Wat is een gegevenshandelaar?
Gegevenshandelaren zijn bedrijven die uw gegevens verzamelen, bundelen en verkopen aan andere partijen voor wie u als consument, als koper en soms als burger interessant bent. Bij gegevenshandel draait het om het samenvoegen en verkopen van gegevens.
Wat is het verschil tussen een gegevenshandelaar en een informatiehandelaar? Er is geen verschil. Beide doen zaken door gegevens te verkopen om winst te maken. De termen “gegevenshandelaar” en “informatiehandelaar” zijn onderling uitwisselbaar.
Wat weten gegevenshandelaren over mij?
Gegevenshandelaren hebben de beschikking over persoonsgegevens als uw volledige naam, leeftijd, geslacht, e-mailadres, telefoonnummer, geboortedatum, woonplaats, persoonlijke interesses, koopgewoonten en opleidingsniveau. Soms hebben ze zelfs zeer vertrouwelijke informatie over u, bijvoorbeeld over uw inkomen en gezondheidstoestand of strafblad.
Aan de hand van dat soort informatie kan de branche van gegevenshandelaren u indelen in bepaalde categorieën en uw profiel verkopen aan iedereen die daarin geïnteresseerd is.
De omschrijving van de publieke persoon die wordt gekocht en verkocht door gegevenshandelaren leest vaak als een slecht geschreven biografie van de hand van iemand die u heeft zitten afluisteren. Hoewel het verzamelen van gegevens deels bestaat uit het verrijken, opschonen en analyseren van profielen die vervolgens worden verkocht aan andere bedrijven, kan het best zijn dat wat ze van u weten oppervlakkig, onnauwkeurig en volstrekt verzonnen is.
-
Al eens op zoek geweest naar babykleertjes voor uw zwangere schoonzus? Dan wordt u misschien aangemerkt als zwanger.
-
U hebt zich aangemeld voor een klantenkaart bij uw plaatselijke apotheek waar u de medicijnen voor uw oma met diabetes haalt? Dan wordt u misschien aangemerkt als iemand met een gezondheidsrisico.
-
U schrijft een artikel over gokken en bezoekt dus websites die erop duiden dat u wel van een gokje houdt? Dan wordt u misschien benaderd voor leningen met een hoog risico.
En zelfs als de gegevens die gegevenshandelaren over u hebben kloppen, blijft het behoorlijk eng om te zien wat ze over u weten.
-
U bent lid van een politieke partij? Dan weten ze naar welke partij uw voorkeur uitgaat.
-
U hebt een klantenkaart bij een fysieke winkel? Dan zijn ze op de hoogte van uw koopgedrag.
-
U hebt socialemedia-accounts? Dan kennen ze uw interesses, wat u leuk vindt en wat niet, uw geboortedatum, uw volledige naam, waar u bent geweest en van wie u familie bent. O, en ze weten uiteraard ook wat u allemaal hebt prijsgegeven in die verslavende persoonlijkheidsquizjes.
U wilt dit soort privé-informatie toch echt privé houden? En specifieker: u wilt zichzelf verwijderen van de lijsten van gegevenshandelaren? Dan moet u AVG BreachGuard hebben: dat programma helpt u om de controle over uw onlineprivacy weer in eigen hand te nemen en te voorkomen dat uw gegevens in verkeerde handen vallen.
Hoe komen die gegevenshandelaren aan hun informatie?
Gegevenshandelaren verzamelen gegevens door uw activiteiten te volgen, online en offline. De API's (Application Programming Interfaces) van socialemediawebsites, mobiele apps en e-commercewebsites bieden een inkijkje in uw onlineactiviteiten. Offlineactiviteiten kunnen worden gevolgd via openbaar toegankelijke documenten (trouwvergunningen, eigendomsregisters, bedrijfsvergunningen, kentekenregistraties) en klantenprogramma's van fysieke winkels.
De manier waarop gegevenshandelaren aan informatie komen mag dan een mysterie lijken, maar telkens als u iets zoekt op Google, een mobiele app gebruikt, reageert op Facebook, Twitter of Instagram, of gewoon uw dagelijkse digitale ding doet, produceert u identificeerbare gegevens die in handen van een derde partij kunnen vallen.
