Rapport belicht enorme schaal van adtech’s ‘grootste datalek’ – TechCrunch

Nieuwe gegevens over het gebruik door het realtime-biddingsysteem (RTB) van informatie van internetgebruikers voor tracking en advertentietargeting, vandaag vrijgegeven door de Irish Council for Civil Liberties (ICCL), suggereren Google en andere belangrijke spelers in de snelle, bewaking -gebaseerde advertentieveilingsystemen verwerken en geven de gegevens van mensen miljarden keren per dag door.

“RTB is het grootste datalek dat ooit is geregistreerd”, stelt de ICCL. “Het volgt en deelt wat mensen online bekijken en hun werkelijke locatie 294 miljard keer in de VS en 197 miljard keer in Europa elke dag.”

Het rapport van de ICCL, dat is gebaseerd op cijfers uit de sector die de rechtenorganisatie zegt te hebben verkregen uit een vertrouwelijke bron, biedt een schatting van RTB per persoon per dag in de Amerikaanse staten en Europese landen, wat suggereert dat internetgebruikers in Colorado en het VK tot de meest meest blootgesteld door het systeem — met 987 en 462 RTB-uitzendingen per persoon per dag.

Maar zelfs online individuen die onderaan de grafiek leven, District of Columbia of Roemenië, krijgen hun informatie volgens het rapport naar schatting 486 keer per dag of 149 keer per dag door RTB.

De ICCL berekent dat mensen die in de VS wonen hun online activiteiten en locatie in de echte wereld 57% vaker blootgeven dan mensen in Europa – waarschijnlijk als gevolg van verschillen in privacyregelgeving tussen de twee regio’s.

Gezamenlijk schat de ICCL dat het online gedrag en de locaties van internetgebruikers in de VS 107 biljoen keer per jaar worden gevolgd en gedeeld, terwijl de gegevens van Europeanen 71 biljoen keer per jaar worden blootgesteld.

“Gemiddeld wordt een persoon in de VS zijn online activiteit en locatie 747 keer per dag blootgesteld aan de RTB-industrie. In Europa stelt RTB de gegevens van mensen 376 keer per dag bloot”, schrijft het ook, en voegt eraan toe: klaar met de gegevens.”

De cijfers van het rapport zijn waarschijnlijk een conservatieve schatting van de volledige omvang van RTB, aangezien de ICCL het voorbehoud bevat dat: “[T]e cijfers die voor RTB-uitzendingen worden gepresenteerd als een lage schatting. De branchecijfers waarop we vertrouwen, zijn exclusief Facebook- of Amazon RTB-uitzendingen.”

Volgens het rapport stelt Google, de grootste speler in het RTB-systeem, 4.698 bedrijven in staat om RTB-gegevens over mensen in de VS te ontvangen, terwijl Microsoft – dat zijn betrokkenheid bij RTB in december vorig jaar opvoerde toen het advertentietechnologiebedrijf Xandr van AT&T kocht – zegt dat het gegevens naar 1.647 bedrijven kan sturen.

Ook dat is waarschijnlijk slechts het topje van de ijsberg, aangezien RTB-gegevens via internet worden uitgezonden – wat betekent dat ze rijp zijn voor onderschepping en exploitatie door niet-officieel beursgenoteerde RTB-‘partners’, zoals gegevensmakelaars wiens bedrijven boeren betrekken door gegevensdossiers samen te stellen om individuele webgebruikers opnieuw te identificeren en te profileren voor winst, met behulp van informatie zoals apparaat-ID’s, apparaatvingerafdrukken, locatie enz. om bijvoorbeeld webactiviteit aan een genoemd individu te koppelen.

Er zijn al jaren zorgen over privacy en veiligheid over RTB, vooral in Europa, waar wetten bestaan ​​die zo’n systematisch misbruik van de informatie van mensen zouden moeten voorkomen. Maar ook in de VS is het bewustzijn van het probleem toegenomen, na een aantal schandalen over het volgen van locaties en het delen van gegevens.

Het uitgelekte advies van het Hooggerechtshof eerder deze maand, waarin werd gesuggereerd dat het hoogste gerechtshof van de VS zich voorbereidt om Roe v Wade ongedaan te maken – waardoor de grondwettelijke bescherming voor abortus wordt opgeheven – heeft de bezorgdheid verder aangewakkerd en schokgolven door het land gestuurd, waarbij sommige commentatoren vrouwen onmiddellijk aanspoorden om verwijder hun menstruatie-tracking-apps en let goed op hun digitale veiligheid en privacyhygiëne.

De zorg is dat het volgen van advertenties persoonlijke gegevens kan blootleggen die kunnen worden gebruikt om vrouwen en mensen te identificeren die zwanger zijn en/of abortusdiensten zoeken.

