Onderzoeksbureau werkt in Nederland met vpn-app op telefoons voor marktonderzoek

Onderzoeksbureau Kantar (voorheen TNS/Nipo) vraagt voor zijn bereiksonderzoek om een vpn-app op Android-tablets en -smartphones te zetten. Dat meldde Tweakers begin deze week. Google en Facebook raakten eerder nog in opspraak vanwege het gebruik van vpn-apps voor onderzoek. De Kantar-app is bedoeld voor consumentenonderzoek naar het bereik van onder meer websites en videoplatforms online. Dat roept de vraag op, mag dat wel op deze manier, je internetverkeer omleiden om daarmee te tellen hoe populair bepaalde websites zijn?

Door internetverkeer vanaf de telefoon (of tablet) om te leiden met vpn-software, krijgt men inzicht in al het internetverkeer op detailniveau. In theorie kun je hiermee elke verzonden mail, elke opgevraagde webpagina en elk ingestuurd formulier mee lezen. Ook al is dat niet de bedoeling; zo werkt vpn als technologie nu eenmaal. Kantar zegt overigens dat het weliswaar alle gegevens verzamelt, maar alleen de voor het onderzoek relevante gegevens gebruikt en de rest weggooit.

De AVG biedt behoorlijk wat ruimte voor wetenschappelijk onderzoek. Artikel 89 AVG stelt vrij expliciet dat er veel mag, mits er passende waarborgen genomen worden waarbij met name het beginsel van minimale gegevensverwerking wordt gegarandeerd. Lidstaten mogen daarbij zelf regels stellen, en Nederland deed dat onder meer in artikel 24 Uitvoeringswet. Zo mag je bijzondere persoonsgegevens verwerken als dat nodig is voor het onderzoek. Ook hoef je (artikel 44) inzage en correctie niet toe te staan.

Wat wel gewoon blijft staan, is dat je een grondslag moet hebben voor je onderzoek. Toestemming dus, of een overeenkomst, of een eigen legitiem belang. Het is niet automatisch zo dat wetenschap of statistiek bedrijven je een grondslag geeft. Maar specifiek bij het soort onderzoek dat Kantar doet, zie ik dat belang wel. Natuurlijk zit je dan nog steeds met een privacy-afweging, waarbij je niet op voorhand weet of jouw belang zwaarder weegt dan de privacy van je onderzoekssubjecten.

Kantar doet het netjes door toestemming te vragen. Niet alleen bij de deelnemer zelf, maar ook bij zijn of haar huisgenoten, want iedereen moet meedoen, aldus de voorlichtingsfolder. Dat is op zich netter en overzichtelijker, maar het vereist wel dat je specifiek en duidelijk die toestemming geeft. En dat is dan dus niet alleen voor deelname aan het onderzoek, maar ook voor de nogal invasieve inzet van een VPN app.

Lastig is natuurlijk dat je dan ook nog eens in duidelijke en eenvoudige taal (artikel 12 AVG) moet aangeven wat je doet. En leg maar eens op dat niveau uit wat een VPN app is. Kantar doet haar best:

Door een link in de mail te activeren geeft u toestemming voor het plaatsen van een cookie of app en wordt het online gedrag bij de aangesloten omroepen en uitgevers vastgelegd. Daarnaast vragen wij u om op elk apparaat software te installeren waarmee wij uw online gedrag kunnen verzamelen. … Via de geinstalleerde software MediaTracker kan Kantar Media voor onderzoeksdoeleinden informatie over het internetgedrag van respondent verzamelen (welke websites zijn bezocht, welke zoekwoorden zijn gebruikt, welke applicaties zijn gebruikt en/of welke advertenties zijn gezien).

Dit komt een heel eind – en sowieso zou je natuurlijk al wel iets kunnen bedenken als je mee gaat doen aan een onderzoekspanel over je internetgedrag. Maar het blijft een ingewikkelde materie om uit te leggen. Helemaal omdat ik zelf ook niet doorhad tot ik er écht in dook dat het niet alleen Kantar is dat die gegevens verkrijgt:

Maar dat de informatie door Kantar wordt gedeeld met een ander bedrijf dat de inhoudelijke analyse doet, namelijk het bedrijf Wakoopa, wordt niet duidelijk.

