Mag Equens pintransactiegegevens doorverkopen?

hier-pinnenGrote ophef vrijdag: Pinbetaalprovider Equens wil de database van 2,2 miljard pintransacties per jaar te gelde maken, meldde onder meer Webwereld. Het zou gaan om geaggregeerde gegevens op postcodegebied, dus juridisch geen probleem en waar maakt u zich druk om. Dat kwam niet goed aan: diezelfde middag werd bekend dat men de verkoop had afgeblazen (huh, dus ze deden het al?). Maar had het nou gemogen?

De NOS meldt in een uitgebreid artikel dat ABN en Rabobank al juridische twijfels hadden. De crux zit hem in dat ‘herleidbaar’; gegevens die niet herleidbaar zijn tot een enkele persoon, vallen buiten de Wet bescherming persoonsgegevens oftewel de privacywet. Het is dus bijvoorbeeld toegestaan je bezoekerslogs te aggregeren en dan op dat niveau in het openbaar uitspraken te doen over bezoekers op je site: 94.3% van mijn bezoekers heeft een Nederlands IP-adres, bijvoorbeeld. Dat mag ik zeggen van de Wbp.

Aggregeren moet je wel goed doen, want de kans dat er tóch nog herleidbare informatie in zit, blijft altijd aanwezig. Het beruchtste voorbeeld is dat van de AOL query logs. In 2006 publiceerde het bedrijf voor wetenschappelijk onderzoek bestemde geanonimiseerde zoekdata – dacht men. De zoekopdrachten zelf bleken toch aardig persoonsgebonden, bijvoorbeeld omdat mensen zichzelf googelden, eh, aol’den.

De vraag is dus: als Equens zo’n pakket met data gaat verkopen, zijn er dan tóch mensen individueel te herkennen? Er zijn wellicht postcodes met slechts een paar inwoners (nieuwe wijken, grote landelijke stukken, etc) dus dan zou een pintransactie op wijkniveau ineens toch maar één persoon herkenbaar maken. En patronen in het koopgedrag maken mensen ook herkenbaar. In 2012 wist Amerikaanse supermarket Target dat een meisje zwanger was puur vanwege haar veranderde koopgedrag. Iets dat haar vader nog niet wist toen de toegesneden kortingsbonnen op de mat vielen.

Het is me niet duidelijk hoe ver Equens wil gaan. Ik lees “informatie leveren over welke winkels klanten bezoeken en hoeveel ze daar uitgeven” maar ook “alleen naar de wijk waarin de klant woont te herleiden”. Maar is dat zinnig, op wijkniveau? “In wijk 5 gaan meer mensen naar de Dirk”, hoe nuttig is dat? Heb je niet liever statistieken als “mannen van 50+ uit wijk 5 kopen hun wijn bij de Gall&Gall, terwijl jonge vrouwen dit bij de Dirk doen”? Daarmee kan de G&G eens een stunt voor rosé gaan doen bijvoorbeeld. Maar als je op dát niveau van aggregatie stopt, dan loop je toch weer de kans informatie te lekken – hoe veel mannen van 50+ wónen er in die wijk, en van wie dachten we toch al dat het een drankorgel was?

We zullen het wel nooit weten want dankzij de bliksemophef is het van tafel. Maar intrigerend is het wel.

Arnoud

29 reacties

  1. Laat ze maar doen, ik betaal vrijwel altijd contant, pinnen doe ik nagenoeg alleen voor cash.

    De enige die echt wat weet is visa voor de duurdere artikelen. Daarnaast heb ik drie anonieme bonuskaarten, die ik afwisselend gebruik en ook nog eens alleen als ik een bonus artikel heb. Doordat ik contant betaal kunnen ze de bonuskaart niet aan mijn pinpas koppelen.

    Echte privacy bestaat niet, maar dat betekent niet dat we het ze maar makkelijk moeten maken.

