Dit gebeurt er met jouw data op de grootste Belgische websites

 Leestijd: 11 minuten5

Aan welke bedrijven geef je informatie vrij over je online gedrag? Wat doen ze ermee? En vooral: welke risico’s houdt dat in? Een blik op de tien best bezochte websites van België leert dat in totaal maar liefst 43 bedrijven registreren wie je bent en wat je op die sites doet. De sites van De Standaard en La Dernière Heure zijn de sites met de meeste “trackers”. Exemplarisch voor het internet van vandaag. “Bedrijven waar je nog nooit van gehoord hebt, leggen enorme databanken aan van persoonlijke gegevens. Mocht de politie zoveel gegevens verzamelen over miljoenen mensen: niemand zou dat aanvaarden.”

Op het internet zijn we allemaal Kleine Duimpjes. Overal waar we op het wereldwijde web gaan en klikken, laten we stukjes informatie na over wat we doen en laten; kleine broodkruimels. Van waar we ons bevinden en met welke browser we surfen, tot informatie over waar je op klikt en welke andere websites je eerder al bezocht. Die kruimels worden in vaktermen ‘cookies’ genoemd, en het internet staat er vol van.

Telkens je naar een website surft, zal de eigenaar van die site één of meer cookies installeren in je browser. Die cookies kunnen gebruikt worden om jou als gebruiker te identificeren, om je gebruikersnaam te onthouden, de website volgens jouw aangegeven voorkeuren weer te geven of – bijvoorbeeld in het geval van een webshop – de juiste inhoud in jouw winkelkarretje te laden. Wat cookies precies doen, wordt duidelijk wanneer je alle cookies uit je browser verwijdert. Je zal zien dat websites je daarna behandelen alsof je voor het eerst langskomt.

Derden

Bedrijven waar je nog nooit van gehoord hebt, leggen enorme databanken aan van persoonlijke gegevens. Je hebt geen idee wat er vervolgens mee gebeurt.

Naast de eigenaar van de website zijn er meestal nog andere, “derde” partijen die iets over jou te weten willen komen. Ook zij halen die informatie via een cookie. Zij beperken zich echter niet tot één website, maar volgen je op alle sites waar ze aanwezig zijn of mee samenwerken. Niet zelden zijn dit reclamebedrijven, al dan niet in handen van grote moederbedrijven als Facebook of Google. Dankzij deze trackingcookies kunnen ze te weten komen waarmee jij je online bezighoudt, om je op basis daarvan vervolgens te overladen met gepersonaliseerde reclames. ‘Behavourial targeting’ in vaktermen.

Is gepersonaliseerde reclame dan zo erg? Toch handig? Zo kom je als muziekliefhebber tenminste geen irritante reclames voor hondenvoer tegen. “Dat kan inderdaad handig zijn, maar er zijn ook veel nadelen verbonden aan al die trackingcookies”, legt Rob Heyman uit. Heyman doet bij SMIT (Studies on Media, Information and Telecommunication), onderdeel van imec, onderzoek naar social media en privacy. “Ten eerste vertragen ze je browser. Vaak heb je ook geen keuze om het al dan niet toe te laten, want doe je het niet, werkt de site niet optimaal.”

Nederlands onderzoeker Frederik Zuiderveen Borgesius (Universiteit van Amsterdam) hekelt de complete intransparantie als het over verzamelen van persoonsgegevens gaat. “Bedrijven waar je nog nooit van gehoord hebt, leggen enorme databanken aan van persoonlijke gegevens. Je hebt geen idee wat er vervolgens mee gebeurt. Die gegevens kunnen verhandeld worden, of er kan een datalek optreden. Mocht de politie zoveel gegevens verzamelen over miljoenen mensen: niemand zou dat aanvaarden. Maar één keer die gegevens opgeslagen liggen bij bedrijven, kan de politie of een inlichtingendienst wel toegang eisen.”

“Stel dat ergens een extreemrechtse partij de verkiezingen wint en bij een bedrijf alle trackingcookies van moslims opeist, om hen te gaan controleren. Dat is geen fijn idee. Mensen zouden hun gedrag kunnen aanpassen als ze weten dat hun surfgedrag wordt geregistreerd. Mensen kunnen zich ongemakkelijk voelen wanneer ze bijvoorbeeld een website over de Islam, over communisme, of over kanker bezoeken. Het gaat dan niet enkel om een privacyprobleem, maar om de vrijheid van mensen.”

De trackers

De Standaard blijkt de site te zijn met de meeste trackers (38), gevolgd door DH.be (26) en HLN.be (22).

