Digitale schaduwen: De onthullende realiteit van locatiedatahandel in Nederland

Gepubliceerd op 11 januari 2024 om 17:01

EN: Click here and choose your language using Google's translation bar at the top of this page ↑

In onze moderne wereld, waar technologie en privacy steeds vaker met elkaar botsen, is een nieuw schokkend voorbeeld van privacyschending aan het licht gekomen. Uit recent onderzoek van BNR blijkt dat datahandelaren in het bezit zijn van meer dan 80 gigabyte aan locatiegegevens. Deze gegevens, die de coördinaten van miljoenen telefoons bevatten, worden soms wel tientallen keren per dag bijgewerkt.

Een onthutsende ontdekking

Omvang en impact van locatiedatahandel

Het meest alarmerend is dat deze enorme hoeveelheid data niet alleen de bewegingen van gewone burgers omvat, maar ook die van mensen in functies waar veiligheid van cruciaal belang is. Neem bijvoorbeeld een hoge officier van de Nederlandse landmacht, wiens bewegingen van zijn huis in de Randstad naar verschillende militaire locaties in het land gevolgd konden worden. Een van zijn frequente bestemmingen was de Frederikkazerne, het hoofdkwartier van de Militaire Inlichtingen- en Veiligheidsdienst (MIVD). De authenticiteit van deze gegevens werd door de militair zelf bevestigd.

Maar het stopt niet bij één individu. De dataset onthulde ook het woonadres van iemand die regelmatig de Penitentiaire Inrichting in Vught bezoekt, waar notoire terroristen en zware criminelen vastzitten. Volgens de Dienst Justitiële Inrichtingen (DJI) had deze persoon toestemming om een mobiele telefoon mee te nemen op het terrein, en de zaak wordt momenteel onderzocht.

De lijst van potentiële doelwitten in deze dataset is lang en zorgwekkend. Zo bezochten tot 1.200 telefoons het kantoor in Zoetermeer waar de Nationale Politie, Landelijk Parket en Europol gevestigd zijn. Zelfs in Huis ten Bosch, het woonpaleis van de Koning, en op de Vliegbasis Volkel, bekend om zijn opslag van kernwapens, werden honderden telefoons geregistreerd. De korpsleiding van de Nationale Politie is zich bewust van dit probleem en zoekt naar passende maatregelen.

Twee experts die de dataset hebben geïnspecteerd, waaronder Ralph Moonen, technisch directeur van Secura, en Sjoerd van der Meulen, cybersecurityspecialist bij DataExpert, waarschuwen voor de extreme veiligheidsrisico's die deze data met zich meebrengen. Zij benadrukken de mogelijke implicaties voor de nationale veiligheid.

De methode waarmee deze mobiele telefoons worden gevolgd, was oorspronkelijk ontworpen voor adverteerders. Echter, zoals Paul Pols, voormalig technisch adviseur van de Toetsingscommissie Inzet Bevoegdheden aangeeft, wordt deze techniek ook voor andere doeleinden gebruikt. Pols merkt op dat zelfs de Nederlandse inlichtingendiensten, zoals de MIVD en AIVD, toegang tot dergelijke data kopen op de datamarkt, gecategoriseerd als 'open bronnen'.

Deze toegang tot data werd mogelijk gemaakt via een online marktplaats gevestigd in Berlijn, genaamd Datarade.ai. Op dit platform worden door honderden bedrijven persoonsgegevens aangeboden, variërend van locatiedata tot medische informatie en kredietscores. Naar aanleiding van een tip nam BNR contact op met dit platform, wat leidde tot communicatie met twee bedrijven: Datastream Group uit de VS en Factori.ai uit Singapore. Beide bedrijven boden abonnementen aan op locatiegegevens van mobiele telefoons in Nederland, met prijzen vanaf 2.000 dollar per maand.

Achter de schermen

De herkomst en handel van geanonimiseerde gegevens

De verzamelde gegevens door Datastream en Factori waren omvangrijk en gedetailleerd, hoewel ze naar verluidt geanonimiseerd waren. Ze bevatten geen directe telefoonnummers, maar door het gebruik van unieke cijfercombinaties, bekend als 'mobile advertising IDs', konden individuele telefoons toch worden geïdentificeerd. Deze IDs worden door bedrijven als Apple en Google gebruikt om binnen de grenzen van Europese privacywetgeving gebruikers relevante advertenties te tonen.

