De Amerikaanse datahandelaar Exactis heeft een database met 340 miljoen individuele records gelekt. Het gaat om gegevens van miljoenen Amerikanen, zoals adresgegevens, e-mailadressen, leeftijd, interesses, gewoontes en het geslacht van iemands kinderen, en miljoenen bedrijven.
Wat vooral opvalt is het grote aantal eigenschappen dat per persoon in de database werd bijgehouden. Naast openbare records en algemene contactgegevens gaat het bijvoorbeeld ook of iemand rookt, geloofsovertuiging, of iemand huisdieren heeft en allerlei andere zaken. De 2 terabyte grote database werd door beveiligingsonderzoeker Vinny Troia via de zoekmachine Shodan op een publiek toegankelijke server gevonden.
Hoeveel mensen er precies in de gelekte records aanwezig zijn, alsmede waar de data vandaan komt is onbekend. De 340 miljoen records konden worden verdeeld in 230 miljoen records over particulieren en 110 miljoen records over bedrijven. Exactis claimt op de eigen website dat het meer dan 3,5 miljard records van particulieren en bedrijven bezit.
In een proefschrift waarop Hooghiemstra 2 juli 2018 promoveert, stelt hij dat gezondheidsgegevens buiten een medische context beter beschermd moeten worden. Hij onderzocht of informationele zelfbeschikking in de zorg mogelijk en wenselijk is, gezien de opkomst van de datatechnologie, in het bijzonder websites en apps, die mensen in staat stellen hun gezondheidsgegevens in te zien, aan te vullen, te genereren en te delen. 'Het genereren van gezondheidsgegevens buiten de medische context en de mogelijkheid van big-dataprofilering met behulp van kunstmatige intelligentie leidt tot een disbalans in de macht over gezondheidsgegevens tussen bedrijven en overheden enerzijds en personen anderzijds.'
Hooghiemstra komt daarvoor met een nieuwe definitie voor informationele zelfbeschikking: ‘Het vermogen van een persoon om in beginsel zelf te bepalen in hoeverre persoonsgegevens worden gebruikt en verder bekendgemaakt, met het oog op een zelfbepaald leven’.
Bedrijven en overheden krijgen volgens hem te veel macht over gezondheidsgegevens, hij stelt dan ook nieuwe regulering voor om tegenwicht te bieden. Dat zou kunnen in de vorm van een wettelijk te regelen ‘patiëntgeheim’. Het medisch beroepsgeheim, dat van oudsher geldt voor medische dossiers, biedt volgens Hooghiemstra namelijk onvoldoende bescherming.
Tot voor kort gold privacy als een achterhaald begrip. Vooral jongeren, die in intensieve internetcommunicatie massaal data weggaven, zouden er weinig waarde aan hechten.
Maar het ‘neen’ tegen de sleepwet, en de boosheid over ‘Cambridge Analytica’ zijn nieuwe mijlpalen in een ontwikkeling die een paar jaren geleden ondenkbaar was. De nog immer groeiende digitale datastromen hebben de ogen geopend voor mogelijk misbruik, ook bij wie zich lange tijd passief opstelde.
Tegelijkertijd zien we de digitalisering op allerlei levensgebieden toenemen. Slimme apparaten en gezondheidsapps vinden gretig aftrek. In zeer uiteenlopende circuits heersen enthousiaste verhalen over nieuwe verdienmodellen, gebaseerd op de analyse van persoonsgegevens. De bezitter van de meeste data heeft de hoogste kennis en de meeste macht, en wint daarmee de concurrentieslag.
De hedendaagse mens gaat in voortdurende informatieuitwisseling met een medemens, die hij al of niet voor ogen heeft, door het leven. Zo is de smartphone geworden tot verlengstuk van zijn bewustzijn én toegangspoort tot de rest van de wereld. Mensen die even op zichzelf zijn teruggeworpen, grijpen direct naar de smartphone.
