De gratis smartphone-apps van Simpler verkopen contactlijsten door aan de betaalde dienst Lusha. Dit soort constructies komen vaker voor.

Lusha-schandaal

Waarom de handel in contactgegevens ook u raakt

De gratis smartphone-apps van Simpler verkopen contactlijsten door aan de betaalde dienst Lusha. Dit soort constructies komen vaker voor.Beeld Suzan Hijink

Er is een hele industrie opgetuigd rond de verkoop van telefoon­nummers en e-mail­adressen. De Europese privacywet blijkt hier maar beperkt tegen te beschermen.

Privénummers zijn niet privé meer. Op 10 augustus schreef Trouw dat onlinedienst Lusha contactinformatie verkoopt zonder de eigenaren van die info op de hoogte te stellen. ‘Whatsappen met Wopke Hoekstra? Bellen met Kajsa Ollongren of Carola Schouten? Het kan dankzij Lusha’, begon het verhaal.

Maar Lusha raakt niet alleen hooggeplaatste Nederlanders zoals kabinetsleden; ieders data kan via de dienst in vreemde handen belanden. En dat blijkt niet te voorkomen door simpelweg je privénummer niet meer online te zetten, een beroep te doen op de privacywet of zelfs door Lusha te laten opdoeken.

De handel in contactgegevens is een hardnekkig probleem dat iedereen raakt – om vijf redenen.

1 Ook stalkers kunnen telefoonnummers kopen

Lusha richt zich in de eerste plaats op marketeers en verkopers. “De meeste gebruikers zijn waarschijnlijk salesmensen die naar klanten zoeken”, zegt jurist en technologiedeskundige Danny Mekić. Oftewel, het bedrijf bestaat zodat onbekende nummers u kunnen bellen om producten aan te prijzen waar u niet op zit te wachten.

Maar ook mensen met slechtere bedoelingen kunnen zo’n dienst gebruiken. Lusha is zeer toegankelijk en keurt zijn gebruikers niet. Iedereen die interesse heeft kan op de website van het bedrijf ‘gratis proberen’ aanklikken en een paar simpele stappen volgen om Lusha te integreren in zijn of haar internetbrowser.

Vervolgens hoeft zo’n gebruiker alleen maar naar iemands LinkedIn-profiel te surfen, en biedt Lusha bijbehorende contactgegevens aan. Dit maakt het makkelijker voor onder meer stalkers om aan afgeschermde telefoonnummers te komen.

2 Het is niet alleen Lusha

Het is nog knap lastig iets tegen Lusha te beginnen (zoals u verderop kunt lezen). Maar stel nu voor dat een privacywaakhond het bedrijf kan aanpakken. Daarmee is de kous nog steeds niet af. “Lusha is één partij, maar je hebt meer van dit soort diensten. Het is een hele branche”, aldus technologiedeskundige Mekić.

Neem de nummerherkenningsdienst OpenCNAM, waarmee gebruikers in een oogopslag kunnen zien door wie ze gebeld worden. Het Nederlandse softwarebedrijf Invantive gebruikte OpenCNAM een tijd, maar begon zich af te vragen waar de dienst zijn data vandaan haalde. “Op een gegeven moment werd ik gebeld door een zakenrelatie, Ralph van der Meer”, zegt directeur Guido Leenders. “OpenCNAM gaf zijn naam weer als ‘Ralph Sziget’. Dat moet bijna wel komen uit de contactlijst van iemand die hem heeft ontmoet op het Sziget-festival in Hongarije.”

Ralph van der Meer zelf laat weten zes keer naar Sziget te zijn gegaan. “Ik heb aardig wat nummertjes uitgewisseld in die gezellige sfeer. De laatste tijd word ik geterroriseerd door verschillende nummers die bekendstaan als spam; mensen die willen dat je investeert enzo. Soms krijg ik tien tot vijftien belletjes op een dag.” Van der Meer weet niet of de telefoontjes iets te maken hebben met OpenCNAM. Vaststaat dat zijn nummer ook te koop is via Lusha. Hij is dus in elk geval makkelijk te vinden voor verkopers. Een ander voorbeeld is de Oekraïense dienst Snov.io, populair onder journalisten (Snov.io werd al meerdere keren getipt in de nieuwsbrief van journalistenwebsite Villamedia). Met dit bedrijf kan men zoeken naar e-mailadressen van iemand op Linked­In, of alle e-mailadressen die bij een domeinnaam horen.

Maar er zijn nog tientallen andere diensten, met namen als Skrapp, Jobjet en RocketReach. Veel hiervan zijn minder bekend en waarschijnlijk ook minder effectief dan Lusha. Maar feit is dat deze handel niet eindigt wanneer één bedrijf zijn deuren sluit.

3 Er wordt geen toestemming gevraagd

Bovenstaande diensten hebben verschillende methodes om aan contactgegevens te komen, maar één ding lijken ze gemeen te hebben: ze vertellen mensen niet dat hun data worden verkocht. Terwijl dat onder de Europese privacywet, de AVG, wel bijna altijd verplicht is.

Neem wederom Lusha, dat veel van zijn contactinformatie krijgt via een bedrijf genaamd Simpler. Simpler heeft een aantal gratis smartphone-apps – ontwikkeld door Lusha’s CEO – waarmee je bijvoorbeeld back-ups van je contactlijsten kunt maken. Wie zo’n app gebruikt, stemt ermee in dat zijn of haar contactlijst wordt gedeeld met derden zoals Lusha. Maar de contacten in de lijst wordt niks gevraagd.

