Big Business is watching you decorrespondent.nl ○
6 maanden geleden Met geavanceerde trackers op websites slaan onbekende bedrijven talloze persoonsgegevens van ons op. Hoewel er miljarden aan worden verdiend, weet niemand wat deze bedrijven er precies mee doen. Deel 1 in een serie over de verborgen economie achter het web. Correspondent Technologie & Surveillance
Maurits Martijn
Foto: Rein Janssen (in opdracht van De Correspondent) Het is een doordeweekse dag. Je staat op, start je computer, opent je
internetbrowser en typt de naam van je favoriete site in. Laten we voor het gemak even zeggen: nu.nl. Je dag begint zoals iedere dag met het laatste binnenlandse nieuws, het weerbericht en achterklap. Wakker worden in alle rust. Jij, alleen met je scherm en nu.nl. Denk je. Maar vanaf het moment dat de homepage van nu.nl verschijnt, kijken talloze bedrijven met je mee. Na een halve minuut surfen zijn het er negenentwintig. Klik je verder en lees je een artikel, dan staat de teller al snel op vierenveertig. Surf je vervolgens naar bijvoorbeeld zalando.nl of geenstijl.nl, dan gebeurt hetzelfde: tientallen trackers Trackers zijn bedrijven die met verschillende technologieën informatie over websitebezoekers verzamelen. Er bestaat enige verwarring over de naam tracker: soms worden er ook de technologieën mee bedoeld die de informatie van bezoekers registreren. die iedere stap volgen die je online zet. Als je het zou zien, zou je niet weten wat je meemaakt. Maar je ziet het niet. Wij, datacorrespondent Dimitri Tokmetzis, stagiair Lucien Hordijk en ik, hebben het wel gezien. En ondanks dat Dimitri en ik al jaren schrijven over dit onderwerp, schrokken we toch van deze verborgen economie achter het internet. Een wereld waar Facebook en Google bekende spelers zijn, maar waar ook onbekende bedrijven als BlueKai en Datalogix miljarden verdienen. Een marktplaats waar de persoonsgegevens van de individuele internetgebruiker handelswaar is. Waar wordt gejaagd, verzameld en verhandeld. Waar massasurveillance het verdienmodel is en onze persoonsgegevens de valuta. Deze nieuwe economie vindt zijn oorsprong in de transformatie van de advertentieindustrie door de opkomst van het web. Binnen het oude model zochten bedrijven kopers voor hun waar via massamedia. Ze richtten zich op doelgroepen, zoals lezers van de Volkskrant, in de hoop daar klanten tussen te vinden. Het internet heeft dat proces omgedraaid: doordat adverteerders nu direct toegang hebben tot individuele internetgebruikers is het mogelijk om gepersonaliseerd te adverteren. Als je weet waar iemand van houdt en waar zijn browsegedrag uit bestaat, kun je
gedetailleerde profielen opstellen en op basis daarvan op maat gesneden advertenties voorschotelen. Een Volkskrant-lezende fitnessfanaat heeft niets aan de advertentie voor roomboter op pagina 21 van zijn krant. Maar als diezelfde persoon op volkskrant.nl een advertentie te zien krijgt voor een fikse korting bij de nieuwe fitnessclub om de hoek, dan is de kans groot dat dit wel zijn aandacht trekt.
