Databrokers verkopen locatiedata van smartphones. Uit onderzoek blijkt dat die praktijk ook in België tot grove privacyschendingen kan leiden. Uw thuisadres, relaties en bezigheden vallen zo te achterhalen.
Op een groot scherm verschijnt een paarse bol op een gedetailleerde wegenkaart. De bol verspringt. In een duf lokaal op de Gentse technologiecampus van de KU Leuven krijgt Knack een inkijk in het nog ongepubliceerde onderzoek Big broker is tracking you!
De paarse bol duikt op aan een schoolgebouw, dan via een autosnelweg in een kantoorgebouw en ’s avonds en ‘s nachts op huisnummer 23 in een specifieke straat in een Vlaamse stad. (Om privacyredenen vermelden we niet welke straat en welke stad.) De volgende dag hetzelfde patroon. We zien de bijna exacte locaties van een echte Vlaamse smartphonegebruiker.
Die paarse bol zou u kunnen zijn. Tenminste als u een smartphone gebruikt met daarop een app die uw locatie deelt. Dat kan gaan van weerapps als AccuWeather, datingapps als Tinder of Grindr of een app om vliegtuigen te spotten als Flightradar24. En vele andere.
De dataset die postdoctoraal onderzoeker Michiel Willocx onder de loep nam bevat de locatiegegevens van 121.000 Belgen, ongeveer 1 procent van de bevolking. De 450 miljoen datapunten in die set tonen waar – nauwkeurig tot op enkele meters – en wanneer hun smartphone zich bevond van oktober tot december 2022. De titel van het onderzoek – een verwijzing naar Big Brother uit de dystopische roman 1984 van George Orwell – is niet uit de lucht gegrepen.
Freaky
In de kerstvakantie van 2022 ging de persoon wiens smartphone we volgen – de paarse bol – naar vakantiepark De Vossemeren. Onderzoeker Willocx: ‘Het moment dat je een gezin ziet inchecken in Center Parcs en zelfs kunt zien in welke specifieke bungalow met sauna ze verbleven, denk je echt: shit. De kinderen van dat gezin hadden ook een smartphone. We konden zien op welke speelplaats ze die gebruikten, echt freaky.’
Hoe kwam Willocx aan deze data? ‘Voor onderzoeksdoeleinden kregen we die dataset van een Vlaams bedrijf dat ze had gekocht van een databroker. Zo’n databroker is een bedrijf dat locatiegegevens van smartphones verzamelt. Het stelt software ter beschikking aan appontwikkelaars. Die verwerken de databrokersoftware in hun gratis apps als verdienmodel. Door uw locatie aan de databrokers door te geven, verdienen die appontwikkelaars geld.’
‘De volledige markt van databrokers wordt geschat op tien miljard euro. Dat is big business.’
‘Een dataset met locatiegegevens van drie maanden voor een volledig land kost ongeveer 10.000 euro’ zegt Willocx. ‘De volledige markt van databrokers wordt geschat op tien miljard euro. Dat is big business.’
Computerwetenschapper Vincent Naessens, promoter van het onderzoek, vult aan: ‘Die datasets zijn gegeerd bij commerciële bedrijven en overheden voor geospatiale inlichtingen. Uit geodata kun je bijvoorbeeld afleiden wanneer een winkelstraat druk bezocht is. Daar kun je dan de huurprijs van een winkelpand op afstemmen. Of overheden kunnen ermee bepalen in welke knelpunten in het wegennet ze moeten investeren. Daarvoor zijn geodata heel nuttig, maar als ze in verkeerde handen vallen, kunnen ze gevaarlijk zijn. Dat toont ons onderzoek aan.’
Stripclub
In theorie zijn de locatiedata anoniem. In de praktijk kun je met zo veel datapunten makkelijk achterhalen wiens leven je volgt. Willocx: ‘Sommige apps sturen elke minuut de locatie van de smartphone naar een broker. Dan kun je iemand letterlijk over straat zien wandelen. Ook ‘s nachts gaat dat door. Als iemand tussen 10 uur ‘s avonds en 6 uur ‘s ochtends negentig procent van de tijd op dezelfde locatie is, dan kun je achterhalen waar die persoon woont. Dat lukte 39.000 keer.’
Ook de werkplek valt af te leiden. De onderzoekers konden 112 politieagenten uit de dataset filteren, 91 mensen die werken in rechtbanken, 56 bankbedienden en 50 apothekers. ‘Aangezien ook hun thuisadres in de dataset zit, maakt dat hen kwetsbaar. Een drugsverslaafde zou een apotheker thuis kunnen opwachten en afdreigen.’
In een recent soortgelijk onderzoek kon de Waalse krant L’Echo NAVO-werknemers, hoge functionarissen bij de EU en werknemers op nucleaire sites identificeren. Ook het KU Leuven-onderzoek kon 13 werknemers op nucleaire sites achterhalen.
Naessens ziet vooral een gevaar in aanvallen zonder specifiek vooraf bepaald doelwit. ‘Stel dat een terrorist minister Frank Vandenbroucke wil aanvallen, dan is de kans klein dat zijn smartphone net in deze dataset van 1 procent van de Belgische bevolking zit. Maar de kans dat er in zo’n grote groep wel een of een paar chantabele politici zitten, is reëel. Stel dat die politicus naar een stripclub of casino ging, dan valt ook dat af te leiden uit de data.’
