Privacy
Hoe banken en bedrijven hun klanten ongemerkt steeds beter leren kennen
Digitale sporen
Michiel van Nieuwstadt
Telecommunicatiebedrijven, banken, supermarkten en aanbieders van
software krijgen steeds meer greep op hun klanten. Plaats en tijdstip
van telefoongesprekken worden nauwkeurig geregistreerd, net als
computergebruik. Van elke Nederlander zijn 150 kenmerken bekend en te
koop. 'Zeg mij uw postcode en ik zal u zeggen wie u bent.'
Het is 6.51 uur, de auteur van dit stuk slaapt nog. Een minuut later
zal de telefoon zijn droom verstoren. Om 6.52 uur, het moment dat hij
opneemt, weet KPN Telecom dat hij wakker is. De telefooncentrale
seint het tijdstip van aanvang en einde van het slaperige gesprek naar
een computer in de regio die de rekeningen verstuurt.
(7.35 uur) De journalist is op weg naar de redactie van de krant. Zend-
en ontvangstmasten van Libertel registreren via zijn zaktelefoon tot op
enkele honderden meters nauwkeurig de route die hij aflegt. Omdat
beller en gebelde elkaar vanaf een willekeurige plek moeten kunnen
vinden, houden aanbieders permanent bij waar abonnees zich bevinden.
Het uitzetten van de telefoon is de enige remedie.
(7.55 uur). De personal computer van de portier legt het tijdstip vast
waarop de redacteur de bedrijfspoortjes binnen wandelt. Hij neemt
plaats achter zijn bureau en zit daar maar wat te lummelen.
(9.45 uur) De werkgever registreert het bezoek aan een website met
vakantiebestemmingen in Spanje. (10.12 uur) Even later volgt het bezoek
aan een vacaturesite van de concurrent en een privé
telefoongesprek van maar liefst 33 minuten.
Vanaf 13.00 precies een lunch waaraan geen einde lijkt te komen. (14.19
uur) De journalist verstuurt een mailtje. Naar zijn bank. Schulden?
Tussen dit alles door is het om de haverklap tijd voor koffie, maar
daarop zal niemand deze redacteur ooit aanspreken. Alleen automaten die
werken met een betalingspas leggen de thee- en koffiepauzes vast.
(15.45 uur) De vertrektijd uit het pand verschijnt op de pc die ook de
binnenkomst heeft vastgelegd. Een snelle rekensom leert de portier dat
op kantoor in elk geval geen sprake is geweest van een achturige
werkdag. (18.17 uur) Het klantenbestand van Albert Heijn turft netjes de
drie flessen wijn die bij de supermarkt worden gekocht. De klantenkaart
legt de link met een gegevensbestand waaruit blijkt dat er eergisteren
al vier over de toonbank gingen. Daarmee komt deze klant boven het
wekelijks gemiddelde. Het totaalbedrag van de boodschappen bedraagt
vandaag 18,39 gulden. Voedsel in vaste vorm blijkt niet nodig.
De hoofdpersoon in dit gedetailleerde logboek heeft niets op zijn
kerfstok. Toch wordt hij overal waar hij gaat nauwlettend gade
geslagen. Hij laat sporen na, elektronische tekens die laten zien waar,
wanneer en hoe hij belt, faxt, mailt, pint, betaalt, werkt of surft.
Wie deze lappendeken geheel overziet, krijgt een goed beeld van de
auteur van dit stuk. Een beeld waarbij iedere privé-detective
zijn vingers zou aflikken.
De telefoonconversatie om tien voor zeven in de ochtend wordt vastgelegd
in de bestanden met debiteuren van KPN T elecom. Het is
één van de ruim elf miljard binnenlandse gesprekken per
jaar. De voormalige monopolist legt de identiteit van de beller voor
zes maanden vast in een systeem dat telefoonrekeningen becijfert. Ook
de herkomst, bestemming en duur van het gesprek worden geregistreerd.
