Martin Gundersen is journalist en onderzoeker bij de Norsk Rikskringkasting (NRK), de nationale omroep van Noorwegen. Hij doet op 3 december jongstleden verslag van zijn ervaringen met de datahandelaren die de gegevens van zijn smartphone gebruiken om geld te verdienen of om de bewakers van de nationale veiligheid te voorzien van gegevens.
Eerst onderzoekt hij enkele bronnen over dit onderwerp:
- How the U.S. Military Buys Location Data from Ordinary Apps, Joseph Cox, 16 november 2020 https://www.vice.com/en/article/jgqm5x/us-military-location-data-xmode-locate-x.
(Media Bias/Fact Check: https://mediabiasfactcheck.com/vice-news/)
- Muslims reel over a prayer app that sold user data: ‘A betrayal from within our own community’, Johanna Bhuiyan, 23 november 2020 https://www.latimes.com/business/technology/story/2020-11-23/muslim-pro-data-location-sales-military-contractors.
(Media Bias/Fact Check: https://mediabiasfactcheck.com/la-times-los-angeles-times/)
- Federal Agencies Use Cellphone Location Data for Immigration Enforcement, Byron Tau and Michelle Hackman, 7 februari 2020 https://www.wsj.com/articles/federal-agencies-use-cellphone-location-data-for-immigration-enforcement-11581078600.
(Media Bias/Fact Check: https://mediabiasfactcheck.com/wall-street-journal/)
Venntel voor uw veiligheid
Gundersen komt er in dit onderzoek achter dat de U.S. Immigration and Customs Enforcement (ICE) commercieel beschikbare locatiedata inkoopt bij Venntel. Op hun site profileren zij zich als volgt: “Innovative big data analytics for the world’s most challenging problems. A pioneer in mobile analytics, Venntel provides security and risk management solutions through technological innovation, data reliability, and proven results.”
Gundersen verzocht Venntel om een kopie van alle informatie die Venntel over hem had. (Hun GDPR – General Data Protection Regulation in het Nederlands de AVG, de Algemene Verordening Gegevensbescherming – stelt dat iedere Europeaan die mag opvragen en moet ontvangen.)
Venntel vroeg Gundersen eerst om enkele adressen te bevestigen waar hij recent was geweest en daarna om zijn “Advertiser ID”. Die hebben alle smartphones, om de gebruiker te tracken door de tijd en over al diens apps; gebruikers kunnen de toegang tot de Advertiser ID beperken, maar weinigen doen dat. Gundersen gaf Ventell het adres van zijn flat in Oslo en van zijn redactie van de NRK (Norsk Rikskringkasting, de nationale omroep van Noorwegen).
U bent hier geweest
Een maand later kreeg Gundersen de informatie over waar hij de afgelopen tijd was geweest.
“De linker foto toont registraties van mijn bewegingen in het gebied waar ik woon. Op de foto rechts zie je een kaart van het NRK-hoofdkantoor in Marienlyst. In de loop van de tijd zijn er hier enorm veel aanmeldingen geweest.”
Venntel vertelt erbij dat zij deze informatie delen met hun klanten; wie dat zijn willen ze niet vertellen.
Gravy Analytics, gegevens van miljoenen smartphones
Hoe was deze informatie bij Venntel terechtgekomen? Geen van de apps op de telefoon van Gundersen maakte er melding van dat zij hun informatie delen met Venntel.
Venntel gaf op verzoek aan dat zij de informatie hadden verkregen van Gravy Analytics, een data-makelaar voor marketeers. Zij profileren zich op hun site als volgt: “Build a better customer experience with location intelligence. Gravy Analytics processes billions of pseudonymous, mobile location signals every day from millions of mobile devices to understand where people go and why.”
Gravy Analytics ontvangt zijn data onder meer van Predicio in Frankrijk (site under construction) en Complementics in de VS (“Complementics, Mobile Audiences Network Access our Mobile Audience Network or Monetize Your Data”).
Sygic en Funny Weather
Een belangrijke toeleverancier voor Gravy Analytics en Predicio die Gundersen aantreft, is de app-developer Sygic in Slowakije (navigatieapps) met per app meer dan 200 miljoen gebruikers.
Gundersen stelt dat Sygic zijn privacy agreement schendt door de persoonlijke gebruikersdata die hij met hen deelt, te verkopen aan Gravy Analytics. Hetzelfde stelt hij vast voor de populaire app Funny Weather, die deze gegevens deelt met Predicio.
Wat te doen?
Gundersen onderzoekt ondertussen welke juridische mogelijkheden hij heeft om deze schendingen aanhanging te maken en zo mogelijk te stoppen. Het lijkt het erop dat de gegevensbeschermingsautoriteiten in de EU niet in staat of niet bereid zijn om de inbreuken op de AVG te stoppen.
Gravy Analytics reageerde niet op zijn herhaalde vragen. Dochteronderneming Venntel wilde niet telefonisch of per e-mail worden geïnterviewd. De United States Customs and Border Protection (CBP) stelt dat ze beperkte toegang hebben tot commercieel beschikbare gegevens en dat deze worden gebruikt in overeenstemming met relevante wet- en regelgeving.
Aanbeveling
Waar persoonlijke online gegevens zoveel waard zijn voor marketeers en veiligheidsdiensten is op zijn minst toezicht op zijn plaats. Al was het alleen maar om mogelijke fouten en mogelijk misbruik tegen te gaan.
Beter was het wanneer ons gebruik van online diensten niet zogenaamd gratis is, maar dat we afrekenen voor de geleverde diensten in de vorm van een financiële vergoeding. Dan weten waarvoor we precies betalen en wat we er precies voor krijgen.
Het complete artikel van Gundersen is hier te vinden: My Phone Was Spying on Me, so I Tracked Down the Surveillants, Martin Gundersen 3 12 2020 https://nrkbeta.no/2020/12/03/my-phone-was-spying-on-me-so-i-tracked-down-the-surveillants/.
Ten slotte
Hoe zorg ik ervoor dat de blog die je nu leest controleerbaar, feitelijk en consistent is? Onder meer door de bronnen te verifiëren.
In deze blog doe ik dat onder meer door bij elke bron de score van de site Media Bias/Fact Check te geven, als de bron daar wordt beoordeeld. Alleen bronnen met een hoge score qua feitelijke betrouwbaarheid krijgen een plek in het betoog.
Zie voor meer informatie over deze aanpak bijvoorbeeld https://www.rijkwillemse.nl/blog/facts-facts-facts-check/.
Meer over privacy? Lees deze blog waarin ik hoogleraar Bart Jacobs aan het woord laat https://www.rijkwillemse.nl/blog/prive-gegevens-voor-de-ratten-of-slimmeriken/.