Audiobedrijf Bose werd vorige maand aangeklaagd wegens het bespioneren van zijn gebruikers, las ik bij Nu.nl. De Bose Connect-app zou bijhouden naar welke muziek en podcasts gebruikers luisteren. Het bedrijf heeft de app aangepast, maar ontkent dat die data wordt verkocht aan derden. En dan lees ik “Het bedrijf ontkent echter niet dat de gegevens gedeeld worden met derde partijen” en denk ik, wat is dan het verschil?
Steeds meer apparaten vergaren informatie over hun eigenaren en sturen dat naar de fabrikant. Van slimme televisies die luisteren naar wat er wordt gezegd tot beeldbewerking op afstand. Maar ook heel simpel een website die je bezoekt, verzamelt van alles over je. Commercieel heel waardevolle informatie voor derden, met name voor adverteerders. Want weten wat iemands interesses zijn, maakt het mogelijk gericht te adverteren.
Dit is op zich Ouder dan het Internet(tm): ook daarvoor al werd er driftig gehandeld in databestanden zodat je wist waar je een direct mailing het beste heen kon sturen. Verkoopcijfers van huizen, interesse in dure meubels en ga zo maar door. Verkoop van klantenbestanden en -informatie werd privacytechnisch dan ook al snel een punt van zorg.
Dit zie je op veel websites en diensten dan ook terug in de privacyverklaring: Wij verkopen uw gegevens niet aan derden. En voor zover ik weet houdt iedereen zich daar ook netjes aan. En dat is maar goed ook, want bestandenhandel is sinds de Wet bescherming persoonsgegevens eigenlijk altijd verboden – en onder de AVG of GDPR van volgend jaar helemáál.
Erg is dat niet, want er is een veel slimmer alternatief. In plaats van bestanden met waardevolle persoonsgegevens aan derden te verkopen, verhuur je een reclameplekje voor die derden op een generiek omschreven (dus niet persoonsgebonden) plekje op je site. Facebook zal mij nooit data verkopen waarin staat welke gebruikers advocaat zijn, IT-savvy en druk bezig zich in te lezen over die AVG die eraan komt. Maar ik kan wel gericht reclame tonen voor mijn boek over de AVG op precies het segment advocaat, IT-savvy en vond-ik-leukte-AVG-artikelen.
Effectief is dat hetzelfde, maar verkopen is het niet. Ik denk dus dat dat ongeveer is wat men met dat “delen maar niet verkopen” bedoelde. En het is dus legaal denk ik, omdat je geen persoonsgegevens verkoopt maar alleen geaggregeerde data. Hoe je dat wettelijk zou verbieden, weet ik niet. Dat kan dan beter bij de bron aangepakt worden: je mag zulke gegevens niet verzámelen zonder aparte toestemming, en dergelijke toestemming mag niet verbonden worden aan de koop van een ‘slim’ apparaat.
Arnoud
AVG = Algemene Verordening Gegevensbescherming. Geen dank 😉
Ik zou willen toevoegen of het gebruik van een apparaat of website. Ik kan teveel slimme (“U least“) constructies bedenken waarmee bedrijven onder de toestemmingsvoorwaarde uit proberen te komen.
Ik vind dat er wel een groot verschil is tussen het delen en het verkopen en dat het niet effectief hetzelfde is. Bij het delen (zoals omschreven in jouw stuk) blijft de data op één plek en bij één partij. Jij weet nooit aan wie die advertentie nu precies getoond is en kan het niet gaan combineren met andere data bestanden.
Hoe kun je spreken van data delen, als de data nooit bij een ander terecht komt? Nee, onder delen versta ik: “ik geeft de data aan een ander zonder vergoeding”.
De adverteerder weet om welk publiek het gaat, en zodra de advertentie getoond wordt, hebben ze jouw IP adres.
Samen met wat “like” knopjes en wat er al bij Google en Facebook etc. bekend is, weten ze alles van je.
Ik gebruik mijn PC om te internetten etc. en mijn telefoon voor bellen en chatten, maar dat doe ik beide via wifi op dezelfde verbinding.
Bij het aanmelden bij Facebook geef je je naam, email en IP adres etc. af, en bij het aanmelden bij Watsapp geef je je telefoonnummer, contactlist, eigen naam, maar ook weer dat zelfde IP adres af.
Dat is heel goed te matchen, en als je op Facebook een alias gebruikt, dan weten ze dat aan de hand van de telefoon gegevens ook, want ze hebben ook de contactlist van alle andere gebruikers die wel jouw echte naam bij jouw nummer opgeslagen hebben.
Het combineren met andere data bestanden is dus juist precies hoe ze wel alles van je weten.
Dit is precies de reden waarom ik een bloedhekel heb aan alles wat onder de noemer IoT, ‘slimme apparaten’ of hoe je het ook noemen wilt, valt. Wat ik doe is aan mij en hoef ik geen verantwoording voor af te leggen. Een bedrijf zou niet eens moeten willen om mijn gebruik van het apparaat te monitoren. Het is immoreel en hindert mijn privacy. Wat misschien een optie is, is om geanonimiseerd data van gebruik te analyseren. Zo kan het product verbeterd worden. Maar stiekeme phone-home operaties vind ik gewoon niet kunnen. Ik heb geen IoT apparaten om die reden, maar indien er IoT apparaten in huis komen, dan gaat er direct een firewall rule op zodat ze geen contact met de server van de fabrikant kunnen maken. Ik gebruik dan ook geen Google analytics om deze reden. Ik wil zelf niet geprofileerd worden, dus ik laat een ander ook niet profileren via GA. Slechts geanonimiseerde data via PIWIK vind ik dan nog wel OK.
Als ik een kratje bier met de buren deel dan betekent dat niet dat de buren geen biertje krijgen. Alleen dat er geen (directe) betaling tegenover staat. Maar goed voor de verhouding met de buren is dat delen natuurlijk wel en dat kan zich ook op andere manieren dan in geld uiten.
Je zegt zelf altijd dat een persoonsgegeven elk gegeven is dat met enige mate van zekerheid is te herleiden tot een persoon. Je kunt mij met vier heel generieke waarden als bijvoorbeeld woonplaats, beroep en twee hobby’s al identificeren. Het lijkt me dat een voldoende specifiek advertentievakje dus ook een persoonsgegeven is. Waarom zou dat niet verboden zijn en advertertenties op specifieke personen wel?
Ik vermoed eerder dat we hier te maken hebben met een overijverige jurist. Het zou me niets verbazen als ze dat erin hebben gezet omdat ze een cloud infrastructuur gebruiken.
Is het niet mogelijk om te stellen dat een ‘mogelijk verkregen economisch voordeel’ gelijk gesteld kan worden aan verkoop, zoals dat ook in andere wet- en regelgeving gebruikelijk is?