Veel Amerikaanse staten hebben de toegang tot abortus al sterk beperkt. Maar als het Hooggerechtshof Roe v Wade vernietigt, wordt verwacht dat een aantal staten abortus volledig zal verbieden – wat betekent dat mensen die zwanger kunnen worden een groter risico lopen door online surveillance, net als bij online zoekopdrachten naar abortusdiensten of locatietracking of andere soorten gegevens het ontginnen van hun digitale activiteiten zou kunnen worden gebruikt om een ​​zaak tegen hen op te bouwen voor het verkrijgen of proberen te verkrijgen van een illegale abortus.

Zeer gevoelige persoonlijke gegevens van internetgebruikers worden ondertussen routinematig opgezogen en gedeeld voor advertentietargeting, zoals eerdere ICCL-rapporten tot in huiveringwekkende details hebben beschreven. De gegevensmakelaarsindustrie verzamelt ook informatie over individuen om te handelen en te verkopen – en vooral in de VS lijken de locatiegegevens van mensen maar al te gemakkelijk te verkrijgen.

Vorig jaar zou bijvoorbeeld een katholieke toppriester in de VS ontslag hebben genomen nadat er beschuldigingen waren geuit over zijn seksualiteit op basis van een bewering dat gegevens op zijn telefoon waren verkregen waaruit bleek dat hij de locatiegebaseerde gay hook-up-app had gebruikt. , Grindr.

Een gebrek aan online privacy kan ook een negatieve invloed hebben op de gezondheidsproblemen van vrouwen – waardoor het gemakkelijker wordt om informatie te verzamelen om zwangere mensen die een abortus willen in een post-Roe-wereld strafbaar te stellen.

“Er is geen manier om het gebruik van RTB-gegevens te beperken nadat deze zijn uitgezonden”, benadrukt de ICCL in het rapport. “Datamakelaars gebruikten het om Black Lives Matter-demonstranten te profileren. Het Amerikaanse ministerie van Binnenlandse Veiligheid en andere instanties gebruikten het voor het traceren van telefoons zonder bevelschrift. Het was betrokken bij het uitje van een homoseksuele katholieke priester door zijn gebruik van Grindr. ICCL ontdekte de verkoop van RTB-gegevens die waarschijnlijke overlevenden van seksueel misbruik onthullen.”

Het rapport roept vooral scherpe vragen op voor Europese regelgevers, aangezien de regio, in tegenstelling tot de VS, een alomvattend kader voor gegevensbescherming heeft. De Algemene Verordening Gegevensbescherming (AVG) is sinds mei 2018 in de hele EU van kracht en regelgevers hadden deze privacyrechten al jaren moeten handhaven tegen uit de hand gelopen adtech.

In plaats daarvan is er een collectieve terughoudendheid geweest om dit te doen – waarschijnlijk als gevolg van hoe uitgebreid en doordringend individuele tracking- en profileringstechnologie is ingebed in de webinfrastructuur, in combinatie met luide beweringen van de adtech-industrie dat het gratis web niet kan overleven als internetgebruikers ‘De privacy wordt gerespecteerd. (Dergelijke beweringen gaan voorbij aan het bestaan ​​van alternatieve vormen van advertentietargeting, zoals contextuele, waarvoor geen tracking en profilering van de activiteit van individuele internetgebruikers nodig is om te kunnen functioneren en waarvan is aangetoond dat ze al jaren winstgevend zijn, zoals voor niet-tracking-zoekopdrachten motor, DuckDuckGo.)

Een onderzoek dat drie jaar geleden (mei 2019) is geopend door de Irish Data Protection Commission (DPC) naar de adtech van Google, naar aanleiding van een aantal RTB-klachten, is – ogenschijnlijk – aan de gang. Maar er is geen beschikking afgegeven.

De Britse ICO heeft ook herhaaldelijk handhavingsmaatregelen genomen tegen RTB na klachten die in 2018 werden ingediend, ondanks het feit dat sinds 2019 publiekelijk werd beweerd dat de gedragsadvertentie-industrie enorm uit de hand loopt. En in een afscheidsschot afgelopen herfst drong de vertrekkende informatiecommissaris, Elizabeth Denham, er bij de industrie op aan om zinvolle privacyhervormingen door te voeren.

Sindsdien is een vlaggenschip van de adtech-industrie voor het verkrijgen van toestemming van internetgebruikers voor het volgen van advertenties – het zelfbenoemde Transparency and Consent Framework (TCF) van IAB Europe – zelf in strijd met de AVG bevonden door de Belgische gegevensbeschermingsautoriteit.

In het besluit van februari 2022 werd ook vastgesteld dat de IAB zelf in gebreke was gebleven, door de brancheorganisatie twee maanden de tijd te geven om een ​​hervormingsplan in te dienen en zes maanden om het uit te voeren. (NB: Google en de IAB zijn de twee instanties die normen stellen voor RTB.)

Die toestemmingskwestie is een (solide) klacht tegen RTB onder de Europese AVG. De zorg van de ICCL was echter gericht op veiligheid, aangezien zij stelt dat het op hoge snelheid en op grote schaal verhandelen van gegevens van mensen om advertenties te plaatsen door deze via internet uit te zenden naar duizenden ‘partners’ (maar ook met het duidelijke risico van onderschepping en toe-eigening door tientallen onbekende anderen) is inherent onzeker. En, ongeacht de toestemmingskwesties, vereist de AVG dat de informatie van mensen voldoende wordt beschermd – vandaar dat RTB wordt aangemerkt als de “grootste gegevensinbreuk ooit”.

