Indignatie redactie 
Een onthulling in Nederland laat de risico’s zien die de mondiale datahandel met zich meebrengt – ook voor de nationale veiligheid. Dienovereenkomstig waren gedetailleerde locatiegegevens van mogelijk miljoenen Nederlanders te koop, inclusief militairen en beschermde politici.
Het gaat om ruim 80 gigabyte aan data over de locaties van mensen in Nederland, aangeboden via het platform van een Berlijnse datamakelaar. Dit zou ook gegevens moeten omvatten van mensen uit veiligheidsrelevante groepen. De particuliere radio BNR publiceerde vorige week onderzoek dat een nieuwe dimensie laat zien van de afgronden die zich openen door de mondiale handel in data .
Volgens het rapport heeft BNR in de dataset onder meer een hoge legerofficier kunnen identificeren. Zijn bewegingen waren traceerbaar tussen zijn huis en verschillende militaire locaties. In een interview met BNR bevestigde de soldaat dat het zijn bewegingsprofiel moest zijn.
Volgens BNR bezochten maar liefst 1.200 telefoons uit de dataset een kantorencomplex waar de Nationale Politie, het Landelijk Parket en Europol zijn gevestigd. Op vliegbasis Volkel, een opslagplaats voor kernwapens, werden maar liefst 370 telefoons geteld waarvan de bewegingen konden worden getraceerd.
Volgens BNR maakte de dataset het ook mogelijk om het woonadres te achterhalen van iemand die veelvuldig de gevangenis in Vught bezoekt, waar terroristen en zware criminelen gevangen zitten. De lokale rechterlijke instantie heeft de zaak onderzocht en bevestigd dat het om een persoon ging die een mobiele telefoon mee mocht nemen.
Mogelijk vier miljoen Nederlanders slachtoffer van tracking
De precieze herkomst van de online verhandelde gegevens is onduidelijk. Volgens de aanbieders zijn die afkomstig van apps die van gebruikers toestemming hebben gekregen locatiedata te gebruiken. Hierbij valt te denken aan fitness- of navigatie-apps die gegevens doorverkopen. Zo komen de data uiteindelijk bij Factori en Datastream terecht. Door gegevens uit meerdere bronnen te combineren ontstaan gigantische bestanden.
De Datastream Group claimt in promotiematerialen elke maand zelfs bijna de helft van alle Nederlandse telefoons te kunnen volgen. Dit lijkt aan de hoge kant. In de aangeleverde proefbestanden van Datastream zaten samen iets meer dan vier miljoen unieke identifiers. Factori’s bestanden omvatten iets meer dan een kwart miljoen mobile advertising IDs.
Specifieke mensen geïdentificeerd in de gegevens
IT-beveiligingsexpert Paul Pols zei dat de Nederlandse geheime diensten MIVD en AIVD dergelijke gegevens ook zouden kopen en gebruiken. Hoe geheime diensten gegevens uit de reclame-industrie kunnen gebruiken om mensen te monitoren en te lokaliseren , is tot nu toe vooral gerapporteerd met het oog op de VS. Blijkbaar is het verrassend eenvoudig om dergelijke gegevens te verkrijgen.
Uit een recent onderzoek van Duke University is gebleken dat datahandelaren de gegevens van Amerikaans militair personeel voor slechts een paar cent verkochten – een aanzienlijke bedreiging voor de nationale veiligheid, aldus de auteurs. De Ierse burgerrechtenorganisatie ICCL heeft er onlangs in een rapport op gewezen dat deze dreiging ook geldt voor de EU . Uit het BNR-onderzoek blijkt nu hoe concreet het gevaar is.
BNR verwierf de dataset op het platform Datarade.ai . Daarachter staat een bedrijf gevestigd in Berlijn. Honderden bedrijven bieden verzamelde gegevens te koop aan op het platform. Naast locatiegegevens zijn ook medische informatie en kredietwaardigheidsinformatie beschikbaar. Voor haar onderzoek heeft de BNR data onderzocht van de bedrijven Datastream Group uit de VS en Factori.ai uit Singapore.
Hiervoor heeft BNR een gratis voorbeelddataset ontvangen. De inhoud: één maand historische data van vier miljoen Nederlandse telefoons. Betalende klanten kunnen elke dag nieuwe gegevens ontvangen vanaf $ 2.000 per maand, meldt BNR. Hoewel telefoonnummers niet in de gegevens konden worden gevonden, konden in plaats daarvan andere kenmerken, zoals de mobiele advertentie-ID, worden gevonden. Dit is een unieke identificatie die door de fabrikant van het besturingssysteem aan een mobiel apparaat wordt toegewezen. Ze maken het voor advertentiediensten mogelijk om aanbiedingen te personaliseren.
