Nieuwe journalistieke inzichten in een databank gepubliceerd door ’s werelds grootste marktplaats voor persoonsgegevens roepen zorgen voor intrusieve marketingstrategieën tegen Europese burgers op. Het document van het bedrijf, Xandr, bevat honderdduizenden doelgroepsegmenten, waaronder vele zijn gebaseerd op zeer gevoelige persoonsgegevens van een onbekend aantal betrokkenen. De reactie van toezichthouders blijft desondanks terughoudend.
Xandr, een wereldwijde marktplaats voor reclames, haalde vorig jaar het nieuws nadat Microsoft het had overgenomen van Amerikaanse telecomreus AT&T, voor ongeveer 1 miljard dollar. Nu staat het bedrijf weer op de radar vanwege een document dat op zijn website is gepubliceerd, waarin het meer dan 650.000 doelgroepsegmenten heeft verzameld.
Een segment is een categorie potentiële advertentiedoelen die verbonden zijn door één of meer gemeenschappelijke kenmerken, zoals "middenklasse vaders" of "vegetarische vrouwen". Klanten van Xandr kunnen vervolgens op basis van één of meer segmenten kiezen welke doelgroepen ze willen targeten met hun advertenties.
Deze segmenten worden niet uit het niets gecreëerd. Ze worden gegenereerd op basis van informatie die mensen achterlaten op internet als we een webpagina bezoeken, een product kopen of praten met vrienden naast een slimme luidspreker (1).
Het terugkerend probleem hierbij is of die informatie legitiem wordt verzameld, en tegelijkertijd hoe deze daarna wordt gebruikt. Een onderzoek door journalisten van de Duitse nieuwsorganisatie Netzpolitik (2) richt zich op de laatste vraag en waarschuwt voor de mogelijke inbreuken op fundamentele rechten die worden gepleegd door de gegevensmakelaarsindustrie.
De onderzoekers analyseren een steekproef van ongeveer 2.000 segmenten, die ze alarmerend vinden vanwege de gevoeligheid van de gebruikte parameters. Deze omvatten voornamelijk gevoelige categorieën gegevens, waarvan de verwerking voor marketingdoeleinden zonder de expliciete toestemming van de betrokkenen verboden is onder de AVG.
Met betrekking tot Nederland identificeert de analyse een vrij breed spectrum aan segmenten waarmee een potentieel groot aantal Nederlandse burgers kan worden getarget:
- 136 segmenten op basis van persoonlijke financiële gegevens. Deze omvatten informatie over bijvoorbeeld woningwaarde. Een interessant gegeven, aangezien de afgelopen week het recente Kadaster- datalek naar buiten kwam. Het bleek dat miljoenen adressen en de waarde van individuele percelen voor iedereen zichtbaar waren.
- 219 segmenten op basis van gegevens over huishoudenssamenstelling, met informatie over bijvoorbeeld de hoeveelheid kinderen of de leeftijd van het oudste kind;
- 21 segmenten op basis van gegevens die politieke oriëntatie onthullen.
Alleen al deze drie segmenten kunnen een intiem beeld geven van het privéleven van een getarget persoon. Klanten van Xandr kunnen dat gebruiken om hun targetingsstrategieën te verfijnen. En dan niet alleen ten koste van de privacy van burgers, maar ook van hun persoonlijke autonomie en recht op non-discriminatie.
Wat volgens de onderzoekers nog zorgwekkender is, is dat zij niet konden vaststellen of de overgrote meerderheid van de overgebleven segmenten, waaronder verschillende op gezondheid gebaseerde gegevens, mogelijk verband houden met meer EU-burgers.
De afgelopen jaren hebben we veel voorbeelden gezien van grootschalige gegevensverwerkingsoperaties die de privacy van EU-burgers ondermijnen, van het Cambridge Analytica-schandaal tot de Toeslagenaffaire. Maar deze hebben inmiddels geleid tot ongekende wetgevingsontwikkelingen op Europees niveau, die de verwerking van persoonsgegevens voor marketingdoeleinden onderwerpen aan strikte toestemmingscriteria. Noemenswaardige voorbeelden zijn de AVG, de ePrivacy-richtlijn en het recente verbod voor online platforms om gerichte reclames te plaatsen op basis van bijzondere categorieën persoonsgegevens onder de Digital Services Act.
Het Duitse onderzoek toont echter dat de gegevensmakelaarsindustrie niet veel lijkt te hebben geleerd van deze ontwikkelingen. Dat komt ook bovenop de toezichtproblemen die worden ervaren door gegevensbeschermingsautoriteiten in Europa om dit soort gedrag onmiddellijk na te gaan(3). Onder alle betrokken toezichthouders zijn inderdaad alleen de Duitsers een officieel onderzoek gestart (4).
De Autoriteit Persoonsgegevens zegt desgevraagd tegen Pont | Data&Privacy geen commentaar te kunnen geven op het Duitse onderzoek, omdat er geen eigen onderzoek is gedaan.
1.https://netzpolitik.org/2023/europa-vergleich-wie-eng-uns-datenhaendler-auf-die-pelle-ruecken/
2. https://www.nytimes.com/wirecutter/blog/amazons-alexa-never-stops-listening-to-you/
3. https://www.iccl.ie/digital-data/iccl-2023-gdpr-report/
4. https://netzpolitik.org/2023/nach-unserer-berichterstattung-datenschutzbehoerden-stellen-werbefirmen-auf-den-pruefstand/