Wakoopa is een bestaand bedrijf met als core business het tracken van mensen. Ik kan nergens vinden of ze dit voor Kantar doen in de rol van verwerker, maar het zou me ergens verbazen als die gegevens niet ook voor eigen doeleinden worden aangewend. En dát zou een gigantisch probleem zijn, nog los van hoe je de toestemmingsvraag goed krijgt.

Arnoud

13 reacties

  1. De AVG biedt behoorlijk wat ruimte voor wetenschappelijk onderzoek.

    Dit heeft toch niets met wetenschappelijk onderzoek te maken? Dit is gewoon het tracken van mensen voor commerciële doeleinden getuige ook hun eigen slogan Kantar TNS vindt voor uw merk impactvolle momenten die leiden tot groei van uw business..

    Los daarvan vind ik, zolang de deelnemers expliciet toestemming geven, het geen enkel probleem wat dit bedrijf doet.

    1. Arnoud, hierop inhakend, wat is het verschil tussen onderzoek ter bevordering van de wetenschap, en onderzoek ten bevordering van het bedrag onder de streep? Ben het namelijk roerend eens met Ed dat Kantar TNS een commercieel marketing bedrijf is, en niet een universiteit of wetenschappelijke stichting. Maakt dat juridisch uit?

      Los daarvan, vindt ik wel dat hiervoor ruimte moet zijn in Nederland. Als je goed geïnformeerd mee doet aan een commercieel onderzoekspanel (kijk en luistercijfers, favoriete pindakaas merk) dan is het logisch dat die gegevens verkregen en verwerkt worden.

      1. Ik heb familie die daar werkt.

        Kantar TNS doet ook heel veel data verzameling voor wetenschappelijk onderzoek. Dat het verzamelen van die informatie een commerciele activiteit van het bedrijf is, wil niet meteen zeggen dat al die data ook commercieel gebruikt zal worden. Is Kantar in die gevallen niet degene die de rol van verwerker heeft?

        Het lastige lijkt mij dat ze die app waarschijnlijk voor meerdere onderzoeken in willen zetten en dus onder eigen naam geplaatst wordt. Eigenlijk zou je willen dat die app iedere keer uit naam van hun klant – na toestemming – tijdelijk geplaatst wordt.

        1. In principe heb je gelijk. Echter haal ik uit het bronartikel dat in dit geval de data wel commercieel gebruikt zal worden. Dat haal ik bijvoorbeeld uit dit citaat uit het artikel op tweakers:

          Kantar doet het onderzoek voor Vinex, die namens veel sites en apps in Nederland het bereik onderzoekt.

  2. Daarnaast vragen wij u om op elk apparaat software te installeren waarmee wij uw online gedrag kunnen verzamelen.

    Deze uitleg laat veel te wensen over. Het verzamelen van informatie op een apparaat zelf is heel iets anders dan alle internet verkeer via een VPN app omleiden. Met name in gevallen waarin het afzender IP-adres een rol speelt, bijvoorbeeld om op basis van afzender te bepalen welke web content je te zien krijgt, bij IP blacklists, of bij email SPF, of … . Als ik op basis van de gegeven beschrijving toestemming zou geven zou ik zeer ontstemd zijn als bleek dat het eigenlijk om een VPN gaat.

  3. De gebruikte methode voldoet op geen enkele manier aan het beginsel van minimale gegevensverwerking. Het is technisch geen enkel probleem om de gegevens te filteren en te selecteren op het apparaat van de gebruiker. Vervolgens maak je, nog steeds op het apparaat van de gebruiker, een rapportje van de gegevens in een leesbaar tekstformaat. Dat rapportje stuur je vervolgens eens per dag/week/maand op, met een kopie naar de gebruiker. Op die manier speel je volledig open kaart met de gebruiker en geef je de gebruiker op ieder moment de kans om uit het onderzoek te stappen als die het gevoel heeft dat zijn privacy in het gedrang komt.

