Dossier Computerbeveiliging

Nieuws

Lekken

Privacy

Hackers

Pentagon

Virussen

Tips

Boeken

Films

Hoe banken en bedrijven hun klanten ongemerkt steeds beter leren kennen

Digitale sporen

Michiel van Nieuwstadt

Telecommunicatiebedrijven, banken, supermarkten en aanbieders van software krijgen steeds meer greep op hun klanten. Plaats en tijdstip van telefoongesprekken worden nauwkeurig geregistreerd, net als computergebruik. Van elke Nederlander zijn 150 kenmerken bekend en te koop. 'Zeg mij uw postcode en ik zal u zeggen wie u bent.'

Het is 6.51 uur, de auteur van dit stuk slaapt nog. Een minuut later zal de telefoon zijn droom verstoren. Om 6.52 uur, het moment dat hij opneemt, weet KPN Telecom dat hij wakker is. De telefooncentrale seint het tijdstip van aanvang en einde van het slaperige gesprek naar een computer in de regio die de rekeningen verstuurt.

(7.35 uur) De journalist is op weg naar de redactie van de krant. Zend- en ontvangstmasten van Libertel registreren via zijn zaktelefoon tot op enkele honderden meters nauwkeurig de route die hij aflegt. Omdat beller en gebelde elkaar vanaf een willekeurige plek moeten kunnen vinden, houden aanbieders permanent bij waar abonnees zich bevinden. Het uitzetten van de telefoon is de enige remedie.

(7.55 uur). De personal computer van de portier legt het tijdstip vast waarop de redacteur de bedrijfspoortjes binnen wandelt. Hij neemt plaats achter zijn bureau en zit daar maar wat te lummelen.

(9.45 uur) De werkgever registreert het bezoek aan een website met vakantiebestemmingen in Spanje. (10.12 uur) Even later volgt het bezoek aan een vacaturesite van de concurrent en een privé telefoongesprek van maar liefst 33 minuten.

Vanaf 13.00 precies een lunch waaraan geen einde lijkt te komen. (14.19 uur) De journalist verstuurt een mailtje. Naar zijn bank. Schulden? Tussen dit alles door is het om de haverklap tijd voor koffie, maar daarop zal niemand deze redacteur ooit aanspreken. Alleen automaten die werken met een betalingspas leggen de thee- en koffiepauzes vast.

(15.45 uur) De vertrektijd uit het pand verschijnt op de pc die ook de binnenkomst heeft vastgelegd. Een snelle rekensom leert de portier dat op kantoor in elk geval geen sprake is geweest van een achturige werkdag. (18.17 uur) Het klantenbestand van Albert Heijn turft netjes de drie flessen wijn die bij de supermarkt worden gekocht. De klantenkaart legt de link met een gegevensbestand waaruit blijkt dat er eergisteren al vier over de toonbank gingen. Daarmee komt deze klant boven het wekelijks gemiddelde. Het totaalbedrag van de boodschappen bedraagt vandaag 18,39 gulden. Voedsel in vaste vorm blijkt niet nodig.

De hoofdpersoon in dit gedetailleerde logboek heeft niets op zijn kerfstok. Toch wordt hij overal waar hij gaat nauwlettend gade geslagen. Hij laat sporen na, elektronische tekens die laten zien waar, wanneer en hoe hij belt, faxt, mailt, pint, betaalt, werkt of surft. Wie deze lappendeken geheel overziet, krijgt een goed beeld van de auteur van dit stuk. Een beeld waarbij iedere privé-detective zijn vingers zou aflikken.

De telefoonconversatie om tien voor zeven in de ochtend wordt vastgelegd in de bestanden met debiteuren van KPN T elecom. Het is één van de ruim elf miljard binnenlandse gesprekken per jaar. De voormalige monopolist legt de identiteit van de beller voor zes maanden vast in een systeem dat telefoonrekeningen becijfert. Ook de herkomst, bestemming en duur van het gesprek worden geregistreerd.

