Locatiegegevens van Nederlandse mobiele telefoons worden te koop aangeboden door buitenlandse datahandelaren. Daarmee het mogelijk is om de eigenaar van een smartphone op de voet te volgen. Experts zeggend dat dit een ‘extreem veiligheidsrisico’ is dat in potentie de nationale veiligheid in het geding kan brengen. Dat blijkt uit onderzoek van BNR, dat van datahandelaren 80 GB aan locatiegegevens van miljoenen mobiele telefoons kreeg.
De lijst met potentiële doelwitten is volgens het medium lang. BNR kon onder meer een hoge officier van de landmacht op de voet volgen. Dankzij gegevens uit de database van datahandelaren was het mogelijk om zijn privéadres en bezoekjes aan de Frederikkazerne te traceren. Laatstgenoemde is het hoofdkwartier van de Militaire Inlichtingen- en Veiligheidsdienst (MIVD).
Verder ontdekte BNR dat er in Huis ten Bosch, het woonpaleis van koning Willem-Alexander, 70 mobiele telefoons staan geregistreerd. Op vliegbasis Volkel, waar kernwapens worden opgeslagen, werden 370 telefoons geteld. En bij het hoofdkantoor van de Nationale Politie, het Landelijk Parket en Europol in Zoetermeer bezochten zo’n 1.200 man deze locatie.
De dataset waar de redactie van BNR zijn informatie vandaan haalde, was te koop via een online marktplaats in Berlijn. Handelsplatform Datarade.ai verkoopt naast locatiegegevens van mobiele telefoons ook medische informatie en kredietscores van Nederlanders. De gegevens zijn afkomstig van het Amerikaanse Datastream Group en Factori.ai uit Singapore. Zij krijgen op hun beurt deze data van bedrijven die met toestemming van gebruikers locatiedata verzamelen en doorverkopen, zoals fitness- en navigatie-apps.
Door gegevens uit deze en andere (openbare) bronnen te combineren -zoals het Kadaster of LinkedIn- is het mogelijk om het woon- en werkadres van iemand te achterhalen. “Dit is een extreem veiligheidsrisico, met mogelijke implicaties voor de nationale veiligheid”, zo vertelt Ralph Moonen, technisch directeur van Secura Cybersecurity uit, tegenover BNR. “Echt heftig dat dit zo kan”, zegt Sjoerd van der Meulen, beveiligingsspecialist bij DataExpert.
Aline Klingenberg, hoogleraar Onderwijsinnovatie, datadelen en communicatierecht aan de Rijksuniversiteit Groningen, zegt dat de praktijken van Datastream Group en Factori.ai ‘duidelijk illegaal’ zijn. Volgens haar mogen persoonsgegevens alleen worden doorverkocht als gebruikers daar ‘geïnformeerde toestemming’ voor hebben gegeven. Ze betwijfelt of daar sprake van is.
Anouk Ruhaak, voorzitter van Stichting Databescherming Nederland (SDBN), zegt eveneens dat de handel in mobiele locatiegegevens illegaal is. Ze benadrukt dat de datahandelaren bovendien buiten Europa zijn gevestigd. Het opslaan en bewaren van gegevens van Nederlandse burgers is volgens haar dan ook verboden.
De korpsleiding van de Nationale Politie laat weten het probleem te kennen en ‘intern te kijken welke maatregelen passend zijn om dit tegen te gaan’. Het ministerie van Defensie zegt in een reactie dat er procedurele en technische maatregelen worden genomen om eventuele risico’s tegen te gaan. Dienst Justitiële Inrichtingen (DJI) zegt te zullen onderzoeken welke consequenties de verkoop van mobiele locatiegegevens heeft en welke maatregelen nodig zijn om dit tegen te gaan.
Datarade, het platform waar de redactie van BNR de locatiegegevens kocht, benadrukt dat ze enkel optreedt als tussenpersoon en dat datahandelaren zelf verantwoordelijk zijn voor wat ze op het handelsplatform aanbieden. “Natuurlijk staan we uitsluitend legale content toe op ons platform, zoals onze algemene voorwaarden vermelden.” Betrokkenen die menen dat hun rechten zijn geschonden, kunnen dit online melden bij Datarade door een Content Report Form in te vullen.