Op het eerste gezicht zou je kunnen denken dat dit tamelijk onschuldig is; er bestaat immers geen openbaar telefoonboek dat een mobiel reclame-ID aan iemands echte naam koppelt. Maar verre van dat: BNR rapporteert over de eenvoudige stappen waarmee het mogelijk was om specifieke mensen achter de data te identificeren. Het enige wat we moesten doen was publiek beschikbare informatie combineren: waar mensen slapen en waar mensen werken. De eerste zijn te vinden via openbare registers zoals het kadaster, de tweede via LinkedIn.
Gebruikers hadden zelf toestemming moeten geven
BNR heeft de exacte herkomst van de gegevens niet kunnen achterhalen. Volgens de datahandelaren zijn ze afkomstig van apps waaraan gebruikers toestemming hebben gegeven om locatiegegevens te gebruiken. Dit kunnen bijvoorbeeld fitness- of navigatie-apps zijn. Vorig jaar lieten we in ons Xandr-onderzoek zien dat weer-apps een enorm belangrijke bron van locatiegegevens zijn.
De door BNR onderzochte gegevens bleken onjuistheden te bevatten. Zo bleek dat een deel van de getroffen personen locaties uit de dataset bezocht, maar op andere tijdstippen dan aangegeven.
De bedrijven die in het onderzoek worden genoemd en waarmee BNR wordt geconfronteerd, benadrukken dat zij zich aan de Europese regelgeving inzake gegevensbescherming hielden. De Berlijnse datamarktplaats Datarade.ai laat in een e-mail aan BNR weten dat handelaren zelf “volledig aansprakelijk” zijn voor de data die zij aanbieden. Onrechtmatige praktijken kunt u melden via een online formulier .
Advocaten zeggen tegen BNR dat deze vorm van datahandel illegaal is. Er zou onder meer niet worden voldaan aan de eisen van de Algemene Verordening Gegevensbescherming . De wet vereist geïnformeerde toestemming van gebruikers. Mensen moeten begrijpen wat er met hun gegevens gebeurt.
Volgens de AVG hebben mensen ook recht op toegang tot gegevens. Hierdoor kunnen zij achterhalen wat bedrijven over hen hebben opgeslagen en desgewenst bezwaar maken tegen de verwerking. Dergelijke informatie kan de basis vormen voor een klacht bij de gegevensbeschermingsautoriteiten. Hier hebben we een overzicht gepubliceerd van enkele voor Duitsland relevante datahandelaren en hun contactadressen.
Volgens Jaap-Henk Hoepman, universitair hoofddocent Digital Security aan de Radboud Universiteit, zal het aantal telefoons dat hierachter schuilgaat vergelijkbaar zijn. ‘Je kan zo’n adverteerders-ID handmatig resetten, maar dat doet bijna niemand.’ Dat betekent niet per se dat daadwerkelijk vier miljoen Nederlands getrackt zijn. Verkopers kunnen valse gegevens hebben toegevoegd aan de bestanden, om een hogere prijs te vragen. In de data zitten ook foutjes. Zo bleek een aantal getrackte personen wel locaties uit de data te hebben bezocht, maar op andere momenten dan aangegeven.
Toch is het niet moeilijk om de eigenaren van individuele telefoons in de data te herkennen. Door slaapplaatsen te koppelen aan gegevens uit openbare registers, zoals het Kadaster, en werkplekken aan LinkedIn-profielen, wist BNR behalve de officier van de landmacht onder meer een projectmanager uit Alphen aan den Rijn en een scheidsrechter uit het amateurvoetbal te identificeren. De ontdekking minstens een maand lang digitaal achtervolgd te zijn, leidde tot geschrokken reacties. ‘Bizar’, en: ‘Ik heb ‘locatiegegevens delen’ op mijn telefoon meteen uitgezet’.
Handel is verboden, maar overheid treedt niet op
Datarade, de Berlijnse datamarktplaats, laat in een mail aan BNR weten dat handelaren op hun platform zelf ‘volledig aansprakelijk’ zijn voor de gegevens die zij aanbieden. Illegale praktijken kunnen worden gemeld middels een online formulier. De woordvoerder van het Duitse bedrijf laat de vraag of er maatregelen worden genomen tegen de verkoop van locatiegegevens onbeantwoord.
