Onderzoeksbureau werkt in Nederland met vpn-app op telefoons voor marktonderzoek

| AE 11113 | Privacy | 13 reacties

Onderzoeksbureau Kantar (voorheen TNS/Nipo) vraagt voor zijn bereiksonderzoek om een vpn-app op Android-tablets en -smartphones te zetten. Dat meldde Tweakers begin deze week. Google en Facebook raakten eerder nog in opspraak vanwege het gebruik van vpn-apps voor onderzoek. De Kantar-app is bedoeld voor consumentenonderzoek naar het bereik van onder meer websites en videoplatforms online. Dat roept de vraag op, mag dat wel op deze manier, je internetverkeer omleiden om daarmee te tellen hoe populair bepaalde websites zijn?

Door internetverkeer vanaf de telefoon (of tablet) om te leiden met vpn-software, krijgt men inzicht in al het internetverkeer op detailniveau. In theorie kun je hiermee elke verzonden mail, elke opgevraagde webpagina en elk ingestuurd formulier mee lezen. Ook al is dat niet de bedoeling; zo werkt vpn als technologie nu eenmaal. Kantar zegt overigens dat het weliswaar alle gegevens verzamelt, maar alleen de voor het onderzoek relevante gegevens gebruikt en de rest weggooit.

De AVG biedt behoorlijk wat ruimte voor wetenschappelijk onderzoek. Artikel 89 AVG stelt vrij expliciet dat er veel mag, mits er passende waarborgen genomen worden waarbij met name het beginsel van minimale gegevensverwerking wordt gegarandeerd. Lidstaten mogen daarbij zelf regels stellen, en Nederland deed dat onder meer in artikel 24 Uitvoeringswet. Zo mag je bijzondere persoonsgegevens verwerken als dat nodig is voor het onderzoek. Ook hoef je (artikel 44) inzage en correctie niet toe te staan.

Wat wel gewoon blijft staan, is dat je een grondslag moet hebben voor je onderzoek. Toestemming dus, of een overeenkomst, of een eigen legitiem belang. Het is niet automatisch zo dat wetenschap of statistiek bedrijven je een grondslag geeft. Maar specifiek bij het soort onderzoek dat Kantar doet, zie ik dat belang wel. Natuurlijk zit je dan nog steeds met een privacy-afweging, waarbij je niet op voorhand weet of jouw belang zwaarder weegt dan de privacy van je onderzoekssubjecten.

Kantar doet het netjes door toestemming te vragen. Niet alleen bij de deelnemer zelf, maar ook bij zijn of haar huisgenoten, want iedereen moet meedoen, aldus de voorlichtingsfolder. Dat is op zich netter en overzichtelijker, maar het vereist wel dat je specifiek en duidelijk die toestemming geeft. En dat is dan dus niet alleen voor deelname aan het onderzoek, maar ook voor de nogal invasieve inzet van een VPN app.

Lastig is natuurlijk dat je dan ook nog eens in duidelijke en eenvoudige taal (artikel 12 AVG) moet aangeven wat je doet. En leg maar eens op dat niveau uit wat een VPN app is. Kantar doet haar best:

Door een link in de mail te activeren geeft u toestemming voor het plaatsen van een cookie of app en wordt het online gedrag bij de aangesloten omroepen en uitgevers vastgelegd. Daarnaast vragen wij u om op elk apparaat software te installeren waarmee wij uw online gedrag kunnen verzamelen. … Via de geinstalleerde software MediaTracker kan Kantar Media voor onderzoeksdoeleinden informatie over het internetgedrag van respondent verzamelen (welke websites zijn bezocht, welke zoekwoorden zijn gebruikt, welke applicaties zijn gebruikt en/of welke advertenties zijn gezien).

Dit komt een heel eind – en sowieso zou je natuurlijk al wel iets kunnen bedenken als je mee gaat doen aan een onderzoekspanel over je internetgedrag. Maar het blijft een ingewikkelde materie om uit te leggen. Helemaal omdat ik zelf ook niet doorhad tot ik er écht in dook dat het niet alleen Kantar is dat die gegevens verkrijgt:

Maar dat de informatie door Kantar wordt gedeeld met een ander bedrijf dat de inhoudelijke analyse doet, namelijk het bedrijf Wakoopa, wordt niet duidelijk.