Hoe zit het in België? Wat gebeurt er als je naar de tien best bezochte websites van ons land surft? Apache zocht het uit aan de hand van Disconnect, een handige app die niet alleen trackers blokkeert, maar ook in beeld brengt wie die trackers precies zijn. Op basis van wat Disconnect oplijst, brachten we de trackers op de tien best bezochte websites in kaart. In volgorde van aantal bezoekers in september 2016 zijn dat: HLN.be, Het Nieuwsblad, 2dehands.be, De Standaard, Sporza, Gazet van Antwerpen, deredactie.be, DH.be, Kapaza, RTBF.be (cijfers: CIM).

De Standaard blijkt de site te zijn met de meeste trackers (38), gevolgd door DH.be (26) en HLN.be (22). Op de site van 2dehands.be (3) word je het minst gevolgd.

Website Aantal trackers
De Standaard 38
DH.be 26
HLN.be 22
sporza 20
Het Nieuwsblad 16
Gazet van Antwerpen 16
deredactie.be 11
kapaza 6
rtbf.be 6
2dehands.be 3

Grote drie

Wanneer we vervolgens kijken welke bedrijven ons bezoekje aan die websites tracken, brengt Disconnect de alomtegenwoordige trackers van Google, Facebook en Twitter niet onder in algemene categorieën, maar blokkeert ze apart, als “grote drie”.

Bedrijven hebben helemaal geen naam nodig om personen te identificeren.

Onze resultaten bevestigen die speciale behandeling. Disconnect vond de trackers van Google terug op 9 van de 10 sites, enkel op Kapaza vond de app geen spoor van de internetreus. Op 8 van de 10 sites krijgt Facebook info over jouw bezoek, Twitter op 6 van de 10 sites. Op hoe meer verschillende websites een bedrijf cookies kan plaatsen, des te meer info ze over je kunnen verzamelen. Op basis van een uniek serienummer kunnen die bedrijven gebruikers, of toch dat serienummer, in een categorieën onderbrengen. Sportfanaat of muziekliefhebber bijvoorbeeld.

Google en Facebook zijn hierin wereldwijd kampioenen. De informatie die al die bedrijven via hun cookies verzamelen, is erg kostbaar voor hen. De gegevens die over gebruikers verzameld worden, verdwijnen in aparte silo’s, per bedrijf. Die bedrijven zijn concurrenten van elkaar en zullen die data dan ook niet zomaar met elkaar delen.

Helemaal anoniem ben je echter niet. “Bedrijven hebben vaak geen naam nodig om personen te identificeren”, stelt Zuiderveen Borgesius. “Met een IP-adres kan je bijvoorbeeld vaak al te weten komen in welke buurt iemand woont. Vorige week nog besliste het Europese Hof van Justitie dat dynamische IP-adressen vaak als persoonsgegevens beschouwd moeten worden. De online marketingindustrie kan dus moeilijk volhouden dat ze alleen anonieme gegevens verzamelt en verwerkt.”

Dit weekend nog raakte bekend dat Google de gegevens die het verzamelt via z’n advertentieagentschap DoubleClick wel degelijk koppelt aan de naam van de gebruikers en andere gegevens. Ondanks beloftes dat het dat niet zou doen. “Het betekent ook dat Google nu, als het dat wil, een compleet gebruikersprofiel kan opzetten op naam, op basis van alles wat die gebruikers schrijven in hun e-mail, de websites die ze bezoeken en de zoekopdrachten die ze uitvoeren”, schrijft de Amerikaanse nieuwswebsite ProPublica.

Gebruikers met of zonder een Google-account kunnen zich hier uitschrijven voor het bijhouden en gebruiken van de web- en app-activiteiten, en ook hun geschiedenis wissen.

CIM

Twee bedrijven slagen erin om zich tussen deze grote drie te nestelen in de top 5. Het van oorsprong Poolse bedrijf Gemius kwam net als Google op 9 van de 10 sites voor. De verklaring daarvoor is vrij simpel, Gemius werkt namelijk samen met CIM (Centrum voor Informatie over de Media). Gemius voert sinds 1 juni 2014 de internetstudie uit voor CIM, dezelfde studie die wij gebruikten om een ranglijst van de 10 best bezocht sites te maken. Trackers kunnen dus alvast in die zin nuttig zijn.