Nu zijn er situaties waarin een dienst geen toestemming hoeft te vragen, vertelt privacyjurist Jeroen Terstegge. “De AVG heeft zes grondslagen voor gegevensverwerking. In dit geval zijn er twee relevant: gerechtvaardigd belang en toestemming.” Dient het delen van de contactinformatie een belangrijk en niet louter commercieel doel? Dan doen Lusha en Simpler mogelijk niets verkeerd. Maar hier lijkt van een gerechtvaardigd belang geen sprake. Volgens Terstegge zou Simpler al die contacten moeten inlichten.

Dit is niet alleen relevant omdat Simpler iets doet wat niet mag. Als mensen weten dat ze in zo’n database staan, kunnen ze gebruikmaken van hun ‘recht om vergeten te worden’. Technologiedeskundige Mekić legt uit: “Je hebt in heel veel gevallen het recht om niet mee te werken aan de verwerking van jouw persoonsgegevens, of je tegen die verwerking te verzetten. Je mag vragen wat een bedrijf over jou weet en hoe ze aan die informatie komen, en je mag het ook vragen om je gegevens te verwijderen.

“Op de website van de Autoriteit Persoonsgegevens staan een aantal privacy-gerelateerde voorbeeldbrieven. Eén hiervan is een verzoek dat je bedrijven kunt sturen om je persoonsgegevens te wissen. Er is ook een Engelstalige variant op de website datarequests.org.”

Simpler en Lusha hebben formulieren op hun sites voor mensen die vergeten willen worden. Maar aangezien mensen niet weten dat ze in hun databases staan, weten ze ook niet dat ze hier gebruik van kunnen maken.

4 Hele contactlijsten kunnen worden doorverkocht

Zoals gezegd verkrijgt Lusha zijn data via de gratis apps van Simpler. De gebruikers van deze apps stemmen in, maar de vrienden, families en collega’s in hun lijsten niet. Toch mag Simpler volgens zijn voorwaarden ook deze data doorsluizen. Dit is waarom Simpler waarschijnlijk de AVG overtreedt.

Maar de verkoop van contactlijsten heeft nog een gevolg: het betekent dat het niet uitmaakt hoe voorzichtig u online omspringt met uw persoonsgegevens. Zolang iemand die u kent minder uitkijkt, kan ook uw nummer in een database belanden.

In dit opzicht doet Lusha denken aan het Cambridge Analytica-schandaal uit 2018. Cambridge Analytica slaagde erin niet alleen informatie te verzamelen van de gebruikers van zijn diensten zelf, maar ook van hun facebookvrienden.

5 Er zit een maas in de wet

Eén probleem is nog niet aan bod gekomen, en dat is de privacywet zelf. Volgens jurist Terstegge kan de AVG niet alle spelers in dit verhaal aanpakken, omdat er een lacune in de wet zit.

De AVG geldt in de eerste plaats voor bedrijven die in Europa zitten. In de tweede plaats beschermt de wet Europeanen als een dienst zich nadrukkelijk op hen richt – het Amerikaanse Simpler triggert de AVG volgens Terstegge omdat het in verschillende Europese talen, waaronder Nederlands, wordt aangeboden. Verder treedt de wet ook in werking wanneer een bedrijf Europeanen monitort, bijvoorbeeld met cookies.

Lusha lijkt aan geen van deze voorwaarden te voldoen, wat betekent dat de AVG niet opgaat. En hoewel de directie en bijna alle medewerkers zijn gevestigd in Israël, waar ook strenge privacyregels gelden, zit het hoofdkantoor officieel in de Verenigde Staten waar de regels losser zijn.

Ook het eerder genoemde Snov.io blijft waarschijnlijk buiten schot. Daarvan zitten de medewerkers in Oekraïne, maar wederom zegt het bedrijf Amerikaans te zijn.

Er is echter wel een belangrijke uitzondering: al deze diensten kunnen onder de AVG vallen wanneer het de data van hun Europese klanten betreft. Als Microsoft in Ierland gebruikmaakt van Lusha, mag Lusha niet zomaar e-mailadressen van Microsoft verzamelen en doorverkopen. Hetzelfde geldt voor telefoonnummers van Nederlandse journalisten die Lusha gebruiken.

Bovendien vallen die Europese klanten zelf óók onder de AVG. Eigenlijk moeten zij alle mensen wier contactinfo ze kopen dus op de hoogte stellen. Door dit niet duidelijk te communiceren, zorgen diensten als Lusha, Snov.io en OpenCNAM ervoor dat hun afnemers de wet overtreden.

De lacune in de AVG is in theorie makkelijk op te lossen, denkt Terstegge. Er zou simpelweg in moeten staan dat de wet van toepassing is zodra een dienst wordt aangeboden aan personen in de EU. “Dan is de AVG ook van toepassing als iemand anders jouw data in een buitenlandse cloud stopt”, legt hij uit in een recente tweet.

Zolang de Europese privacywet niet verandert, is er nog één ding dat Nederland zou kunnen doen. Tussen nu en volgend jaar wordt de UAVG, waarin de Nederlandse aanvullende bepalingen bij de AVG zijn opgenomen, geëvalueerd. Vindt de minister voor rechtsbescherming dat Nederlanders onvoldoende worden beschermd tegen buitenlandse techbedrijven die hun contactgegevens verkopen? Dan kan de maas in de Europese wet lokaal worden gesloten.

Lees ook:

Gratis apps zijn bron van privé-data

Techbedrijf Lusha verkoopt contactinfo afkomstig van gratis smartphone-apps. Een deskundige: ‘Ik zie niet hoe dit door de beugel kan.’

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden