Wat zijn databrokers en hoe bescherm je je persoonlijke informatie?

Databrokers verzamelen, analyseren en verkopen je persoonlijke informatie. Het gekke aan dit verhaal is dat dit gewoon legaal is. Ze werken binnen de kaders van de wet, het is alleen niet heel netjes dat ze meestal geen toestemming aan je vragen. En zo weet jij niet dat jouw data (en welke data precies) wordt verhandeld.

Hoe werken databrokers?

Datahandelaren gaan als volgt te werk:

• Je persoonlijke data wordt verzameld uit allerlei bronnen. Denk bijvoorbeeld aan trackers op commerciële websites, maar ook aan publieke bronnen en zelfs bronnen van de overheid;
• Je informatie wordt geanalyseerd en in een mooi pakketje verzameld. Daarna wordt het verkocht aan andere bedrijven;
• Andere databrokers kopen je data. Ze combineren het met andere informatie die ze over je hebben, zodat het pakket aan data nog groter wordt. Ze verkopen dat pakket dan ook weer;
• Uiteindelijk hebben meerdere bedrijven jouw data in handen, zonder dat je daar toestemming voor hebt gegeven. De bedrijven weten duizenden feitjes over jou en je leven.

Daar word je niet vrolijk van, maar gelukkig kun je er wel iets aan doen. In de Algemene Verordening Gegevensbescherming (AVG) staat namelijk dat je het recht hebt om vergeten te worden. Databrokers zijn daardoor verplicht jouw gegevens te verwijderen zodra je daar om vraagt.

Je denkt misschien: ‘Waarom zou uitgerekend ik doel zijn voor een databroker?’ en waarschijnlijk denk je: ‘Ik heb niks te verbergen’, maar toch wel. Ze maken een schets van je en daardoor word je kwetsbaar. Je weet namelijk niet wie de data in handen krijgt en of er wel vertrouwelijk mee om wordt gegaan. Zzp’ers zijn bijvoorbeeld heel makkelijk te vinden in openbare registers. Wel wordt de data vaak geanonimiseerd.

Contact opnemen met databrokers

Je weet nu dat je in je recht staat als je wil dat datahandelaren jouw gegevens verwijderen. Maar hoe ga je dan te werk? Daar zijn twee manieren voor. De eenvoudigste is om een externe partij in te schakelen die deze klus voor je uit handen neemt en wij raden hiervoor Incogni aan, een nieuwe dienst van de makers van Surfshark. 

Hoe werkt Incogni? Je meldt je hiervoor aan en vervolgens geef je Incogni volmacht om vanuit jouw naam databrokers te benaderen. Het voordeel hiervan is dat het je veel tijd bespaard. In je online dashboard zie je een mooi overzicht van de status van de aanvragen. In onze uitgebreide Incogni review lees je er veel meer over.

Je kunt daarnaast datahandelaren ook zelf aanschrijven met het verzoek om jouw gegevens te wissen. Dit kost alleen wel veel tijd en de kans is groot dat databrokers alles op alles zetten om het je zo moeilijk mogelijk te maken. Onderaan dit artikel vind je daarom enkele handige voorbeeldbrieven.

Wat zijn de risico’s van verhandelde data?

Je denkt misschien: ‘Waarom zou uitgerekend ik doel zijn voor een databroker?’ en waarschijnlijk denk je: ‘Ik heb niks te verbergen’, maar toch wel. Ze maken een schets van je en daardoor ben je kwetsbaar. Je weet namelijk niet wie de data in handen krijgt en of er wel vertrouwelijk mee om wordt gegaan. Zzp’ers zijn bijvoorbeeld heel makkelijk te vinden in openbare registers. Wel wordt de data vaak geanonimiseerd.

Eerlijk is eerlijk: niet alle databrokers zijn problematisch. Sommigen gaan wel eerlijk met je gegevens om. Maar er zijn ook schimmige databrokers. Het probleem is dat je niet weet wie je data in handen heeft gekregen. 

Je kunt het irritant vinden dat je steeds ‘persoonlijke’ advertenties krijgt te zien, omdat je je bespied voelt. Maar wat problematischer is, is dat er ook diensten zijn die je volledige naam, adres, telefoonnummers en andere persoonlijke informatie hebben. En die data kan ook verkocht worden aan allerhande partijen.

