Ik zou niet meedoen aan het Nationaal Media Onderzoek van Ipsos.

January 5, 2022
7

Iemand was uitgenodigd om mee te doen aan het Het Nationaal Media Onderzoek van Ipsos en vroeg mij of dat nou wel zo verstandig was. Ik kende het van horen zeggen (het is de opvolger van het oude kijkonderzoek) maar had er nog nooit in detail naar gekeken. Nu dus wel. En “oh boy” dat was een gouden tip. Mijn advies: niet doen!

Wat is het Nationaal Media Onderzoek precies? Hieronder zal ik ingaan op het doel, wie er mee doen, hoe het werkt, en wat de risico’s zijn. Vervolgens zal ik de privacyverklaring bespreken.

Doel

Doel van het onderzoek is:

Het NMO Multimedia Onderzoek verzamelt informatie over het gebruik van radio, TV, websites en apps door Nederlanders. Naar welke radiozenders luisteren mensen bijvoorbeeld, hoe lang doen ze dat en via welke kanalen? Maar luisteren is breder dan radio alleen. Dat doen we tegenwoordig namelijk niet alleen via de radio, maar ook via smartspeakers, Spotify, DAB+ of andere platformen en apparaten. Daarom onderzoeken we ook andere vormen van luisteren, zoals het luisteren naar podcasts.

Daarnaast verzamelen we informatie over kijkgedrag: naar welke TV-zenders wordt er gekeken, en hoe lang? Ook onderzoeken we de internetactiviteiten van Nederlanders. Dat is waardevolle informatie waar bijvoorbeeld omroepinstellingen, adverteerders en mediaplanners in zijn geïnteresseerd.

Zoals we verderop zullen zien wordt alleen het gebruik van internet gemeten van de smartphone waarop je een speciale meet-app op moet installeren. Maar daarin gaat Ipsos ver. Zeer ver.

Betrokken partijen

De volgende partijen zijn hier bij betrokken

Het onderzoek is een initiatief van de organisaties voor mediabereiksonderzoek in Nederland: Stichting KijkOnderzoek (SKO), Stichting Nationaal Luister Onderzoek (NLO), Stichting Nationaal Onderzoek Multimedia (NOM) en de Verenigde Internet Exploitanten (VINEX).

Ook zijn alle grote Nederlandse media-exploitanten betrokken. Denk daarbij aan televisiezenders zoals NPO en RTL, de uitgevers van de Telegraaf, de Volkskrant en alle andere landelijke en regionale dagbladen, maar ook uitgevers van bijvoorbeeld de Donald Duck, LINDA., Libelle en National Geographic – wist je dat er bijna 100 verschillende tijdschriften in Nederland zijn? Ook alle radiozenders doen mee.

Wat hierbij niet genoemd wordt, maar duidelijk wordt als we dieper in de antwoorden op ‘veel gestelde vragen’ duiken, en als we de privacy verklaring - Nationaal Media Onderzoek (NMO) Multimedia Panel doorlezen, is dat op de achtergrond een grote speler mee doet: Kantar

Kantar is the world’s leading data, insights and consulting company. We help clients understand people and inspire growth.

Ipsos zelf is ook geen kleine speler overigens:

Ipsos is één van de grootste marktonderzoekbureaus ter wereld, met vestigingen in 90 landen en heeft meer dan 18.000 medewerkers.

Hoe werkt het?

Om aan het onderzoek mee te doen moet je de Ipsos MediaCell app op je smartphone installeren, en toegang geven tot je microfoon. Vervolgens moet je de telefoon doorlopend aan hebben staan en altijd bij je hebben (ook binnenshuis).

De MediaCell/MediaCell+ App is een elektronisch meetsysteem. Het draait op de achtergrond van uw smartphone en registreert waar u naar kijkt en luistert. Uitgezonden audiosignalen die niet hoorbaar zijn voor het menselijk oor worden gedetecteerd door onze app op uw smartphone. Vervolgens wordt een code gegenereerd op basis van geluid dat van een tv-programma of radiostation afkomstig is.

Deze detectie vind lokaal op de smartphone plaats. Door de microfoon geregistreerde gesprekken of geluiden worden niet opgenomen of doorgestuurd naar de servers van Ipsos of Kantar. Ook wordt informatie verzameld over het gebruik van andere apps en functies, en hoe vaak en met welke netwerken verbinding wordt gemaakt. Daarnaast worden locatiegegevens verzameld en (alleen onder Android) gekoppeld aan andere activiteiten (de geografische locatie waar de kans het grootst is dat u uw smartphone oplaadt, een telefoontje pleegt of een app downloadt, bijvoorbeeld).

Dat is nog relatief onschuldig. Gevaarlijker zijn de twee andere stappen die doorlopen moeten worden na het installeren van de app.