Liefst 215 trackers
In dit filmpje laat Dimitri Tokmetzis zien hoeveel bedrijven je op de achtergrond volgen als je op internet surft. Met behulp van een tool, ontwikkeld door onderzoekers van de Universiteit van Amsterdam, vonden Lees hier een beschrijving van onze werkwijze. we in totaal 215 verschillende trackers op de honderd populairste sites van Nederland. Ze horen bij bedrijven met namen als ATLAS, Acxiom of APPNexus. Ze gebruiken technologieën als cookies en beacons Een cookie is een tekstbestandje dat op een computer wordt achtergelaten op het moment dat iemand een site bezoekt. De cookie kent een unieke code toe aan de computer. Met behulp van een cookie kan de computer herkend worden als een website voor de tweede keer wordt bezocht. Als een tracker samenwerkt met meerdere websites, kan de tracker op al die websites de computer herkennen. Zo kan iemands browse-gedrag gevolgd worden. Bedrijven kunnen bijvoorbeeld registreren welke websites de gebruiker allemaal heeft bezocht, hoe vaak hij op links en advertenties klikt, of wat zijn IPadres is. Een beacon is een beeldbestand dat in de code van de website staat en dat ongeveer dezelfde informatie als cookies verzamelt. om informatie over ons te verzamelen. Wát ze precies van ons bijhouden, laten ze het liefst in het midden. Een ding is wel duidelijk: de gemiddelde internetgebruiker heeft geen flauw benul wat er met zijn gegevens gebeurt. Zo vonden Lees hier meer over de resultaten en methodologie van ons onderzoek
wij onder de vierenveertig trackers op nu.nl bedrijven die de recente surfgeschiedenis en ingevoerde zoektermen van bezoekers verzamelen, het type computer van gebruikers registreren en ook de ‘demografische’ gegevens van bezoekers zeggen te kunnen achterhalen. Twee daarvan beloven op hun site daar ‘persoonlijk identificerende informatie’ aan te kunnen koppelen die zij van andere partijen kopen of ontvangen, zoals naam en geboortedatum, maar ook de persoonlijke financiële situatie en werkgeversinformatie. En van zeventien trackers op nu.nl is niet bekend met wie zij de gegevens delen of aan wie ze die gegevens doorverkopen. Twee jaar geleden ontdekten Het onderzoek naar Epic Marketplace Amerikaanse onderzoekers al dat de trackers van een groot advertentienetwerk, Epic Marketplace, vooral geïnteresseerd waren in personen die in de menopauze zitten, zwanger willen worden of rood staan. Dezelfde onderzoekers achterhaalden De analyse van OkCupid ook dat een tracker van een datahandelaar op de datingsite van OkCupid gericht informatie kon achterhalen of leden dronken, rookten of drugs gebruikten. We weten verder dat databedrijven in de Verenigde Staten worden ingezet door andere bedrijven om de kredietwaardigheid van individuen te onderzoeken. Een Amerikaans bedrijf kon voorspellen of een vrouw zwanger was Maar verontrustender dan wat we al wel weten, is wat we allemaal niet weten. ‘Er is een totaal gebrek aan transparantie in deze wereld,’ zegt Frederik ZuiderveenBorgesius, privacyonderzoeker aan het Instituut voor Informatierecht van de Universiteit van Amsterdam. ‘Mensen hebben nauwelijks een idee wat deze bedrijven met hun informatie doen, waardoor wij amper controle hebben over die gegevens. Wat we wel weten Een goed overzicht van wat browsegedrag vertelt over gebruikers is dat ons geregistreerd surfgedrag inzicht kan geven in persoonlijke zaken als arbeidsstatus, seksuele oriëntatie of medische situatie. Ga maar eens na
welke sites je op één dag bezoekt en wat dit over jou kan vertellen. Een Amerikaans bedrijf bleek vorig jaar in staat om aan de hand van het koopgedrag vrij secuur te kunnen voorspellen of een vrouw zwanger was Het verhaal over Target, het bedrijf dat kan voorspellen wanneer een vrouw zwanger is . Enkele trackers die we vonden horen bij bedrijven die hun klanten beloven ‘gedetailleerde informatie over 700 miljoen consumenten’ te bezitten. Ze zeggen gespecificeerde profielen te bezitten van grote groepen internetgebruikers en bieden bijvoorbeeld contactgegevens van pasgetrouwden, vegetariërs en liefhebbers van interieurarchitectuur te koop aan. Waar dat toe kan leiden? Twee weken geleden nog, op 25 september 2013, werd Lees hier het uitgebreide onderzoek naar de hack bekend dat drie grote dataverzamelaars in de VS waren gehackt door een ‘bedrijf’ dat gespecialiseerd is in identiteitsdiefstal en waar onder andere de Amerikaanse variant van BSNnummers en geboortecertificaten te koop zijn, maar ook analyses over de kredietwaardigheid van individuen. Uit onderzoek van de technologiejournalist Brian Krebs bleek dat klanten van het bedrijf honderdduizenden dollars hadden gespendeerd om informatie in te zien van meer dan vier miljoen Amerikanen. Deze Amerikaanse dataverzamelaars zijn we in ons onderzoek niet tegengekomen op Nederlandse sites, maar het laat zien dat ook onze gegevens niet vanzelfsprekend veilig zijn.