De gegevens over het telefoonverkeer mogen, behalve door politie en
justitie, alleen binnen het bedrijf worden gebruikt. Voor een
persoonlijke aanbieding aan een klant bijvoorbeeld. Toch biedt een
nieuwe dienst als nummeridentificatie ook buitenstaanders interessante
mogelijkheden. Het nummer wordt doorgeseind als de telefoon overgaat.
Zo kan de baliemedewerker van een bank in de toekomst nog voordat hij
de telefoon opneemt het bestand met cliëntgegevens op zijn
beeldscherm toveren. ,,Goedemorgen mijnheer. U belt ongetwijfeld voor
een spaarplan voor uw dochter.''
Registratiekamer
De lappendeken van elektronische sporen die elke burger
in zijn dagelijkse bestaan achterlaat, is onsamenhangend en slordig
aaneen gestikt, maar wel erg dik. Dankzij steeds geavanceerder
computer- en communicatietechnologie kunnen bovendien steeds meer
gegevens met elkaar in verband worden gebracht. Het traject dat de
redacteur even na half acht aflegt naar kantoor is via de zaktelefoon
traceerbaar, maar de gegevens worden niet bewaard. Tenzij politie of
justitie daarom vragen. Zo kon de politie één plek in de
route die de ontvoerder van mevrouw Boonstra aflegde via haar
zaktelefoon terugvinden, omdat mevrouw Boonstra door een kennis werd
gebeld. De gegevens over het restant van de autorit gingen verloren,
omdat mevrouw Boonstra haar telefoon aan had staan, maar niet
gebruikte.
KPN Telecom, Libertel of Telfort kunnen op de administratie van
gesprekken terugvallen, bijvoorbeeld als er een conflict is over de
rekening. Een abonnee die dagelijks tussen 7.00 en 8.00 uur van
Rotterdam naar Amsterdam treint, zal moeilijk kunnen beweren dat een
lang telefoongesprek met Argentinië, in de ochtend gevoerd op dit
traject, niet van hemzelf afkomstig is. Gedetailleerde gegevens over de
eigenaardigheden van klanten zijn goud waard voor de aanbieders. ,, KPN
gaat heel ver met de exploitatie van belgegevens'', zegt een voormalige
werknemer van het bedrijf. ,,Ze kunnen bijvoorbeeld het belgedrag van
bakkers en slagers in Amsterdam nagaan om ze eventueel een interessante
aanbieding te doen.'' Het is even voor achten. Bij PCM , uitgever van
onder meer NRC Handelsblad, wordt in een logboek op de
pc geregistreerd dat de werknemer het tourniquet passeert. De gegevens
liggen vast voor tenminste enkele maanden. Zijn vertrek uit het
kantoorgebouw wordt niet geregistreerd, maar het passeren van de
slagboom op het parkeerterrein geeft een goede benadering van de tijd
die binnen de kantoormuren is doorgebracht. Het hoofd beveiliging van
PCM herinnert zich één geval waarin via het
computerbestand een verband kon worden gelegd tussen de momenten dat
een nachtelijke schoonmaker zich met een pas toegang verschafte tot de
Amsterdamse redactie en het geld dat op die tijdstippen verdween. Vanaf
het moment dat de werknemer zich binnen de kantoormuren bevindt, zijn
zijn sporen vaak nog beter te traceren. Van een telefoontje vanaf de
werkplek bijvoorbeeld kan de werkgever herkomst en bestemming
vastleggen met dezelfde computers die ervoor zorgen dat een gesprek
binnen een bedrijf naar het juiste toestel wordt gestuurd.
Het afluisteren of opnemen van een gesprek is vaak een fluitje van een
cent. In de kamer waar de telefooncentrale staat, moet op het juiste
draadje een stekkertje worden aangesloten, bij sommige bedrijven
volstaat een druk op de knop van een gereedstaande bandrecorder die is
bedoeld voor calamiteiten zoals een telefonische bommelding. In
bedrijven die gebruik maken van computergestuurde centrales die grote
hoeveelheden telefoonverkeer verwerken, zijn de mogelijkheden enorm. Zo
kwamen bijvoorbeeld de Postbank en de boeken- en platenclub ECI in de
publiciteit toen bekend werd dat zij meeluister- of opnamefaciliteiten
gebruikten om werknemers en hun prestaties te volgen. Dat mag, oordeelde
de Registratiekamer, die toeziet op de bescherming van de privacy. De
werknemer moet echter weten dat er wordt meegeluisterd en waarom dat
gebeurt. Gesprekken van werknemers structureel opnemen is niet
toegestaan. Een van de weinige uitzonderingen hierop zijn banken die de
lijnen mogen tappen waarover handelaren opdrachten voor grote
beurstransacties afhandelen. In geval van onenigheid over een grote
deal kan de bank hierop terug vallen.