De gegevens over het telefoonverkeer mogen, behalve door politie en justitie, alleen binnen het bedrijf worden gebruikt. Voor een persoonlijke aanbieding aan een klant bijvoorbeeld. Toch biedt een nieuwe dienst als nummeridentificatie ook buitenstaanders interessante mogelijkheden. Het nummer wordt doorgeseind als de telefoon overgaat. Zo kan de baliemedewerker van een bank in de toekomst nog voordat hij de telefoon opneemt het bestand met cliëntgegevens op zijn beeldscherm toveren. ,,Goedemorgen mijnheer. U belt ongetwijfeld voor een spaarplan voor uw dochter.''

Registratiekamer

De lappendeken van elektronische sporen die elke burger in zijn dagelijkse bestaan achterlaat, is onsamenhangend en slordig aaneen gestikt, maar wel erg dik. Dankzij steeds geavanceerder computer- en communicatietechnologie kunnen bovendien steeds meer gegevens met elkaar in verband worden gebracht. Het traject dat de redacteur even na half acht aflegt naar kantoor is via de zaktelefoon traceerbaar, maar de gegevens worden niet bewaard. Tenzij politie of justitie daarom vragen. Zo kon de politie één plek in de route die de ontvoerder van mevrouw Boonstra aflegde via haar zaktelefoon terugvinden, omdat mevrouw Boonstra door een kennis werd gebeld. De gegevens over het restant van de autorit gingen verloren, omdat mevrouw Boonstra haar telefoon aan had staan, maar niet gebruikte.

KPN Telecom, Libertel of Telfort kunnen op de administratie van gesprekken terugvallen, bijvoorbeeld als er een conflict is over de rekening. Een abonnee die dagelijks tussen 7.00 en 8.00 uur van Rotterdam naar Amsterdam treint, zal moeilijk kunnen beweren dat een lang telefoongesprek met Argentinië, in de ochtend gevoerd op dit traject, niet van hemzelf afkomstig is. Gedetailleerde gegevens over de eigenaardigheden van klanten zijn goud waard voor de aanbieders. ,, KPN gaat heel ver met de exploitatie van belgegevens'', zegt een voormalige werknemer van het bedrijf. ,,Ze kunnen bijvoorbeeld het belgedrag van bakkers en slagers in Amsterdam nagaan om ze eventueel een interessante aanbieding te doen.'' Het is even voor achten. Bij PCM , uitgever van onder meer NRC Handelsblad, wordt in een logboek op de pc geregistreerd dat de werknemer het tourniquet passeert. De gegevens liggen vast voor tenminste enkele maanden. Zijn vertrek uit het kantoorgebouw wordt niet geregistreerd, maar het passeren van de slagboom op het parkeerterrein geeft een goede benadering van de tijd die binnen de kantoormuren is doorgebracht. Het hoofd beveiliging van PCM herinnert zich één geval waarin via het computerbestand een verband kon worden gelegd tussen de momenten dat een nachtelijke schoonmaker zich met een pas toegang verschafte tot de Amsterdamse redactie en het geld dat op die tijdstippen verdween. Vanaf het moment dat de werknemer zich binnen de kantoormuren bevindt, zijn zijn sporen vaak nog beter te traceren. Van een telefoontje vanaf de werkplek bijvoorbeeld kan de werkgever herkomst en bestemming vastleggen met dezelfde computers die ervoor zorgen dat een gesprek binnen een bedrijf naar het juiste toestel wordt gestuurd.