Ook in Polen staat Gemius in voor de officiële online publieksmeting. Het bedrijf wordt bovendien door IAB (Interactive Advertising Bureau) erkend als standaard in die publieksmeting. Het prijst zichzelf online dan ook aan als referentie in het meten van online gedrag. De uitdaging van Gemius: niet enkel meten, maar ook weten wie de mensen achter de cookies zijn. Het bedrijf werkt bovendien samen met andere bedrijven om de analyse van online gedrag te combineren met dat van TV, radio en andere media, en zo tot “multimediale data” te komen.

Omdat we met z’n allen zo gretig online delen, praten en kopen, is er zodanig veel data beschikbaar, dat er eigenlijk geen nood meer is om stiekem gedrag te gaan tracken.

Naast Gemius vinden we het Belgische bedrijf Adhese in de tracker top 5 terug. Adhese verzamelt informatie over bezoekjes aan 7 van de 10 sites. Advertentiebedrijf Adhese werd naar eigen zeggen groot door samenwerkingen met uitgever Corelio, nu Mediahuis, en met sociale netwerksites Netlog en Hyves. Die samenwerking stelde hen in staat om grote hoeveelheden data te verwerken, vertellen ze op hun site. Ondertussen werkt Adhese niet enkel als “ad serving tool”, maar helpt het uitgevers met het “matchen van content en bezoekers”. Het presenteert zichzelf als vertrouwde partner van Belgische en Nederlandse uitgevers en blijkt dat inderdaad ook te zijn.

“Eigenlijk zijn we zelf aanwezig op 9 van die 10 sites”, legt Bart Schouppe van Adhese uit. “Sommige klanten draaien onze technologie op hun eigen site en verwijzen niet naar ons. Wij verzamelen deze data ook niet voor ons eigen doen en laten, maar voor onze klanten, die zelf verantwoordelijk zijn voor het volgen van de privacywetgeving. De data wordt bovendien niet gedeeld tussen klanten.”

“We zijn inderdaad niet bekend bij het brede publiek. We weten dat er rond dit thema iets moet gebeuren en zeggen dat ook tegen uitgevers: wees er transparanter over.”

Mediahuis, de uitgever van onder meer De Standaard en Het Nieuwsblad, houdt via verschillende trackingcookies gegevens bij op 4 van de 10 best bezochte sites. In deel 2 van deze reeks bekijken we het databeleid van Mediahuis en de deal met onder andere het Amerikaanse bedrijf Optimizely van dichterbij.

Datahandel

“De grootste advertentiemarktplaats ter wereld.” Zo prijst Rubicon Project zichzelf aan. Het zorgt voor een geautomatiseerde verkoop van advertentieruimte aan de hoogste bieder. Die verkoop is een kwestie van milliseconden, zoals De Correspondent al eerder schreef.

Rubicon Project belooft de kopers van advertentieruimte dat hun algoritmes de consumenten vinden die “waarschijnlijk hun volgende klanten zullen worden”. In hun privacy policy maakt het duidelijk welke informatie ze verzamelen op de sites die van hun diensten gebruikmaken, onder meer de browsergeschiedenis, de geolocatie en zoekwoorden. Al meent het bedrijf dat het hiermee niet onder de Europese regelgeving omtrent databescherming valt.

De informatie die Rubicon verzamelt deelt het “om verschillende redenen” met adverteerders, reclameagentschappen, en website en appontwikkelaars. Hun klanten dus. Het voorziet wel een opt-out. Maar als je daarvoor kiest, en je je dus uitschrijft van hun diensten, blijft Rubicon Project wel je gebruikersinformatie verzamelen, al belooft het die info niet te gebruiken voor gepersonaliseerde reclame. Waarom ze die informatie dan toch blijven verzamelen, is niet duidelijk.

Het categoriseren van mensen door anonieme algoritmes op basis van dit soort gegevens, kan bestaande ongelijkheden extra aandikken.

Een andere opvallende speler in de wereld van de persoonsgegevens is Oracle. Het Amerikaanse techbedrijf nam in februari 2014 start-up BlueKai over. BlueKai stelt bedrijven in staat om hun data in de cloud te beheersen. Die data kunnen ze bovendien combineren met informatie over meer dan 700 miljoen online profielen, die BlueKai te koop aanbiedt. De klanten van Oracle kunnen zelf bepalen of ze hun data al of niet in de cloud beschikbaar stellen.

Er zijn twee soorten gegevens die Oracle verzamelt: info die niet rechtstreeks tot een individu terug te brengen valt, en info die dat wel is. In die tweede categorie zitten onder meer naam en adres, maar ook e-mailadres, gebruikersnamen van sociale media, telefoonnummers, gedrags- en demografische kenmerken zoals bijvoorbeeld koopgedrag, ook van ‘offline’ winkels. Oracle belooft wel dat het nooit “gegevens die rechtstreeks een individu kunnen identificeren” aan z’n klanten zal bezorgen.