In maart kondigde de ICCL aan dat het van plan was de DPC aan te klagen, waarbij de toezichthouder werd beschuldigd van jarenlang niets doen naar aanleiding van RTB-klachten (waarvan sommige werden ingediend in hetzelfde jaar dat de AVG van toepassing werd). Die rechtszaak loopt nog.

Het heeft ook de EU-ombudsman benaderd met een klacht dat de Europese Commissie niet goed toezicht houdt op de toepassing van de verordening – wat ertoe leidde dat eerstgenoemde eerder dit jaar een onderzoek instelde naar de beweringen van het tegendeel van de Commissie.

Een gevraagde deadline voor de uitvoerende macht van de EU om informatie in te dienen bij de ombudspersoon is gisteren verstreken zonder een indiening, volgens de ICCL, waarbij de Commissie naar verluidt om nog 10 dagen zou vragen om de gevraagde gegevens te verstrekken – wat erop wijst dat de vierjarige verjaardag van de AVG van kracht wordt kracht (25 mei 2018) zal intussen voorbij gaan (misschien iets stiller dan het zou zijn geweest als de ombudsman een vonnis had kunnen vellen)…

“Terwijl we de vierjarige verjaardag van de AVG naderen, geven we gegevens vrij over het grootste datalek aller tijden. En het is een aanklacht tegen de Europese Commissie, en in het bijzonder commissaris [Didier] Reynders, dat dit datalek zich elke dag herhaalt”, vertelde Johnny Ryan, senior fellow bij de ICCL, aan TechCrunch.

“Het wordt tijd dat de Commissie haar werk doet en Ierland dwingt de AVG correct toe te passen”, voegde hij eraan toe.

We hebben ook contact opgenomen met Google, Microsoft, de DPC en de Europese Commissie met vragen over het ICCL-rapport, maar op het moment van schrijven had niemand nog niet gereageerd.

Ryan vertelde ons dat de ICCL ook aan Amerikaanse wetgevers schrijft om de omvang van de “privacycrisis in online adverteren” te benadrukken – en specifiek op de Senaatssubcommissie voor concurrentiebeleid, antitrust en consumentenrechten drukt om ervoor te zorgen dat er voldoende handhavingsmiddelen worden verstrekt aan de FTC – zodat het dringend actie kan ondernemen “tegen deze enorme inbreuk”.

In de brief, die we hebben beoordeeld, wijst de ICCL erop dat privégegevens over Amerikaanse burgers naar bedrijven over de hele wereld worden gestuurd, ook naar Rusland en China – “zonder enige controle over wat er vervolgens met de gegevens wordt gedaan”.

Oorlog in Europa voegt zeker een extra dimensie toe aan dit surveillance-adtech-verhaal.

De Russische invasie van Oekraïne eerder dit jaar heeft de bezorgdheid aangewakkerd over de massale surveillance van internetgebruikers door adtech, dat wil zeggen of gegevens van burgers via online tracking hun weg terug vinden naar vijandige derde landen zoals Rusland en zijn bondgenoot China.

In maart meldde de Financial Times dat tientallen apps SDK-technologie bevatten die is gemaakt door de Russische zoekgigant Yandex – die ervan werd beschuldigd gebruikersgegevens terug te sturen naar servers in Rusland waar deze mogelijk toegankelijk zijn voor de Russische overheid.

In Europa vereist de AVG dat de export van persoonlijke gegevens uit het blok wordt beschermd volgens dezelfde norm als de informatie van burgers die moet worden verpakt wanneer deze in Europa wordt verwerkt of opgeslagen.

In een baanbrekende EU-uitspraak in juli 2020 heeft de hoogste rechtbank van het blok een vlaggenschipovereenkomst voor gegevensoverdracht tussen de EU en de VS vernietigd wegens veiligheidsproblemen die verband houden met massale surveillanceprogramma’s van de Amerikaanse regering – waardoor er aanhoudende rechtsonzekerheid is ontstaan ​​over internationale gegevensstromen naar risicovolle derde landen, zoals de rechtbank benadrukte de noodzaak voor EU-regelgevers om de gegevensexport proactief te monitoren en in te grijpen om alle gegevensstromen naar rechtsgebieden die onvoldoende gegevensbescherming hebben, op te schorten.

Veel van de belangrijkste spelers in adtech zijn gevestigd in de VS, wat vragen oproept over de wettigheid van elke verwerking van gegevens van Europeanen door de sector die ook over de vijver plaatsvindt, gezien de hoge standaard die de EU-wetgeving vereist voor het legaal exporteren van gegevens.


This post Rapport belicht enorme schaal van adtech’s ‘grootste datalek’ – TechCrunch was original published at “https://techcrunch.com/2022/05/16/iccl-rtb-report-google-gdpr/”

Leave a Reply

Your email address will not be published.