Het dataspoor van de babybox
Nrc-redacteur Stijn Bronzwaer probeert jarenlang de data van zijn kind uit handen van bedrijven te houden. Dat lukt aardig. Tot er een blauwe boterhammentrommel wordt bezorgd.
Het is een opvallend blauw, rechthoekig pakje. Op de bovenkant, gedrukt in grote letters, staat het logo van margarinemerk Blue Band. Vlak daarnaast: mijn naam en mijn adres. Ik scheur het pakket open. Een blauwe boterhammentrommel. Met een brief.
Gefeliciteerd met de vierde verjaardag van je kindje! Nu gaat hij/zij voor het eerst naar de grote school. Blue Band heeft voor deze gebeurtenis een cadeau. Een eigen boterhammentrommeltje.
Mijn eerst reactie: vragen.
Hoe komen ze aan mijn naam?
Hoe komen ze aan mijn adres?
Hoe weten ze dat mijn zoon jarig is?
Hoe weten ze überhaupt dat mijn zoon bestaat?
Voor de geboorte van onze zoon namen mijn vrouw en ik ons iets voor. We wilden proberen zo min mogelijk sporen van hem achter te laten op internet. Om, zo was het idee, te voorkomen dat persoonlijke gegevens van hem in databases van bedrijven terecht zouden komen. Informatie die hem, misschien, later in zijn leven zou kunnen achtervolgen. De reden waarom ik hem in dit artikel ook niet bij naam noem.
Op foto’s op de site van het kinderdagverblijf stond één kind met een knalgele smiley voor zijn gezicht – mijn zoon werd op verzoek geanonimiseerd. Facebookberichten met vragen om babyfoto’s bleven onbeantwoord. Onbegrip bij sommige familieleden, nadat wij hun hadden gemaild of ze ons liever niet op sociale media wilden feliciteren met onze baby.
Dat lukte – al die jaren – vrij goed. Dachten we.
Tot het pakket van Blue Band. De start van, zo zal achteraf blijken, een frustrerend bureaucratisch gevecht om onze gegevens uit databases van allerlei bedrijven door heel Nederland gewist te krijgen.
De eerste hint naar een antwoord op mijn vragen staat in kleine letters onderaan de brief die ik van Blue Band ontvang. „Wij hebben uw adres verkregen, omdat u staat ingeschreven bij de blije doos of De Zwangerbox.”
Inderdaad: alle voorzorgsmaatregelen ten spijt hebben we ons tijdens de zwangerschap ingeschreven voor de blije doos – een gesponsord pakket gratis spullen en informatiefolders voor zwangere vrouwen. Een doos ter waarde van een bedrag tussen de 25 en 40 euro. Met onder meer een pakket Pampers, maat 1. Een Avent-speen. Twee blikjes Bavaria 0,0. Inolibabybadolie. Een nijntje rammelaar.
De blije doos wordt uitgegeven door WIJ Special Media (WSM), een organisatie die zichzelf omschrijft als een ‘datageoriënteerd mediabedrijf’. WSM heeft naar eigen zeggen data van 1 miljoen Nederlandse ouders met kinderen tot 12 jaar in bezit. Denk aan naam, adres, telefoonnummer, Ip-adres, de uitgerekende datum, de geboortedatum en de naam van het kind. Elk jaar verstuurt het bedrijf 144.000 uitnodigingen waarmee consumenten de blije doos op kunnen halen bij Prénatal. Volgens WSM meldt 80 procent van de zwangere vrouwen zich voor zo’n doos aan.
Een gratis pakket spullen dus, in ruil voor je persoonlijke data. Gegevens die WSM vervolgens gebruikt „voor het doen van aanbiedingen door zorgvuldig geselecteerde partners [..] via e-mail, post of telefoon”, schrijft het bedrijf in het privacystatement op de site. „Ook kunnen de persoonsgegevens worden gebruikt om data van andere organisaties te verrijken.”
Ofwel: de persoonsdata van degenen die zich inschrijven (98 procent vrouwen met een gemiddelde leeftijd van 29 jaar), worden gedeeld met bedrijven waaronder Prénatal, Nutricia, Rabobank, ING en Procter & Gamble. Inclusief de eerste gegevens van het – dan nog – ongeboren kind, mits klanten hiervoor toestemming geven. Op basis daarvan schotelen die bedrijven de vrouwen onder meer gepersonaliseerde Youtube- of Instagram-advertenties voor of sturen boterhammentrommels toe.