Factori en Datastream reageerden niet op verzoeken om commentaar. Wel claimen deze bedrijven op hun websites te voldoen aan Europese privacywetgeving. Gebruikers zouden zelf toestemming geven voor het delen van hun gegevens. Experts vegen de vloer aan met deze bewering. ‘Het lijkt mij duidelijk dat dit illegaal is’, zegt Aline Klingenberg, hoogleraar IT-recht aan de Universiteit Groningen. ‘Maar een rechter heeft zich hier nog nooit in de hoogste instantie over uitgesproken.’
Volgens Klingenberg mogen persoonsgegevens alleen worden doorverkocht als gebruikers daar ‘geïnformeerde toestemming’ voor geven en is het onwaarschijnlijk dat gebruikers weten waarvoor ze dat doen. Ook Anouk Ruhaak, voorzitter van de Stichting Data Bescherming Nederland (SDBN), noemt de massale handel in mobiele locatiegegevens ‘hartstikke illegaal’. ‘Het langer bewaren van gegevens dan je ze nodig hebt mag sowieso niet’, zegt Ruhaak. Ook zijn Factori en Datastream beide buiten Europa gevestigd. Gegevens van Nederlandse burgers daar op deze manier bewaren is ook verboden, aldus de SDBN-voorzitter.
‘Tot treurens toe beperkt door privacywetgeving’
Volgens Ruhaak wordt niet opgetreden tegen de grootschalige privacyschendingen omdat dit te weinig politieke prioriteit heeft. ‘Het is een kwestie van geld. De wet is toereikend, maar de Autoriteit Persoonsgegevens heeft gewoon te weinig mensen om aan alles iets te doen.’
Cybersecurityexpert Pols noemt het ‘onbegrijpelijk’ dat de handel in locatiegegevens in relatieve openheid plaats kan vinden. ‘Elke burger wordt tot treurens toe beperkt door de privacywetgeving. Als je belt met een klantenservice kunnen ze je niks vertellen voordat je je uitgebreid identificeert, maar dit soort massale schendingen kan gewoon doordraaien.’
Reactie Dienst Justitiële Inrichtingen
‘Binnen inrichtingen van DJI zijn smartphones niet toegestaan. Hier wordt streng op toegezien. Daarbij neemt DJI verschillende maatregelen om de invoer van telefoons tegen te gaan. Bezit van een telefoon, door bijvoorbeeld een medewerker of ambtelijk bezoek, is alleen toegestaan na toestemming van de directie.
DJI heeft onderzoek gedaan naar de aangeleverde data en naam van de telefoonhouder en concludeert dat deze persoon geen gedetineerde of medewerker van DJI is. Deze persoon was met toestemming van de directie op het terrein van PI Vught aanwezig. Eveneens is toestemming verleend voor het bij zich dragen van een telefoon. Deze persoon is echter niet in het EBI-gebouw geweest.
Het tracken van personen en handel in locatiedata raakt niet alleen DJI, maar meerdere organisaties en instellingen. DJI onderzoekt welke consequenties dit heeft voor de eigen organisatie en welke maatregelen eventueel nodig zijn.’
Reactie Defensie
‘Over de authenticiteit van de gegevens doet Defensie geen uitspraak vanwege privacy en veiligheid. Mobiele telefoons zijn niet meer weg te denken in de huidige maatschappij en dat medewerkers deze meenemen op kazernes is toegestaan. Om eventuele risico’s te ondervangen zijn procedurele en technische maatregelen genomen. Ook worden medewerkers geïnstrueerd hoe hier mee om te gaan. Over deze aanvullende maatregelen doet Defensie verder geen uitspraken.’
Reactie Datarade
‘Als platform treden we enkel op als tussenpersoon. We verkopen zelf geen datasets. Datahandelaren kunnen hun datastets op ons platform te koop aanbieden om in contact te komen met geïnteresseerden. Natuurlijk staan we uitsluitend legale content toe op ons platform, zoals ook in onze algemene voorwaarden vermeld. […]
Datarade vindt het belangrijk dat wetsovertredingen worden aangepakt. Als u als rechthebbende van bepaalde data of de vertegenwoordiger van een rechthebbende meent dat uw rechten zijn geschonden of de wet is overtreden, vragen we u vriendelijk dit online te melden via ons Content Report Form.’