Het afluisteren of opnemen van een gesprek is vaak een fluitje van een cent. In de kamer waar de telefooncentrale staat, moet op het juiste draadje een stekkertje worden aangesloten, bij sommige bedrijven volstaat een druk op de knop van een gereedstaande bandrecorder die is bedoeld voor calamiteiten zoals een telefonische bommelding. In bedrijven die gebruik maken van computergestuurde centrales die grote hoeveelheden telefoonverkeer verwerken, zijn de mogelijkheden enorm. Zo kwamen bijvoorbeeld de Postbank en de boeken- en platenclub ECI in de publiciteit toen bekend werd dat zij meeluister- of opnamefaciliteiten gebruikten om werknemers en hun prestaties te volgen. Dat mag, oordeelde de Registratiekamer, die toeziet op de bescherming van de privacy. De werknemer moet echter weten dat er wordt meegeluisterd en waarom dat gebeurt. Gesprekken van werknemers structureel opnemen is niet toegestaan. Een van de weinige uitzonderingen hierop zijn banken die de lijnen mogen tappen waarover handelaren opdrachten voor grote beurstransacties afhandelen. In geval van onenigheid over een grote deal kan de bank hierop terug vallen.

Werkgevers met een voorliefde voor spoorzoekerij staan meer mogelijkheden ter beschikking dan de telefoon. In het computersysteem dat redacteuren van deze krant gebruiken voor hun kopij kan de doorsnee automatiseringsmedewerker eenvoudig opzoeken op welke tijdstippen journalisten zich aan- of afmelden en dus ook hoeveel tijd zij tikkend, bellend en peinzend achter hun scherm doorbrengen.

Mailtjes

Internet en e-mail zijn goudmijnen voor digitale sporen. Electronische brieven die via het wereldwijde computernetwerk een bestemming zoeken, worden niet echt verstuurd, maar gekopieerd. De weg naar de geadresseerde loopt kriskras via allerlei computers die allemaal een kopietje maken. Het zal de verzender van een elektronische post misschien een zorg zijn dat een computerbeheerder in de Verenigde Staten zijn bericht kan lezen, binnen het eigen bedrijf moet hij op zijn tellen passen. Ambtenaren van de gemeente Zwolle die elkaar stiekem mailtjes verzonden die hun collega's als kwetsend ervoeren, werden gestraft. De gemeente kon, zoals veel andere werkgevers, mailtjes eenvoudig inkijken via de centrale computer die de elektronische post naar de computer van bestemming verstuurt.

De bestraffing van de gemeenteambtenaren was ten onrechte, meende de Registratiekamer. Als een werkgever denkt dat zijn employee onoirbare berichtjes verstuurt, betekent dit niet dat hij ze zo maar mag bekijken. Beleidsmedewerker Bernhard Hulsman van de Registratiekamer vergelijkt het lezen van de mailberichten met het doorzoeken van de bureaulade van een werknemer. ,,Doorgaans mag die ervan uitgaan dat zijn baas daar niet in snuffelt'', zegt hij. ,,Maar als de werkgever vermoedt dat er in de lade een pistool verborgen ligt, is een inbreuk op de privacy natuurlijk te rechtvaardigen.''

PCM mengt zich niet in het Internet-gebruik van zijn werknemers, maar lang niet alle bedrijven stellen zich zo terughoudend op. Onder veelzeggende namen als Little Brother en Key Logger zijn programma's te koop die respectievelijk het Internetgedrag van computergebruikers in een netwerk registreren of zelfs elke aanslag op het toetsenbord vastleggen. Bij KPN Telecom heeft slechts een beperkt aantal mensen toegang tot Internet. Chefs van afdelingen worden geacht excessief of nutteloos surfen te voorkomen. Over Internetgebruik staan geen afspraken op papier. ,,Maar iedereen weet wat je wel en niet moet doen'', aldus een woordvoerder. Wie over Internet surft, wisselt tal van gegevens uit met de computers die worden bezocht. De Internetgebruiker is voor de eigenaar van een website herkenbaar via een nummeriek adres, het zogeheten Internet Protocol-nummer, een tijdelijke identiteit. Aanbieders van toegang tot Internet en grotere bedrijven hebben een vast lijstje zogeheten IP-nummers toegewezen gekregen. Lijsten met eigenaren van IP-nummers zijn openbaar. Wie gaat surfen 'leent' zo'n nummer zodat hij niet individueel, maar wel als werknemer of klant bij een bepaalde organisatie getraceerd kan worden.