Werkgevers met een voorliefde voor spoorzoekerij staan meer
mogelijkheden ter beschikking dan de telefoon. In het computersysteem
dat redacteuren van deze krant gebruiken voor hun kopij kan de doorsnee
automatiseringsmedewerker eenvoudig opzoeken op welke tijdstippen
journalisten zich aan- of afmelden en dus ook hoeveel tijd zij tikkend,
bellend en peinzend achter hun scherm doorbrengen.
Mailtjes
Internet en e-mail zijn goudmijnen voor digitale sporen.
Electronische brieven die via het wereldwijde computernetwerk een
bestemming zoeken, worden niet echt verstuurd, maar gekopieerd. De weg
naar de geadresseerde loopt kriskras via allerlei computers die
allemaal een kopietje maken. Het zal de verzender van een elektronische
post misschien een zorg zijn dat een computerbeheerder in de Verenigde
Staten zijn bericht kan lezen, binnen het eigen bedrijf moet hij op
zijn tellen passen. Ambtenaren van de gemeente Zwolle die elkaar
stiekem mailtjes verzonden die hun collega's als kwetsend ervoeren,
werden gestraft. De gemeente kon, zoals veel andere werkgevers,
mailtjes eenvoudig inkijken via de centrale computer die de
elektronische post naar de computer van bestemming verstuurt.
De bestraffing van de gemeenteambtenaren was ten onrechte, meende de
Registratiekamer. Als een werkgever denkt dat zijn employee onoirbare
berichtjes verstuurt, betekent dit niet dat hij ze zo maar mag bekijken.
Beleidsmedewerker Bernhard Hulsman van de Registratiekamer vergelijkt
het lezen van de mailberichten met het doorzoeken van de bureaulade van
een werknemer. ,,Doorgaans mag die ervan uitgaan dat zijn baas daar
niet in snuffelt'', zegt hij. ,,Maar als de werkgever vermoedt dat er
in de lade een pistool verborgen ligt, is een inbreuk op de privacy
natuurlijk te rechtvaardigen.''
PCM mengt zich niet in het Internet-gebruik van zijn werknemers, maar
lang niet alle bedrijven stellen zich zo terughoudend op. Onder
veelzeggende namen als Little Brother en Key Logger zijn
programma's te koop die respectievelijk het Internetgedrag van
computergebruikers in een netwerk registreren of zelfs elke aanslag op
het toetsenbord vastleggen. Bij KPN Telecom heeft slechts een beperkt
aantal mensen toegang tot Internet. Chefs van afdelingen worden geacht
excessief of nutteloos surfen te voorkomen. Over Internetgebruik staan
geen afspraken op papier. ,,Maar iedereen weet wat je wel en niet moet
doen'', aldus een woordvoerder. Wie over Internet surft, wisselt tal van
gegevens uit met de computers die worden bezocht. De Internetgebruiker
is voor de eigenaar van een website herkenbaar via een nummeriek adres,
het zogeheten Internet Protocol-nummer, een tijdelijke identiteit.
Aanbieders van toegang tot Internet en grotere bedrijven hebben een
vast lijstje zogeheten IP-nummers toegewezen gekregen. Lijsten met
eigenaren van IP-nummers zijn openbaar. Wie gaat surfen 'leent' zo'n
nummer zodat hij niet individueel, maar wel als werknemer of klant bij
een bepaalde organisatie getraceerd kan worden.
Hoewel individuen op deze manier niet te traceren zijn, kan deze vorm
van registratie een Internetgebruiker onprettige verrassingen bezorgen.
