Politie gaat discussie over Nationaal Dreigingsbeeld niet écht aan

Waar luisterde jij precies twee maanden geleden naar?

Tracking: wat is het, hoe werkt het en wat kun je ertegen doen? (Deel 4)

Weet jij nog naar welk liedje je op 3 maart om kwart over twee ‘s middags luisterde? Spotify wel.

Ik weet naar welk liedje ik op 3 maart om kwart over twee ‘s middags heb geluisterd. Niet omdat dat liedje zo’n indruk maakte, maar omdat Spotify dat bijhoudt – en ik van mijn recht op inzage in mijn eigen gegevens gebruik maakte.

Iedereen heeft dat recht, ongeacht of het nu gaat om jouw gegevens bij de Albert Heijn, de GGD of Facebook. Om het je makkelijk te maken bouwden vrijwilligers van Bits of Freedom jaren geleden al een toolGebruik PIM om snel een verzoek tot inzage te schrijven waarmee je de brief voor het verzoek tot inzage met drie keer klikken kunt samenstellen. Het antwoord van die organisaties is nogal wisselendLees hier over mijn ervaringen met verzoeken tot inzage – als ze al reageren. In mijn ervaring maakt de Albert Heijn zich er makkelijk vanaf, wantrouwt de GGD je als ouder van je eigen kind en beantwoordt Facebook je vraag met een blik juristen.

De hoeveelheid gegevens groeit explosief, nu ons leven steeds verder digitaliseert. Je kunt vrijwel niets meer doen, zonder dat er een digitaal spoor achterblijft. Als ik vroeger een compact disk afspeelde in mijn Discman, werd dat nergens vastgelegd en langdurig bewaard. Maar nu stream ik alles, of ik nou thuis ben of onderweg. Ik luister muziek via een tech-bedrijf en dat betekent in dit geval dat dat tech-bedrijf precies weet waar ik wanneer naar luister. Die gegevens kunnen ook lang bewaard blijven – waardoor Spotify nog wél weet waar ik op 3 maart naar luisterde.

Wat weet Spotify van mij?

Bij Spotify krijg je inzage in je gegevens na het invullen van een formulier, het opstellen van een formeel verzoek, het verstrekken van een kopie van je identiteitsbewijs en beantwoorden van wat extra vragen. Maar zodra je door al die hoepels bent, krijg je vrij snel je overzicht. Het bestaat uit twee delen. Het eerste is een overzichtOverzicht van mijn profile bij Spotify van alle min of meer statische gegevens in je profiel. Je naam, het soort abonnement, gegevens over je credit card, je telefoonnummer en type smartphone en je gekoppelde Facebook-account – in mijn geval is dat dus “not available”.

Het tweede deel van het overzicht is dat waar het me eigenlijk om te doen was: mijn activityDeel van het overzicht van mijn activity bij Spotify. Naar welke liedjes heb ik geluisterd, welke tracks heb ik ge-starred, welke playlists heb ik toegevoegd. Het overzicht dat Spotify me stuurde bevat een gedetailleerde opsomming. Ik kan precies zien wanneer ik welk liedje heb opgezet, vanaf welk apparaat ik dat deed, of ik thuis was of niet (op basis van combinatie IP-adres en tijdstip), of ik expliciet voor die ene track koos of dat het domweg de volgende in de playlist was en of ik het liedje wel helemaal heb uitgeluisterd. Het overzicht gaat tot drie maanden terug in de tijd, meer is er volgens Spotify niet. In het overzicht missen overigens wel alle andere acties dan het luisteren, zo lijkt het.

Maar is dit ook alles dat Spotify weet?

Dat is een best gedetailleerd overzicht. Toch zijn er ook wel wat kritische kanttekeningen te maken. Het is aannemelijk dat Spotify meer gegevens van mij heeft. Zo maakt de dienst volgens haar zelfverklaarde privacybeleid gebruik van technologieën zoals cookies om gebruikers te volgen. Die zullen zonder twijfel ook direct of indirect gekoppeld zijn aan mijn account. Ook zegt Spotify de laatste vier cijfers van mijn credit card te kennen, maar is het onwaarschijnlijk dat ze de andere cijfers niet ook gewoon weten. Of wanneer ze voor het laatst geld geïncasseerd hebben. Ook ontbreekt een gedetailleerd overzicht van de partijen met wie ze mijn gegevens gedeeld hebben.

Wat ook jammer is, is dat Spotify inzage geeft op een manier die het niet heel makkelijk maakt om de gegevens weer op een andere manier te gebruiken. Misschien wil ik de gegevens wel in een spreadsheet stoppen, om er zelf wat analyses op los te laten. Misschien wil ik mijn historie importeren in een andere tool, zodat die sneller goede suggesties kan doen. Maar dat alles is bijzonder lastig, omdat Spotify het overzicht verstrekt in de vorm van een tabel in een PDF. Het verzenden en ontvangen van die documenten met gevoelige gegevens gebeurt ook via een onbeveiligde e-mail.

Close, but no cigar

Het voordeel van een internationaal opererend bedrijf dat veel gebruikers heeft is dat je vooraf al kunt weten dat je inzageverzoeken gaat krijgen en daar goed een mooi proces om heen kunt bouwen. Dat is precies wat Spotify gedaan heeft en dus krijg je, op verzoek, betrekkelijk snel een aardig overzicht van je eigen gegevens. Toch is het jammer dat de gegevens niet op een handigere en bovenal veiligere manier verstrekt worden, het aannemelijk is dat Spotify over meer gegevens beschikt én dat je Spotify maar op de blauwe ogen moet geloven dat ze echt niet meer weten wat je vier maanden geleden luisterde.

Update: Spotify mag naar verluid niet meer dan de laatste vier cijfers van de credit card opslaan (nadat ze het volledige nummer doorgegeven heeft aan de betalingsprovider). Dat zou betekenen dat de informatie op dat punt compleet is. Wel is het jammer dat Spotify vragen daarover onbeantwoord laat.

Update: In dit artikel beschrijf ik het proces en het resultaat van een inzageverzoek bij Spotify. Het artikel zegt niets over de (on)wenselijkheid van het langdurig bewaren van mijn luistergedrag.

  1. Peter Knoppers

    Die play-list linkt naar een PDF waarin Rejo grote stukken met zwart heeft afgedekt. Maar met select all, copy en vervolgens paste in een tekst editor (e.g. notepad) is de hele lijst (alle 456 regels) prima te lezen. Zwart afdekken in een PDF werkt meestal niet.

    Het lijkt me niet echt moeilijk om die tekst op te splitsen in kolommen en in je eigen database te proppen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.