Hoewel individuen op deze manier niet te traceren zijn, kan deze vorm van registratie een Internetgebruiker onprettige verrassingen bezorgen. Ilse, een Nederlands bedrijf dat een zoekmachine op Internet exploiteert, oogstte zo'n twee jaar geleden een storm van kritiek toen uitlekte dat werknemers van Philips het liefst Internet afzochten met de trefwoorden 'seks' en 'vacatures'. Ilse is volgens directeur Martijn ten Houten veel voorzichtiger geworden met het verstrekken van gegevens. ,,Dagelijks maken wij, bijvoorbeeld voor adverteerders op onze site, een statistisch overzichtje met de meest populaire zoekwoorden'', zegt hij. ,,De overzichten met gedetailleerde zoekgegevens gooien we elke nacht weg.''

De computer die via Internet wordt benaderd kan bezoekers meer onfutselelen dan alleen een IP-nummer. Zonder al te veel moeite, zo vertelt verkoopdirecteur Thomas van Maaren van het Nederlandse Internetbedrijfje Nedstat, kan worden vastgesteld welke sites eerder zijn bezocht, evenals het type besturingsprogramma (Windows bijvoorbeeld) dat wordt gebruikt. Speciale programmatuur van softwareproducent Microsoft kan vanaf de website van dit bedrijf kijken welke bestanden op een computer staan. Klanten die dat wensen krijgen een seintje als zij verouderde software gebruiken.

Ook het elektronische postadres van de bezoeker kan de eigenaar van een website technisch vrij eenvoudig uitlezen. ,,We hebben regelmatig klanten die ons daarom vragen'', zegt Van Maaren van Nedstat, dat onder meer software levert voor het turven van het aantal bezoekers van een website. ,,Wat meer malafide bedrijfjes doen dat. Wij niet. Het is een inbreuk op de privacy.'' Wie het mailadres van bezoekers van zijn website achterhaalt kan hen later ongevraagd bestoken, met reclamemateriaal bijvoorbeeld. Websites winnen meestal informatie in van de bezoeker zonder dat deze daarvan op de hoogte is. Amerikaans onderzoek wees afgelopen zomer uit dat slechts twee procent van de aanbieders van Internetpagina's hun bezoekers klip en klaar vertellen welke informatie zij registreren en wat ze er mee doen. Niet meer dan 14 procent van de aanbieders kent überhaupt beleid op het gebied van privacy. In Nederland is de situatie niet veel beter, meent Hulsman van de Registratiekamer. ,,Strikt genomen moet ook op Internet worden voldaan aan de wettelijke eisen voor persoonsregistraties'', zegt hij. ,,In de praktijk komt daar weinig van terecht.''

Kale abonneegegevens

Meer dan de surfer op Internet is de gebruiker van chip-, pin-, credit- en klantenkaarten zich bewust van de sporen die hij achterlaat. De pinpas genereert het meest uitgebreide netwerk van sporen. Zoals bij elke banktransactie worden ook bij een opname via de geldautomaat naam, plaats, en bedrag geregistreerd en bewaard. De bestanden kunnen de bank van pas komen, bijvoorbeeld als de klant het niet eens is met een transactie. Een winkelier die achteraf vaststelt dat een klant te weinig betaald heeft, kan via de bank zijn persoonlijke gegevens achterhalen.