Ilse, een Nederlands bedrijf dat een zoekmachine op Internet
exploiteert, oogstte zo'n twee jaar geleden een storm van kritiek toen
uitlekte dat werknemers van Philips het liefst Internet afzochten met
de trefwoorden 'seks' en 'vacatures'. Ilse is volgens directeur Martijn
ten Houten veel voorzichtiger geworden met het verstrekken van
gegevens. ,,Dagelijks maken wij, bijvoorbeeld voor adverteerders op
onze site, een statistisch overzichtje met de meest populaire
zoekwoorden'', zegt hij. ,,De overzichten met gedetailleerde
zoekgegevens gooien we elke nacht weg.''
De computer die via Internet wordt benaderd kan bezoekers meer
onfutselelen dan alleen een IP-nummer. Zonder al te veel moeite, zo
vertelt verkoopdirecteur Thomas van Maaren van het Nederlandse
Internetbedrijfje Nedstat, kan worden vastgesteld welke sites eerder
zijn bezocht, evenals het type besturingsprogramma (Windows
bijvoorbeeld) dat wordt gebruikt. Speciale programmatuur van
softwareproducent Microsoft kan vanaf de website van dit bedrijf kijken
welke bestanden op een computer staan. Klanten die dat wensen krijgen
een seintje als zij verouderde software gebruiken.
Ook het elektronische postadres van de bezoeker kan de eigenaar van een
website technisch vrij eenvoudig uitlezen. ,,We hebben regelmatig
klanten die ons daarom vragen'', zegt Van Maaren van Nedstat, dat onder
meer software levert voor het turven van het aantal bezoekers van een
website. ,,Wat meer malafide bedrijfjes doen dat. Wij niet. Het is een
inbreuk op de privacy.'' Wie het mailadres van bezoekers van zijn
website achterhaalt kan hen later ongevraagd bestoken, met
reclamemateriaal bijvoorbeeld. Websites winnen meestal informatie in van
de bezoeker zonder dat deze daarvan op de hoogte is. Amerikaans
onderzoek wees afgelopen zomer uit dat slechts twee procent van de
aanbieders van Internetpagina's hun bezoekers klip en klaar vertellen
welke informatie zij registreren en wat ze er mee doen. Niet meer dan
14 procent van de aanbieders kent überhaupt beleid op het gebied
van privacy. In Nederland is de situatie niet veel beter, meent Hulsman
van de Registratiekamer. ,,Strikt genomen moet ook op Internet worden
voldaan aan de wettelijke eisen voor persoonsregistraties'', zegt hij.
,,In de praktijk komt daar weinig van terecht.''
Kale abonneegegevens
Meer dan de surfer op Internet is de gebruiker van
chip-, pin-, credit- en klantenkaarten zich bewust van de sporen die
hij achterlaat. De pinpas genereert het meest uitgebreide netwerk van
sporen. Zoals bij elke banktransactie worden ook bij een opname via de
geldautomaat naam, plaats, en bedrag geregistreerd en bewaard. De
bestanden kunnen de bank van pas komen, bijvoorbeeld als de klant het
niet eens is met een transactie. Een winkelier die achteraf vaststelt
dat een klant te weinig betaald heeft, kan via de bank zijn
persoonlijke gegevens achterhalen.
De banken mogen hun bestanden niet verkopen. Wel worden ze geheel of ten
dele verstrekt aan onder meer het Bureau Kredietregistratie,
opsporingsinstanties en pensioenfondsen en verzekeringsmaatschappijen.
Ook creditcardmaatschappijen leggen de transacties van hun klanten vast
en bewaren die, voor twee jaar. Zij kunnen de gegevens raadplegen
wanneer bijvoorbeeld koper of verkoper de geldigheid van een transactie
aanvecht. In de Verenigde Staten heeft Visa plannen gelanceerd voor
verkoop van gegevens van gebruikers aan direct marketeers, zodat een
frequent dinerende of vliegende klant persoonlijk benaderd zou kunnen
worden. Volgens algemeen directeur Arthur Smolders zal de Nederlandse
organisatie van Visa aan een dergelijke exploitatievorm nooit meedoen.
