Gegevens KvK-inschrijvingen gebruikt voor reclames op Facebook
Bedrijven gebruiken data uit de Kamer van Koophandel om doelgericht zzp'ers te benaderen op Facebook. Zzp'ers en andere kleine ondernemers zien dan in hun privé-Facebook-account advertenties op basis van hun zakelijke KvK-inschrijving, blijkt uit onderzoek van de NOS.
Onder meer autofabrikanten Toyota en Lexus hanteerden de praktijk. Zzp'ers met kantoorbanen zoals tekstschrijvers of boekhouders krijgen daarbij advertenties voor andere auto's dan een loodgieter of iemand met een gevelrenovatiebedrijf. "Die raden we dan een bedrijfswagen aan", zegt Ahmed Benachour, chief operating officer van Havas Media. Zijn bedrijf is een van de bedrijven die KvK-data gebruiken voor Facebook-targeting en werkt voor onder meer Toyota en Lexus.
Naast die autofabrikanten plaatsen ook zorgverzekeraar CZ, provider Ziggo en mogelijk ook de zakelijke winkelketen Makro advertenties op basis van KvK-data. Gespecialiseerde bedrijfjes uploaden gegevens van zzp'ers en kleine bedrijven naar Facebook, waarna dat sociale netwerk de relevante profielen erbij zoekt. Vervolgens kunnen de adverteerders gericht advertenties plaatsen.
Verplicht
Dat de Kamer van Koophandel data verkoopt, is bekend: zzp'ers zijn maar al te bekend met de telefoontjes en brieven die je kunt verwachten als je je inschrijft. Dat de KvK data verkoopt terwijl inschrijving verplicht is, zorgt al langer voor kritiek: gisteren zei de Autoriteit Persoonsgegevens die datadeling onder de loep te nemen.
Volgens de privacywaakhond is het twijfelachtig dat de Kamer van Koophandel data van ondernemers verkoopt aan adverteerders, terwijl ze niet met dat doel zijn verzameld. Later deze week gaat de waakhond met de KvK om tafel.
Customized audience
Nieuw is dat de gegevens ook voor Facebook-advertenties blijken te worden gebruikt. De adverteerders gebruiken een Facebook-feature met de naam customized audience targeting.
Met die tool kunnen adverteerders hun klantenbestand uploaden naar Facebook, om ze vervolgens aanbiedingen op maat te doen. Ook kunnen Facebook-gebruikers die vergelijkbaar zijn met klanten van een bedrijf advertenties krijgen.
Dat werkt doordat Facebook de Facebook-accounts van klanten bij de gegevens van het bedrijf zoekt. Als het bedrijf bijvoorbeeld weet welk 06-nummer bij een klant hoort, dan kan Facebook daarbij de gebruiker van zijn netwerk zoeken.
"Die functie is primair bedoeld om advertenties aan je eigen klanten te tonen", zegt privacymanager Emily Sharpe van Facebook tegen de NOS. "Dat als ik KLM-klant ben, KLM mij advertenties voor bepaalde vluchten kan tonen."
Maar in dit geval gebruiken de adverteerders data die helemaal niet van hun klanten zijn. Of dat mag, laat Sharpe in het midden. "Ik kan niet ingaan op individuele gevallen, maar wij vereisen dat je een juridische grond hebt voordat je data deelt."
In dit geval is die juridische grond twijfelachtig. Zelfs als bedrijven hun eigen klantgegevens delen met Facebook, is daarvoor toestemming van die klant nodig, laat de Autoriteit Persoonsgegevens weten in een reactie. In dit geval gaat het om bedrijven waarmee een Facebook-gebruiker vaak niet eens een relatie heeft.
In ieder geval is het nodig dat er een goede opt-out is, zegt privacy-onderzoeker Frederik Zuiderveen Borgesius. En die is er op dit moment niet: je kunt niet volledig voorkomen dat je data worden gedeeld.