De banken mogen hun bestanden niet verkopen. Wel worden ze geheel of ten dele verstrekt aan onder meer het Bureau Kredietregistratie, opsporingsinstanties en pensioenfondsen en verzekeringsmaatschappijen. Ook creditcardmaatschappijen leggen de transacties van hun klanten vast en bewaren die, voor twee jaar. Zij kunnen de gegevens raadplegen wanneer bijvoorbeeld koper of verkoper de geldigheid van een transactie aanvecht. In de Verenigde Staten heeft Visa plannen gelanceerd voor verkoop van gegevens van gebruikers aan direct marketeers, zodat een frequent dinerende of vliegende klant persoonlijk benaderd zou kunnen worden. Volgens algemeen directeur Arthur Smolders zal de Nederlandse organisatie van Visa aan een dergelijke exploitatievorm nooit meedoen. Visa houdt in Nederland de bestedingspatronen van zijn klanten wel bij zodat adverteerders persoonsgebonden reclamemateriaal kunnen laten versturen in combinatie met de maandelijkse rekeningafschriften. ,,Wij houden die gegevens zelf in handen'', zegt Smolders. ,,Als die bij derden terecht komen, is het hek van de dam.'' Volgens directeur winkelbedrijf W. Huinder van Albert Heijn hoeft de consument zich evenmin zorgen te maken over het gebruik van de gegevens die worden opgehaald met de klantenkaart. ,,Als je daarmee iets doet wat de klant niet bevalt, schiet je jezelf in je voet'', zegt hij.

Dat is misschien iets te makkelijk gedacht. Albert Heijn riep begin vorig jaar een golf van publiciteit over zich af toen het aanvragers van een klantenkaart verzocht (maar niet verplichtte) een uitgebreid formulier met persoonlijke gegevens in te vullen. Volgens Huinder voltooit Albert Heijn dit najaar de invoer van de naams- en adresgegevens van drie miljoen klanten die een pas hebben aangevraagd. Dit jaar volgen de eerste experimenten met persoonlijke aanbiedingen aan de klant. Bij concurrent Edah legt een zuil in de winkel het verband tussen de klantenpas en de winkelgeschiedenis van een klant. Zo kan de wijnliefhebber geattendeerd worden op een interessant geprijsde fles.

Sixpack

De bestanden met verkoopgegevens van klanten kunnen in verband worden gebracht met andere data. Banken bijvoorbeeld koppelen, voor intern gebruik, de bestanden met betalingsgegevens aan een brede waaier van andere klantgegevens, van hypotheek tot maandinkomen. Het financiële profiel van klanten dat zo ontstaat kan eventueel worden aangekleed en uitgebreid met externe bestanden. Zo kan de koper van een huis een hypotheek worden aangeboden, of de kersverse ouder een spaarregeling voor de studie van het nieuwe kind.

Het bedrijfje Dataprofs, een dochteronderneming van de TNT P ost Groep (afgelopen zomer van KPN afgesplitst) beweegt zich op een vergelijkbaar terrein. In tegenstelling tot de logboeken met telefoongesprekken worden gegevens uit het naam- en adressenbestand van KPN T elecom wèl verkocht. De verkoop van naam en adresgegevens wordt vermeld in de algemene voorwaarden, waarmee de aanvrager van een nieuw abonnement impliciet akkoord gaat. De exploitatie van de gegevens is bij Dataprofs ondergebracht. Directeur Ger Jacobs van Dataprofs wil geen indicatie geven van de omzet van zijn bedrijf. Wel wil hij kwijt dat jaarlijks een slordige honderd miljoen adressen worden verkocht. Als de afnemer dat wenst combineert Dataprofs 'kale' abonneegegevens met een brede waaier van andere bestanden. Die bestanden, via onder meer enquêtes verzameld door bedrijfjes als GeoMarktprofiel, Omnidata en Claritas, bevatten de meest uiteenlopende kenmerken van burgers. Maken ze veel verre reizen? Wat zijn hun hobby's? Hebben ze jonge kinderen?

,,In combinatie met openbare gegevens uit het kadaster of van automobielbezit leveren dergelijke bestanden een gedetailleerd profiel op'', zegt Jacobs. Dergelijke profielen kunnen worden opgesteld van straten of buurten (aan de hand van postcodegegevens), maar ook op individuele basis. Nog specifieker segmentaties zijn mogelijk in combinatie met allerlei adressenbestanden. ,,Neem dat van de KNVB '', zegt Jacobs. ,,Dat is te huur, evenals de meest uiteenlopende abonneebestanden van tijdschriften.'' In totaal zijn, gekoppeld aan postcodes tenminste 150 tot 160 kenmerken van burgers bekend en te koop. In de wereld van de direct marketing geldt: zeg mij uw postcode en ik zal u zeggen wie u bent.