De stelling dat in het informatietijdperk data het nieuwe geld zijn miskent een belangrijk onderscheid. Betalen met data is iets heel anders dan betalen met geld. Ieder die de moed heeft gehad om te beginnen met Marx’ ‘Het Kapitaal’ kon al op de eerste bladzijde lezen dat hij de ruilwaarde van geld plaatst tegenover de gebruikswaarde van de goederen. Bij data is dit heel anders: zij zijn zelf van grote betekenis voor de mens. Als informatiewezen betaalt hij de digitale wereld met persoonsgegevens, ofwel een stukje van zijn eigen identiteit. Dat lijkt niet altijd door te dringen.
Met informatie over onszelf geven we een stukje van onszelf weg. De kracht van data is dus precies tegenovergesteld aan de kracht van geld: geld ontleent zijn kracht aan zijn algemene karakter; de kracht van data is dat ze specifieke kenmerken onder woorden brengen.
Wat te doen? Natuurlijk ligt in het tegengaan van deze ontwikkeling een belangrijke verantwoordelijkheid bij het individu. Vanuit het besef dat alleen de zon voor niets opgaat, mag ieder zich kritisch afvragen wat hij in datatransacties weggeeft en wat hij ervoor terugkrijgt.
Voor Google-diensten als de zoekmachine, Gmail, YouTube en Maps komen al je privacy- en beveiligingsinstellingen samen in het vernieuwde Google Account. Dat maakt ook inzichtelijk wat het bedrijf zoal van je weet. Deze informatie was al langer terug te vinden, maar werd wat rommelig gepresenteerd. Daarom zijn je accountgegevens in een nieuw jasje gestoken. Voorlopig alleen op Android-smartphones te zien maar later komen de verbeteringen ook naar iOS en je webbrowser.
We lopen wat instellingen met je door.
Ga op je Android-toestel naar Instellingen, Google, Google Account of volg deze link (ook op je smartphone). Onder Uw privacyinstellingen controleren vind je zaken als je zoekgeschiedenis op Google en je kijkgeschiedenis op YouTube. Hetzelfde geldt voor locatiegeschiedenis. Google weet waar je bent geweest dankzij Maps-navigatie.
Onder Beveiligingscheck (of Beveiligingsproblemen gevonden) zie je o.a. op welke apparaten je met je Google-account ben ingelogd en stel je tweestapsverificatie in. Je ziet hier ook welke apps en diensten je toestemming tot je gegevens hebt verleend. Zijn dat diensten die je niet meer gebruikt? Koppel ze hier dan los.
Google volledig naar wens aanpassen brengt je naar het Gegevens en personalisatiescherm. Kijk hier vooral eens naar Advertentiepersonalisatie om te achterhalen hoe reclames op jouw persoonlijke interesses worden afgestemd. Wil je liever geen gepersonaliseerde advertenties, dan kun je dit in zijn geheel uitschakelen. Maar je kunt dit ook per onderwerp bepalen. Hier kun je ook al je gegevens downloaden, of stel je in wat er met je account moet gebeuren in het geval van overlijden.
Onder het kopje Beveiliging kun je onder meer je wachtwoorden beheren en regel je herstelopties in het geval je van je account bent buitengesloten. Bij Betalingen en abonnementen vind je o.a. terug welke betaalmogelijkheden je aan de Play Store hebt gekoppeld. Vraag je ook eens af of Google je creditcardgegevens wel moet onthouden.
Minister Hoekstra van Financiën zegt de zorgen over het gebruik van persoonlijke bankgegevens van klanten voor commerciële doelen te begrijpen, maar ziet niets in een verbod hiervan. Dat laat de minister weten op Kamervragen van de PvdA over het plan van ABN Amro om gegevens van klanten voor gepersonaliseerde advertenties te gaan gebruiken.
"Ik begrijp en deel de zorgen over het gebruik van persoonlijke bankgegevens van klanten voor commerciële doelen, zoals advertenties. Met deze gegevens moet zeer zorgvuldig worden omgegaan. Ik deel echter niet de mening dat dergelijk gebruik van persoonsgegevens op voorhand altijd onwenselijk is", antwoordt Hoekstra. Hij stelt dat het gebruik van persoonlijke bankgegevens voor commerciële doelen ook voordelen voor de klant kan bieden, zoals aanbiedingen voor producten of diensten.