Je kunt ook slachtoffer worden van organisaties die informatie over je politieke voorkeuren en je houding tegenover bepaalde regels verzamelen. Dat wil je niet, want dat beperkt je vrijheid van meningsuiting. 

Je loopt door het verzamelen en verkopen door databrokers de volgende risico’s:

• Slachtoffer worden van een datalek;
• Het ontvangen van ongewilde reclames en spam;
• Slachtoffer worden van doxing, misbruik en stalking;
• Profiling;
• Pogingen om je politieke voorkeuren of stemwijze te beïnvloeden;
• Vaststellen of je wel een baan of een lening kan krijgen;
• Vaststellen of je lifestyle voor problemen kan zorgen.

Dat is waarschijnlijk genoeg om je niet comfortabel bij te voelen. Je hebt wel degelijk wat te verbergen. En dat is goed, want we hebben allemaal dingen die we liever voor onszelf houden.

Wat zijn jouw rechten?

Voordat je zelf in de (digitale) pen klimt om datahandelaren het vuur aan de schenen te leggen, is het goed om nog even stil te staan bij de rechten die je hebt. Het wordt namelijk snel een juridisch verhaal waarvoor je sterk in je schoenen moet staan.

In Nederland hebben de we Algemene Verordening Gegevensbescherming (AVG). Die is onderdeel van de GDPR, een Europese wet die beschrijft wat je rechten en plichten zijn rondom je persoonlijke informatie. Je hebt Europees gezien in ieder geval:

• Het recht om geïnformeerd te worden;
• Het recht van toegang;
• Het recht van rectificatie;
• Het recht om vergeten te worden;
• Het recht om verwerking te beperken;
• Het recht op overdraagbaarheid van de gegevens;
• Het recht om bezwaar te maken.

In begrijpelijk Nederlands houdt dat in dat je het recht hebt om:

• Te weten welke data door wie is verzameld en hoe het bedrijf de data zal gebruiken;
• De data te laten verwijderen en ‘vergeten te worden’;
• Te verbieden dat je persoonlijke informatie wordt verkocht.

Hierbij is het goed om een paar dingen in het achterhoofd te houden. Allereerst dat sommige data alleen wordt verzameld om te voorkomen dat je twee keer in een database wordt opgenomen. Dat mag van de wet, maar die data mag absoluut niet voor andere doeleinden (zoals verkoop) worden gebruikt.

Er bestaat ook zoiets als een ‘gerechtvaardigd belang’. Dat houdt in dat een bedrijf beweert dat de geleverde dienst zo belangrijk is, dat je recht op privacy minder belangrijk is. Dat proberen bijvoorbeeld kredietinformatiebureaus en fraudepreventiediensten te claimen.

Even afgezien van databrokers: het is altijd een goed idee om gegevensverwijdering aan te vragen van diensten die je niet meer gebruikt. Houd er wel rekening mee dat dat meestal ook betekent dat het account wordt gesloten of zelfs wordt verwijderd.

Onthoud dat je altijd het recht hebt om te vragen welke informatie is verzameld en hoe lang de data wordt bewaard.

Welke databrokers zijn er?

Er zijn duizenden databrokers en het handmatig aanvragen van verwijdering van je data kan dan ook een full time job zijn. Je bent er zo weken en maanden mee bezig. Daarom is een dienst als Incogni voor veel mensen een goede oplossing. Wil je toch zelf databrokers aanschrijven? In principe kun je het best beginnen met de grootste databrokers. Dat zijn namelijk de partijen die je gegevens klakkeloos doorverkopen. 

Als je kunt voorkomen dat je data wordt doorverkocht, heeft dat een grote impact op je privacy. Dit zijn de grootste aanbieders die je alvast kunt aanschrijven:

• Acxiom — [email protected]
• Verisk — [email protected]
• Peopleconnect / Intelius — [email protected]
• AccuData — [email protected]
• CoreLogic — [email protected]
• Epsilon — [email protected]
• Equifax — [email protected]
• DirectMail — [email protected]
• Oracle — [email protected]
• TowerData — [email protected]

Online is ook een complete lijst van databrokers te vinden.

Wat stuur je aan databrokers?