Geen vrije keuze Sinds de aanpassing van de Nederlandse Telecommunicatiewet (ook wel: ‘cookiewet’ De cookiewet is een wijziging van de Telecommunicatiewet de internetgebruiker meer controle geeft over de cookies die op zijn computer worden geplaatst. De gebruiker moet duidelijk en volledig worden geïnformeerd over het gebruik van cookies om zijn privacy beter te waarborgen.De gebruiker moet vóóraf zijn toestemming geven (opt-in en worden geïnformeerd over het feit dat zijn gegevens via een cookie worden opgeslagen. Ook moet op een site worden vermeld met welk doel een cookie is geplaatst. ) zijn websites verplicht hun
bezoekers te informeren welke gegevens er op hun site worden verzameld. Zo geven veel Nederlandse sites uit ons onderzoek aan dat gebruikersinformatie ‘door derden’ kan worden verzameld en gebruikt. Maar wat kun je daar mee als gebruiker? Hoe kun je toestemming geven voor iets als je niet weet waar je ‘ja, ik ga akkoord’ tegen zegt? ’Eigenlijk is dat absurd,’ zegt Borgesius. ‘De techniek en de gegevensstromen zijn veel te ingewikkeld om uit te leggen aan de meeste internetgebruikers, helemaal als er tientallen partijen betrokken zijn. Het is voor onderzoekers als ik al amper te volgen. En als iemand wel volledige informatie had, zou hij dan echt toestemming geven voor dit soort verregaande dataverzameling?’ Inderdaad. Zijn de bezoekers van bijvoorbeeld geenstijl.nl zich er van bewust dat vijf bedrijven hun gegevens ‘twee tot drie jaar’ opslaan? Realiseren de bezoekers van volkskrant.nl zich dat vier afzonderlijke trackers hun ip-adressen bewaren? En dat vijf andere in hun eigen voorwaarden zeggen telefoonnummers van bezoekers te kunnen toevoegen aan persoonsprofielen? Weten surfers die wel eens voetbalzone.nl, de site van de Kamer van Koophandel, hyves.nl, Autoscout24.com, nu.nl of groupon.nl bezoeken, dat zij getracked worden door een bedrijf dat op de eigen site zegt de ‘persoonlijk identificeerbare data’ zoals namen en financiële informatie aan derden te verkopen? Nee, dat kunnen ze niet. Of ze moeten dezelfde tool gebruiken waar wij mee werkten. En hoe zit het eigenlijk met deze site? Zijn hier ook trackers te vinden? Het antwoord is: ja, twee. Dat aantal is niet zo hoog als op de sites die we hebben onderzocht, omdat De Correspondent een advertentievrij platform is - en de meeste trackers zijn bedoeld voor advertentie-doeleinden. Maar niettemin kijken twee bedrijven met ons en jullie mee, die ook niet bepaald bekend staan om hun voorliefde voor privacy: Google en Adobe. Wij hebben voor diensten Wij gebruiken Google Analytics om het bezoek en gebruik van de site te analyseren. Wij kunnen bijna niet zonder die informatie: het is bijvoorbeeld cruciaal voor ons om te weten of de mogelijkheid om gratis artikelen te delen ons leden kost of juist
