Wie is Wilmer?

Op allerlei plekken worden gegevens van je vastgelegd. Door de overheid, de belastingdienst, reclamebureaus. Geven die data een correct beeld? Wilmer Heck ging op zoek naar zijn digitale zelf.

©

Je zou er paranoïde van worden. „De buurt veilig houden? Meld je aan als politievrijwilliger.” Deze melding krijg ik voortdurend als ik op Facebook ga. Toeval? Of zou Facebook weten dat ik lid ben van Burgernet, een sms-dienst van de politie wanneer er in de buurt criminelen wordt gezocht?

Ook andere reclames lijken soms akelig goed op mijn voorkeuren afgestemd. Ga ik bergen beklimmen in Oostenrijk, word ik overstelpt met wandelvakanties. Heb ik John Talabot op Lowlands net gemist, krijg ik de dagen daarna aanbiedingen om alsnog zijn muziek te beluisteren (en te kopen). Hoe weet Facebook dat ik dat leuk vind? Hebben ze misschien een deal met Spotify, waar ik zijn nummers draai?

Dat is online; er is óók nog de ouderwetse brievenbus, op de begane grond. Mijn sticker ‘géén ongeadresseerd reclamedrukwerk’ mag niet baten. Alsnog ontvang ik folders geadresseerd aan ‘de bewoners van’ mijn woonadres. Van de Ikea, van de Blokker. Sturen ze die zomaar? Of denken ook deze adverteerders mijn voorkeuren te kennen? Hebben ze die dan ergens verzameld?

Ik besluit op onderzoek uit te gaan. Wat is er allemaal bekend over mij? Welke instanties in Nederland verzamelen informatie over mij? En: wie denken zij dan dat ik ben?

Met de Privacy Inzage Machine op de site van burgerrechtenorganisatie Bits of Freedom doe ik inzageverzoeken bij bedrijven en overheidsinstanties, die beschikken over vele honderden databanken, zoals het College Bescherming Persoonsgegevens al eens berekende. Op die manier construeer ik, steekproefsgewijs, de ‘digitale Wilmer’.

De databrokers

Afgelopen voorjaar verscheen in de VS een overheidsrapport over ‘databrokers’. Dat zijn bedrijven die ongevraagd informatie over burgers verzamelen en die te koop aanbieden aan adverteerders. De lijst van data die de databrokers bleken te verzamelen is eindeloos en deed veel stof opwaaien.

Politieke voorkeuren, uitstaande schulden, roker of geen roker, medicijngebruik, etniciteit – alles wat je maar kunt bedenken wordt in de VS nagezocht, opgeslagen en verhandeld. Daarnaast worden verzamelde betalingsgegevens gebruikt om te bepalen of iemand kredietwaardig is.

De Amerikaanse overheid eist meer transparantie van de databrokers. Veel Amerikanen hebben geen idee welke profielen er over hen worden bewaard, en welke invloed die op hun leven hebben. Bijvoorbeeld wanneer ze worden aangemerkt als verminderd kredietwaardig.

Nu is de Nederlandse privacywetgeving een stuk strenger dan de Amerikaanse. Acxiom, een van de bedrijven uit het Amerikaanse onderzoek, heeft Nederland om die reden in 2011 verlaten. Toch zijn er in Nederland wel degelijk datahandelaars.

Een voorbeeld is 4Orange, voortgekomen uit Acxiom. Op de site claimt dit bedrijf data te hebben van álle Nederlandse consumenten. „Wij hebben informatie van consumenten op levensfase, weten of ze kinderen hebben en wat de interesses zijn.” „Circa 70 kenmerken beschrijven het huishouden op de meest essentiële kenmerken; van levensfase tot inkomenssituatie.”

Hoe is dit mogelijk? Dat mag toch niet zolang de privacywet stelt dat burgers toestemming moeten geven voor het verwerken van hun persoonsgegevens voor marketingdoeleinden?

Ik ga bij ze langs. Mariëlle van der Zwan van 4Orange legt uit dat, in tegenstelling tot wat op de website staat, het bedrijf ‘maar’ van 1,6 miljoen huishoudens gegevens heeft verzameld. „Dat zijn mensen die vrijwillig een uitgebreide vragenlijst hebben ingevuld. Ik geloof dat ze daarmee ooit een straatje staatsloten konden winnen.”

