3 uren geleden
1
In een vrijstaand huis ergens in het zuiden van Brussel, woont een hoge Europese ambtenaar. Lisa, noemt de Belgische krant L’Echo haar. De krant tekent de route die ze ’s ochtends aflegt. Ze vertrekt in noord-oostelijke richting, zet eerst haar kinderen af bij hun school, dan door naar werk in de Europese wijk, nog iets oostelijker. Na werk: sportschool in de buurt, restaurant nog iets verderop.
‘Lisa’ bestaat niet, want L’Echo wil de data beschermen van de echt bestaande EU-functionarissen en NAVO-ambtenaren van wie ze de gegevens hebben. Via 756 telefoons in het Europees Parlement, 264 in het Berlaymont, waar de Europese Commissie zit, en 453 telefoons in het politieke NAVO-hoofdkantoor in Brussel ziet de krant hoe die mensen zich in hun dagelijks leven verplaatsen.
De informatie is redelijk makkelijk verkrijgbaar, concludeert een samenwerkingsverband van Europese media, waaronder BNR, Le Monde, L’Echo en de Duitse omroep BR/ARD.
Datamakelaars
De locatiegegevens zijn te halen bij datamakelaars. De onderzoeksjournalisten deden zich voor als medewerkers van een marketingbedrijf, en kregen de gegevens van zo’n datamakelaar. Ze legden sets van gratis proefdata naast elkaar, om zo de gegevens van 2,6 miljoen mobiele telefoons te kunnen analyseren.
Riskant, waarschuwt cybersecurity-expert Bart van den Berg bij BNR: de informatie die de datasets opleveren zijn zó specifiek, dat je er routines eenvoudig uit kunt destilleren. Het maakt dat mensen, EU-functionarissen, kans hebben op „spionage, sabotage en chantage”. Volgens BNR konden „veel apparaten” bijvoorbeeld getraceerd worden in bordelen.
Van zeven telefoonbewegingen achterhaalden de onderzoekers de identiteit. Het gaat om vijf (voormalig) EU-functionarissen, drie met een hoge functie. Twee van hen bevestigden dat zij het waren, maar kozen ervoor anoniem te blijven. Ook Shubham Kaushik, die juist werkt voor een koepelorganisatie voor bescherming van digitale rechten, was in de dataset te herleiden.
Net als een journalist van L’Echo, die zich juist heel bewust is van het belang van databescherming. „Ik sta bijna nooit toe dat apps mijn locatie volgen, maar soms is er geen keuze, of merk ik het niet”, zegt hij in de onderzoekspublicatie.
Want dat is het: mensen geven zélf toestemming voor het delen van hun data. Dat is zo gebeurd, als je een app gebruikt om te kijken of het gaat regenen, een route opzoekt, een date regelt, of zelfs een spelletje speelt. Die apps slaan gegevens op, zoals: waar je bent. En die verkopen ze door, de ene met meer nauwkeurige informatie dan de ander.
Het gebeurt ook met gegevens van Nederlanders: BNR verkreeg bijna twee jaar geleden locatiegegevens van mensen die werkzaam waren bij de MIVD en de Nationale Politie.
Ook vijandige inlichtingendiensten kunnen aan de data komen, vertelt Matthijs Koot, IT-beveilingsspecialist bij Veritas Cybersecurity. Al zal dat via een ‘frontbedrijfje’ gaan, zegt hij. „Maar bijvoorbeeld Nexperia, of ASML: je kunt je voorstellen dat mensen willen weten wie daar rondlopen, waar ze heengaan.”
Snel groot geworden
Deze handel in gegevens, ‘advertising intelligence’, is „vrij snel vrij groot geworden” nadat de smartphone in gebruik is geraakt, vertelt Koot telefonisch aan . De meest voorkomende manier waarop geld wordt verdiend met locatiegegevens, is door bedrijfjes die software maken die andere mensen weer kunnen gebruiken om makkelijk een app te maken. In die bouwsoftware, legt Koot uit, kunnen trackers zitten die locatiegegevens verzamelen. Hoe meer appbouwers die de software gebruiken, des te meer locatiegegevens het oplevert.
Die gegevens worden vervolgens doorverkocht. Dat mag onder de Europese privacywet, vinden de datamakelaars, omdat ze anoniem zijn: ze hangen niet aan een naam of telefoonnummer, maar aan een anoniem identificatienummer. Koot ziet het anders: het is niet naar de geest van de wet, omdat de data al gauw níét meer anoniem zijn.
Hij promoveerde op data-anonimiteit, en zag, net als andere onderzoekers, hoe je ‘anonieme data’ kan traceren naar iemands identiteit. „Als je uit die losse stukken van data de patronen gaat halen, kun je al snel tot unieke telefoons komen en is er geen sprake meer van anonieme patronen.” Ook Bits of Freedom concludeert tegenover NRC: „Als je het terug kan leiden dan is er geen sprake meer van anonimiseren. En dan is er dus sprake van normale persoonsgegevens. Volgens ons is het gewoon duidelijk dat bedrijven hier mee de wet overtreden.” Maar Jurisprudentie die dit ondersteunt ontbreekt nog, zegt Koot.
Een andere Europese wet, de nieuwe e-privacy verordening, had ’tracking technologieën’ meer moeten reguleren. Daar werd sinds 2018 aan gewerkt, maar de wet is begin dit jaar afgeschreven: er was geen meerderheid voor, en de wet was deels ingehaald door nieuwe technologie.
Is het überhaupt mogelijk om níét met je locatiegegevens in zo’n dataset te belanden? Jawel, denkt Maartje Knaap, woordvoerder van Bits of Freedom, maar het is „super moeilijk”. Een eerste stap is: zet je locatiegegevens op je telefoon uit waar mogelijk. En het hangt af van welke apps je gebruikt, bij sommige apps kán je niet anders, zegt ze. Je kunt op zoek naar alternatieven zoals open source apps die je locatie niet opslaan. Je levert dan gemak in door bijvoorbeeld niet meer gebruik te maken van Google Maps, maar te navigeren met een veiliger, wat minder gebruiksvriendelijk alternatief als OpenStreetMap of Organic Maps. Zouden Europese regeringsleiders dat doen? Matthijs Koot hoopt van wel.
/s3/static.nrc.nl/wp-content/uploads/2025/11/04184357/web-041125VER_2022093762_podcast.jpg)
/s3/static.nrc.nl/wp-content/uploads/2025/11/04204653/041125VER_2022159872_Brussel.jpg)
/s3/static.nrc.nl/wp-content/uploads/2025/11/04201820/web-041125VER_2022157522_LibertepourCecileetJacquessvpmercibeacoup.jpg)
English (US) ·