Wetenschap & techniekdatalek

Gelekte lijst Microsoft wijst op handel in persoonlijke profielen

Microsoft deelt websitebezoekers op in duizenden segmenten om relevante advertenties te kunnen tonen. Daarbij gebruikt het bedrijf gevoelige gegevens over gezondheid en maatschappelijke status. „Deze vorm van adverteren ondermijnt het recht op privacy.”

Pieter Beens
16 June 2023 16:06
beeld Getty Images/iStockphoto
beeld Getty Images/iStockphoto

Reclame voor een nieuwe keuken of babykleren: advertenties op internet sluiten vaak precies aan op de interesses of situatie van een websitebezoeker of appgebruiker. Toevallig? Nee. Uit een document dat per ongeluk op advertentieplatform Xandr –onderdeel van technologiebedrijf Microsoft– stond, blijkt dat bedrijven consumenten tot in detail in kaart brengen.

Ze registreren minutieus adressen, interesses en zelfs gezondheidsgegevens van consumenten en gebruiken die om hen in te delen in segmenten. Ook gevoelige en omstreden gegevens, zoals over gezondheidsproblemen, mogelijke verslavingen en godsdienstige en politieke overtuigingen, worden daarbij vastgelegd.

Het Reformatorisch Dagblad analyseerde het document, dat ontdekt werd door de Oostenrijkse privacy-onderzoeker Wolfie Christl. Onder de 651.463 segmenten in het bestand zijn er duizenden die over Nederlandse internetgebruikers gaan. Adverteerders kunnen hun reclames daarmee afstemmen op de WOZ-waarde van Nederlandse woningeigenaren en op inschattingen over hun koopkracht, sociale status en leeftijd.

De segmenten zijn afkomstig van Nederlandse bedrijven en van internationale dataverzamelaars die gegevens registreren via Nederlandse apps. Of gebruikers wel in de juiste hokjes zijn gestopt, is de vraag. En of de gegevens echt zo anoniem zijn als de verkopers ervan beweren ook. Maar in de wereld van het digitaal adverteren telt vooral het resultaat.

Schat aan gegevens

Die wereld is anno 2023 een goudmijn, maar in de beginjaren moesten adverteerders schieten met hagel. Automerken, keukenverkopers en kledingzaken telden vaak hoge bedragen neer om hun producten aan de man te brengen, maar wisten vooraf nooit zeker of ze de juiste doelgroep aanspraken.

Dat is tegenwoordig anders. Bedrijven gebruiken tal van technieken om websitebezoekers en appgebruikers nauwkeurig in kaart te brengen, zodat zij hun advertenties beter op hen kunnen afstemmen. Dat is belangrijk, want adverteren kost geld. Hoe relevanter reclame is, hoe groter de kans dat een investering geld oplevert. Daarom verzamelen bedrijven graag zoveel mogelijk informatie. Ze registreren websitebezoeken, locaties, klik- en kijkgedrag, zoekopdrachten, interesses en nog veel meer.

Internetgebruikers merken daar niets van, of in elk geval niet direct. Intussen belanden veel van hun gegevens wel bij allerlei –vaak onbekende– bedrijven. Die gebruiken de data om websitebezoekers in zogenaamde segmenten te stoppen en verkopen de verwerkte gegevens daarna weer door aan advertentieplatformen. Zij zorgen er op hun beurt via een ingewikkeld maar razendsnel biedingsproces –programmatic advertising– voor dat websites hun bezoekers relevante advertenties voorschotelen.

Wie zo als vermogende veertigplusser in een hokje belandt, krijgt daardoor bijvoorbeeld een advertentie voor luxe vakantievilla’s te zien. Mensen die mogelijk mentale gezondheidsproblemen hebben, zien op dezelfde plek reclame voor slaaptabletten.

Marktcijfers laten zien dat er voor adverteerders winst valt te behalen met deze methode. Naar schatting gaven ze vorig jaar in totaal bijna 500 miljard dollar (ruim 450 miljard euro) uit aan programmatic advertising. Dat bedrag neemt in 2026 naar verwachting toe tot bijna 725 miljard dollar.

Geen wonder dus dat Microsoft, ooit begonnen als computerontwikkelaar, interesse heeft in de advertentiemarkt. Vorig jaar juni legde het technologiebedrijf naar verluid een miljard dollar neer voor Xandr, een website die bemiddelt tussen adverteerders en aanbieders van advertentieruimte. Ter vergelijking: in 2021 boekte Microsoft haalde bijna 10 miljard dollar aan inkomsten op uit advertenties.

Luxe hedonisten

Terug naar de gegevens van internetgebruikers. Voor veel adverteerders geldt: hoe verfijnder die gegevens zijn, hoe groter de kans dat consumenten relevante reclame zien. Dat leidt niet alleen tot een heuse verzamelwoede, maar ook tot een levendige handel in consumentengegevens. Dat blijkt ook uit de lijst die Microsoft onbedoeld online had staan.

Analyse van de ruim 650.000 segmenten laat zien dat gegevens van consumenten meerdere malen worden doorverkocht. Zogenaamde ‘data brokers’ schromen daarbij niet om gevoelige gegevens als handelswaar aan te bieden. Zo maken ze onderscheid tussen internetgebruikers die aanleg kunnen hebben voor hart- en vaatziekten, classificeren ze burgers als voor- of tegenstanders van abortus en homorechten, en gebruiken ze locatiegegevens om kerkbezoekers te onderscheiden.