Over mij kunnen ze niets weten, want ik heb nooit zo’n enquête ingevuld. Toch?

Fout.

4Orange blijkt een compleet profiel van mij te hebben. Ik krijg het opgestuurd:

Alleenstaand. Geen kinderen. Tussen de 25 en 34 jaar oud. Woont in een koopwoning. Hoogst genoten opleiding: mavo. Werkt voor de overheid en heeft een beneden modaal inkomen. Heeft heel veel video- en geluidsapparatuur in huis, geen belangstelling voor sport op tv en houdt niet van klussen in en rondom het huis.

Afgezien van dat laatste klopt er weinig van. 4Orange heeft me in een categorie ingedeeld, volgens hen val ik in het ‘Personicx type OV & Eetcafé’. Dat zijn jonge, hoogopgeleide mensen, die in zeer stedelijk gebied wonen. Vreemd dus dat in mijn persoonlijke profiel de mavo mijn hoogst genoten opleiding is.

De algemene kenmerken van ‘OV & Eetcafé’ kloppen sowieso beter dan mijn persoonlijke profiel, al ben ik intussen geen starter op de arbeidsmarkt meer, verdien ik niet meer beneden modaal en geef ik heus weleens wat aan goede doelen.

Hoe denkt 4Orange dit allemaal over mij te kunnen weten?

Op basis van mijn adres en gegevens over mijn woning van het Kadaster, zo blijkt. „Het gaat grotendeels om een voorspelling op basis van gegevens van mensen bij jou in de buurt die wel een enquête hebben ingevuld”, zegt Van der Zwan. Geen wonder dus dat ik veel advertentiepost gelijk bij het oud papier kieper. Veel van de aanbiedingen zijn toegesneden op de Digitale Wilmer Heck in de 4Orange-database – en die verschilt nogal van de echte. Een goede reden om zo’n enquête van 4Orange wel in te vullen, vindt Van der Zwan. Maar waarom zou ik mijn persoonlijke gegevens weggeven aan een handel waaraan ik zelf geen cent verdien?

Naast de eigen database met gegevens over 1,6 miljoen huishoudens, die het te koop aanbiedt, heeft 4Orange ook nog toegang tot honderden andere bestanden met gegevens over klanten én hun interesses. Ik krijg van 4Orange niet te horen welke bedrijven en instanties allemaal hun klantenbestanden aanbieden. „Niet alle partners willen genoemd worden.”

De advertentiebedrijven

De wereld van de klantenbestanden is dus verre van transparant. En nog veel schimmiger is die van de advertentiebedrijven die online gegevens over mijn surfgedrag verzamelen. Dat gaat via zogenoemde ‘tracking cookies’. Daarmee word ik over verschillende sites gevolgd door advertenties van bijvoorbeeld vliegmaatschappijen. Op deze manier kunnen, in theorie, >> >> profielen over mijn surfgedrag worden opgesteld die tot mij kunnen worden herleid.

Advertentiebedrijven bezweren dat ze dat herleiden tot personen nooit doen. Ze zeggen mij als anonieme websurfer alleen maar advertenties te willen aanbieden die zijn afgestemd op mijn eerdere klik- en surfgedrag. Daarom antwoorden ze op mijn inzageverzoeken allemaal dat ze géén persoonsgegevens van mij verwerken, terwijl ze dat volgens het College Bescherming Persoonsgegevens op deze manier wel doen. Of er via ‘tracking cookies’ ook niet toch ergens in Nederland commercieel interessante profielen worden opgesteld met de voorkeuren van personen, inclusief hun naam en adres, kan ik niet controleren.

Google en Facebook

Bedrijven die wel dat soort profielen van hun gebruikers opstellen zijn Google en Facebook. Die zijn tegelijk het moeilijkst om inzage bij te krijgen, omdat hun hoofdvestiging niet in Nederland zit. Facebook reageerde éénmaal op mijn inzageverzoek met een vraag om aanvullende informatie. Daarna hoorde ik niets meer. Google antwoordde inzicht te bieden in ‘de meeste’ van mijn gegevens via de eigen site. Daar vond ik onder andere mijn zoektermen terug en honderden privéfoto’s op mijn smartphone waar Google toegang toe bleek te hebben. Kwestie van een verkeerde privacyinstelling.

Wat er achter de schermen allemaal met mijn gegevens gebeurt, blijft geheim. Europese privacytoezichthouders doen momenteel onderzoek naar Google. Tegen Facebook loopt een rechtszaak van duizenden Europeanen die de site beschuldigen van diverse privacyschendingen, waaronder het zonder toestemming doorgeven van persoonlijke data, onder andere aan de Amerikaanse geheime diensten.

Google en Facebook weten heel veel over mij en het is te hopen dat mijn privéfoto’s, zoektermen en privéberichten niet ooit door een technisch probleem op straat belanden. Aan Europese privacyregels laten deze bedrijven zich tot nu toe weinig gelegen liggen. Eigenlijk is er maar één conclusie: als ik me hier werkelijk druk over maak, dan moet ik hun diensten niet meer gebruiken.

De gemeente

In antwoord op mijn inzageverzoek bij de gemeente ontvang ik een overzicht van de informatie die het ministerie van Binnenlandse Zaken, beheerder van de gemeentelijke basisadministraties, het afgelopen jaar over mij heeft verstrekt. Mijn gegevens gingen bijvoorbeeld naar het ministerie van Defensie. De dienstplicht is in Nederland nog altijd van kracht, alleen de opkomstplicht is ‘uitgesteld’. Van alle mannen tot 45 jaar moeten contactgegevens bekend zijn, mochten de Russen plotseling oprukken.

En dan was er een mysterieuze gegevensverstrekking aan de Justitiële Informatiedienst ‘SKDB’. Gelukkig geldt er bij deze databank een inzagerecht. Ik moest drie weken wachten op de uitslag en vervolgens wist ik nog vrijwel niets. Volgens een medewerker van de SKDB sta ik in deze database (met gegevens van verdachten en veroordeelden), omdat ik in 2005 ben opgenomen in het Justitieel Documentatie Systeem (JDS). Dat betekent dat ik, zonder het te weten, een strafblad heb.

De rechtbank

Om er precies achter te komen wat er speelt, moest ik nu weer een inzageverzoek doen bij dat JDS. Na enige weken mocht ik bij de rechtbank in Amsterdam, tegen betaling van 4,50 euro, mijn dossier komen bekijken. Het blijkt te gaan om een ‘milieudelict’ in 2004, geconstateerd door de milieupolitie in de Amsterdamse wijk Bos en Lommer. Inderdaad heb ik destijds eens een bekeuring gekregen voor het neerzetten van afval naast een uitpuilende vuilnisbak. Dit blijkt een ‘misdrijf’ te zijn dat mij twintig jaar lang een strafblad oplevert. Nog tien jaar te gaan dus.

Helemaal lekker zit het me niet. Bij sollicitaties in allerlei branches, bijvoorbeeld het onderwijs, als taxichauffeur of bij diverse overheidsfuncties wordt een ‘Verklaring omtrent het gedrag’ gevraagd. Dan wordt in het JDS gekeken of je geen vlekje hebt. Er zijn criteria op basis waarvan de justitiële dienst Justis zo’n verklaring mag weigeren, maar er is ook ruimte voor een eigen inschatting door de justitieambtenaar. Ik heb dus liever geen dan wel een strafblad. Is het niet tamelijk hardvochtig dat dit lichte vergrijp mij voor twintig jaar in een justitiële databank heeft doen belanden? En wie kunnen er allemaal zien dat ik erin sta? >> >> De website van de Justitiële Informatiedienst geeft daarover weinig uitleg.

De AIVD

Ook bij de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) deed ik een inzageverzoek. Ik rekende op niets, want het is bekend dat de AIVD niet erg scheutig is met informatie over onderzoeken die het doet of heeft gedaan. En inderdaad, over eventuele actuele gegevens van mij krijg ik met het oog op de staatsveiligheid niets te horen. Wel blijkt er in 2000 een klein onderzoek naar mij te zijn gedaan: „In april 2000 is aan de Koninklijke Marechaussee Luchthaven Schiphol, in het kader van een veiligheidsonderzoek met betrekking tot een B-functie, meegedeeld dat er ten aanzien van W.G.C. Heck, geb. 22-09-1976, niets ten nadele bekend was.”