Dat heet webtracking. Webtracking wordt mogelijk gemaakt door software die is geïnstalleerd op de meeste websites en in mobiele apps om uw onlineactiviteiten te volgen en bij te houden waar u op klikt, welke pagina’s u weergeeft, hoeveel tijd u doorbrengt op een website en zelfs uw muisbewegingen. Wanneer deze gegevens aan elkaar worden gekoppeld, kunnen er bepaalde voorkeuren aan de dag worden gelegd aan de hand waarvan gegevenshandelaren u kunnen indelen op basis van vermeende aankoopintenties. Daarnaast komen gegevenshandelaren veel over u te weten wanneer u zich inlaat met onveilige onlineactiviteiten en natuurlijk ook wanneer hackers uw gegevens in handen krijgen.
Er bestaan twee bronnen voor het verzamelen van informatie: handelaren in gegevens uit de eerste hand en handelaren in gegevens van derden.
Het eerste type gegevenshandelaren verzamelt enorme hoeveelheden gegevens in ruil voor het gebruik van hun producten. Met elke foto die u plaatst, elke “vind-ik-leuk” die u geeft, elke zoekopdracht die u uitvoert, elk product met supersnelle levering dat u bestelt, geeft u meer over uzelf bloot. Handelaren in gegevens uit de eerste hand staan in een directe relatie tot u, de klant.
Meestal beweren dergelijke gegevenshandelaren stellig dat ze uw gegevens niet verkopen, maar sommigen maken gebruik van slimme bewoordingen om de privacyregels te omzeilen. Ze verkopen dan bijvoorbeeld toegang tot uw gegevens en niet uw gegevens zelf. In de woorden van een bepaalde zoekmachinegigant kunnen adverteerders zich tot mensen richten op basis van hun passies, gewoonten en interesses, en hun recente aankoopintenties (oftewel dat waar u online naar zoekt). Een lichtpuntje is dat u uw gegevens bij sommige services kunt downloaden. Zo kunt u achterhalen wat ze van u weten.
Handelaren in gegevens van derden als Experian en Equifax kopen gegevens van mensen met wie ze geen enkele directe relatie hebben, verpakken deze in een nieuw jasje en verkopen ze door.
Hoe verdienen gegevenshandelaren hun geld?
Gegevenshandelaren verdienen geld door de persoonsgegevens te verkopen die ze hebben verzameld, verfijnd en gebundeld naar consumentencategorie. Meestal wordt daarbij het eigendom van de gegevens technisch gezien niet tussen de partijen overgedragen (dat wil zeggen: “verkocht” in de traditionele zin), maar aan meerdere partijen geleased in de vorm van abonnementscontracten.
Voor een gegevenshandelaar bestaat de meest lucratieve variant uit de verkoop van gegevens in de vorm van kant-en-klaar consumentenpakketten. Het geheel is groter dan de som der delen. U, de “fietsfanaat”, of u, de “kersverse huiseigenaar”, bent het soort samengevoegde persoonsgegevens waar derden flink voor in de buidel willen tasten.
Hoe verfijnder de kant-en-klare gegevens, of hoe gevoeliger, des te hoger het prijskaartje. Door contactgegevens (naam, e-mailadres, telefoonnummer), demografische gegevens (salaris, leeftijd, geslacht, etniciteit) en consumentenvoorkeuren (voorkeuren, afkeuren, winkelgewoonten) te combineren, creëren gegevenshandelaren categorieën die ze te gelde kunnen maken.
Sommige categorieën, zoals “fietsfanaat” lijken onschuldig. In het ergste geval wordt u bestookt met advertenties voor nieuwe fietsen, terwijl u in werkelijkheid liever rolschaatst. Maar er worden ethische grenzen zichtbaar wanneer gegevenshandelaren lijsten met “slachtoffers van verkrachtingen”, “mannen met erectieproblemen” en “aids/hiv-lijders” samenstellen en verkopen.
Lijsten met mensen van wie dat wordt verondersteld zijn gewoon te koop voor 79 dollar per stuk.
In het algemeen is het de gegevenshandelaar te doen om het samenstellen van kant-en-klare consumentenbundels. Maar niet alle kopers van gegevens zijn geïnteresseerd in dat soort pakketten. Soms verdienen gegevenshandelaren meer geld door informatie over een specifieke persoon te verkopen, meestal in de vorm van een telefoongids of websites waarop je mensen kunt zoeken.
Wie koopt mijn gegevens?
Naast reclamebureaus en politieke partijen die gegevens kopen om gerichte politieke boodschappen aan u te sturen, zijn er ook andere kopers die geïnteresseerd zijn in specifieke gegevens over uw persoon. Een huisbaas kan uw gegevens kopen om zich een beeld te vormen van uw geloofwaardigheid als huurder, financiële instellingen om uw risico als lener in te schatten en werkgevers om erachter te komen of een vacature voor u geschikt is.
Wat zijn mijn gegevens waard?
De gegevenshandel is een miljardenbusiness: er gaat al gauw 200 miljard dollar in om. Sodeknetter! Bij elkaar opgeteld is dat een enorm bedrag. Nu vraagt u zich waarschijnlijk af hoeveel uw specifieke gegevens waard zijn. Het prijskaartje varieert van 89 dollar voor een e-mailadres tot 8 dollar per maand voor toegang tot uw socialemedia-accounts.
Hebt u iets met digitale waakzaamheid en wilt u de waarde van uw digitale gegevens in eigen hand nemen, dan kunt u zelf gegevenshandelaar worden.
Een beter alternatief is uw gegevens volledig van deze duistere lijsten te verwijderen. Met AVG BreachGuard kunt u voorkomen dat gegevenshandelaren geld aan u verdienen door automatisch verzoeken in te dienen om u van hun lijsten te verwijderen. Daarnaast controleert AVG BreachGuard de privacyrisico's doorlopend en waarschuwt u onmiddellijk als er ooit persoonsgegevens van u uitlekken.
Is het verzamelen van gegevens wettig?
Dat hangt af van waar u woont. Mensen in de EU zijn veel beter beschermd dan mensen in bijvoorbeeld China of Rusland.
In de VS worden zeer lucratieve bedrijfstakken als de gegevenshandel door grote geldschieters gestimuleerd om de wet ruim te interpreteren. Zelfs de toezichthouders zelf (wetgevers die zijn gekozen via gerichte verkiezingscampagnes waarmee veel geld is gemoeid) profiteren van het dunne koord waarop de gegevenshandel balanceert.
En in feite geven de meeste mensen zonder erbij stil te staan toestemming voor het verkopen van hun gegevens. Klikte u niet ook laatst nog snel op “Accepteren” op een website zonder de gebruiksvoorwaarden te hebben gelezen? Ja, dat gebeurt de hele tijd. En in de VS is dat zo legaal als wat. In Europa staat in de AVG (de Algemene Verordening Gegevensbescherming) – die geldt voor elke organisatie die zich richt tot of gegevens verzamelt over mensen in de EU – een zeer specifieke definitie van wat “toestemming” inhoudt.
In de VS bepalen de staten zelf wat illegale gegevenshandel uitmaakt. Medische dossiers en rapporten over kredietscores zijn gewoonlijk wel enigszins beschermd. In deze grijze zone van gegevensbescherming en onlineprivacyrechten bevindt gegevenshandel zich ergens op de grens tussen vaag (in het beste geval) en crimineel (in het slechtste geval).
Geldende wetten en regels inzake gegevensbescherming
Anders dan in de EU bestaat er in de VS geen federale wet voor gegevensbescherming met een algemene definitie van aanvaardbare praktijken. De Federal Trade Commission (FTC) probeert digitale privacy wel op de agenda te houden en verbiedt in het algemeen oneerlijke of misleidende handelingen of praktijken in of in verband met de handel.
De invloed van de FTC reikt ver, maar vaak blijft het bij ideeën. In mei 2014 bracht de FTC een 110 pagina's tellend rapport uit met de titel “Data Brokers: A Call for Transparency and Accountability”. Daarin werd nader ingegaan op de resultaten van een uitgebreid onderzoek naar de praktijken van negen grote gegevenshandelaren.
Het resultaat? Geen. Uit de aanbevelingen van de commissie is geen wettelijke regelgeving voortgekomen. In tegenstelling tot Europa heeft de VS geen allesomvattende wetgeving op federaal niveau en wordt het in plaats daarvan aan de afzonderlijke staten en de afzonderlijke bedrijfstakken overgelaten om gegevens te beschermen.
Zo is de Health Insurance Portability and Accountability Act (HIPAA) een voorbeeld van een nationale wet die gezondheidszorg- en ziektekostenverzekeringsgegevens beschermt. Toch kunnen Amerikanen online worden bestookt met reclame voor geneesmiddelen op recept op basis van sporadische gebruikersgegevens.
Maar er gloort licht aan het einde van de gegevenstunnel. Hier volgt een overzicht van de belangrijkste regels voor gegevensbescherming die momenteel gelden in de VS. Daarnaast vindt u hier een uitgebreider overzicht van de wetgeving inzake de bescherming van persoonsgegevens.
-
Fair Credit Reporting Act (FCRA): deze in 1970 aangenomen wet vereist dat kredietinformatiebureaus klanten de mogelijkheid bieden hun kredietrapport in te zien en eventuele fouten te corrigeren. Helaas is deze wet niet van toepassing op gegevenshandelaren, die niet onder de definitie van kredietinformatiebureau vallen, zoals handelaren die zich toeleggen op het zoeken van mensen, handelaren in advertenties en handelaren in risicobeperking.
-
California Consumer Privacy Act (CCPA): deze in 2018 aangenomen wet breidt de bescherming van de persoonlijke levenssfeer van consumenten uit tot internet. Mensen hebben recht op toegang tot de categorieën waarin ze zijn ingedeeld door gegevenshandelaren. En ze moeten een onlinekennisgeving en een duidelijke kans krijgen om zich af te melden voordat bedrijven hun gegevens mogen verkopen.
Een amendement op de CCPA uit 2019 verplicht gegevenshandelaren ertoe zich te registreren bij de procureur-generaal van Californië, tegen een jaarlijkse vergoeding. De CCPA wordt beschouwd als de meest uitgebreide wet voor gegevensbescherming in de Verenigde Staten, maar alleen inwoners van Californië worden erdoor beschermd.
-
Data Broker Law van Vermont: deze in 2018 aangenomen wet vereist dat gegevenshandelaren zich jaarlijks registreren bij de staat en zelf allerlei aspecten van hun werkzaamheden rapporteren. Daaronder vallen het verstrekken van afmeldingsinstructies voor individuen, het openbaar maken van de procedures voor het verkrijgen van gegevens, het melden van gegevenslekken en vrije toegang tot het bevriezen van kredietgegevens.
De meest voorkomende soorten gegevenshandelaren
-
Marketing- en advertentiehandelaren helpen met name bedrijven die zich tot u als consument richten. De bekendste handelaren zijn Datalogix, eigendom van Oracle, en Acxiom, waarvan wordt aangenomen dat het beschikt over 3000 kenmerken en de scores voor 700 miljoen mensen.
-
Handelaren die zich toeleggen op het zoeken van mensen verkopen gegevensprofielen van individuen. Bij sommige van die handelaren, bijvoorbeeld Pipl, moet u expliciet aangeven wat u met de gegevens wilt doen, terwijl andere, zoals Spokeo, u onmiddellijk gratis toegang tot de resultaten verlenen.
-
Handelaren in persoonlijke gezondheidsgegevens zijn gespecialiseerd in het verzamelen van privacygevoelige informatie over uw gezondheid (geneesmiddelenrecepten, aankopen bij de apotheek, enzovoort) en uw veronderstelde gezondheid (symptomen die u online opzoekt). Vervolgens verkopen ze die gegevens aan zorgverzekeraars die op hun beurt kunnen weigeren personen te verzekeren of hun premie kunnen verhogen op basis van hun gegevensprofiel.