De oorsprong van deze online verhandelde gegevens bleef echter onduidelijk. Volgens de verkopers kwamen deze data van apps die toestemming hadden gekregen van gebruikers om locatiegegevens te gebruiken, zoals fitness- of navigatie-apps. Deze apps verkopen de gegevens vervolgens door, waardoor ze uiteindelijk bij bedrijven als Factori en Datastream terechtkomen. Door gegevens van meerdere bronnen samen te voegen, creëren deze bedrijven enorme datasets.

Interessant is dat de Datastream Group in hun promotiematerialen beweert dat ze elke maand bijna de helft van alle Nederlandse telefoons kunnen volgen. Hoewel dit overdreven lijkt, bevatten de aangeleverde proefbestanden van Datastream meer dan vier miljoen unieke identifiers. Factori's bestanden bevatten iets meer dan een kwart miljoen.

Deze cijfers geven echter geen volledig beeld. Volgens Jaap-Henk Hoepman, universitair hoofddocent Digital Security aan de Radboud Universiteit, is het aantal daadwerkelijk gevolgde telefoons vergelijkbaar. Gebruikers kunnen hun adverteerders-ID handmatig resetten, maar dit gebeurt zelden. Dat wil echter niet zeggen dat daadwerkelijk vier miljoen Nederlanders zijn getrackt. Er kunnen valse gegevens in de bestanden zijn opgenomen, en er zijn ook fouten gevonden. Zo waren er gevallen waarbij de locaties klopten, maar de tijdstippen niet.

Toch kon BNR met de verkregen gegevens individuele personen identificeren door hun 'slaapplaatsen' te koppelen aan gegevens uit openbare registers zoals het Kadaster, en hun werkplekken aan LinkedIn-profielen. Dit leidde tot geschrokken reacties bij degenen die ontdekten dat ze digitaal waren gevolgd. Veel van hen waren zich niet bewust van de mate waarin hun locatiegegevens gedeeld en verhandeld werden.

Datarade, het platform dat als tussenpersoon fungeert in de handel van deze gegevens, stelt dat handelaren op hun platform zelf verantwoordelijk zijn voor de aangeboden data. Ze bieden een online formulier aan voor het melden van illegale praktijken, maar lieten de vraag onbeantwoord of er maatregelen worden genomen tegen de verkoop van locatiegegevens.

Ondanks dat Factori en Datastream niet reageerden op verzoeken om commentaar, claimen zij op hun websites te voldoen aan Europese privacywetgeving, stellend dat gebruikers toestemming geven voor het delen van hun gegevens. Juridische experts, waaronder Aline Klingenberg, hoogleraar IT-recht aan de Universiteit Groningen, betwijfelen deze beweringen sterk. Zij benadrukken dat persoonsgegevens alleen mogen worden doorverkocht als er sprake is van 'geïnformeerde toestemming', iets wat in de praktijk vaak ontbreekt.

Reacties en implicaties

De zorgen van instanties en experts

De onthullingen over de massale handel in mobiele locatiegegevens hebben niet alleen tot geschokte reacties geleid, maar ook tot serieuze zorgen over privacy en nationale veiligheid. Een prominente stem in deze discussie is Anouk Ruhaak, voorzitter van de Stichting Data Bescherming Nederland (SDBN). Ruhaak bekritiseert het gebrek aan politieke prioriteit in het aanpakken van deze grootschalige privacyschendingen. Volgens haar is de wetgeving toereikend, maar ontbreekt het de Autoriteit Persoonsgegevens aan voldoende middelen om effectief op te treden.

De paradox in de huidige situatie wordt benadrukt door cybersecurityexpert Paul Pols. Hij wijst op de strenge privacyregels die individuele burgers en bedrijven ervaren in hun dagelijks leven, terwijl tegelijkertijd deze massale schendingen van privacy ongestoord kunnen doorgaan. Pols noemt het 'onbegrijpelijk' dat de handel in locatiegegevens zo openlijk kan plaatsvinden.

Ook de Dienst Justitiële Inrichtingen (DJI) is direct betrokken bij deze kwestie. Na onderzoek concludeerden ze dat de persoon wiens gegevens werden getrackt en die regelmatig de Penitentiaire Inrichting in Vught bezocht, geen gedetineerde of medewerker van DJI was, maar iemand die met toestemming op het terrein aanwezig was. DJI onderstreept dat binnen hun inrichtingen strenge maatregelen gelden omtrent smartphones, en dat dergelijke apparaten alleen met expliciete toestemming van de directie worden toegelaten.