oplevert - iets wat we met Google Analytics kunnen meten. Afzien van deze tracker zou dus nadelig zijn. Nu zijn er wel open source alternatieven die geen data doorspelen aan het bedrijf erachter, maar daar komen dan enorme kosten (aan implementatie en hosting) bij kijken. Kosten die kunnen oplopen tot duizenden euro’s per maand. De andere tracker is Adobe: wij maken gebruik van Adobe Typekit om de lettertypes op onze site correct weer te geven. Ook daar is geen volwaardig - en betaalbaar - alternatief voor te vinden. In de privacyvoorwaarden van beide trackers staat dat zij geen persoonlijke gegevens van gebruikers verzamelen en die voor andere doeleinden gebruiken. Dat is het enige waar wij op af kunnen gaan. Tot slot speelt onze site nog data door aan Google doordat wij gebruik maken van YouTube om video’s te laten zien. De andere videodienst die wij gebruiken, Vimeo, brengt trackers met zich mee op het moment dat wij een video bij een artikel plaatsen (embedden). Ook hier speelt hetzelfde dilemma weer op: we zouden kunnen afzien van video’s (wat onze inhoudelijke mogelijkheden zeer beperkt) of zelf video’s gaan streamen (waar enorme kosten mee gemoeid zijn). Dat deze diensten gratis en wijdverbreid zijn heeft dus een keerzijde: je kan er als (ambitieuze) website nauwelijks omheen. van deze twee bedrijven gekozen vanwege de gebruiksvriendelijkheid, de functionaliteit en de lage kosten. Er zijn alternatieven, maar die werken minder goed of zijn duurder. Het is een duivels dilemma: om de site naar de standaarden van ons en onze ontwerpers te laten draaien, kunnen we niet om deze bedrijven heen. Hierdoor staan ook wij gegevens van onze bezoekers af aan derde partijen, waardoor wij de bezoekers van onze site ook niet volledig kunnen informeren over wat er met hun data gebeurt. Dat probleem brengen veel webmasters ter berde. Zij zijn wettelijk verplicht om hun bezoekers te informeren wat er met hun gegevens gebeurt, maar in hoeverre kan er eigenlijk wel aan die verplichting worden voldaan? ‘Ik heb geen enkel zicht op wat derde partijen op onze site allemaal voor informatie meetrekken. Ik vertrouw erop dat die bedrijven zelf hun verantwoordelijkheid nemen,’ antwoordde een webmaster van een Nederlandse site met honderdduizenden bezoekers per maand, die anoniem wilde blijven. Een ander zei: ‘ik heb ook geen
idee hoe die cookiewet er nu precies uitziet.’ Van de vijftien webmasters die we voor dit artikel benaderden, wilden de meesten niet reageren.