Visa houdt in Nederland de bestedingspatronen van zijn klanten wel bij
zodat adverteerders persoonsgebonden reclamemateriaal kunnen laten
versturen in combinatie met de maandelijkse rekeningafschriften. ,,Wij
houden die gegevens zelf in handen'', zegt Smolders. ,,Als die bij
derden terecht komen, is het hek van de dam.'' Volgens directeur
winkelbedrijf W. Huinder van Albert Heijn hoeft de consument zich
evenmin zorgen te maken over het gebruik van de gegevens die worden
opgehaald met de klantenkaart. ,,Als je daarmee iets doet wat de klant
niet bevalt, schiet je jezelf in je voet'', zegt hij.
Dat is misschien iets te makkelijk gedacht. Albert Heijn riep begin
vorig jaar een golf van publiciteit over zich af toen het aanvragers van
een klantenkaart verzocht (maar niet verplichtte) een uitgebreid
formulier met persoonlijke gegevens in te vullen. Volgens Huinder
voltooit Albert Heijn dit najaar de invoer van de naams- en
adresgegevens van drie miljoen klanten die een pas hebben aangevraagd.
Dit jaar volgen de eerste experimenten met persoonlijke aanbiedingen
aan de klant. Bij concurrent Edah legt een zuil in de winkel het verband
tussen de klantenpas en de winkelgeschiedenis van een klant. Zo kan de
wijnliefhebber geattendeerd worden op een interessant geprijsde fles.
Sixpack
De bestanden met verkoopgegevens van klanten kunnen in verband
worden gebracht met andere data. Banken bijvoorbeeld koppelen, voor
intern gebruik, de bestanden met betalingsgegevens aan een brede waaier
van andere klantgegevens, van hypotheek tot maandinkomen. Het
financiële profiel van klanten dat zo ontstaat kan eventueel
worden aangekleed en uitgebreid met externe bestanden. Zo kan de koper
van een huis een hypotheek worden aangeboden, of de kersverse ouder een
spaarregeling voor de studie van het nieuwe kind.
Het bedrijfje Dataprofs, een dochteronderneming van de TNT P ost Groep
(afgelopen zomer van KPN afgesplitst) beweegt zich op een
vergelijkbaar terrein. In tegenstelling tot de logboeken met
telefoongesprekken worden gegevens uit het naam- en adressenbestand van
KPN T elecom wèl verkocht. De verkoop van naam en adresgegevens
wordt vermeld in de algemene voorwaarden, waarmee de aanvrager van een
nieuw abonnement impliciet akkoord gaat. De exploitatie van de gegevens
is bij Dataprofs ondergebracht. Directeur Ger Jacobs van Dataprofs wil
geen indicatie geven van de omzet van zijn bedrijf. Wel wil hij kwijt
dat jaarlijks een slordige honderd miljoen adressen worden verkocht.
Als de afnemer dat wenst combineert Dataprofs 'kale' abonneegegevens
met een brede waaier van andere bestanden. Die bestanden, via onder meer
enquêtes verzameld door bedrijfjes als GeoMarktprofiel, Omnidata
en Claritas, bevatten de meest uiteenlopende kenmerken van burgers.
Maken ze veel verre reizen? Wat zijn hun hobby's? Hebben ze jonge
kinderen?
,,In combinatie met openbare gegevens uit het kadaster of van
automobielbezit leveren dergelijke bestanden een gedetailleerd profiel
op'', zegt Jacobs. Dergelijke profielen kunnen worden opgesteld van
straten of buurten (aan de hand van postcodegegevens), maar ook op
individuele basis. Nog specifieker segmentaties zijn mogelijk in
combinatie met allerlei adressenbestanden. ,,Neem dat van de KNVB '',
zegt Jacobs. ,,Dat is te huur, evenals de meest uiteenlopende
abonneebestanden van tijdschriften.'' In totaal zijn, gekoppeld aan
postcodes tenminste 150 tot 160 kenmerken van burgers bekend en te
koop. In de wereld van de direct marketing geldt: zeg mij uw
postcode en ik zal u zeggen wie u bent.