Rijk of arm
Maar niet alleen locaties kunnen iemand kwetsbaar maken voor chantage, ook ontmoetingen. Willocx slaagde erin om op basis van de geodata het sociale netwerk van individuen in kaart te brengen: ‘Als smartphones vaak samen opduiken, kun je concluderen dat de eigenaars elkaar kennen. Is dat dagelijks en steeds in dezelfde privéwoning, dan zijn het gezinsleden. Denk aan het gezin in De Vossemeren. Maar ook vrienden, lobbyisten of maîtresses vallen zo te achterhalen.’
U bezoekt geen parenclub en werkt niet in een kerncentrale? Dan hebt u niets te vrezen met het prijsgeven van uw smartphonelocatie, denkt u. ‘Mis’, waarschuwt Naessens. ‘Elke gebruiker kan in het vizier komen. Uit de restaurants die je frequenteert, kan worden afgeleid of je rijk of arm bent. De data tonen ook patronen en dus wanneer je wel en niet thuis bent. Dieven zouden daarmee perfect rijke mensen kunnen viseren die op pakweg donderdagavond steeds gaan padellen.’
‘Voor haatcriminelen is zo’n dataset eveneens een schatkist. Je kunt zo achterhalen wie aanwezig was op de Gay Pride.’
‘Voor haatcriminelen is zo’n dataset eveneens een schatkist. Je kunt zo achterhalen wie aanwezig was op de Gay Pride. Op basis van profielen op de datingapp Grindr, veel gebruikt door homoseksuele mannen, is er al agressie verricht tegen die minderheid. We konden ook 372 Belgen vinden die regelmatig een kerk of moskee bezochten.’
Volgens de onderzoekers hebben criminelen geen grote rekenkracht of technische kennis nodig om een dataset te scannen op potentiële slachtoffers: ‘Een simpele laptop een dag laten draaien volstaat.’ Zo’n dataset kopen kan voor criminele organisaties dus een slimme investering zijn. Soms is zelfs dat onnodig. Begin dit jaar werd de Amerikaanse databroker Gravy Analytics gehackt. De locatiedata van miljoenen Europeanen kwamen zo op straat te liggen.
Grijze zone
Hoewel hun onderzoek focuste op de gratis apps die samenwerken met databrokers, hekelen Willocx en Naessens ook de afhankelijkheid van platformproviders Apple en Google. ‘Zij beschikken sowieso over al uw locaties en werken nauw samen met de Amerikaanse inlichtingendiensten. Dat die samenwerking er effectief is, bleek al uit de Snowden Leaks in 2013. Met de relatie tussen Europa en de VS die vertroebelt, is dat gevaarlijk. Europa is een digitale kolonie van de VS. Dat maakt ons uiterst kwetsbaar’, zegt Naessens.
‘De techgiganten, die zoete broodjes bakken met Donald Trump, hebben volledige controle over welke software ze pushen op onze smartphones. Dat is zeer ontransparant. Ze kunnen zomaar beslissen om uw microfoon en camera aan te zetten en zo meeluisteren en -kijken. Dat is in het verleden al gebeurd. Hun macht is enorm. Daarop een Europees antwoord zoeken, is een grote maatschappelijke uitdaging. De Vlaamse overheid focust hard op TikTok als the source of all evil, maar dat is echt niet de enige app die problematisch is voor ons collectieve welzijn.’
Welke specifieke apps de data verzamelden die de KU Leuven onderzocht, weet Willocx niet. ‘Die info geven databrokers niet mee. Maar uit de hack van Gravy Analytics bleek dat het toen over meer dan 12.000 verschillende apps ging. Daarbij zaten ook games als het populaire Candy Crush. Gelukkig zijn de appplatformen voor spelletjes nu strenger geworden. Een appontwikkelaar moet kunnen bewijzen dat die écht de locatie nodig heeft voor de functionaliteit van zijn app. Dat is een stap in de goede richting, maar veel blijft in de grijze zone.’ Een grijze zone vol paarse bollen, waarvan u er misschien eentje bent.
Vijf tips om te vermijden dat u datalocatie deelt
Door verstandig met uw smartphone om te gaan, kunt u de kans verkleinen dat uw locatiegegevens bij databrokers terechtkomen.
1) Wees selectief in de apps die u installeert. Gebruik in het algemeen zo weinig mogelijk apps, zeker als een app toegang tot uw locatie vraagt.
2) Verwijder apps die u niet meer gebruikt. Zo kunnen die alvast niet langer onzichtbaar in de achtergrond uw locatiedata delen.
3) Gebruik de standaardweerapp van Android of iPhone, want Google en Apple hebben sowieso al toegang tot al uw locatiegegevens. Met een bijkomende weerapp riskeert u dat uw data nog bij een derde partij terechtkomen.
4) Geef apps alleen toegang tot uw locatie als het echt niet anders kan. Als u uw locatie alleen deelt met een app tijdens het gebruik van die app, gaat uw gebruikservaring daarvan niet achteruit.
5) Download zeker geen apps uit andere appstores dan Google Play of de App Store van iPhone. Hoewel ook de controleprocedure van die platformen niet optimaal is, is er tenminste nog enige controle. Bij andere appstores ontbreekt die vaak volledig.