Voor bedrijven zijn KvK-data interessant, omdat ze daarmee nog gerichter kunnen adverteren. "Net als andere bedrijven adverteren we graag doelgericht; we willen niet met een kanon op een mug schieten. CZ heeft bepaalde diensten voor bijvoorbeeld zzp'ers", zo laat die zorgverzekeraar weten.
Toyota en Lexus zeggen niet bewust data van de KvK te hebben gebruikt. "Dat heeft ons mediabureau voor ons gedaan, wij wisten het pas toen de NOS contact met ons opnam", aldus woordvoerder Guido Roozekrans van beide automerken. Makro weet nog niet zeker of het KvK-data heeft gebruikt voor targeting, maar noemt het wel waarschijnlijk.
In het geval van Toyota kwamen de gegevens via een keten van bedrijfjes bij Facebook terecht. De Kamer van Koophandel verkocht de data aan een bedrijf met de naam DR3Data, dat voorheen bij de Telefoongids hoorde en data inkoopt uit onder meer de KvK. Dat bedrijf verkocht de data door aan Digital Audience, een bedrijf dat de data vervolgens uploadde naar Facebook. Binnen Facebook deelde Digital Audience de data met Havas Media, een bedrijf dat onder meer aan reclames doet. En dat bedrijf plaatste dan weer de advertenties namens Toyota en Lexus.
Grote datasets
Wij verkopen namen, e-mailadressen en telefoonnummers.
Volgens Jaap Wolff van DR3Data verkoopt zijn bedrijf grote datasets, van ruim een miljoen mensen. "Wij verkopen bijvoorbeeld namen, e-mailadressen en telefoonnummers." Grote delen daarvan zijn afkomstig uit de Kamer van Koophandel, waaronder telefoonnummers. "Maar e-mailadressen verzamelen we zelf", aldus Wolff. Die halen ze bijvoorbeeld van websites van bedrijven.
De data uit de Kamer van Koophandel zijn in principe openbaar. "Jij kunt ook naar de Kamer van Koophandel gaan en die data kopen." En dat is ook belangrijk, vindt Wolff: "Als jij met mij zaken wil doen, dan moet je mij kunnen natrekken."
Daar is de de Consumentenbond, die al langer onderzoek doet naar targeting op Facebook, het niet mee eens. "Het wordt tijd dat bedrijven zich realiseren dat dit persoonlijke gegevens zijn, die in vertrouwen worden verstrekt", zegt Gerard Spierenburg van de Consumentenbond. "Een zzp'er geeft die gegevens in vertrouwen aan de KvK, dan moet die daar zorgvuldig mee omgaan."
Wie zich registreert bij de KvK, doet dat niet om vervolgens advertenties te krijgen op Facebook, zegt Spierenburg. "De KvK is een verlengstuk van de overheid, het is vreemd dat uitgerekend zij haar inkomsten aanvult met dit soort bedenkelijke praktijken."
Delen klantdata
Hoeveel bedrijven KvK-data gebruiken, is onbekend. Maar zeker is wel dat targeting op basis van e-mailadres en telefoonnummer schering en inslag is. Bedrijven als KLM, PlayStation en Airbnb uploaden hun eigen klantendatabases naar Facebook om vervolgens klanten en mensen die lijken op hun klanten te benaderen. Dat constateerde de Consumentenbond eerder al.
Daarbij overtreden de bedrijven in veel gevallen de privacywet, omdat klanten niet netjes om toestemming wordt gevraagd, laat de Autoriteit Persoonsgegevens weten. "Dit mag alleen met toestemming van klanten." Overigens verschillen juristen daarover van mening: het kan zijn dat dat oordeel in een rechtszaak anders uitwijst. Maar sowieso moeten klanten ervan op de hoogte worden gesteld dat hun data kunnen worden gedeeld en moet er een mogelijkheid zijn om je uit te schrijven. Dat kan vaak niet.