Voor mijn zoon geboren werd, voor hij überhaupt bestond, stond hij al genoteerd in de database van WIJ Special Media met de datum waarop hij waarschijnlijk ter wereld zou komen. Data die, zo meldt Wsm-directeur Marcel Bakker desgevraagd, bewaard worden „tot het jongste kind de leeftijd van 18 jaar heeft bereikt”.
Dat kan dus zo twintig tot vijfentwintig jaar duren, bevestigt Bakker. „We richten ons op een doelgroep die in een nieuwe levensfase komt en een enorme honger heeft naar informatie. Dat is waar je op inspeelt.” Over wat er precies met die data gebeurt is WSM heel open, zegt Bakker. „En we zijn altijd heel duidelijk over hoe je je ook weer kunt uitschrijven.”
Zwangerschapsboxen blijken een data-goudmijn. „De echte prijs voor zo’n vrolijke cadeaudoos zijn je persoonsgegevens”, constateerde De Consumentenbond al in 2016. „Met een paar muisklikken geef je bijzonder waardevolle informatie over jou én je kind weg. Wat er daarna met die gegevens gebeurt is niet altijd helemaal duidelijk.”
Dat was 2016. Inmiddels is er de Algemene verordening gegevensbescherming (AVG), die deze week precies twee jaar bestaat. Deze wet geeft burgers de mogelijkheid hun data in te zien – en vervolgens precies vast te stellen wat een organisatie met die data heeft gedaan. Bedrijven of overheidsorganisaties zijn wettelijk verplicht aan verzoeken tot inzage of verwijdering te voldoen.
Drie dagen nadat ik de boterhammentrommel heb ontvangen, doen mijn vrouw en ik een verzoek tot data-inzage bij WIJ Special Media.
Enkele dagen later ontvang ik een keurige email, waarmee direct helder wordt wat WSM precies weet. De naam, geboortedatum, mailadres en het 06-nummer van mijn vrouw. Ons adres, de uitgerekende datum, de naam van mijn kind, het geslacht van mijn kind en zijn geboortedatum.
Geslacht, naam en geboortedatum zijn na zijn geboorte toegevoegd. Dat hebben we zelf gedaan – onder meer om een gratis blauw geboortemutsje met zijn naam erop te kunnen ontvangen.
En, zo staat in de e-mail: „Uw gegevens hebben wij in 2015 gedeeld met Procter & Gamble, Partou, Smallsteps en Rabobank.”
Tijd voor de volgende stap: een bericht naar alle bedrijven waarmee WIJ Special Media mijn data heeft gedeeld. En ook naar Upfield, eigenaar van Blue Band en klant van WSM.
Elk bedrijf dat persoonsgegevens verzamelt, is verplicht een privacystatement op zijn site bij te houden. Veel organisaties hebben na het invoeren van de AVG een privacy officer aangesteld: iemand in de organisatie die verantwoordelijk is voor zaken die gegevensbescherming aangaan. Dataverzoeken als de mijne gaan doorgaans via een e-mail naar de privacy officer, of door invullen van een online formulier.
Ik vul een digitaal formulier in bij Procter & Gamble en Rabobank. En stuur een e-mail naar Upfield, Partou en Smallsteps (beide kinderopvangorganisaties) met het verzoek mijn gegevens in te zien. Organisaties zijn wettelijk verplicht om binnen een maand te reageren op dergelijke verzoeken.
De eerste problemen doemen al snel op: de bedrijven aan wie ik een verzoek heb gestuurd reageren niet, of sturen een e-mail met een verzoek tot identificatie. Ze willen tenslotte zeker zijn dat ze de juiste persoon voor zich hebben. Dat gaat, opnieuw, per bedrijf verschillend.
Procter & Gamble stuurt een brief per post toe met daarin een formulier waarin ik, met tegenzin, opnieuw – en nog meer – persoonsgegevens invul.
Partou mailt terug „ondanks zorgvuldig onderzoek” geen persoonsgegevens aangetroffen te hebben in zijn database. „Om die reden kunnen wij nu niet aan uw verzoek voldoen.” Ik stuur een bezwaar. Na nader onderzoek blijkt Partou mijn persoonsgegevens wel te hebben gehad, maar „niet meer in bezit te hebben”.
Partou stuurt ook meer details over wat het precies doet met de gegevens. De kinderopvangorganisatie blijkt WIJ Special Media te betalen „voor adressen die we (eenmalig) mochten benaderen met een DM (direct marketing) kaart [...]. In sommige gevallen hebben we apart betaald aan WIJ Special Media voor adressen om te mogen nabellen.” Na de Dm-actie worden gegevens verwijderd, meldt Partou, dat