Begin dit jaar nam Oracle nog een ander bedrijfje over. AddThis biedt personalisatie van sites, ‘audience insight’ en ‘activation tools’ (denk aan knoppen om content te delen op sociale media) aan op maar liefst 15 miljoen websites. Op die manier biedt AddThis “ongeëvenaarde inzichten in de interesses en het gedrag van meer dan 1,9 miljard webbezoekers”. AddThis pronkt met meer dan 100 miljard ‘first party permission data points’, gegevens die ze dus met toestemming van de gebruiker verzamelen. Duizelingwekkende getallen.

Social media

Zoals sectorgenoot Gigya zelf schrijft is er, omdat we met z’n allen zo gretig online delen, praten en kopen, zodanig veel data beschikbaar, dat er geen nood meer is om stiekem gedrag te gaan tracken. We geven achteloos toestemming in ruil voor gebruiksgemak. Gigya maakt van die gemakzucht zijn businessmodel.

Met als slogan ‘Maak van anonieme bezoekers gekende klanten’ biedt Gigya bedrijven als het Vlaamse Medialaan, moederbedrijf van VTM en Q Music, toegang tot identiteitsgegevens, waaronder geslacht, verjaardag, interesses. En dat allemaal met toestemming van de bezoekers. Dit gebeurt via de Social Login van Gigya, waardoor gebruikers zich via bijvoorbeeld hun Facebookprofiel kunnen inloggen op de website van VTM.

Screenshot Gigya

Screenshot Gigya

Gigya biedt een oplossing voor een probleem dat we allemaal wel kennen: voor elke website is tegenwoordig een wachtwoord nodig. Met de Social Login heb je niet langer zo’n aparte inlognaam en wachtwoord nodig. Maar je geeft in dit geval VTM wel toegang tot bepaalde informatie van jouw Facebookprofiel. Ook de sites van Sporza en deredactie.be delen persoonlijke informatie met Gigya.

In combinatie met gegevens over het gedrag van gebruikers – wat klikken ze aan, wat bekijken ze, hoelang etc. – worden deze social mediagegevens verzameld in gebruikersprofielen. Die profielen worden ook constant up-to-date gehouden. Wanneer een gebruiker z’n Facebookprofiel update, wordt dat automatisch aangepast in het gebruikersprofiel van Gigya. En dat gaat vrij ver. Van woonplaats tot de relatiestatus. Tot de likes die je op Facebook uitdeelt. Die databank met gebruikersprofielen is bovendien doorzoekbaar op e-mail, naam enzoverder.

Deze technologie stelt VTM bijvoorbeeld in staat om gebruikers die online een video niet helemaal tot het einde bekeken, een mail te sturen die hen aanspoort om bijvoorbeeld de aflevering van The Voice helemaal uit te kijken. Gigya ziet de toekomst rooskleurig in. Nu is er nog zo’n Social Login nodig, maar volgens Gigya is de toekomst helemaal aan de ‘biometrics‘. Overal inloggen met vingerafdruk dus. Is dat niet handig?

Discriminatie

Dat mensen over het algemeen hun gedrag aanpassen wanneer ze geobserveerd worden is – naast de mintransparantie ervan – één van de voornaamste bezwaren van Zuiderveen Borgerius tegen het massaal verzamelen van persoonsgegevens. Het gebruik ervan kan potentieel ook tot problemen leiden. Prijsdiscriminatie bijvoorbeeld.

“Wanneer een trackingcookie registreert dat je vaak websites over champagne of Rolls Royce bezoekt, kan een bedrijf daaruit afleiden dat je zeer vermogend bent en je vervolgens 10% meer gaan aanrekenen. Het omgekeerde kan ook. Als iemand vaak naar tweedehandsspullen zoekt of prijsvergelijkingswebsites bekijkt, kan een bedrijf jou als “arm” categoriseren en bepaalde aanbiedingen niet tonen”, legt Zuiderveen Borgerius uit.

“Dit is een hypothetisch voorbeeld, maar de techniek is klaar voor dit soort praktijken. De gegevensstromen zijn zodanig intransparant, dat we eigenlijk niet weten waar de gegevens voor gebruikt worden. Het categoriseren van mensen door anonieme algoritmes op basis van dit soort gegevens, kan bestaande ongelijkheden extra aandikken.” De Amerikaanse nieuwswebsite ProPublica publiceerde eerder dit jaar nog een artikel over de vooroordelen ten aanzien van Afro-Amerikanen in algoritmes die gebruikt worden voor het voorspellen van recidivisme.