Hoe begin je nu een e-mail aan een databroker? Er is een grote kans dat je e-mail gewoon wordt weggegooid omdat het niet dwingend genoeg is. Hoe cru het ook klinkt: je zult ze met juridische kennis om de oren moeten slaan. Niet iedereen is een jurist en maar weinig mensen hebben kennis van hun privacyrechten. Daarom hebben we alvast een voorbeeldbrief voor je opgesteld. Omdat de data brokers vooral buitenlandse partijen zijn, is de brief uiteraard in het Engels.

(Belangrijk: vergeet je naam niet te veranderen)

“Subject: Data removal request

Dear All,

I hereby submit a request for implementation of the following rights under Articles 7(3), 17 and 21 of GDPR and other applicable privacy legislation which grant individuals certain rights in relation to the protection of their personal data (information):

1) To obtain erasure (deletion) of personal data (information) without undue delay;

2) To withdraw any consent given to the processing of personal data (information);

3) To object to the processing of personal data (information) concerning the below individual, including but not limited to profiling and direct marketing.

The information necessary to confirm the identity of the individual on behalf of which this request is submitted:

Name: [Naam]

Address: [Adres]

E-mail address: [E-mailadres]

Please confirm your compliance with the request without undue delay and in any event within 45 (forty-five) days of receipt of this request.

Thank you.”

Als databrokers je gegevens niet willen verwijderen

Verrassend genoeg is niet iedereen in de data-industrie erop uit om je tegen te werken en je gegevens te verkopen. Voor veel partijen is een dergelijk mailtje genoeg om je gegevens te verwijderen en verwijderd te houden. De databrokers hebben helemaal geen zin er rechtszaken over te voeren. Dat kost bovendien te veel geld.

Helaas zijn er ook partijen die het niet zo nauw nemen met de wet- en regelgeving. Je krijgt dan een antwoord dat je verzoek is afgewezen. De databroker komt met onbegrijpelijke redenen om je verzoek af te wijzen. Ze weten heel goed dat jij en ik niet gespecialiseerd zijn in juridische zaken en dat de meeste mensen er geen advocaat voor inschakelen. Om het nog wat lastiger te maken, is de e-mail geschreven in onbegrijpelijke juridische taal. Dat doen databrokers omdat ze hopen dat je het dan opgeeft. Gelukkig geef jij niet op, want we helpen je graag verder. Dit zijn bijvoorbeeld enkele veelvoorkomende scenario’s en hoe je daar mee om kunt gaan:

Meer informatie verschaffen

Het klinkt echt belachelijk, maar databrokers vragen vaak nog meer gegevens van je, als je je gegevens wilt verwijderen. Je vraagt je bijna af: ‘Ze weten toch al alles van me, wat moeten ze nog meer weten?’ Maar eigenlijk is het logisch. In sommige gevallen hebben ze geen e-mailadres bij persoonlijke informatie. Toch moeten ze weten wie de aanvraag indient. De databroker moet bovendien zeker weten dat de juiste gegevens bij de juiste persoon horen.

Helaas zijn er ook databrokers die deze manier misbruiken om geen actie te hoeven ondernemen. Ze vragen bijvoorbeeld om een kopie van een rijbewijs of een kopie van een factuur om je identiteit te verifiëren. Dat is volstrekte flauwekul. Je hebt niet te maken met een bank of een overheidsinstantie, die sowieso al spaarzaam zijn met het vragen naar dit soort gegevens. Dit is gewoon een willekeurig bedrijf dat er alle voordeel bij heeft om je gegevens gegijzeld te houden. Je hoeft dit soort gegevens dan ook niet af te geven.

De privacywet bepaalt dat de vraag om verificatie proportioneel moet zijn. Met andere woorden: de databroker mag niet onredelijk zijn in het antwoord en in de vraag naar meer gegevens. Dit is wat je kunt antwoorden (in het Engels):

“Please note that I have already provided all the information necessary to identify the principal to identify myself. Therefore, I am not obliged to provide any further information.

Your request to initiate manual research on users’ side is excessive and requires disproportionate effort.”

Je kunt dat antwoord gebruiken wanneer je vindt dat het bedrijf iets onredelijks van je vraagt.

Vul het opt-out formulier in

Databrokers verdienen veel geld aan andermans gegevens. Het is hun dagelijkse handel. Ze zitten er dan ook niet op te wachten dat mensen willen dat gegevens verwijderd worden. Als iedereen zou vragen om verwijdering van gegevens, kan het bedrijf niet bestaan. Daarnaast is het duur om een afdeling op te zetten die de verwijderingen regelt. Daarom krijg je meestal een geautomatiseerd antwoord met een formulier dat je moet invullen.