Door koppeling van bestanden kan uit een ogenschijnlijk onsamenhangende wirwar van sporen een profiel worden gedestilleerd. De bezitter ervan is dicht bij de heilige graal van veel bedrijven: de klant beter kennen dan hij zichzelf kent. Technisch is de vereniging van bestanden niet meer zo moeilijk, maar in de praktijk mogen elektronische logboeken en archieven niet zo maar gecombineerd worden. Een nieuwe Europese richtlijn die via de nieuwe 'Wet Bescherming Persoonsgegevens' al in de Nederlandse wet had moeten zijn verankerd, stelt aanvullende beperkingen. In de eerste plaats moeten bedrijven en andere organisaties open kaart spelen. De burger moet weten dat er gegevens worden ingewonnen, wat er mee gebeurt en waarom.

In het bedrijfsleven zijn tegen de nieuwe wet felle protesten hoorbaar. De gestelde verplichtingen zouden een onaanvaardbare bureaucratische rompslomp met zich meebrengen en interessante nieuwe ontwikkelingen frustreren, zo stelt bijvoorbeeld de vereniging VNO/NCW van grote werkgevers. Eén van die 'nieuwe ontwikkelingen' is bijvoorbeeld het gebruik van steeds geavanceerder statistische methoden. De computer kan in de sporendeken interessante patronen onderscheiden.

Directeur Dolf Zantinge van Syllogic, een bedrijf dat software ontwikkelt voor het zoeken naar verbanden in grote bestanden, kent een succesvolle toepassing door een Amerikaanse verzekeringsmaatschappij. Die verzamelde aanspraken op vergoeding van juwelen die werden ingediend op brand- en inbraakpolissen. De verzekeraar zorgde ervoor dat bij de gedupeerden kort na uitkering van het polisgeld een catalogus voor sieraden in de bus viel. De verzekeraar is uitgegroeid tot 's lands tweede postorderaar in sieraden.

Als de statistische analyses ingewikkelder worden en met meer gegevens worden gevoed zijn ook verrassende resultaten mogelijk. Zo zou een Amerikaanse supermarktketen hebben geconstateerd dat luiers tussen vijf en zeven uur 's avonds vaak samen met een sixpack over de toonbank gingen. Verklaring: getrouwde mannen werden tegen sluitingstijd om een boodschap gestuurd en besloten meteen maar een versnapering mee te nemen. De supermarkt plaatste de onvermoede combinatie van bier en luiers naast elkaar in het schap. De klant die de gegevens voor dit soort analyses versterkt, heeft weinig zicht op de resultaten. ,,Misschien deelt de computer mij op grond van statistische analyses op een schaal van 1 tot 12 in categorie 3'', zegt woordvoerder B. Crouwers van de registratiekamer. ,,Dat is misschien reden om mij niet als klant aan te nemen. In zo'n geval kan een bedrijf niet volstaan met de opmerking. U komt niet in aanmerking. Wij weten ook niet waarom, maar de computer zegt het.''

De Registratiekamer signaleert dat gegevens worden vastgelegd zonder dat altijd duidelijk is waarvoor die informatie in de toekomst gebruikt zal worden. ,,Het zou in de toekomst misschien nog wel eens van pas kunnen komen, zegt Crouwers. ,,Maar dat is onvoldoende reden.''

Dat over het gebruik van de vele klantengegevens lang niet altijd een vastomlijnd beeld bestaat illustreerde voorloper Edah. Op een aanmeldingsformulier voor de klantenkaart werd naast geslacht, geboortedatum, gezinsleden en eventuele huisdieren tot voor kort ook het telefoonnummer vastgelegd. Daar is Edah vanaf gestapt. Een eerder geopperd idee winkelbezoekers even te bellen als zij hun neus een aantal weken niet hadden laten zien, zou de klant tegen de borst kunnen stuiten.