De dagvaarding die de stichting The Privacy Collective tegen Oracle en Salesforce heeft ingediend, schetst een onthutsend beeld van organisaties die op grote schaal en zonder toestemming persoonsgegevens verwerken. Door het illegaal koppelen van data en de ontwikkeling van superieure 'adtech' hebben de twee Amerikaanse softwarebedrijven een haarscherp profiel van vrijwel iedere Nederlander opgebouwd.
Dit is het beeld dat naar voren komt in de rechtszaak die The Privacy Collective tegen de twee genoemde bedrijven aanspant. Oracle en Salesforce plaatsen in Nederland massaal cookies op apparatuur van internetgebruikers, verrijken de gegevens en wisselen unieke informatie uit. De bedrijven wisten zich in deze positie te manoeuvreren door de afgelopen jaren via overnames superieure ‘adtech’ te verwerven, waarna hun datamanagementplatforms (dmp’s) bezoekers van websites precies de juiste advertenties voorschotelen. Daartoe worden van vrijwel alle Nederlanders die informatie op internet lezen of bekijken, persoonsgegevens verwerkt.
Volgens de stichting die optreedt tegen schending van privacyrechten, worden voortdurend op onrechtmatige wijze persoonlijke eigenschappen van iedereen die online is, verzameld en uitgewisseld. Ook als iemand bijvoorbeeld gokverslaafd is, is dit in een profiel mee te nemen. De profilering gebeurt dagelijks op grote schaal zonder dat internetgebruikers daar kennis van hebben. Volgens de stichting zouden beide bedrijven daarmee stelselmatig de AVG schenden. Ook een gebrek aan transparantie over hun handelwijze en het zich niet houden aan de vereiste van data-minimalisatie worden Oracle en Salesforce verweten.
Veel bewijs
Oracle zei maandag in een eerste reactie geen directe rol te spelen in het realtime-biedproces (rtb). Ook zou zijn data-operatie in de EU minimaal zijn. Salesforce liet zich in soortgelijke bewoordingen uit.
Maar The Privacy Collective denkt veel bewijs te hebben dat Oracle en Salesforce massaal gegevens verkopen om slim te kunnen bieden op online-advertentieruimte. Vorig jaar was de markt voor dat soort advertenties wereldwijd goed voor een omzet van ruim driehonderd miljard dollar. Aanbieders van dmp’s hebben hierbij een dikke vinger in de pap. Voor Oracle en Salesforce is de handel in persoonsgegevens enorm winstgevend, aldus de dagvaarding. Hun rol bij gegevensverzameling en –verwerking wordt ‘onmisbaar’ genoemd.
Met publicatie van nieuw onderzoek naar de handelingen van Oracle en Salesforce in Nederland hoopt de stichting suggesties van beide bedrijven onderuit te halen dat het wel meevalt met hun verzameldrift.
Cookie-onderzoeker
Dr. Muhammad Ahmad Bashir, gepromoveerd op de privacy-implicaties van het rtb-systeem en cookie-onderzoeker bij de universiteit van Berkeley, ontdekte dat de technologieën van Oracle en Salesforce opduiken op bekende, vertrouwde websites die vrijwel elke Nederlander bezoekt. De data-beheerplatforms (dmp’s) van beide bedrijven zijn haast niet te vermijden.
Oracle en/of Salesforce plaatsen cookies op 41 van de honderd websites. Oracle doet dat op 28 sites, Salesforce op 31 sites, terwijl via achttien sites door beide cookies worden geplaatst. Bol.com (9,97 miljoen unieke bezoekers per maand) plaatst cookies van Salesforce. Ook Buienradar.nl, Mediamarkt.nl en RTL-nieuws bedienen Salesforce. Marktplaats.nl, Nu.nl, Ad.nl, Trouw.nl, Volkskrant.nl, Booking.com, Startpagina.nl en Libelle.nl werken met Oracle en Salesforce. Hierbij zitten ook sites die voordat toestemming wordt gegeven cookies plaatsen. Bij Oracle zijn dat tien, bij Salesforce twaalf sites.
Tegelijkertijd koppelen Oracle en Salesforce hun cookies met tientallen andere partijen waaronder ad exchanges, andere dmp’s en datahandelaren. Volgens Bashir vraagt een groot deel van de sites die cookies van Oracle en Salesforce plaatsen, niet op de juiste wijze toestemming. Ook laat de informatieverstrekking over de verwerking van persoonsgegevens te wensen over.
Om internetgebruikers te volgen, maken Oracle en Salesforce veel koppelingen via cookie syncing. Met identificatoren worden internetgebruikers van elkaar onderscheiden. Door unieke identificatoren uit te wisselen met andere commerciële partijen en aan elkaar te koppelen, ontstaat een goed beeld van de karaktereigenschappen en interesses van de internetgebruiker. Zelfs iemands stemming en emoties kennen soms geen geheimen meer.
Salesforce synchroniseerde met de meeste van deze partijen cookies voordat de gebruiker daar enige vorm van toestemming voor heeft gegeven. Volgens The Privacy Collective richten beide bedrijven hun diensten ook specifiek op de Nederlandse markt.