  4. Een heel eind? Ik denk dat ze juist alleen dingen noemen die ‘licht’ lijken. Zet er maar bij: Wij kunnen zien wat en met wie je mailt en chat. en meekijken en -luisteren in onversleutelde chats. Hoezo minimale gegevensverwerking?! Het opgestuurd krijgen van die data, ondanks dat je zegt het te gaan weggooien, is toch ook verwerking? Hier moet de overheid hard tegen optreden. En kamervragen over hoe dit in de kiem te smoren!

  5. Let wel, “VPN App” is een groot woord. Onder Android is de enige manier om dataverkeer te kunnen analyseren van andere applicaties door een VPN op te zetten op het apparaat. Dat betekend niet dat er ook een VPN server gebruikt wordt, en de dataselectie extern wordt gedaan.

    Bijvoorbeeld de applicatie Blokada gebruikt deze techniek om reclames te blokkeren. Maar de data verlaat nooit je eigen toestel.

    De kans is groot dat de genoemde “VPN” een soortgelijke loopback VPN is, en alleen de “interessante” data daadwerkelijk je apparaat verlaat. Dat is ook logisch, want AL het internetverkeer opsturen van mensen zou een behoorlijke verwerkingskracht en bandbreedte vereisen van hun servers. En dat is al snel te duur om haalbaar te zijn.

    Effectief is dit dus gewoon het moderne Android equivalent van wat er al jaren wordt toegepast voor dit soort panels op de computer. Lijkt me niets nieuws en niets mis mee, eigenlijk. Panelleden weten precies waarvoor ze zich inschrijven, immers.

    1. “Onder Android is de enige manier om dataverkeer te kunnen analyseren van andere applicaties door een VPN op te zetten op het apparaat. Dat betekend niet dat er ook een VPN server gebruikt wordt, en de dataselectie extern wordt gedaan.”

      Of door een DNS in te stellen op het apparaat, wat sinds Android 9 kan.

  6. In theorie kun je hiermee elke verzonden mail, elke opgevraagde webpagina en elk ingestuurd formulier mee lezen.

    Eh. Zolang een site via https verbindt, kan je een ingevuld formulier toch niet lezen? Of mail over een encrypte verbinding. Een VPN breekt toch niet die encryptie, het creëert er een veiligheidslaag omheen.

  7. Aangezien waarschijnlijk niemand vrijwillig deelneemt als je uitlegt dat ze hun hele hebben en houwen over de schutting van een onbekend bedrijf kieperen, zouden eventuele deelnemers tegen zichzelf beschermd moeten worden. Een gemiste kans van de AVG, die dit soort praktijken gewoon zou moeten verbieden. Dáár waren we als consument tenminste iets mee opgeschoten. De enige bijdrage die je door deelname kunt bewerkstelligen is dat het je eigen bubbel vernauwt. Ongetwijfeld zijn potentiële deelnemers dezelfden die verhaal komen halen bij de school als er een foto van hun kind zichtbaar is op de website. Privacy halleluja… Je kunt vragen om toestemming, maar de gemiddelde burger is helemaal niet meer in staat om te beoordelen of hij wel of niet toestemming moet verlenen. De enige trigger is “krijg ik iets gratis?

    1. Con, in de wereld van dataverzameling geldt dat discretie heel belangrijk is. Zolang de consument niet weet hoe, wat en hoeveel er over hem vastgelegd is, zal hij zijn gedrag niet aanpassen en zich lekker laten blijven volgen. De betrokken bedrijven zullen nooit privéfoto’s openbaar maken. En officieel wordt de verzamelde data na afloop van het project verwijderd…

      Het is voor de gemiddelde internetgebruiker niet meer te volgen hoe hij over de verschillende websites die hij bezoekt gevolgd wordt. (Pluim voor Arnoud, nul trackers!) Een tracker-blocker is voor de rest van het web helaas noodzakelijk. En wees mentaal sterk genoeg om je niet op Facebook, Twitter, enz. te registreren.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.