    1. Grappig. Ik geef de voorkeur aan pinnen… 🙂 Aan de andere kant, ik bestel juist veel online en kom zelden nog in de winkel. Lindenhoff voor de kwaliteitsproducten en het lekkere eten en de bezorgservice van locale buurtsupers is ook prima. En om het lastiger te maken voor dit soort bedrijven doe ik meestal mijn boodschappen als ik toch al onderweg ben naar mijn werk, een klant of voor andere doeleinden zodat ik op veel verschillende plaatsen inkoop. En ik ben vrijgezel dus hoef ik maar weinig in te kopen.(Okay, hondenvoer maar twee Chihuahua’s eten ook niet veel.) Als ik nou een vrouw, drie kinderen en een inwonende schoonmoeder zou moeten onderhouden zou het lastiger zijn. 🙂

  2. huh, dus ze deden het al

    Zo te zien wel ja:

    Op dit moment maken de eerste klanten binnen Equens gebruik van Equens Marketing Insights. Op korte termijn zal het mogelijk zijn om deze dienst ook aan u aan te bieden, zodat u ook meer over het bestedingsgedrag van uw klanten te weten kunt komen
    Als je deze ‘reclame’ van Equens leest dan lijkt het toch wel degelijk om gegevens op klant-niveau te gaan en niet op (bijvoorbeeld) postcode niveau.

    1. Ik begreep ook uit het nieuws bericht dat winkels alleen informatie zouden kunnen kopen van mensen die bij hun ooit betaald hebben. Dit gecombineerd met dat veel winkels al een postcode hebben (vanwege een klantenkaart, en de mediamarkt vraagt er soms ook naar bij bepaalde aankopen) lijkt het me toch aardig herleidbaar naar één persoon (zeker voor de wat kleinere/exclusievere winkels).

  3. Dus kort gezegd: datgene wat ze legaal kunnen doorverkopen is waardeloos. Waarmee het business model omvalt. Dan is het makkelijk om de schuld af te schuiven op de ophef in de media.

  4. Bij Facebook weet je dat je als gebruiker ‘het product’ bent, bij pintransacties zou je toch iets anders verwachten. Dit soort acties – afgeblazen of niet – komt het vertrouwen in het systeem niet ten goede.

    De nieuwe slogan is “Pinnen? Ja graag.” Nu snap ik waarom: nog meer data om te verkopen.

  5. Voor een bedrijf als Albert Heijn moet het eenvoudig zijn om bedragen en tijdstippen te koppelen aan zoiets als een bonuskaart. Vervolgens lijkt het mij niet onmogelijk door middel van deze gegevens ook te achterhalen bij welke andere winkels je ook een klant bent, etc…

    Dus nee, dit moeten we niet willen. En het feit dat ze blijkbaar al data verkocht hebben kan ik me nog het meeste kwaad om maken, ze spinnen het goed die marketingjongens van ze maar ze liegen dus net zo hard als dat hun broeken paars zien…

    Maar goed, ik werk nog steeds ouderwets met contant geld. Een makkelijkere manier van “budgeteren” heb ik nog steeds niet gevonden namelijk 😉

  6. Of het legaal is of niet, is wat mij betreft niet de vraag. Wat voor mij het meest telt, is dat banken en daaraan gelieerde instellingen (zoals deze Equens) van onbesproken gedrag en hoge integriteit moeten zijn. Gegevens verkopen om extra geld te verdienen, wat niet hun primaire taak is, vind ik niet getuigen van integriteit.

    Komt nog bij dat ik als consument niet kan kiezen geen zaken te doen met Equens. Niet zoals dat wel is bij bijvoorbeeld Facebook (heb dan ook geen account, precies vanwege de privacy issues).

    Dit soort fratsen van Equens verlagen het vertrouwen in het systeem en zal meer mensen weer terug gaan naar cash betalen. Mijns inziens is dat een stap terug, zeker niet vooruit.