Wakoopa is een bestaand bedrijf met als core business het tracken van mensen. Ik kan nergens vinden of ze dit voor Kantar doen in de rol van verwerker, maar het zou me ergens verbazen als die gegevens niet ook voor eigen doeleinden worden aangewend. En dát zou een gigantisch probleem zijn, nog los van hoe je de toestemmingsvraag goed krijgt.

Arnoud

De legaliteit van een VPN op je Netflix

| AE 7663 | Ondernemingsvrijheid | 27 reacties

vpn-private-network-tunnel-bewaarplicht.pngMet enige regelmaat krijg ik de vraag of het eigenlijk wel legaal is om met een VPN naar Netflix te kijken. Begrijpelijke vraag: in andere landen is het aanbod van Netflix uitgebreider, en andere diensten kun je soms niet eens gebruiken als je IP-adres herkend wordt als een Nederlands adres.

Er is geen wet die je verplicht je ‘eigen’ IP-adres te gebruiken. Een VPN inzetten om een website te benaderen is in het algemeen dus legaal. Net zoals het legaal is zo’n site te benaderen vanuit de bibliotheek of middels een IP-adres bij de koffiebar in de stad.

Netflix heeft VPN’en verboden in haar gebruiksvoorwaarden, net zoals wel meer diensten. Ze doen dit meestal omdat dit moet van rechthebbenden: die willen per land een andere prijs voor hun video’s kunnen vragen. Maar los daarvan, Netflix mag dit soort dingen verbieden als ze daar zin in heeft. De vraag is dan ook of Netflix dit zou handhaven als ze iemand betrappen.

De aanbieder van een VPN heeft daar niets mee te maken, want die heeft geen contract met Netflix. Maar wat nu als de VPN-dienst zich specifiek richt op mensen die Netflix in de VS willen kijken? Googelen op vpn netflix levert me aardig wat diensten op die specifiek adverteren met teksten als “Amerikaanse Netflix kijken?”.

Juridisch kom je dan bij het leerstuk van “aanzetten tot wanprestatie”. Kort gezegd is het legaal om te profiteren van iemands wanprestatie, zelfs als je wéét dat iemand wanprestatie gaat plegen. Dus als je ziet dat een klant vaak netflix.com opvraagt, dan hoef je als dienstverlener niets te doen. Pas bij wat juristen zo mooi “bijkomstige omstandigheden” noemen, komt dat anders te liggen.

Wat zijn dan die bijkomstige omstandigheden? Hier blijkt de rechtspraak nog steeds niet echt duidelijk. Het is een optelsom van factoren, waarbij vooral meewegen hoe zeer je het wist, hoe ernstig het nadeel is en hoe makkelijk dat te voorzien was. Maar ook zaken als het motief van de derde en de aard van de beïnvloeding wegen mee.

Een ICT-voorbeeld: in 2014 werd het AFAS verboden ondersteuning in haar financiële app te bieden voor de Mijn ING dienst, waarbij je als gebruiker moest inloggen op Mijn ING via die app. De omstandigheden hier waren dat in de voorwaarden van ING stond dat je je wachtwoord nergens anders mag invoeren dan op hún website, en dat de AFAS app afbreuk deed aan het onderliggende veiligheidsprincipe – je vergemakkelijkt indirect phishing want zo kan iederéén wel vage websites en apps gaan maken. Het moet dus wel iets echt bijzonders zijn, alleen maar “wij willen het niet hebben” is niet genoeg.

De argumentatie hier zou zijn dat auteursrechthebbenden minder inkomsten krijgen dan wanneer je via de Nederlandse Netflix had, eh, genetflixt. Dat voelt niet een heel sterk argument. Pas als je het hele businessmodel zou ondergraven, zou ik dat ernstig genoeg vinden. Zouden jullie argumenten weten?

Arnoud