Reclame voor een nieuwe keuken of voor babykleren: advertenties op internet sluiten vaak precies aan op de interesses of situatie van een websitebezoeker of appgebruiker. Toevallig? Nee. Uit een document dat per ongeluk op advertentieplatform Xandr –onderdeel van technologiebedrijf Microsoft– stond, blijkt dat bedrijven consumenten tot in detail in kaart brengen. Ze registreren minutieus adressen, interesses en zelfs gezondheidsgegevens van consumenten en gebruiken die om hen onder te brengen in ‘segmenten’. Gevoelige en omstreden gegevens, zoals over gezondheidsproblemen, mogelijke verslavingen en godsdienstige en politieke overtuigingen, worden daarbij niet geschuwd.
Uit een analyse van het document, dat ontdekt werd door de Oostenrijkse privacy-onderzoeker Wolfie Christl, blijkt dat Microsoft in het bezit is van duizenden segmenten met informatie over Nederlandse internetgebruikers. Adverteerders kunnen hun reclames daardoor afstemmen op de WOZ-waarde van Nederlandse woningeigenaren en op inschattingen over hun koopkracht, sociale status en leeftijd. De segmenten zijn afkomstig van Nederlandse bedrijven en van internationale dataverzamelaars die gegevens registreren via Nederlandse apps. Of gebruikers in de juiste hokjes zijn gestopt, is maar de vraag. Of de gegevens echt zo anoniem zijn als de verkopers ervan beweren is dat ook. Maar in de wereld van programmatic advertising telt vooral het resultaat.
Een schat aan gegevens
De wereld van onlinereclame is anno 2023 een goudmijn, maar in de beginjaren moesten adverteerders schieten met hagel. Automerken, keukenboeren en kledingzaken telden vaak hoge bedragen neer om hun producten aan de man (m/v) te brengen, maar wisten vooraf nooit zeker of ze de juiste doelgroep aanspraken.
Dat is tegenwoordig anders. Bedrijven gebruiken tal van technieken om websitebezoekers en appgebruikers nauwkeurig in kaart te brengen, zodat zij hun advertenties beter op hen kunnen afstemmen. Dat is belangrijk, want adverteren kost geld. Hoe relevanter reclame is, hoe groter de kans dan ook is dat een investering geld oplevert. Om te weten welk vlees ze in de kuip hebben, verzamelen bedrijven dan ook een schat aan informatie. Ze registreren websitebezoeken, locaties, klik- en kijkgedrag, zoekopdrachten, interesses en nog veel meer.
Internetgebruikers merken daar niets van, of in elk geval niet direct. Ondertussen belanden veel gegevens over hen wel bij tal van –vaak onbekende– bedrijven. Die gebruiken de gegevens om nietsvermoedende websitebezoekers in hokjes te stoppen en verkopen de verwerkte gegevens weer door aan advertentieplatformen. Zij zorgen er via een ingewikkeld maar razendsnel biedproces voor dat websites diezelfde internetgebruikers relevante advertenties voorschotelen. Wie in de boeken belandt als een vermogende veertigplusser krijgt daardoor bijvoorbeeld een advertentie voor een luxe vakantievilla te zien. Bezoekers die mentale gezondheidsproblemen kunnen hebben, zien op dezelfde plek reclame voor slaaptabletten.
Marktcijfers laten zien dat er voor adverteerders winst valt te behalen met deze methode. Naar schatting gaven ze vorig jaar in totaal bijna 500 miljard dollar (ruim 450 miljard euro) uit aan programmatic advertising. Dat advertentiebedrag neemt in 2026 naar verwachting toe tot bijna 725 miljard dollar. Geen wonder dus dat Microsoft, ooit begonnen als computerontwikkelaar, interesse heeft in de advertentiemarkt. Vorig jaar juni legde het technologiebedrijf naar verluid een miljard dollar neer voor Xandr, een website die bemiddelt tussen adverteerders en aanbieders van advertentieruimte. Ter vergelijking: in 2021 boekte Microsoft haalde bijna 10 miljard dollar aan inkomsten op uit advertenties.
‘Luxe hedonisten’
Terug naar de gegevens van internetgebruikers. Voor veel adverteerders geldt: hoe verfijnder die gegevens zijn, hoe groter de kans is dat consumenten relevante reclame zien. Dat leidde niet alleen tot een heuse verzamelwoede, maar ook tot een levendige handel in consumentengegevens. Dat blijkt ook uit de lijst die Microsoft onbedoeld online had staan. Analyse van de ruim 650.000 segmenten laat zien dat gegevens van consumenten meerdere malen worden doorverkocht. Zogenaamde ‘data brokers’ schromen daarbij niet om gevoelige gegevens als handelswaar aan te bieden. Zo maken ze onderscheid tussen internetgebruikers die aanleg kunnen hebben voor hart- en vaatziekten, classificeren ze burgers als voor- of tegenstanders van abortus en homorechten, en gebruiken ze locatiegegevens om kerkbezoekers te onderscheiden.
Ook Nederlandse burgers komen in de gegevens voor. Zo bevat de lijst segmenten over leeftijden, het aantal auto’s per huishouden, de gezinssamenstelling en het onderwijsniveau –afkomstig van het in Deventer gevestigde bedrijf Greenhouse Group B.V. Van het bedrijf belandden verder gegevens over het inkomen, de WOZ-waarde en de maatschappelijke klasse bij Microsoft. Ook moederbedrijf GroupM leverde gegevens aan. Daaruit blijkt dat internetgebruikers worden gekoppeld aan Nederlandse supermarktketens, bouwmarkten en restaurants. Meet- en analysebedrijf comScore –het hoofdkantoor van het bedrijf zit in Amsterdam– verzamelde gegevens over automerken, levensfase en bezochte fastfoodketens. Ook deelde het bedrijf Nederlandse vrouwen in op basis van hun gezondheid. In de lijst komen verder gegevens van Whooz, een Haagse ‘segmentatiespecialist’, voor –zij het niet rechtstreeks van het bedrijf zelf maar via tussenpartijen. Bedrijven kunnen hun advertenties richten op doel groepen met namen als ‘luxe hedonisten’, ‘gevulde portemonnees’, ‘werkende studenten’ en ‘post-industriële overlevers’. Dat de gegevens via meerdere bedrijven in het bestand kwamen, bevestigt dat ze meerdere keren werden verhandeld.