Hierin verschillen banken niet van veel bedrijven in andere sectoren, gaat Hoekstra verder, die herhaalt dat gebruik van klantgegevens ook voordelen kan bieden. Wel moet hierbij voorop staan dat de bescherming van persoonsgegevens goed is gewaarborgd, aldus de minister (pdf).
Het Bureau Krediet Registratie werd in 1965 opgericht om banken én consumenten in bescherming te nemen.Maar het BKR krijgt steeds meer kritiek. Van geregistreerden, van de rechter en nu ook van Kamerleden. Trekt 'Tiel' een te grote broek aan?
Ondernemer Gil dacht het jarenlang lopende conflict met zijn bank in 2017 definitief achter zich te kunnen laten; hij trof een betalingsregeling met zijn bank. Een deel van het bedrag zou hij in één keer overmaken en het resterende in 92 termijnen. Wat hij niet wist, was dat de bank zijn A123-codering bij het Bureau Krediet Registratie (BKR) in Tiel gedurende die hele periode zal handhaven. Ook als hij gewoon de afspraken nakomt en maandelijks netjes het afgesproken bedrag terugbetaalt.
Zolang die BKR-codering achter zijn naam staat, kan hij financiering voor welke bedrijfsactiviteit dan ook wel vergeten, zegt hij. 'Zelfs het verlengen van mijn telefoonabonnement levert al grote problemen op.' Hij maakt zich boos over de situatie omdat het BKR hem slechts doorverwijst naar de bank die verantwoordelijk is voor de registratie en de bank het BKR in zijn ogen misbruikt. 'Ze gebruiken de registratie niet om het financiële systeem voor mij te waarschuwen, want ik voldoe netjes aan al mijn verplichtingen. Nee, ze gebruiken hem gewoon om mij onder druk te zetten.'
Deze klacht over het BKR staat niet op zichzelf. De afgelopen jaren stapten tientallen geregistreerden naar de rechter om van hun registratie af te komen. In de meerderheid van die gevallen kregen de klagers gelijk: de registraties, die op zich steeds volgens de regels van het BKR waren gedaan, werden door de rechter geschrapt omdat ze niet proportioneel waren.
Bijna zonder uitzondering ging het in de genoemde zaken om gevallen van consumenten die geen hypotheek konden krijgen vanwege een in het verleden opgelopen maar alweer ingelopen betalingsachterstand van maximaal een paar honderd euro. Omdat het BKR heeft bepaald dat registraties tot vijf jaar na het aflossen van de schuld blijven bestaan, kunnen geregistreerden tegen onverwachte problemen aanlopen.
Wie wil begrijpen hoe het kan dat het BKR voor sommige consumenten een geduchte en onverwachte 'tegenstander' vormt, komt al snel uit bij de monopoliepositie van de club. Ze wordt daarbij nauwelijks gecontroleerd. Alleen de Autoriteit Persoonsgegevens kijkt kritisch mee hoe het BKR omgaat met persoonsgegevens, maar van andere toezichthouders heeft het BKR weinig te vrezen. Het betekent onder meer dat het BKR grotendeels vrij is zijn eigen regels precies zo op te stellen als het zelf wil; wie er wanneer en hoe lang geregistreerd moeten worden kan het BKR zelf bepalen.
Ondertussen is het productenpalet van het BKR groeiende en begint het BKR steeds meer weg te hebben van een commercieel databedrijf zoals bijvoorbeeld Experian. Zo biedt de organisatie naast veel andere diensten bijvoorbeeld een BKR-insolventietoets die inzichtelijk maakt of consumenten te maken hebben met een faillissement of dat in het verleden hebben gehad.
Een andere opvallende dienst is de BKR-statustoets. Die heeft het BKR speciaal ontwikkeld voor tussenpersonen die geen toegang hebben tot het centrale registratiesysteem. Om hen toch te kunnen bedienen, geeft het BKR deze partijen via de statustoets en tegen betaling informatie over betalingsachterstanden van consumenten. Dat het BKR op zoek is naar steeds meer data, mag in dat kader geen verrassing heten. Werden vroeger uitsluitend leningen door kredietverstrekkers opgenomen in het BKR, inmiddels geldt dat ook voor bijvoorbeeld de aanschaf van telefoons op afbetaling, steeds kleinere potentiële roodstanden en creditcardbetalingen.