De Defensie reageert voorzichtig op deze kwestie. Zij doen geen uitspraken over de authenticiteit van de gegevens vanwege privacy en veiligheidsoverwegingen. Mobiele telefoons zijn een integraal onderdeel van de huidige maatschappij, en Defensie heeft technische en procedurele maatregelen genomen om eventuele risico's te beperken. Ze benadrukken ook het belang van het instrueren van hun medewerkers over hoe om te gaan met mobiele apparaten in veiligheidsgevoelige omgevingen.

Deze situatie werpt een scherp licht op de balans tussen technologie, privacy en veiligheid. Het vermogen om individuen te volgen via hun mobiele telefoons roept fundamentele vragen op over de grenzen van surveillance en de bescherming van persoonlijke gegevens. Terwijl technologiebedrijven en datahandelaren profiteren van de waarde van locatiegegevens, worden de ethische en juridische implicaties van deze handel steeds meer betwist.

Deze kwestie laat zien dat er een dringende behoefte is aan meer transparantie en strengere regelgeving op het gebied van dataverzameling en -handel. Het is essentieel dat burgers zich bewust zijn van hoe hun gegevens worden gebruikt en door wie. Evenzo moeten instanties en organisaties waakzaam blijven en proactief handelen om hun medewerkers en de gegevens waartoe zij toegang hebben te beschermen.

Naar een veiliger toekomst

De noodzaak van strengere regulatie en bewustwording

Ter afsluiting van dit diepgaande onderzoek naar de handel in locatiegegevens en de gevolgen ervan, wordt duidelijk dat we op een kruispunt staan in het digitale tijdperk. De ontdekking van de omvangrijke handel in locatiedata, waarbij zelfs de bewegingen van hoge officieren en bezoekers van gevoelige locaties worden gevolgd, onthult een zorgwekkend gat in de bescherming van persoonlijke gegevens en nationale veiligheid.

Deze situatie stelt serieuze vragen over de effectiviteit van de huidige wetgeving op het gebied van gegevensbescherming en de handhaving ervan. Het feit dat persoonlijke gegevens zo gemakkelijk en in zulke grote hoeveelheden verhandeld kunnen worden, wijst op een alarmerend gebrek aan controle en transparantie in de digitale datamarkt. Hoewel technologiebedrijven en datahandelaren kunnen beweren dat zij de privacywetgeving naleven, blijkt uit dit onderzoek dat de realiteit vaak anders is. Gebruikers geven zelden 'geïnformeerde toestemming' voor het gebruik van hun locatiegegevens, wat leidt tot ernstige inbreuken op hun privacy.

De reacties van betrokken instanties, zoals de DJI en Defensie, tonen aan dat de ernst van het probleem wordt erkend. Echter, hun mogelijkheden om proactief te handelen zijn beperkt door regelgeving en middelen. Dit benadrukt de noodzaak voor een bredere maatschappelijke en politieke discussie over hoe we willen omgaan met persoonlijke gegevens in de digitale wereld.

Het is cruciaal dat er strengere regels komen voor het verzamelen, verhandelen en gebruiken van persoonsgegevens. Dit moet gepaard gaan met meer bewustzijn bij het publiek over de waarde en kwetsbaarheid van hun digitale voetafdruk. Alleen door een combinatie van betere wetgeving, strikte handhaving en groter publiek bewustzijn kunnen we hopen de privacyrechten van individuen te beschermen en de risico's voor de nationale veiligheid te minimaliseren.

In deze tijd waarin digitale technologieën steeds meer verweven zijn met ons dagelijks leven, is het van essentieel belang dat we waakzaam blijven. We moeten ons niet alleen bewust zijn van de voordelen, maar ook van de potentiële gevaren die deze technologieën met zich meebrengen. De balans tussen technologische vooruitgang en de bescherming van onze persoonlijke en nationale veiligheid is delicaat en vereist een constante evaluatie en aanpassing.

Bron: bnr.nl

Heeft u nog vragen? Stel deze dan gerust aan onze 'AI Gids CyberWijzer' of aan 'AI Gids RechtRaadgever'.

Meer actueel nieuws