Door koppeling van bestanden kan uit een ogenschijnlijk
onsamenhangende wirwar van sporen een profiel worden gedestilleerd. De
bezitter ervan is dicht bij de heilige graal van veel bedrijven: de
klant beter kennen dan hij zichzelf kent. Technisch is de vereniging van
bestanden niet meer zo moeilijk, maar in de praktijk mogen
elektronische logboeken en archieven niet zo maar gecombineerd worden.
Een nieuwe Europese richtlijn die via de nieuwe 'Wet Bescherming
Persoonsgegevens' al in de Nederlandse wet had moeten zijn verankerd,
stelt aanvullende beperkingen. In de eerste plaats moeten bedrijven en
andere organisaties open kaart spelen. De burger moet weten dat er
gegevens worden ingewonnen, wat er mee gebeurt en waarom.
In het bedrijfsleven zijn tegen de nieuwe wet felle protesten hoorbaar.
De gestelde verplichtingen zouden een onaanvaardbare bureaucratische
rompslomp met zich meebrengen en interessante nieuwe ontwikkelingen
frustreren, zo stelt bijvoorbeeld de vereniging VNO/NCW van grote
werkgevers. Eén van die 'nieuwe ontwikkelingen' is bijvoorbeeld
het gebruik van steeds geavanceerder statistische methoden. De computer
kan in de sporendeken interessante patronen onderscheiden.
Directeur Dolf Zantinge van Syllogic, een bedrijf dat software
ontwikkelt voor het zoeken naar verbanden in grote bestanden, kent een
succesvolle toepassing door een Amerikaanse verzekeringsmaatschappij.
Die verzamelde aanspraken op vergoeding van juwelen die werden
ingediend op brand- en inbraakpolissen. De verzekeraar zorgde ervoor
dat bij de gedupeerden kort na uitkering van het polisgeld een
catalogus voor sieraden in de bus viel. De verzekeraar is uitgegroeid
tot 's lands tweede postorderaar in sieraden.
Als de statistische analyses ingewikkelder worden en met meer gegevens
worden gevoed zijn ook verrassende resultaten mogelijk. Zo zou een
Amerikaanse supermarktketen hebben geconstateerd dat luiers tussen vijf
en zeven uur 's avonds vaak samen met een sixpack over de
toonbank gingen. Verklaring: getrouwde mannen werden tegen
sluitingstijd om een boodschap gestuurd en besloten meteen maar een
versnapering mee te nemen. De supermarkt plaatste de onvermoede
combinatie van bier en luiers naast elkaar in het schap. De klant die de
gegevens voor dit soort analyses versterkt, heeft weinig zicht op de
resultaten. ,,Misschien deelt de computer mij op grond van statistische
analyses op een schaal van 1 tot 12 in categorie 3'', zegt woordvoerder
B. Crouwers van de registratiekamer. ,,Dat is misschien reden om mij
niet als klant aan te nemen. In zo'n geval kan een bedrijf niet
volstaan met de opmerking. U komt niet in aanmerking. Wij weten ook
niet waarom, maar de computer zegt het.''
De Registratiekamer signaleert dat gegevens worden vastgelegd zonder dat
altijd duidelijk is waarvoor die informatie in de toekomst gebruikt zal
worden. ,,Het zou in de toekomst misschien nog wel eens van pas kunnen
komen, zegt Crouwers. ,,Maar dat is onvoldoende reden.''
Dat over het gebruik van de vele klantengegevens lang niet altijd een
vastomlijnd beeld bestaat illustreerde voorloper Edah. Op een
aanmeldingsformulier voor de klantenkaart werd naast geslacht,
geboortedatum, gezinsleden en eventuele huisdieren tot voor kort ook
het telefoonnummer vastgelegd. Daar is Edah vanaf gestapt. Een eerder
geopperd idee winkelbezoekers even te bellen als zij hun neus een aantal
weken niet hadden laten zien, zou de klant tegen de borst kunnen
stuiten.