Toezichthouder spelen Een andere webmaster van een van de populairste sites in Nederland die niet met naam en toenaam geciteerd wilde worden, verwoordde kernachtig het probleem. ‘Er is niks wat een kwaadwillende tegenhoudt. Wij kijken of dat soort bedrijven geen boeven zijn, meer kun je niet doen.’ Sanoma, de uitgever van onder andere nu.nl, stuurde ons eerst een e-mail over de voorwaarden van het bedrijf waarin uitgebreid staat dat Sanoma de bezoekers voorlicht en de mogelijkheid geeft bepaalde trackers te weren. Maar er staat ook: ‘Sanoma kan niet de rol van de toezichthouder op zich nemen bij het controleren of derde partijen onrechtmatig handelen.’ Telefonisch voegt Martijn Eindhoven, hoofd Digital Advertising, daar later nog aan toe dat Sanoma ‘zorgvuldig’ haar partners uitkiest, maar dat het onmogelijk is om exact na te gaan wat zij [de trackers, red.] doen. ‘Als je alles zou checken, kun je de zaak wel opheffen.’ Martin van der Meij, hoofd online inkomsten van de Telegraaf Media Groep, kon wel exact vertellen welke trackers er op zijn site aanwezig waren en welke bedrijven erachter zitten. ‘Wij weren bepaalde bedrijven die wij niet vertrouwen. Het is alleen praktisch onmogelijk om honderd procent zeker te weten wat derde partijen precies van je site halen. Je kunt van tevoren onderzoek doen, maar je runt ook een site waarmee je geld moet verdienen. Je hebt die derden uiteindelijk toch nodig.’ Samengevat: de meeste websitebeheerders zeggen niet aan de regels te kunnen voldoen. Dat werpt de vraag op of de Nederlandse websitebezoeker - die geen idee heeft wat er met zijn gegevens gebeurt - wel genoeg beschermd wordt. We legden onze bevindingen voor aan het College Bescherming Persoonsgegevens, de Nederlandse privacyautoriteit die er op toeziet dat ‘persoonsgegevens zorgvuldig
worden gebruikt en beveiligd.’ Ook zij wilden niet inhoudelijk reageren: ‘Er ligt een vernieuwd wetsvoorstel van ons klaar, waardoor wij over inhoudelijke zaken als hoe we trackers analyseren en beoordelen geen uitspraken doen.’
Privacyparadox En de gebruiker? Het merendeel geeft in enquetes aan het idee van trackers en gepersonaliseerde advertenties maar een eng idee te vinden. Twee jaar geleden bleek lees hier het artikel ‘Meeste Nederlanders: persoonlijke reclame ongewenst uit onderzoek van Synovate dat zeven op de tien Nederlanders geen reclame wilde ontvangen die was gebaseerd op zijn klik- en surfgedrag. Toch klikken we meestal braaf op ‘ja, ik accepteer’ en lezen we de (vaak onleesbare en ellenlange) privacyvoorwaarden niet. Academici noemen dat de ‘privacyparadox’: we zeggen privacy belangrijk te vinden, maar kiezen er toch voor om die op te geven. Maar het is te makkelijk om te zeggen dat het onze eigen schuld is. We klikken wel op ja, maar hebben geen flauw idee wat dit betekent en hebben ook niet de mogelijkheid dat wel te weten. Websites - ook De Correspondent - ontkomen vaak niet aan de trackers. Er is wetgeving die de gebruikers moet beschermen, maar die voldoet niet. Er is een toezichthouder, maar die laat zijn tanden niet zien. En in de tussentijd verzamelen de trackers rustig door. Dit is deel 1 van ons onderzoek naar trackers. De komende weken zullen we een aantal van de onbekende Nederlandse databedrijven profileren, onderzoeken of het nog mogelijk is om anoniem te surfen en een aantal gevallen beschrijven van personen die directe consequenties hebben ondervonden van de gedetailleerde profielen die bedrijven van hen bezitten. Suggesties voor andere invalshoeken zijn meer dan welkom.
De Tracker Tracker Tool Met de Tracker Tracker tool kun je zelf zien welke trackers er op bepaalde
websites aanwezig zijn. De Tracker Tracker Tool
Hoe kun te trackers blocken? Dimitri legt uit hoe je een paar simpele tools kunt installeren in je browser waarmee je trackers kunt blokkeren. Maar niet allemaal. lees en bekijk de uitleg Jij kunt ook lid worden: Het kost maar een minuut Meteen toegang tot de hele site Een jaar lang dagelijks nieuwe verhalen
€ 5 per maand Word lid Geef iemand een lentelidmaatschap cadeau: 3 maanden voor €18 Bekijk en bestel Dit artikel wordt met je gedeeld door correspondent Andreas Jonkers
Word lid Inloggen decorrespondent.nl ○