OutlierReport
Je locatiegegevens zijn spotgoedkoop. Dat is het echte risico.

Je locatiegegevens zijn spotgoedkoop. Dat is het echte risico.

·5 min leestijdBeveiliging en Privacy
Arthur Roschildt
Geschreven doorArthur Roschildt
In dit artikel

Je telefoon blijft signalen uitsturen, ook als je denkt dat je niets bijzonders doet. Nog voor de lunch heeft hij al contact gehad met zendmasten, advertentienetwerken en apps die op de achtergrond meedraaien. Een deel van die signalen is, volgens recent onderzoek in de Verenigde Staten, doorverkocht. Sommige kwamen terecht in databases waar actoren uit China, Rusland, Noord-Korea en Iran legaal bij kunnen.

Dat is de kern van een rapport van het Joint Economic Committee van het Amerikaanse Congres, opgesteld na onderzoek van CalMatters en The Markup naar de markt voor datahandel. Volgens dat rapport hebben lekken bij Equifax, Exactis, National Public Data en TransUnion meer dan 651 miljoen Amerikanen geraakt en ongeveer 21 miljard dollar aan schade door identiteitsfraude veroorzaakt. Dat zijn Amerikaanse cijfers, maar het onderliggende model is ook voor Nederland en Europa relevant: data worden verzameld, samengevoegd en verhandeld, vaak buiten beeld van de gebruiker.

Het product was niet een app, maar jouw profiel

Daar zit precies de ongemakkelijke waarheid. Deze bedrijven werden niet interessant voor hackers omdat ze een populaire consumentenapp bouwden. Ze waren interessant omdat ze magazijnen met persoonsgegevens waren. Hun verdienmodel draaide om het inkopen, verrijken en doorverkopen van profielen op basis van bankgegevens, verzekeringsdata, loyaliteitsprogramma's en telefoonsignalen.

De rekensom van het Congres is vrij droog, maar daardoor juist sterk. Medewerkers namen een mediane schade van 200 dollar per getroffen persoon en vermenigvuldigden die met het deel van de slachtoffers dat later fraude meldt. Equifax trof in 2017 zo'n 147 miljoen mensen. Exactis kwam in 2018 uit op 230 miljoen. National Public Data voegde in 2023 270 miljoen toe en TransUnion in 2025 nog eens 4 miljoen. De conclusie is simpel: de gemiddelde Amerikaanse volwassene lijkt in meerdere van deze lekken tegelijk voor te komen.

33 bedrijven die bijna niemand kent

Terwijl het Congres de directe schade becijferde, keek het Electronic Privacy Information Center naar het Californische register voor datahandelaren. Daaruit bleek dat 33 in Californië geregistreerde brokers in officiële documenten meldden dat zij data verkochten of deelden met niet-Amerikaanse partijen in landen die Washington als buitenlandse tegenstanders ziet. Vijf van die 33 gaven ook aan dat ze precieze geolocatie verzamelen.

Dat tweede punt is belangrijker dan het op het eerste gezicht klinkt. Precieze geolocatie betekent niet dat iemand in Utrecht of Rotterdam was. Het betekent dat je kunt zien of een toestel bij een vruchtbaarheidskliniek, een defensieterrein, een synagoge of een opvanglocatie voor huiselijk geweld is geweest. Dan wordt “anoniem” opeens een heel rekbaar begrip.

Anoniem is vaak vooral een technisch woord

De sector zegt graag dat de data zijn gede-identificeerd. In de praktijk blijkt dat regelmatig een geruststellend label met weinig inhoud. Als een toestel elke nacht op één adres slaapt en doordeweeks steeds op een ander adres opduikt, zijn twee punten vaak genoeg om de gebruiker te herkennen.

Analisten van Lawfare lieten zien hoe een buitenlandse inlichtingendienst commerciële databronnen kan inkopen, een gevoelig terrein digitaal kan afbakenen en daarna alle toestellen kan volgen die daar over de drempel kwamen. Dan heb je het niet meer over irritante advertenties, maar over bruikbare inlichtingen.

De prijs maakt het nog ongemakkelijker. De staat Illinois kocht twee jaar aan precieze locatiedata van ruim vijf miljoen mensen voor ongeveer 50.000 dollar. Omgerekend is dat grofweg 42.700 euro. Met andere woorden: twee jaar bewegingspatronen van een enorme groep mensen kostten minder dan veel middelgrote softwaretrajecten.

Zelfs uitstappen is moeilijk gemaakt

Hier wordt het echt pragmatisch relevant. Journalisten van The Markup ontdekten dat brokers wettelijk verplichte opt-out-pagina's verborgen met “no-index”-code, zodat ze niet in Google opdoken. De aanbeveling van de commissie was dan ook opvallend eenvoudig: op zijn minst moet afmelden makkelijk te vinden en te gebruiken zijn.

De FTC stuurde bovendien al nalevingsbrieven naar 13 bedrijven op basis van de Protecting Americans' Data from Foreign Adversaries Act, de wet uit 2024 die de verkoop van gevoelige Amerikaanse data aan door tegenstanders gecontroleerde partijen verbiedt. Toch wijst het register erop dat die praktijk in 2025 nog doorging. Dat sluit aan op een bredere markt van lekken via gestolen inloggegevens en op de economie rond browserfingerprinting.

Wat je deze week wel kunt doen

Een perfecte uitweg is er niet, maar een paar praktische stappen helpen wel. Dien een verwijderverzoek in via het Californische register voor datahandelaren, ook als je daar niet woont. Veel bedrijven passen zulke verzoeken liever breed toe dan dat ze hun systemen per regio uit elkaar trekken. Verwijder daarnaast de advertentie-ID van je telefoon, want juist die sleutel helpt om locatiedata uit verschillende apps aan elkaar te knopen.

En maak er een routine van om elke week één app te controleren op toestemming voor precieze locatie. Als ongeveer ook volstaat, zet die instelling dan lager. Diezelfde gewoonte verkleint ook je blootstelling aan lekken rond door overheden ontwikkelde spyware, waar het probleem vaak begint bij apps met te veel rechten. De fundamentele vraag is intussen niet meer of je telefoon data produceert. Dat doet hij al. De vraag is wie die data vrijdag kan kopen, vanuit welk land en voor hoe weinig.

Bronnen en Referenties

  1. Electronic Privacy Information Center (EPIC)
  2. CalMatters / US Joint Economic Committee
  3. The Markup
  4. Lawfare

Lees over onze redactionele standaarden

Misschien vind je dit ook leuk: