Welke bedrijven weten wat over mij? Hoe weten ze dat?

Foto iStock

Wat weten bedrijven te verzamelen aan persoonlijke informatie? En de overheid? Wilmer Heck zoekt het uit. Op zoek naar de ‘digitale Wilmer’.

De Amerikaanse overheid eist meer transparantie van de databrokers, bedrijven die ongevraagd informatie over burgers verzamelen en te koop aanbieden aan adverteerders. Politieke voorkeuren, uitstaande schulden, rokend of niet, medicijngebruik, etniciteit, in de VS wordt het nagezocht, opgeslagen en verhandeld.

De Nederlandse privacywetgeving is een stuk strenger dan de Amerikaanse. Toch zijn er in Nederland ook datahandelaars. Wat weten die allemaal over mij? Welke instanties in Nederland verzamelen mijn persoonlijke informatie? En: ben ik wie zij denken dat ik ben?

Met de Privacy Inzage Machine op de site van burgerrechtenorganisatie Bits of Freedom doe ik inzageverzoeken bij bedrijven én overheidsinstanties – ook de overheid beschikt over vele honderden databanken.

Ik ben het type OV & Eetcafé

Een voorbeeld van een Nederlandse datahandelaar is 4Orange. Op de site claimt dit bedrijf data te hebben van álle Nederlandse consumenten.

“Wij hebben informatie van consumenten op levensfase, weten of ze kinderen hebben en wat de interesses zijn. Circa 70 kenmerken beschrijven het huishouden op de meest essentiële kenmerken; van levensfase tot inkomenssituatie.”

Hoe is dit mogelijk als de privacywet stelt dat burgers toestemming moeten geven voor het verwerken van hun persoonsgegevens voor marketingdoeleinden? Mariëlle van der Zwan van 4Orange legt uit dat, in tegenstelling tot wat op de website staat, het bedrijf ‘maar’ van 1,6 miljoen huishoudens gegevens heeft verzameld. “Dat zijn mensen die vrijwillig een uitgebreide vragenlijst hebben ingevuld.” Over mij kunnen ze niets weten, want ik heb nooit zo’n enquête ingevuld. Toch?

4Orange blijkt een compleet profiel van mij te hebben. Ik krijg het toegemaild.

Alleenstaand. Geen kinderen. Tussen de 25 en 34 jaar. Woont in een koopwoning. Hoogst genoten opleiding: mavo. Werkt voor de overheid en heeft een beneden modaal inkomen. Heeft heel veel video- en geluidsapparatuur in huis, geen belangstelling voor sport op tv en houdt niet van klussen in en rondom het huis.

Afgezien van dat laatste klopt er weinig van. Volgens 4Orange val ik in het ‘Personicx type OV & Eetcafé’. Dat zijn jonge, hoogopgeleide mensen, die in zeer stedelijk gebied wonen. Vreemd dus dat in mijn persoonlijke profiel de mavo mijn hoogst genoten opleiding is. De algemene kenmerken van ‘OV & Eetcafé’ kloppen sowieso beter dan mijn persoonlijke profiel, al ben ik intussen geen starter op de arbeidsmarkt meer, verdien ik niet meer beneden modaal en geef ik heus weleens wat aan goede doelen.

Op basis waarvan denkt 4Orange dit allemaal over mij te weten? Op basis van mijn adres en gegevens over mijn woning van het Kadaster, zo blijkt. “Het gaat grotendeels om een voorspelling op basis van gegevens van mensen bij jou in de buurt die wel een enquête hebben ingevuld”, zegt Van der Zwan. Geen wonder dus dat ik veel advertentiepost gelijk bij het oud papier kieper.

Naast de eigen database met gegevens over 1,6 miljoen huishoudens, die het te koop aanbiedt, heeft 4Orange ook nog toegang tot honderden andere bestanden met gegevens over klanten én hun interesses. 4Orange wil niet kwijt welke bedrijven en instanties hun klantenbestanden aanbieden.

“Niet alle partners willen genoemd worden.”

Ik word online gevolgd

De wereld van de klantenbestanden is dus verre van transparant. Een nog veel schimmiger wereld is die van de advertentiebedrijven die online gegevens over mijn surfgedrag verzamelen, via ‘tracking cookies’. Daarmee word ik over verschillende sites gevolgd door advertenties van bijvoorbeeld vliegmaatschappijen. Op deze manier kunnen, in theorie, profielen over mijn surfgedrag worden opgesteld die tot mij kunnen worden herleid.

Advertentiebedrijven bezweren dat ze dat herleiden tot personen nooit doen. Ze zeggen mij als anonieme websurfer alleen maar advertenties te willen aanbieden die zijn afgestemd op mijn eerdere klik- en surfgedrag. Daarom antwoorden ze op mijn inzageverzoeken allemaal dat ze geen persoonsgegevens van mij verwerken, al is het College Bescherming Persoonsgegevens van mening dat ze dat op deze wijze wel doen.

Google heeft mijn privéfoto’s

Bedrijven die wel dat soort profielen van hun gebruikers opstellen zijn Google en Facebook. Die zijn tegelijk het moeilijkst om inzage bij te krijgen, omdat hun hoofdvestiging niet in Nederland zit. Facebook reageerde één keer op mijn inzageverzoek met een vraag om aanvullende informatie. Daarna hoorde ik niets meer. Google antwoordde inzicht te bieden in ‘de meeste’ van mijn gegevens via de eigen site. Daar vond ik onder andere mijn zoektermen terug en honderden privéfoto’s op mijn smartphone waar Google toegang toe bleek te hebben. Kwestie van een verkeerde privacyinstelling.

Wat er achter de schermen allemaal met mijn gegevens gebeurt blijft geheim. Europese privacytoezichthouders doen momenteel onderzoek naar Google. Tegen Facebook loopt een rechtszaak van duizenden Europeanen die de site beschuldigen van diverse privacyschendingen, waaronder het zonder toestemming doorgeven van persoonlijke data, onder andere aan de Amerikaanse geheime diensten.

Google en Facebook weten heel veel over mij en het is te hopen dat mijn privéfoto’s, zoektermen en privéberichten niet ooit door een technisch probleem op straat belanden. Van Europese privacyregels trekken ze zich tot nu toe weinig aan. Eigenlijk is er maar één conclusie: Als ik me hier werkelijk druk over maak, moet ik hun diensten niet meer gebruiken.

Ik heb een strafblad!

Dan de overheid. In antwoord op mijn inzageverzoek bij de gemeente ontvang ik een overzicht van de informatie die het ministerie van Binnenlandse Zaken, beheerder van de gemeentelijke basisadministraties, het afgelopen jaar over mij heeft verstrekt. Mijn gegevens gingen bijvoorbeeld naar het ministerie van Defensie. De dienstplicht is in Nederland nog altijd van kracht, alleen de opkomstplicht is ‘uitgesteld’. Van alle mannen tot 45 jaar moeten contactgegevens bekend zijn, mochten de Russen plotseling oprukken.

En dan was er een mysterieuze gegevensverstrekking van Binnenlandse Zaken aan de Justitiële Informatiedienst SKDB (met gegevens van verdachten en veroordeelden). Volgens een medewerker van de SKDB sta ik daarin, omdat ik in 2005 ben opgenomen in het Justitieel Documentatie Systeem (JDS). Dat betekent dat ik, zonder het te weten, een strafblad heb.

Om er achter te komen wat er precies speelt, moet ik nu weer een inzageverzoek doen bij dat JDS. Het blijkt te gaan om een ‘milieudelict’ in 2004. Inderdaad heb ik destijds eens een bekeuring gekregen voor het neerzetten van afval naast een uitpuilende vuilnisbak. Dit blijkt een ‘misdrijf’ te zijn dat mij twintig jaar lang een strafblad oplevert. Nog tien jaar te gaan.

Ook bij de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) deed ik een inzageverzoek. Over eventuele actuele gegevens van mij krijg ik met het oog op de staatsveiligheid niets te horen. Wel blijkt er in 2000 een klein onderzoek naar mij te zijn gedaan:

“In april 2000 is aan de Koninklijke Marechaussee Luchthaven Schiphol, in het kader van een veiligheidsonderzoek met betrekking tot een B-functie, meegedeeld dat er ten aanzien van W.G.C. Heck, geb. 22-09-1976, niets ten nadele bekend was.”

Ik ga er vanuit dat iemand in mijn omgeving, ik heb geen idee wie, destijds solliciteerde op een functie op Schiphol en dat toen onderzocht is of iemand in zijn of haar omgeving betrokken was bij staatsgevaarlijke activiteiten. Wat er allemaal kwam kijken bij dit onderzoek is voor mij alleen maar gissen.

Zelfs de KNVB doet het

De data die ik over mezelf heb opgespoord zijn nog maar een fractie van wat er werkelijk over mij wordt bewaard. Medische gegevens, telefoonverkeer. Het aantal databanken groeit en de gegevensuitwisseling groeit mee. Zonder dat je daar als burger veel zicht of invloed op hebt.

Maar de privacywetgeving dan? Ik heb datahandelaar 4Orange nooit toestemming gegeven voor het gebruik van mijn adres, waarop hun profiel van mij grotendeels is gebaseerd. Volgens het bedrijf mag een adres zonder toestemming in de database worden opgenomen, maar juristen bestrijden dit. “Als ik een adres weet, kan ik gemakkelijk uitzoeken wie daar woont. Daarmee is het een persoonsgegeven en is toestemming nodig voor verwerking”, zegt Mireille Hildebrandt, hoogleraar ict en rechtsstaat aan de Radboud Universiteit in Nijmegen. Net zo min mogen webwinkels als Bol.com zonder mijn toestemming bijhouden wat ik aanklik. Maar dat doen ze toch.

Lid van de KNVB? Dan gaan je postadres en telefoonnummer naar marketingbureaus en adverteerders. Ook kunnen ze je via e-mail benaderen. De KNVB probeert zo bij te verdienen. Net als vele tijdschriften, webshops en andere bedrijven met klantenbestanden. Bij de KNVB heeft de algemene ledenvergadering ermee ingestemd, zegt een persvoorlichter.

“Volgens de wet moeten klanten ondubbelzinnig toestemming geven voor het doorverkopen van hun gegevens. Bovendien moet het duidelijk zijn aan welke partijen en met welk doel de gegevens worden verkocht”, zegt Lisette Meij van juridisch adviesbureau ICTRecht.

“Vaak wordt alleen ergens in een privacyverklaring gemeld dat gegevens kunnen worden gedeeld met derde partijen. Veel KNVB-leden zullen dan ook helemaal niet weten dat hun gegevens worden verhandeld.”

Ik had daar in ieder geval geen idee van.

Wat nu?

De data die advertentiebedrijven, Google en Facebook over je verzamelen hebben invloed op je leven. De wetenschap dat er allerlei data over je worden vastgelegd, waarvan je niet weet aan wie ze worden doorgegeven of verkocht, kan je gevoel van vrijheid beperken. Duiken ze later nog eens op en in welke context dan?

De Belastingdienst, zelf al een van de grootste informatieverzamelaars in Nederland, kan privacygevoelige informatie uitwisselen met tal van andere instanties. Deurwaarders, woningcorporaties, zorgkantoren, de Kamer van Koophandel, de sociale verzekeringsbank en via die instanties weer met ziekenhuizen, psychologen, het Centrum voor werk en inkomen – de lijst is eindeloos. Zijn al die systemen goed beveiligd? Geen idee.

En heeft al de informatie over mij bij al die bedrijven en overheid invloed op mijn leven? Ik weet het niet en kan er moeilijk achter komen. Ik wist niet eens dat ik erin stond. Je zou er paranoïde van worden.