NOSop3

Miljoenen pagina's aan data over deze twee socialemediasterren

Aangepast
NOS
Geschreven door
Danny Simons
redacteur NOS Mashup

Van Utrecht naar Parijs en weer terug, over een weg van drie miljoen A4'tjes. Zoveel data hebben onder meer Facebook, Netflix, Snapchat en Tinder over slechts drie mensen: YouTuber Jiami Jongejan (18), ex-Miss Nederland Zoey Ivory (24) en NOS-redacteur Danny Simons (24).

NOS Mashup vroeg alle data van die drie de afgelopen maanden op bij negen bedrijven.

En hoewel je weet dat socialemediabedrijven veel gegevens van je hebben, was dat toch even schrikken. NOS Mashup deed het experiment vanwege de nieuwe Europese privacywet die vandaag ingaat, de AVG. De kern van die wet: jij krijgt meer controle over jouw gegevens.

Ex-Miss Nederland Zoey, van wie we de data opvroegen, wist echt niet meer dat ze op 20 mei 2012 om 22.15 uur naar een marineblauw Adidas-pak zocht. Maar Google wel. "En dat vind ik best eng", zegt Zoey. Hoeveel bedrijven nu precies van je weten en hoe gedetailleerd dat is, zochten we voor je uit. In de video hieronder volg je Zoey en Jiami in de zoektocht naar hun eigen data.

Jouw privacy op sociale media met Jiami en Zoey

Dit verhaal is onderdeel van een tweedelige serie over privacy op sociale media. Morgen vind je in de app en op de site een artikel en video over wat bedrijven allemaal kunnen met jouw data.

We herhalen het nog maar even: van de drie personen in de video hadden acht bedrijven samen drie miljoen pagina's aan gegevens. En dan hebben we het nog niet eens over data die je niet kan printen, zoals video's. "Je weet het natuurlijk wel", zegt YouTuber Jiami. "Maar het blijft schokkend om te zien hoeveel het dan precies is. Dat vond ik toch best wel heavy."

Drie miljoen A4'tjes. En daar staat van alles in. Al je foto's en video's die je hebt gepost, je totale zoekgeschiedenis tot jaren terug. Maar ook allemaal informatie over jou als persoon. Aan de hand van apps op je telefoon kunnen bedrijven bijvoorbeeld je geslacht bepalen. Het lijkt alsof het internet ze beter lijkt te kennen dan zijzelf, zeiden Zoey en Jiami.

"Als je inlogt of incheckt op plekken, sta je er niet bij stil dat bijvoorbeeld Facebook en Google dat allemaal opslaan", vertelt Jiami. "Waar ik met de trein heenging bijvoorbeeld, hoe ik door Amsterdam heb gefietst, dat ik naar New York ben geweest. En je kan dat ook uitstippelen op een kaart, heel visueel. Dat had ik niet verwacht."

Jiami, Zoey en Danny NOS

Het proces waarmee je al die gegevens moet opvragen, gaat allesbehalve soepel. Lees even mee. Volgens de Wet bescherming persoonsgegevens - de voorloper van de nieuwe privacywet AVG - moeten bedrijven binnen vier weken reageren op een inzageverzoek.

We hebben zo'n verzoek een paar maanden geleden verstuurd naar negen bedrijven: Facebook, Instagram, Netflix, Snapchat, Spotify, Twitter, Tinder, WhatsApp en Google. Sommige van deze bedrijven hebben ook een afdeling in Nederland. Die bedrijven hebben van ons twee verzoeken gehad: eentje gericht aan de medewerkers in Nederland en eentje aan de medewerkers van een buitenlands hoofdkantoor.

Blijkbaar houden bedrijven een schaduwboekhouding bij over ons.

David Korteweg, onderzoeker bij privacy-organisatie Bits of Freedom

Na twee maanden hadden we nog geen gegevens van WhatsApp. Pas toen het bedrijf begin mei een downloadtool uitrolde in aanloop naar de nieuwe privacywet om je data op te vragen, konden we de info krijgen. Van Spotify kreeg alleen Zoey een reactie dat er aan haar verzoek wordt gewerkt. Dat bedrijf werkt ook aan een tool, zodat je zelf je gegevens kunt downloaden.

Daarnaast is het nog maar de vraag of de bedrijven waarvan we wel data hebben, alles hebben gegeven. Uit eigen research en onderzoek van The Guardian blijkt dat Facebook, Tinder en Google meer info hebben dan ze geven via hun datadownloadtools.

Ook al ontkennen bedrijven dat on the record glashard: Facebook weigert meer data te geven en houdt vol dat zijn downloadtool voldoet. Tinder en Google moeten nog reageren op nieuwe dataverzoeken.

Rachid Finge (links) van Google geeft uitleg NOS

Bedrijven lijken zich er dus een beetje makkelijk van af te maken. Ze geven (nog) niet alle data die ze over je hebben als je daar expliciet om vraagt. Zelfs als je dat meerdere malen doet, met een mailadres van de NOS.

"Bedrijven bewaren soms ook gegevens die je hebt verwijderd en die je daardoor zelf misschien al was vergeten", zegt David Korteweg, onderzoeker bij privacy-organisatie Bits of Freedom. "Blijkbaar houden ze een schaduwboekhouding bij over ons. Als jij iets aan de voorkant verwijdert, moet je ervan uit kunnen gaan dat dat aan de achterkant ook gebeurt. Tenzij ze een goede reden hebben en helder vooraf uit kunnen leggen waarom ze die gegevens alsnog zelf bewaren aan de achterkant."

"Toch heb je gewoon toestemming gegeven voor alle info die wij over jou verzamelen", zegt Rachid Finge van Google, het enige techbedrijf in Nederland dat zo sportief was voor de camera te verschijnen. "Als je gebruik wil maken van je Google-account, moet je de voorwaarden accepteren die je altijd aan het begin te zien krijgt."

Nog maar 5 procent van alle pagina's aan tekst NOS

"Maar daar gaat het vaak mis", zegt Korteweg. "Bedrijven kunnen best wel wat verzamelen als ze je toestemming hebben. Alleen word je vaak niet duidelijk en helder genoeg geïnformeerd en dan kan je je afvragen of die toestemming wel geldig is."

Met die nieuwe privacywet komt daar als het goed is verandering in, zegt techredacteur Joost Schellevis. "Je komt er niet meer mee weg om dingen te verstoppen in privacyvoorwaarden; je moet duidelijk om toestemming vragen en gebruikers goed voorlichten."

Houden bedrijven zich niet aan de strengere regels, dan riskeren ze boetes van miljoenen of soms zelfs miljarden euro's. "Al zal veel ook nog afhangen van het toezicht", zegt Korteweg. "De Autoriteit Persoonsgegevens moet volgens de nieuwe regels serieus naar elke klacht kijken en tegen misstanden optreden. Dat wordt nog een hele klus."