Ondanks de Europese en nationale wetgeving en de regels die er nu al bestaan over de bescherming van persoonsgegevens, bestaat er heel wat discussie over welke informatie nu precies als persoonsgegevens gezien moeten worden.

Het gebruik van die gebruikersgegevens blijft niet beperkt tot advertentiebedrijven, ook verzekeraars en banken zouden graag gegevens van sociale media gaan gebruiken. ” Je zal hen wel altijd toestemming moeten geven om bijvoorbeeld via hun app toegang tot je Facebookprofiel te krijgen. Het is vervolgens de vraag wat een verzekeraar precies met die info zal doen”, zegt Heyman.

Privacycommissie

Het zijn de nationale privacytoezichthouders die instaan voor de controle op de verzameling van persoonsgegevens. “Die doen hun best, maar ze beschikken meestal over beperkte middelen”, stelt Zuiderveen Borgesius, die ook verwijst naar de rechtszaak tegen Facebook die de Belgische privacycommissie verloor.

De Privacycommissie wou tegengaan dat Facebook ook niet-gebruikers volgde via z’n cookies. Het Brussels Hof van Beroep wees de vordering af omdat het zichzelf niet bevoegd achtte. Facebook heeft zijn Europees hoofdkwartier in Ierland.

“Het is ontzettend moeilijk om te weten wat je hoe deelt. Dat bleek ook uit het onderzoek dat we in samenwerking met de Privacycommissie hebben gevoerd. Het is quasi onmogelijk om na te kijken wat zo’n cookie precies doet”, legt Heyman uit.

“Met de nieuwe algemene Europese privacyverordening krijgen de toezichthouders er wel een sterk nieuw handhavingsmiddel bij”, legt Zuiderveen Borgesius uit. “De verordening treedt in 2018 in werking en zal het mogelijk maken dat nationale privacytoezichthouders boetes tot 4% van de omzet kunnen opleggen indien bedrijven grove overtredingen maken.”

Volgens hem anticiperen verschillende bedrijven nu al op die verordening, en schakelen ze gespecialiseerde advocatenkantoren in om hun datapraktijk te analyseren. Met de nieuwe verordening zal het ook makkelijker worden om niet-Europese bedrijven aan te pakken, meent Zuiderveen Borgesius.

Buiten bereik

Ondanks de Europese en nationale wetgeving en de regels die er nu al bestaan over de bescherming van persoonsgegevens, bestaat er heel wat discussie over welke informatie nu precies als persoonsgegevens gezien moeten worden. “Veel online marketingbedrijven betwisten dat zij persoonsgegevens verwerken, en zeggen dat ze alleen anonieme gegevens verwerken”, legt Zuiderveen Borgesius uit.

“Veel bedrijven willen kennelijk voorkomen dat ze moeten voldoen aan de regels voor de verwerking van persoonsgegevens. Opvallend, want de huidige Europese richtlijn verbiedt het niet om persoonsgegevens te verzamelen en verwerken. De richtlijn stelt wel eisen aan het verwerken van persoonsgegevens. Zo moeten bedrijven in veel gevallen toestemming vragen aan de betrokkenen, de gegevens goed beveiligen, en voor een beperkte periode bewaren. Er kan al veel binnen de huidige regelgeving. En toch doen veel bedrijven hun uiterste best om buiten het bereik van die wetgeving te blijven. Dat is verontrustend.”

Woensdag in deel 2:
De datadeals van Mediahuis, en een blik in eigen boezem

Donderdag in deel 3:
Wat kan je er als gebruiker zelf aan doen?

Auteur: Jan Walraven

Jan Walraven studeerde af als master journalistiek (2010) en master internationale politiek (2012) aan de universiteit van Gent. Sinds april 2015 schrijft hij voor Apache. Eerder in 2015 bracht hij als freelancer verslag uit van de Israëlische verkiezingen en in 2014 werkte hij als reporter in de Palestijnse gebieden. Hij tweet af en toe als @jnwlrvn.

Auteursarchief

Word nu lid van Apache en geniet van deze voordelen:

  • Je krijgt toegang tot alle artikels
  • Je kan je vrienden plezieren door gratis artikels met hen te delen
  • Je hebt toegang tot alle dossiers en artikels uit het rijke archief van Apache
  • Je kan onder artikels in discussie gaan met onze journalisten en andere lezers
  • Je krijgt korting op evenementen en extra producten (bv. e-books)
  • Je zorgt ervoor dat Apache verder uitbreidt