Wij hebben het afgelopen jaar veel ervaring opgedaan met personalisatie van de customer journey over verschillende kanalen. We doen dit onder andere met behulp van Selligent Marketing Cloud. Selligent is ooit begonnen als e-mailmarketingsysteem met de e-mail opt-in als hart. De afgelopen jaren is het platform consequent doorontwikkeld zodat niet alleen e-mail en sms maar ook social koppelingen (zoals met Facebook), in-app en browsercommunicatie vanuit het systeem kunnen worden meegenomen in campagnes.
Een van de recente doorontwikkelingen is Selligent Site, een module waarmee je onbekende sitebezoekers identificeert en kunt koppelen aan CRM-informatie. Zo ontstaat een CRM-profiel waaraan je je content kunt aanpassen. Daarbij maakt het niet uit of iemand op je website of in de app komt of dat de interactie via Facebook plaats vindt – via alle kanalen is gepersonaliseerde communicatie mogelijk...
...Het interessante van deze opzet is dat je cross-device kunt targeten en data kunt opbouwen. Als de nieuwsbrief is geopend op desktop en er vervolgens mobiel op de website wordt gekeken, dan wordt dat alsnog allemaal vastgelegd in het profiel.
Dit gebeurt real-time – een customer journey is immers niet statisch. Als iemand zich anders gaat gedragen, pas je de boodschap aan. Een simpel voorbeeld: iemand bezoekt je site en bekijkt een bepaalde productcategorie. Dan zorg je ervoor dat er een pop-in verschijnt met de vraag of die persoon zich in wil schrijven voor de nieuwsbrief die specifiek over die productcategorie gaat....
...Ik ben er heilig van overtuigd dat als je je site wilt personaliseren met behulp van een 360-gradenklantbeeld, je nog niet kunt zonder het e-mailadres van de klant. Er zijn meer mogelijkheden maar e-mail blijft het meest waardevolle stukje vastgoed op het internet.
De AVG zorgt ervoor dat het niet meer alleen gaat om een opt-in voor het gebruik van het e-mailadres van de consument. Het gaat nu ook om een opt-in voor privacy. Je moet immers duidelijke toestemming zien te krijgen om 1st en 3rd party cookies te plaatsen en informatie te delen met Facebook om in alle kanalen gepersonaliseerd te kunnen communiceren. Doordat de regels strenger worden, is het alleen maar belangrijker geworden dat je de consument overtuigd van je toegevoegde waarde zodat je hem of haar op basis van zijn interesses mag benaderen. Dit is alleen succesvol, als je boodschap relevanter wordt.
The Wall Street Journal meldt dat bedrijven, waaronder Nissan en RBC, door Facebook op een 'whitelist' zijn gezet, en daardoor konden doorgaan met het inzien van persoonlijke gegevens, ondanks dat Facebook had beloofd zijn api's af te sluiten voor bedrijven voor het vergaren van persoonlijke gegevens.
Facebook maakt het al mogelijk om bedrijven hun advertenties te laten richten op speciaal gedefinieerde gebruikersgroepen, maar de praktijk om bedrijven direct toegang te geven tot gebruikersdata zou dus enkele jaren geleden al gestopt moeten zijn. In een reactie nuanceert Facebook het verhaal van The Wall Street Journal enigszins en stelt het bedrijf dat onder de nieuwe deals er veel minder toegang tot data werd gegeven dan voorheen. Zo zou persoonlijke informatie niet zijn gedeeld, maar is de lijst met vrienden dus wel inzichtelijk gemaakt zoals The Wall Street Journal bericht. De deals met bedrijven om de toegang tot persoonlijke gegevens te verlengen, zouden enkele jaren geleden al zijn geëindigd.
Eerder deze week kwam al naar buiten dat Facebook deals met verscheidene smartphonefabrikanten heeft gesloten voor inzage in gebruikersgegevens. Dit verhaal werd gepubliceerd door The New York Times, en lijkt dus nauw verwant aan het verhaal van The Wall Street Journal over het verlengen van deals met bedrijven om persoonlijke gegevens inzichtelijk te maken.
