De locatiegegevens die zo’n honderd apps, zoals Buienalarm, Candy Crush en Tinder, verzamelen, staan online te koop. Dit raakt miljoenen Nederlandse gebruikers, zo blijkt uit onderzoek van BNR. ‘Schokkend’, reageert de bestuursvoorzitter van het moederbedrijf van Buienalarm.
is nieuwsverslaggever van de Volkskrant, met tech als specialisme.
De ‘boosdoener’ is volgens experts een lek in het systeem dat advertenties personaliseert.
Het onderzoek van BNR begon toen de radiozender op aanvraag een gratis pakket locatiegegevens ontving van de Amerikaanse datahandelaar Datasys. Dit pakket bevatte de locatiegegevens van miljoenen mensen, op één dag in juli 2024.
Adverteerders kopen dit soort gegevens in om advertenties te personaliseren. Hierdoor zien gebruikers bijvoorbeeld reclames voor winkels in de wijk waar zij wonen. Tegen betaling levert Datastream gedetailleerdere gegevens en van meer mensen. Naar eigen zeggen houdt het bedrijf profielen bij van 350 miljoen mensen.
Met alleen locatiedata is veel gevoelige persoonlijke informatie af te lezen: waar iemand woont en werkt, maar ook of die persoon recentelijk een kerk of een moskee bezocht, of een abortuskliniek.
Datasys zet zichzelf in de markt als een doorgeefluik van persoonsgegevens voor marketeers en adverteerders. Het lijkt daarbij daarentegen illegaal te werk te gaan: Infoplaza Network, het moederbedrijf van Buienalarm, vertelt aan BNR dat het nooit toestemming heeft gegeven aan Datasys om de locatiegegevens van Buienalarm-gebruikers te verhandelen.
De grote vraag is hoe de gegevens bij Datasys zijn beland. Net als Infoplaza gaven de makers van tientallen andere apps, zoals Candy Crush, Tinder en Grindr, ook geen toestemming aan Datasys om gebruikersgegevens te verzamelen. Toch ontving BNR locatiegegevens van Datasys die via deze apps waren verzameld.
Hoe Datasys deze gegevens heeft bemachtigd, is vooralsnog onduidelijk. Het bedrijf reageert niet op vragen van BNR of van de Volkskrant
Jaap-Henk Hoepman, privacy-onderzoeker aan de Radboud Universiteit Nijmegen, vermoedt dat Datasys een lek uitbuit in het systeem dat partijen gebruiken om gebruikersgegevens te verhandelen: ‘Dit is een ongelofelijk complex ecosysteem waarin adverteerders zoals Google en dienstaanbieders zoals Buienalarm voortdurend advertentieruimte op apps veilen.’
Door dit systeem krijgt elke appgebruiker gepersonaliseerde reclames, bijvoorbeeld op basis van waar zij zich bevinden. ‘Ergens in dit systeem moet een lek zitten.’
Hoewel het lek niet is ontstaan door het toedoen van appmakers zoals Infoplaza, dragen ook zij volgens Hoepman verantwoordelijkheid. ‘Sommige apps kiezen ervoor gegevens te verhandelen. Dat is hun verdienmodel. Maar zodra blijkt dat het gebruikte systeem niet te vertrouwen is, moeten zij overwegen eruit te stappen.’
Dat vindt Infoplaza-bestuursvoorzitter René Westening vooralsnog te ver gaan: ‘Er is veel meer informatie nodig over de aard van het lek om die stap te zetten.’ Wel heeft hij woensdag contact opgenomen met Google en andere apps die locaties verzamelen, omdat de gelekte data locatiegegevens bevat die nauwkeuriger zijn dan de gps-coördinaten die Buienalarm verzamelt.
Westening: ‘Daar zijn afspraken over gemaakt, en die komen wij na. Maar kennelijk zijn er andere apps die nog nauwkeurigere locaties verzamelen. Daar wil ik graag verduidelijking over, want het is duidelijk dat dit niet kan.’
Overigens zijn gebruikers van apps vaak onvoldoende op de hoogte van de gebruikersvoorwaarden die zij accepteren.
Geselecteerd door de redactie
Source: Volkskrant