Bits of Freedom’s court case about zero rating

Weet waar ik zoal naar luister (of: weet wat Spotify weet)

YouTube maakt het iedereen lastig: uploader, kijker én zichzelf
DOSSIER / Grip op profilering

Spotify stuurde op verzoek een uitgebreid maar onduidelijk overzicht van Rejo’s gegevens. Wil je ook weten wat Spotify van Rejo weet, maar dus ook van jou? Deel je analyse van Rejo’s gegevens.

Spotify stuurde me een paar weken geleden een overzicht van de gegevens die zij over mijOok al geven organisaties je nu een vinger, je hebt recht op de hele hand heeft. Dat deed ze nadat ik hen daar om had gevraagd, waarbij ik me beriep op een recht uit de nieuwe privacyregels. Spotify gaf me al snel inzicht in de muziek die ik in de maanden ervoor had beluisterd. Maar het verstrekte overzicht was verre van compleet en daarom klopte ik opnieuw bij Spotify aan. Na een paar weken kreeg ik een uitgebreider overzicht van mijn gegevens.

Schijnbaar volledig maar zeker onduidelijk

Spotify stuurde me meer dan honderd digitale bestanden, in een open en gestandaardiseerd formaat. Handig, want daarmee is het met de computer verder te bewerken. Het lijkt er ook op dat dit een vrij compleet overzicht is. Maar wat ontbreekt is een uitleg. Welke informatie is opgenomen in welk van de bestanden. Hoe moet ik de informatie van de bestanden interpreteren? Daardoor ben ik misschien iets wijzer, maar ook niet meer dan een klein beetje. Een andere drempel voor dat inzicht is dat sommige van de velden, zoals IP-adressen en e-mailadressen, zijn gehashed en versleuteld.

Uiteraard heb ik ook daarover weer contact opgenomen met Spotify. Zij lijkt aan een structurele oplossing te werken:

“We are in the process of preparing a listing for public consumption of all of the items contained in the technical logs you received. We are working to get this information to you as soon as possible.”

Weet wat Spotify over Rejo weet

Daar is het nu op wachten. Als je net zo ongeduldig bent als ik en liever zelf eens wil snuffelen in de verstrekte gegevens, download hier alle verstrekte bestanden:

Voel je vrij om in mijn historie te neuzen. Als je iets interessants tegenkomt, stuur je me dan een email op rejo@bitsoffreedom.nl?

Dank, dank!

  1. Joshua

    Ik sla altijd alle privacy data gehashed op, als ik het echt later voor functionaliteit nodig heb dan doe ik het niet hashed maar versleuteld. Hoe dan ook vind ik het juist erg fijn dat Spotify mijn tot-persoon-te-herleiden-data hashed, of ben ik daar te kritisch in?

    • Rejo Zenger

      Nee, zeker niet. Maar het leidt wel tot een aantal vragen. In de eerste plaats is de vraag waarom Spotify dit precies op deze manier doet. Ligt er een gedachte over de beveiliging van gevoelige gegevens aan ten grondslag, of iets anders? En zijn de gegevens wel te herleiden (en als, één richting op, of beide kanten op) voor Spotify? En als dat zo is, wat betekent dat dan voor de werking van het inzagerecht?

    • martijn

      Gehashte gegevens betekent niet dat die gegevens niet te herleiden zijn. Uiteindelijk moet er voor het behouden van microgegevens altijd een compromis gesloten worden tussen bruikbaarheid en de privacygaranties die je wilt geven, omdat de enige manier van anonimiseren het interpoleren van ruis over je gegevens is.

      Literatuur hierover dateert al uit de 70’er jaren… maar niemand schijnt zich hier ook maar /iets/ van aan te trekken.

      • Rejo Zenger

        Nee, dat hashing niet maakt dat gegevens niet te herleiden zijn is me ook duidelijk. Ook duidelijk is dat in dit geval de waarden van de velden zijn gehashed, maar daarvoor nog meer bewerkingen gedaan zijn. Welke, dat is dan weer niet bekend – en die vraag heb ik bij Spotify uitstaan.

  2. Erwin

    Joshua, je zou gelijk hebben, als Spotify die data niet ook zou gebruiken om hun dienstverlening te verbeteren (of zo). Maar, uit de data van Rejo is bijvoorbeeld op te maken dat (geanonimiseerd) geen enkele keer bij de StartTrack gebruik is gemaakt van dezelfde user-agent. Dat lijkt me wat start. Daarmee lijkt het er dus op dat het misschien niet geanonimiseerd, maar alleen gepseudonimiseerd is. En dan is de vraag hoe die weer omgekeerd kan worden, en of dat voor alle velden kan, of alleen voor die data die geen PII is.

    Ik heb het nog niet kunnen achterhalen.

    • Rejo Zenger

      Dat is dan ook een vraag die ik heb uitstaan bij Spotify. Hoe zijn de gegevens versleuteld en is het omkeerbaar (en zo ja, voor wie)?

  3. Peter

    Rejo Zenger,

    Waar maakt u zich druk om?
    Ik maak gebruik van google music.

    Die weten ook waar ik naar luister. Heel fijn, want dan kunnen ze aanbeveligen geven.

    In tegenstelling to Spotify is google music heel duidelijk over wat ze weten. Het is niet gecodeerd, en nog te verwijderen ook.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.