Ook Nederlandse burgers komen in de gegevens voor. Zo bevat de lijst segmenten over leeftijden, het aantal auto’s per huishouden, de gezinssamenstelling en het onderwijsniveau – afkomstig van het in Deventer gevestigde bedrijf Greenhouse Group B.V. Via deze firma belandden verder gegevens over het inkomen, de WOZ-waarde en de maatschappelijke klasse bij Microsoft. Ook moederbedrijf GroupM leverde gegevens aan. Daaruit blijkt dat internetgebruikers worden gekoppeld aan Nederlandse supermarktketens, bouwmarkten en restaurants.

Meet- en analysebedrijf comScore –met hoofdkantoor in Amsterdam– verzamelde gegevens over automerken, levensfase en bezochte fastfoodketens. Ook deelde het bedrijf Nederlandse vrouwen in op basis van hun gezondheid.

In de lijst komen verder gegevens voor van Whooz, een Haagse ‘segmentatiespecialist’ – zij het niet rechtstreeks van het bedrijf zelf maar via tussenpartijen. Whooz werkt voor tal van grote bedrijven, zoals Aegon, de ANWB en Vereniging Eigen Huis. Ook de Erdee Media Groep neemt er diensten af. Bedrijven kunnen hun advertenties richten op doelgroepen met namen als ‘luxe hedonisten’, ‘gevulde portemonnees’, ‘werkende studenten’ en ‘post-industriële overlevers’.

Dat de gegevens via meerdere bedrijven in het bestand kwamen, laat zien dat ze meerdere malen werden verhandeld.

19414154.JPG
Wolfie Christl. beeld Twitter

Ondermijnend

„De lijst is het meest overtuigende bewijs tot nu toe over datahandel”, zegt de Oostenrijkse privacy-onderzoeker Wolfie Christl. Het document bevestigt volgens hem dat honderden handelaren persoonlijke informatie verhandelen op wereldschaal. Christl: „Ze maken digitale profielen, die ze vervolgens aan duizenden bedrijven verkopen. Niemand weet precies waar de gegevens naartoe gaan en hoe ze worden gebruikt. Het lijkt me sterk dat de handelaren dat zelf wel weten.”

Volgens Christl zijn veel gegevens ook nog eens onnauwkeurig of gebrekkig. „Ze worden er daardoor niet beter op, maar beïnvloeden intussen wel steeds meer de manier waarop we de digitale wereld en de wereld om ons heen ervaren. Adverteerders kunnen deze gegevens bijvoorbeeld gebruiken om ons gedrag te beïnvloeden of om welbewust heel kwetsbare groepen te verleiden. Deze vorm van adverteren ondermijnt het recht op privacy, handelingsvermogen en autonomie. Als de techniek in politieke campagnes wordt gebruikt, kan die bovendien de democratie ondermijnen.”

Het wil er bij Christl niet in dat de segmentatie alleen anonieme gegevens bevat, zoals de aanbieders beweren. „Lijsten met segmenten bevatten pseudo-anonieme identificatiegegevens van personen, welke apparaten ze gebruiken en waar ze aankopen doen. Volgens de Algemene Verordening Gegevensbescherming (AVG) zijn dat persoonsgegevens. De bedrijven die de gegevens verzamelen, hebben daarom een rechtsgrond nodig voor de gegevensverwerking. Burgers zouden in dit specifieke geval zelf geïnformeerde toestemming moeten geven. Bij gevoelige gegevens zijn de regels nog strenger. Zonder geldige toestemming van consumenten is deze gegevensverwerking onwettig.”

Dure Porsche

„Dat niemand weet dat zijn gegevens zo worden gebruikt, botst alleen al met de informatieplicht uit de AVG”, zegt ICT-jurist Arnoud Engelfriet. „Iedereen die persoonsgegevens verwerkt, moet deze personen namelijk zelf en proactief informeren over wat er met die gegevens gebeurt. Consumenten hebben het recht om elke organisatie te vragen of zij iets over je weten, en welke informatie dat is. Daar moet men snel en duidelijk antwoord op geven.”

Nergens blijkt uit het bestand dat er toestemming voor het gebruik van de gegevens is gegeven, zegt Engelfriet. Het is volgens de ICT-jurist evenmin duidelijk welke andere grondslag uit de AVG zou gelden.

Aanbieders van de data kunnen zich volgens hem niet verschuilen achter het excuus dat de gegevens zijn samengevoegd. „Als je alleen stelt dat mannen van 18-24 jaar met een dure smaak vaak een Porsche kopen, is er geen sprake van persoonsgegevens. Maar de kans lijkt me reëel dat er toch ergens een lijst van personen met zo’n labeltje is. Want hoe ga je die mannen anders een reclame voor een sportwagen voorschotelen?”

Dat de lijst met segmenten online stond, is volgens de jurist een duidelijk datalek. „Dat is zonder meer boetewaardig.”

Meer over
Digitale media

RD.nl in uw mailbox?

Ontvang onze wekelijkse nieuwsbrief om op de hoogte te blijven.

Hebt u een taalfout gezien? Mail naar redactie@rd.nl

Home

Krant

Media

Puzzels

Meer