaar kan brengen en spionage in de hand kan werken. 

In andere landen is ondertussen het besef gekomen dat de problematiek verder reikt dan TikTok: de vrije handel in ad surveillance data levert minstens zo veel gevaar op.

In Amerika gebruiken medewerkers van veiligheidsdiensten daarom adblockers die advertenties tegenhouden en het moeilijker maken om gebruikers over het internet te volgen. Dat moet de diensten beschermen tegen het gebruik van advertentiedata voor spionage, hacks en surveillance. In Frankrijk kondigde de overheid aan dat zij 2,5 miljoen ambtenaren zal verbieden om apps, als Netflix en Twitter op hun werktelefoon te gebruiken, omdat die niet aan veiligheidsvoorschriften voldoen.

Tang vindt het een goede ontwikkeling: ‘Dit is veel groter dan alleen TikTok, dus de stap van de Fransen is logisch en wenselijk. Iedereen kan data uit het advertentie-ecosysteem kopen, ook spionagediensten. Als je een specifiek individu wilt volgen of beïnvloeden, liggen daar tal van mogelijkheden – en dus ook risico’s.’

Tot afgrijzen van de industrie neemt het gebruik van adblockers al jaren toe, ook in Nederland. Maar dat is voornamelijk op eigen initiatief van burgers. De Nederlandse overheid lijkt zich nu ook bewust te zijn van de gevaren voor burgers, en werkt volgens staatssecretaris Van Huffelen aan een plan om het ‘bewustzijn over gegevensverwerking’ door applicaties te verhogen. Zij verwacht de Kamer voor de zomer verder te kunnen informeren.

Gewone gebruikers moeten voorlopig zelf uitvinden hoe zij zich tegen mogelijk misbruik van hun data beschermen, al is het installeren van een adblocker een goede start. 

Voor Jeffrey Burrill komt dat advies te laat. Na een ‘oprechte en gebedsrijke periode van absentie’ mocht hij weer aan het werk, zij het als gewone priester in Wisconsin. Hopelijk gebruikt hij inmiddels een oude Nokia.