-
Handelaren in financiële gegevens houden zich bezig met het verkopen van persoonsgegevens als de kredietscore van individuen en de kans dat ze een lening niet aflossen. Daarnaast helpen ze bij het controleren van de ware identiteit van aanvragers om frauduleuze activiteiten te voorkomen. Dergelijke gegevens kunnen tegen u worden gebruikt en leiden tot hogere rentetarieven bij verzekeringsmaatschappijen of de weigering van banken om u een lening te verstrekken. De belangrijkste spelers in deze sector zijn Experian, Equifax en Transunion.
Hoe kan ik me afmelden voor deze lijsten?
Helemaal uit de lijsten van gegevenshandelaren blijven is lastig, maar het is wel mogelijk. U kunt contact opnemen met afzonderlijke gegevenshandelaren en om verwijdering verzoeken. U kunt tegen betaling een bedrijf inschakelen om dat voor u te doen. U kunt natuurlijk ook voorkomen dat u op ongewenste lijsten belandt door stappen te zetten om uw privacy online te beschermen.
-
Optie 1: u afmelden
Deze methode kan erg tijdrovend zijn en is niet waterdicht. Bij Privacy Rights Clearinghouse vindt u een openbare lijst met gegevenshandelaren, samen met een koppeling naar hun privacybeleid en een korte beschrijving van de afmeldingsprocedure. Dat is een goed begin, maar wie zich wil afmelden van de lijsten bij afzonderlijke gegevenshandelaren heeft engelengeduld nodig, moet in de gaten houden of er inderdaad iets gebeurt en de hele procedure regelmatig herhalen. Anders haalt het niets uit.
-
Optie 2: betaal een bedrijf om uw afmelding te verzorgen
Bespaar tijd en meld u aan bij een service als AVG BreachGuard, die het vuile werk voor u opknapt. Niet alleen wordt uw privacyrisico dan 24 uur per dag, 7 dagen per week in de gaten gehouden, maar u krijgt ook inzicht in wie u volgt.
-
Optie 3: voorkom dat u op een lijst terechtkomt
U kunt uw onlinegewoonten aanpassen en uw gegevens versleutelen en beschermen. Gebruik bijvoorbeeld een veilige browser, zoals AVG Secure Browser, en vermijd van onnodige risico’s online door geen onbekende e-mailberichten te openen, niet overal en nergens een account in te stellen en geen riskante apps te downloaden. Op zich zijn dat slimme en veilige browsegewoonten, maar u ontkomt daarmee niet aan gegevenshandelaren. En ondanks uw beste bedoelingen vallen gegevenslekken op legitieme websites – waardoor uw gegevens op straat kunnen komen te liggen – buiten uw invloedssfeer. Daarom is het van groot belang dat u een plan klaar hebt om uw privacy te beschermen en de risico's te bewaken.
Bescherm uw gegevens proactief met AVG BreachGuard
AVG BreachGuard is uw digitale lijfwacht, die u 7 dagen per week, 24 uur per dag beschermt tegen onvoorziene onlinedreigingen. De privacybescherming van AVG BreachGuard bestaat uit drie lagen:
-
24/7 controle van privacyrisico's: als er een gegevenslek optreedt, stelt AVG BreachGuard u daarvan op de hoogte. Wij controleren het dark web doorlopend op gelekte gegevens, melden het meteen wanneer er gegevens van u zijn uitgelekt en geven aan hoe u het probleem kunt oplossen.
-
Verwijderen van lijsten bij gegevenshandelaren: u komt ongetwijfeld voor op honderden, zo niet duizenden lijsten bij handelaren in gegevens van derden. Met AVG BreachGuard kunt u zien wat voor informatie er over u wordt verzameld en worden handelaren automatisch verzocht u uit hun databases te verwijderen.
-
Controle van de veiligheid van accounts: controleer wat voor gegevens er online over u aanwezig zijn en laat u adviseren over manieren om uw digitale doen en laten beter te beschermen, bijvoorbeeld door sterkere wachtwoorden in te stellen en accountinstellingen te optimaliseren.
Soms lijkt echte privacy online in deze tijd niet haalbaar. Maar met de bescherming van AVG BreachGuard hoeft u zich daarover geen zorgen te maken.