Ondermijnend
„De lijst is het meest overtuigende bewijs tot nu toe over datahandel”, zegt privacy-onderzoeker Wolfie Christl. De lijst bevestigt volgens hem dat honderden handelaren persoonlijke informatie van wie dan ook verhandelen op wereldschaal. Christl: „Ze maken digitale profielen, die ze vervolgens aan duizenden bedrijven verkopen. Niemand weet precies waar de gegevens naartoe gaan en hoe ze worden gebruikt. Het lijkt me sterk dat de handelaren dat zelf wel weten.”
Volgens Christl zijn veel gegevens ook nog eens onnauwkeurig of gebrekkig. „Ze worden er daardoor niet beter op, maar beïnvloeden ondertussen wel steeds meer de manier waarop we de digitale wereld en de wereld om ons heen ervaren. Adverteerders kunnen deze gegevens bijvoorbeeld gebruiken om ons gedrag te beïnvloeden of om welbewust heel kwetsbare groepen te verleiden. Deze vorm van adverteren ondermijnt het recht op privacy, handelingsvermogen en autonomie. Als de techniek in politieke campagnes wordt gebruikt, kan die bovendien de democratie ondermijnen.”
Het wil er bij Christl niet in dat de segmentatie ‘anonieme’ gegevens bevat, zoals de aanbieders beweren. „Lijsten met segmenten bevatten pseudo-anonieme identificatiegegevens van personen, welke apparaten ze gebruiken en waar ze aankopen doen. Volgens de Algemene Verordening Gegevensbescherming (AVG) zijn dat persoonsgegevens. De bedrijven die de gegevens verzamelen, hebben daarom een rechtsgrond nodig voor de gegevensverwerking. Burgers moeten in dit specifieke geval zouden zelf geïnformeerde toestemming geven. Bij gevoelige gegevens zijn de regels nog strenger. Zonder geldige toestemming van consumenten is deze gegevensverwerking onwettig.”
„Dat niemand weet dat zijn gegevens zo worden gebruikt, botst alleen al met de informatieplicht uit de AVG”, zegt ICT-jurist Arnoud Engelfriet. Iedereen die persoonsgegevens verwerkt, moet deze personen namelijk zelf en proactief informeren over wat er met die gegevens gebeurt. Consumenten hebben het recht om elke organisatie te vragen of zij iets over je weten, en welke informatie dat is. Daar moet men snel en duidelijk antwoord op geven.” En, zegt Engelfriet, verder blijkt nergens uit het bestand dat er toestemming voor het gebruik van de gegevens is gegeven. Het is volgens de ICT-jurist evenmin duidelijk welke andere grondslag uit de AVG zou gelden. Aanbieders van de data kunnen zich volgens hem niet verschuilen achter het excuus dat de gegevens zijn samengevoegd. „Als je alleen stelt dat mannen van 18-24 jaar met een dure smaak vaak een Porsche kopen, is er geen sprake van persoonsgegevens. Maar de kans lijkt me reëel dat er toch ergens een lijst van personen met zo’n labeltje is. Want hoe ga je die mannen anders een reclame voor een sportwagen voorschotelen?” Dat de lijst met segmenten online stond, is volgens de jurist een duidelijk datalek. „Dat is zonder meer boetewaardig.”
Reactie bedrijven
‘We hebben het verouderde document dat per ongeluk op onze website was gepubliceerd verwijderd’, laat een woordvoerder van Microsoft in een reactie aan het Reformatorisch Dagblad weten. ‘We nemen deze zaken uiterst serieus. Het privacybeleid van Xandr bevat alle informatie over ons huidige privacybeleid. We evalueren dat beleid regelmatig om ervoor te zorgen dat we voldoen aan de toepasselijke wetgeving op het gebied van gegevensbescherming.’ Privacy officer Ed Kassens van Whooz laat weten dat Whooz niet rechtstreeks maar wel via een partner samenwerkt met Xandr. „Ons kernproduct bestaat uit gegevens op postcode-huisnummerniveau. Daarvoor moeten we aan de AVG voldoen. De gegevens die we aanleveren, zijn voorspellingen. De Whooz-gegevens in het bestand zijn geaggregeerd en dus geen persoonsgegevens. De AVG-grondslag voor onze segmentatie is ‘gerechtvaardigd belang’.’ Leveranciers en gebruikers van gegevens zijn volgens Kassens verantwoordelijk voor het informeren van consumenten over wat er met hun gegevens gebeurt. Greenhouse Group B.V. zegt niet bekend te zijn met het bestand, maar bevestigt de samenwerking met Xandr. ‘Voor zover ons bekend zijn de gegevens publiekelijk beschikbaar bij diverse bronnen, waaronder het CBS’, laat het bedrijf weten. ‘Het zijn dus geen persoonsgegevens. Bovenal werkt Greenhouse te allen tijde in overeenstemming met de AVG.’
Dit artikel verscheen in het Reformatorisch Dagblad van 16 juni 2023.
Illustratie: © Bohdan Orlov via Unsplash