Ook dat hoeft niet: bedrijven zijn onder de privacywet verplicht om aan je verzoek te voldoen. Je hoeft geen extra formulieren in te vullen en allerlei extra werkzaamheden uit te voeren om je gegevens verwijderd te krijgen.

Je kunt twee dingen doen: of het formulier toch invullen en zo goodwill kweken, of ze een juridisch standje geven. Dan mail je terug:

“In response to your request to fill in some kind of form, please note that I do not have such an obligation.

If there is any legal obligation to do that, please send me a link to a relevant legal act.

On the other hand, you have an obligation to erase my personal information/data without further delay. Therefore, I repeatedly hereby request to erase all my personal information/data. You can treat this letter as withdrawal of my consent on which the processing is based.

Please confirm by email that my personal information/data has been completely erased.”

Welke data moet verwijderd worden?

Soms hangen databrokers de onschuld zelve uit. Ze stellen een stomme vraag: “Welke gegevens moeten verwijderd worden?” Alsof ze geen idee hebben van welke gegevens ze hebben verzameld. Soms vragen ze ook om een link te sturen van waar je de gegevens hebt gevonden.

Dat is handig voor hen: zij hebben er geen werk van en jij bent ondertussen al dagen bezig om je gegevens verwijderd te krijgen. Dat hoeft juridisch niet. De databroker moet gewoon aan je verzoek voldoen. Daar hoef jij geen moeite voor te doen. Dit is wat je terug kunt sturen: 

“Please note that I have already provided all the information necessary to identify me.

Therefore, I am not obliged to provide any further information and find your requirements excessive. Therefore, your request to initiate manual research is disproportionate to my side.

As well as, even if I could do that, there is no guarantee that your system has avoided errors, typos or other mistakes in association with my data.”

Je data wordt verwijderd

Je krijgt een mailtje dat je data wordt verwijderd. Je denkt dat je een overwinning hebt behaald, maar eigenlijk valt dat tegen. Het mailtje met de tekst: ‘Your data has been removed’, ‘You have been opted out’ of ‘Your request has been completed’ blijkt een standaard mail te zijn, waarin om nog meer actie wordt gevraagd. Dat zie je pas als je de e-mail echt opent. Nog meer formulieren om in te vullen. Nog meer actie te ondernemen. Die bedrijven doen dat omdat ze niet verwachten dat je erop zult reageren. Daarom is het zaak om slim te zijn en dat wel te doen. Stuur daarom de reactie die we je eerder als voorbeeld hebben gegeven bij: ‘Wat te antwoorden?’

Wat als het niet heeft gewerkt?

Databrokers verdienen ontzettend veel geld. Er zit een enorme industrie achter. Persoonsgegevens zijn goud waard en dat weten ze maar al te goed. Tegelijkertijd is het wel een beetje pervers, want er zijn allerlei wetten die ons moeten beschermen tegen dit soort partijen. Databrokers voelen zich dan ook aangevallen als we gebruikmaken van onze rechten. We vallen immers hun broodwinning aan. Ga er gerust vanuit dat het een robbertje vechten wordt voordat je data is verwijderd. Loop je vast in het mailverkeer? Dan kun je dit soort dingen naar de bedrijven terugsturen:

1. Please confirm that you refuse to proceed with our data removal request despite the fact that I have provided all the necessary information to identify myself.
2. Please be advised that since you’re refusing to exercise my right to have my personal data removed, I will be issuing a complaint detailing this situation with request to review your business practices.

Wordt het nog niks? Dan is het tijd om juridisch met bommen te gooien. Verwittig de Autoriteit Persoonsgegevens van de praktijken van de weigerende databroker. De databroker overtreedt de wet en kan daarvoor flinke boetes krijgen. De Autoriteit kan een onderzoek starten en vaak kiest de databroker dan wel eieren voor z’n geld. Het is goed om te weten dat digitale privacywetten nog een beetje in de kinderschoenen staan. Daarom zoeken dit soort partijen vaak de randjes op. Als we laten zien dat we ons niet laten wegsturen en als we laten zien waar de wetten tekortschieten, kunnen we gezamenlijk onze privacy een stuk verbeteren.