Verrijken
De dmp’s werken volledig geautomatiseerd via software. Beide bedrijven bieden een platform dat steeds beter gegevens weet te verzamelen, te bewaren en te verrijken. Websitehouders kunnen met dit platform koppelingen maken voor het plaatsen en uitlezen van cookies. Ook worden gigantische databases onderhouden voor gegevensopslag waarin data uit diverse bronnen aan elkaar worden gekoppeld. Voor het verrijken van gegevens worden databases van derde partijen met dit platform verbonden.
Oracle en Salesforce gebruiken ook gegevens uit de fysieke wereld. Veel geld is ook gestoken in algoritmes om één persoon te identificeren en zijn activiteiten te volgen over meerdere apparaten. Verder zijn unieke identificatoren ontwikkeld. Technische koppelingen zijn te maken tussen de eigen cookie-identificatoren en die van derde partijen. Zo kunnen zij elkaars gebruikers identificeren en gegevens uitwisselen. Met big data zijn deze enorme hoeveelheden gegevens te organiseren en inzichtelijk te maken. Steeds slimmer worden de algoritmes om van de verschillende gegevenssets profielen en interessesegmenten te maken.
Volgens de stichting scheppen Oracle en Salesforce een indringend beeld van iemands online leven. Internetgebruikers krijgen kenmerken toebedeeld en worden ingedeeld in aparte segmenten of ‘audiences’. Oracle en Salesforce koppelen verschillende unieke identificatoren aan elkaar, zodat één vingerafdruk of ‘id graph’ ontstaat. Oracle en Salesforce zijn bovendien gespecialiseerd in het verrijken van deze gegevens met gegevens uit andere bronnen. Denk hierbij aan gegevens over offline aankopen, locatiegegevens, credit card gegevens, financiële gegevens en gegevens van sociale media. Oracle en Salesforce bieden hun klanten ook de mogelijkheid om hun eigen gegevens toe te voegen.
‘Zo koppelen Oracle en Salesforce data’
In de dagvaarding, die 226 pagina’s beslaat, schetsen de advocaten een gedetailleerd beeld hoe Oracle en Salesforce een positie opbouwden. Oracle’s belangrijkste overnames waren die van het big-dataplatform Bluekai, Datalogix (offline-informatie), Responsys (gespecialiseerde mail), softwarebedrijf AddThis (deelknoppen), Magna (forecast), Moat (aandachtsanalyse), Crosswise (apparaten koppelen aan personen), Eloqua (digitale marketing) en Grapeshot (contextueel adverteren).
Ook Salesforce heeft door middel van overnames een positie in de gegevensindustrie veroverd. Vooral ExactTarget en Krux dat vergelijkbaar is met Bluekai, waren belangrijk.
De zaak wordt namens The Privacy Collective behandeld door mr. Chr. A. Alberdingk Thijm, mr. F.M. Peters, mr. S.C. van Schaik en mr. M. Krekels.
Het is allemaal niet onbekend wat beide grote partijen doen. Microsoft en wellicht andere grote partijen bedienen zich daar ook van. Je weet gewoon dat entiteiten als google, amazon, bol.com, voornoemden, elkaar ergens technisch vinden en dat er wegen worden gecreëerd onder de tafel enorme koppelingen te realiseren. Er zijn wel wat saboterende mogelijkheden die gebruikers kunnen inzetten om die koppelingen waardeloos te maken.
Gooi je cookies weg bij het afsluiten van je browser. Het is een instelling. Je kunt ook TOR browser gebruiken voor de hele speciale zoektochten. Bestellingen? Als het even kan niet op jouw naam of adres. Zo kunnen koppelingen niet altijd makkelijk worden gemaakt en word die data onbetrouwbaar, evenals wat zij je commercieel in reclameuitingen voorschotelen. Er zijn ook al kleine programma’s in de maak die cookies regelrecht saboteren.
Ook cookiewalls kun je eenvoudig aan de schandpaal nagelen. Als die niet in overeenstemming is met de AVG, eenvoudig een aanklacht indienen bij de Autoriteit Persoonsgegevens.
https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/gebruik-uw-privacyrechten/klacht-melden-bij-de-ap
Onze ervaring is dat zij steeds sneller, steeds hogere boetes uitdelen. Google en BKR waren recentelijk nog aan de beurt.
Dino,
NumoQuest is terug, weliswaar onder een andere naam maar veranderen van label is hip. Het is zoiets als regelmatig je AH bonuskaart omruilen waardoor koppelingen weerlegbaar worden en data onbetrouwbaar, fuck het systeem door het systeem zich zelf te laten bevredigen. Opmerkelijk trouwens dat Rene in laatste zin over ‘onze ervaring’ spreekt…..
@Ewout Voor zover ik weet heeft Rene hier altijd onder twee namen reacties geplaatst: NumoQuest en ReneCiville. Jullie staan ongeveer quitte. Kwa namen. Ik ook overigens.