Gelukkig maar. Veertien jaar geleden was ik volgens de AIVD in ieder geval nog iemand zonder vlekje. Ik ga er vanuit dat iemand in mijn omgeving, ik heb geen idee wie, destijds solliciteerde op een functie op Schiphol en dat toen onderzocht is of iemand in zijn of haar omgeving betrokken was bij staatsgevaarlijke activiteiten. Wat er allemaal kwam kijken bij dit onderzoek is voor mij alleen maar gissen.

Ze doen het allemaal toch

De data die ik over mezelf heb opgespoord, zijn nog maar een fractie van wat er werkelijk over mij wordt bewaard. Veel van mijn medische gegevens heb ik bijvoorbeeld nog niet opgevraagd (te privacygevoelig voor in de krant), of gegevens over telefoontjes die ik pleeg. Het aantal databanken groeit en de gegevensuitwisseling groeit mee. Zonder dat je daar als burger veel zicht of invloed op hebt.

Met de privacywetgeving wordt massaal de hand gelicht. Zo heb ik datahandelaar 4Orange nooit toestemming gegeven voor het gebruik van mijn adres, waarop hun profiel van mij grotendeels is gebaseerd. Volgens het bedrijf mag een adres zonder toestemming in de database worden opgenomen, maar juristen bestrijden dit. „Als ik een adres weet, kan ik gemakkelijk uitzoeken wie daar woont. Daarmee is het een persoonsgegeven en is toestemming nodig voor verwerking”, zegt Mireille Hildebrandt, hoogleraar ict en rechtsstaat aan de Radboud Universiteit in Nijmegen. Net zo min mogen webwinkels als Bol.com zonder mijn toestemming bijhouden wat ik aanklik. Maar dat doen ze toch.

Lid van de KNVB? Dan gaan je postadres en telefoonnummer naar marketingbureaus en adverteerders. Ook kunnen ze je via e-mail benaderen. De KNVB probeert zo een centje bij te verdienen. Net als vele tijdschriften, webshops en andere bedrijven met klantenbestanden. Bij de KNVB heeft de algemene ledenvergadering ermee ingestemd, zegt een persvoorlichter.

„Volgens de wet moeten klanten ondubbelzinnig toestemming geven voor het doorverkopen van hun gegevens. Bovendien moet het duidelijk zijn aan welke partijen en met welk doel de gegevens worden verkocht”, zegt Lisette Meij van juridisch adviesbureau ICTRecht. „Maar vaak wordt alleen ergens in een privacyverklaring gemeld dat de gegevens kunnen worden gedeeld met derde partijen. Veel KNVB-leden zullen dan ook helemaal niet weten dat hun gegevens worden verhandeld.” Ik had daar in ieder geval geen idee van.

Geen idee wie erbij kan

De gegevens die advertentiebedrijven, Google en Facebook over je verzamelen, hebben invloed op je leven. Zelfs als ze niet uitlekken. Je krijgt online allerlei informatie voorgeschoteld die is afgestemd op jouw voorkeuren, wat je wereld verkleint. De wetenschap dat er allerlei gegevens over je worden vastgelegd waarvan je niet weet bij wie ze terechtkomen, kan je gevoel van vrijheid beperken. Duiken ze later nog eens op en in welke context dan?

De Belastingdienst, zelf al een van de grootste informatieverzamelaars in Nederland, kan privacygevoelige informatie uitwisselen met tal van andere instanties. Deurwaarders, woningcorporaties, zorgkantoren, de Kamer van Koophandel, de sociale verzekeringsbank en via die instanties weer met ziekenhuizen, psychologen, het Centrum voor werk en inkomen – de lijst is eindeloos. Zijn al die systemen goed beveiligd, kunnen it-ers die onderhoud plegen bij mijn gegevens? Geen idee.

En heeft de informatie over mij in het Justitieel Documentatiesysteem invloed op mijn leven? Ik weet het niet en kan er moeilijk achter komen. Ik wist niet eens dat ik erin stond. < <

Ik zou voor de overheid werken en niet van klussen houden

Ik blijk, zonder het te weten, een strafblad te hebben

Veertien jaar geleden was ik volgens de AIVD nog iemand zonder vlekje