  7. Waar ik mij zorgen over maak is dat niemand zich bekommert om de bijzondere persoonsgegevens waarover Equens beschikt (hebben zij overigens over een ontheffing voor de verwerking hiervan, en had het CBP daardoor niet veel meer op deze zaak moeten springen?) Het risico dat pinbetalingen bijzondere persoonsgegevens bevatten is wellicht kleiner dan bij machtigingen, acceptgiro’s, Idealbetalingen e.d. (maar die zijn vast ook niet veilig als het die kant op gaat). Toch moet al uit individuele transacties, en zeker uit het geheel van iemands pinbetalingen, een aardig profiel zijn samen te stellen dat ook een hoop informatie bevat over politieke, seksuele en religieuze voorkeur, alsmede informatie over gezondheid. Met name wanneer betalingen worden gedaan op plekken waar voornamelijk mensen van één geloof, ras, seksuele voorkeur of politieke gezindheid samenkomen, of waar bijvoorbeeld medische hulpmiddelen voor één bepaalde aandoening worden verkocht. Ook is het wellicht mogelijk dat een korting op grond van een vakbondlidmaatschap uit een betaalcode of kortingspercentage (i.c.m. een lijst met deelnemende zaken) kan worden afgeleid. Natuurlijk worden deze gegevens ook geanonimiseerd en niet als zodanig verkocht, maar het enkele feit dat ze in de database van Equens zitten, maakt dat Equens bijzondere persoonsgegevens verwerkt. Daarmee hebben bedrijven als Equens, Currence en de banken een veel grotere verantwoordelijkheid dan andere gegevensverwerkers. En daarom geldt ook dat, zoals Bart Friederichs opmerkt, “… banken en daaraan gelieerde instellingen (zoals deze Equens) van onbesproken gedrag en hoge integriteit moeten zijn”. En wat mij nog het meest verontrust is het feit dat de banken die Bart Friederichs noemt niet alleen “daaraan gelieerd” zijn, maar ook aandeelhouder in Equens, en het in ieder geval voor mijn gevoel niet om gegevens gaat die ik aan Equens ter beschikking stel, maar aan “De” bank, waar ik mijn pinpas van “krijg” (en dat het daarmee eigenlijk de minister van Financiën is die hier mijn bijzondere persoonsgegevens wil verkwanselen).

  8. We zullen het wel nooit weten want dankzij de bliksemophef is het van tafel.

    Hoho, de plannen worden in de ijskast gezet en niet in de prullenbak gegooid.

    Het verbaasd met altijd dat er geen enkele bestuurder is in dit soort organisaties die kan bedenken dat dit tot ophef leidt in de samenleving. Dat terwijl er wel marktconforme beloningen gegeven moeten worden omdat je anders geen goede mensen kan krijgen…..

    1. @ NP27 mei 2013 @ 11:26

      De bestuurders weten wel degelijk dat dit soort uitspraken tot ophef leiden. Dit is allemaal van te voren uitgedacht. Met deze uitspraak zetten ze het publiek op scherp en zetten te hoog in (expres). Dan komt er een golf van kritiek en ophef vanuit de maatschappij, en trekken ze het plan terug. Dan hoor je een aantal maanden niks en dan ineens komen ze met een ‘slanker’ plan / oplossing op de proppen. Vergeleken met het eerste plan ziet dat er goed uit (het is tenslotte een ‘afgeslankte’ versie), maar als je het vergelijkt met de beginsituatie (zoals het nu is, geen gegevens doorverkopen) of als dit het eerste plan zou zijn waar ze mee zouden komen, dan had waarschijnlijk alsnog iedereen er kritiek op gehad.

      Dit zie je eigenlijk overal, in de Nederlandse politiek (bijv. het hacken van buitenlandse servers), in de Amerikaanse politiek (met SOPA en CISPA), en ik leer deze methode (Bedrijfskunde aan de RUG) ook tijdens mijn studie 🙁

  9. Pinnen heb ik altijd al lastig gevonden, omdat ik erg om mijn privacy geef. Het vertrouwen dat ik nog wel had, is nu compleet weg. Dit gaat niet om of het mag, maar of ik mijn betalingsverwerker met mijn gegevens vertrouw. Niet meer.

  10. Is het ook niet van belang dat je met pinnen geen keus hebt wie je gegevens verwerkt? Als ik pin, worden de gegevens of ik het wil of niet, verwerkt door Equens. Bij andere zaken heb ik nog een keuze. Ik bedoel, als ik geen Facebook wil gebruiken vanwege mijn privacyopvatting, dan is dat mijn goed recht. Hetzelfde geldt voor Google (oke, het is erg lastig om Google te vermijden, maar het zou kunnen). Je kunt bijvoorbeeld duckduckgo.com / startpage.com gebruiken, beiden van iets lagere kwaliteit, maar het is mogelijk.

