Mobieledataverzamelbedrijf App Annie heeft voor 10 miljoen met de Amerikaanse beurswaakhond SEC geschikt, las ik bij The Verge. Ik kende ze ook niet, maar App Annie “produceert business intelligence tools en markt rapportages voornamelijk voor de app industrie”. Ze verzamelt data zoals Google Analytics bij aangesloten bedrijven, inclusief data over gebruik van de mobiele apps van die bedrijven, zodat die meer inzicht in hun appgebruik kregen. Tevens kon App Annie die data aggregeren en zo doorverkopen aan bijvoorbeeld beleggers die willen weten hoe een bepaalde branch ervoor staat. En daar ging het mis: men verkocht niet keurig enkel de geaggregeerde data.
De schikking legt uit waar het precies misging:
The order finds that App Annie and Schmitt understood that companies would only share their confidential app performance data with App Annie if it promised not to disclose their data to third parties, and as a result App Annie and Schmitt assured companies that their data would be aggregated and anonymized before being used by a statistical model to generate estimates of app performance. Contrary to these representations, the order finds that from late 2014 through mid-2018, App Annie used non-aggregated and non-anonymized data to alter its model-generated estimates to make them more valuable to sell to trading firms.App Annie kreeg dus individuele data van bedrijven, maakte daar een statistisch model van voor sectoren en corrigeerde dat met de originele, individuele data. Vervolgens had ze heel goed passende modellen, waar beleggers gretig voor betaalden. Maar dát is natuurlijk niet de afspraak.
“App Annie sought to distinguish itself in the alternative data space by providing securities market participants with valuable information in a new and innovative way,” said Erin E. Schneider, Director of the SEC’s San Francisco Regional Office. “It went to great lengths to assure its customers that the financial and app-related data it sold was the product of a sophisticated statistical model and that it had controls to ensure compliance with the federal securities laws. These representations were materially false and misleading.”Het bedrijf moet stoppen, en de CEO mag drie jaar lang niet in een dergelijke functie bij een beursgenoteerd bedrijf werken.
Het laat voor mij zien hoe lastig is het is om goede grip op data-hergebruik door derden (verwerker of niet, in de zin van de AVG) te krijgen. Want je kunt afspreken wat je wilt, maar als die data elders is dan heb je er vervolgens geen zicht meer op. Dit is ook waarom ik altijd zeg dat je onder de AVG niet kunt vertrouwen op welke contractuele afspraak, garantie of vrijwaring dan ook. Ga het na, en lever bij voorkeur gewoon géén individuele data.
Arnoud