    Die mogelijkheid heb ik als ik dit plan straks doorgaat – en dat gaat zeker gebeuren, alleen in iets afgezwakte vorm – niet. Het is ?f pinnen (met doorverkoop van je gegevens) of cash. Echter, grote aankopen zul je sowieso moeten pinnen en de komende tijd wordt het steeds moeilijker met cash te betalen. Zie ook de net gelanceerde campagne, ‘Pinnen, ja graag’

    Bestaat er geen anonieme pinpas? Een anonieme creditkaart bestaat namelijk wel, de 3V Card

  11. gegevens die niet herleidbaar zijn tot een enkele persoon, vallen buiten de Wet bescherming persoonsgegevens

    Hoe zit dat met gegevens die herleidbaar zijn tot 1 gezin? Of tot 1 herkenbare groep zoals bijvoorbeeld bewoners van een huis?

    Mag ik bijvoorbeeld publiceren dat mijn telefoon is gestolen door iemand in een bepaald huis (of flatgebouw) met het adres van dat huis erbij ?

    Herleidbaar tot 1 persoon is wel een erg harde grens

    1. De Wbp gaat over personen, niet over gezinnen of flatgebouwen. Formeel is “mijn gestolen laptop bevindt zich in Rokin 1 Amsterdam” géén persoonsgegeven. Je identificeert immers geen persoon met die mededeling – tenzij het adres slechts bewoond wordt door één persoon.

      Het idee is dat aggregatie ervoor zorgt dat de privacy niet meer aangetast wordt, omdat je het niet meer op een persoon kunt betrekken. Privacy op gezins- of andere groepsbasis lijkt me érg lastig werkbaar, waar trek je dan de grens? Bij een wijk? Dat kunnen goede buren/vrienden zijn allemaal, zijn ze dan ook een groep die privacy mag claimen?

        1. Een kenteken staat op naam van een persoon, en dus is dat een persoonsgegeven. Ook al reed er toevallig iemand anders in de auto.

          Het gaat erom, als ik dit label gebruik, heb ik het dan over één persoon of over meerdere. “De bevolking in postcode 2111 GT is erg rijk” is géén persoonsgegeven want dat gaat niet over één persoon. “De bewoner van Nieuwezijds Voorburgwal 147 Amsterdam is rijk” is wél een persoonsgegeven want daar woont maar één persoon.

  12. Gegevens op wijkniveau kunnen zinnig zijn omdat de meeste wijken vol zitten met een bepaald type inwoners. Het meest duidelijke voorbeeld hierbij zijn de wijken die op nationaliteit/huidskleur gebaseerd zijn, waar het dus mosschien handiger is om Roti te verkopen dan stamppot. of, zoals in mijn wijk, er zijn twee supermarkten naast de bakker, slager, visboer, poelier en het Chinese restaurant die op enkele honderden meters van elkaar staan. (De Boni en de C1000.) En nog een huisartsenpost plus apotheek, een meubelzaak, boekenwinkel en andere winkels. Voor beide supermarkten is het best handig om te weten wat de locale bevolking graag koopt, zodat ze hun voorraad beter kunnen bijhouden. Dus informatie over waar de bevolking graag koopt en hoeveel men daarbij uitgeeft kan best waardevol zijn.

    Ik vraag mij wel af hoe gedetailleerd deze klantgegevens zijn. Krijgen ze te horen dat ik ruim 30 euro bij de kaasboer heb uitgegeven? Of krijgen ze te horen dat ik voor 33.61 een halve roomkaas bij de kaasboer heb gekocht? Ofwel, hoeveel details worden er meeverkocht? Want de kassa weet wat er is verkocht, maar op de pinbonnetjes wordt meestal alleen een eindbedrag geplaatst. Als Equens alleen dat eindbedrag als gegeven kan verzamelen is die data veel meer beperkt dan wanneer ze ook de kassabonnetjes erbij krijgen met info over de verkochte producten.

    Maar het is een domme actie van Equens omdat de klanten steeds meer gewend raakten aan pinbetalingen en steeds minder met contant geld gingen betalen. Klanten verliezen nu hun vertrouwen door dit soort berichten en gaan dus weer terug naar het betalen met contant geld. Winkels krijgen daardoor weer meer contant geld in hun kassa’s wat voor hen wel enkele risico’s met zich kan meebrengen. (Zo is de C1000 in mijn wijk al een keer slachtoffer geweest van een overval, simpelweg omdat men het contante geld wilde roven.) Met dit risico zou ik als winkelier wel goed nadenken over wat nu wenselijk is. De data die Equens aan kan leveren kan ervoor zorgen dat mijn winsten iets omhoog gaan. Maar als klanten uit verzet meer contant gaan betalen heb ik meer contant geld in huis en heb ik meer risico’s om het doelwit van een overval te worden. Dan moet ik mijzelf dus beter beveiligen… Daarnaast, ik heb een kassa en mijn voorraadbeheer. Die geeft mij al genoeg informatie, toch?

  13. Maakt het voor het rechtmatig zijn nog uit dat de geaggregeerde (en niet tot een persoon te herleiden gegevens) afgeleid zijn uit persoonsgegevens (te weten onze individuele PIN transacties). Voor de verwerking van deze persoonsgegevens hebben de banken aan moeten geven wat het doel daarvan is. Als ik de gedragscode goed gelezen heb staat het doel ‘aggregeren en verkopen van gegevens aan derden’ daar niet bij. Is daarmee deze verwerking niet toch onrechtmatig?

    1. Punt is dat aggregeren van persoonsgegevens een bestand met niet-persoonsgegevens oplevert. Dat bestand valt buiten de Wbp en daar heb je dus geen toestemming of wat dan ook voor nodig. De enige ‘redding’ om het onrechtmatig te verklaren is door te zeggen dat het aggregeren zelf een verwerking is, waar dan geen toestemming of gemeld doel voor is. Ik ben er nog niet uit of dat kan, de definitie sluit het niet uit. Ook ‘vernietigen’ wordt namelijk genoemd, en als compleet wégmaken van persoonsgegevens ‘verwerking’ is dan is het anonimiseren van persoonsgegevens dan ook. Het voelt alleen wel érg gek dat ik persoonsgegevens niet mag anonimiseren zonder toestemming.

      1. Dat is minder raar dan het lijkt: het gevaar bij bestandenkoppeling is dat gegevens als bewijs gebruikt gaan worden. Een geanonimiseerd gegeven is daarbij nog gevaarlijker dan een tot de persoon herleidbaar gegeven. Bewijs maar eens dat jij niet die persoon bent die uit de koppeling rolt.

        Het doel van het anonimiseren is ook om de persoonsgegevens te kunnen gebruiken voor andere zaken: het voelt een beetje als “hacking the law”.

        1. En dat is in mijn hoofd een probleem van veel van die bestands- en databasekoppelingen. Alle afzonderlijke puzzelstukjes (waarvan dit equensverhaal er 1tje is) bij elkaar gelegd lijken we onder de radar steeds meer op te schuiven naar een “je bent schuldig tot je je onschuld bewezen hebt”-cultuur. En dat zit mij helemaal niet lekker. Verder ^^ wat Bart ergens hierboven zegt. Het vertrouwen in banken en hun aanhang was al niet groot en is nu weer een stukje kleiner. Deze dame betaalt voortaan alles weer ouderwetsch contant.

          1. En het is natuurlijk niet alleen schuldig in de strafrechtelijke zin. Het gaat ook vrij snel om “niet kredietwaardig”, “rijdt gevaarlijk”, “gevaarlijke buurt”, “drinkt waarschijnlijk te veel”, “niet vertrouwd met kinderen” en ga zo maar door. Reken maar dat er fouten gemaakt worden in die samenvoeging van de puzzelstukjes.

      2. Zo raar vind ik dat toch niet, tenzij je de gegevens anoniem verzameld. Als jji ze verzameld met als doel ze later te aggregeren en anonimiseren dan zal je dat doel toch expliciet moeten melden? Het gaat er om wat je met de persoonsgegevens gaat doen en dat moet je gewoon melden.

        Je hoeft daarna misschien niet meer te melden wat je allemaal met het nieuwe geaggregeerde bestand gaat doen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.