De app meet ook welke apps/websites u bezoekt via een VPN-verbinding. De gebruikte software zal echter nooit persoonlijke gegevens zoals wachtwoorden, bankgegevens, e-mails en chats vastleggen. Ook kunnen (telefoon)gesprekken niet worden opgenomen.

Hiervoor moet een speciale VPN geïnstalleerd en geactiveerd worden (waardoor alle andere VPNs niet langer gebruikt kunnen worden)

De VPN zorgt er voor dat al het internetverkeer van je smartphone via Ipsos/Kantar loopt. Net zoals bij het gebruik van iedere andere VPN betekent dit al dat Ipsos de IP adressen kan zien van alle websites en services die je gebruikt. Maar dit is kennelijk nog niet genoeg. Zo wil Ipsos bijvoorbeeld ook graag weten waar je op het internet naar zoekt. Dat kan niet zomaar, omdat alle moderne zoekmachines en websites een beveiligde verbinding (https, die met een slotje) opzetten tussen je smartphone en de server, waardoor alle gegevens die uitgewisseld worden versleuteld zijn. Daar kan een VPN server (ook die van Ipsos) niet zomaar in kijken.

Daarom dwingt Ipsos gebruikers ook om een extra root certificaat op de smartphone te installeren! De technische details voeren te ver om die hier te bespreken, maar in essentie creëert dit een groot beveiligingsprobleem op je smartphone: wat Ipsos betreft is al je internetverkeer niet langer versleuteld. Ipsos kan dus meekijken met alles wat je op het internet doet. Bijvoorbeeld de zoektermen die je intypt.

(Zie ook deze Exodus analyse van de app permissies onder Android.)

Beveligingsrisico’s

Maar met de installatie van de VPN en het root certificaat kunnen Ipsos/Kantar (in theorie, zie verderop) al je internetverkeer inzien. Dus ook de emails die je zendt of ontvangt, de banktransacties (en autorisatiecodes), en zelfs de tekstberichten die je verstuurd. Ook de gebruikersnamen en wachtwoorden die je online gebruikt worden zo zichtbaar. Over dat laatste doet Ipsos wat schimmig in de privacyverklaring. E.g artikel 4.8 verklaart (‘emphasis added’)

Met uitzondering van woorden die in een internet-zoekopdracht worden ingevoerd, verzamelt onze app/VPN GEEN toetsaanslagen of informatie die in een webformulier wordt ingevoerd, zoals gebruikersnamen en wachtwoorden voor websites, creditcardnummers, bank- of andere rekeningnummers of andere gegevens die op een beveiligde (https-)webpagina worden weergegeven of ingevoerd.

We mogen hopen dat die informatie inderdaad niet expliciet verzameld en bewaard wordt, maar verwerkt wordt ze wel degelijk.

Hierdoor heeft de app/VPN in het algemeen geen toegang tot informatie over producten in winkelmandjes van online winkels of over uw interacties met websites van financiële instellingen of zorgorganisaties waarop u inlogt, aangezien dit normaal gesproken beveiligde sites zijn.

Maar dat is nu juist het probleem: met de installatie van een door Ipsos geleverd root-certificaat wordt de beveiliging van die site (of preciezer gezegd de veilige verbinding met die site) juist omzeild.

(Opmerking: het is maar de vraag of in de praktijk installatie van een extra root-certificaat nog toegang geeft tot all versleutelde communicatie. Veel bedrijven (zoals Google en Apple) doen aan certificate pinning om gerotzooi met certificaten in hun systemen en protocollen te detecteren. Ik vraag me daarom eerlijk gezegd af of Ipsos op deze manier inderdaad toegang krijgt tot je zoektermen, als je tenminste de standaard browsers of zoekfuncties gebruikt van Android of iOS.)

Privacyrisico’s

D.m.v. het Nationaal Media Onderzoek verzamelt Ipsos een groot aantal gegevens:

  • waar je bent, hoe lang je daar bent,
  • welke websites je daar bezoekt, welke apps je daar gebruikt, of welke TV- of radio-programma’s je daar bekijkt of beluistert, en voor hoe lang,
  • waar je naar zoekt (en of je het vindt),
  • (onder Android, onduidelijk is waarom dat onder Apple’s iOS niet kan): de content die je bekijkt in de YouTube, NetFlix en andere on-demand diensten, hoe vaak je belt of SMSt,
  • je surfgeschiedenis,
  • je gebruik van sociale media,
  • welke advertenties je ziet,
  • en meer.

Eigenlijk verzamelen ze eigenlijk bijna alles wat redelijkerwijs via een smartphone te verzamelen is. Ik zeg wel eens dat een smartphone een Stasi agent in je broekzak is. Ipsos benut die potentie om zoveel mogelijk informatie over jou te verzamelen. Zoals Ipsos terecht opmerkt in haar privacyverklaring:

dit omvat mogelijk ook persoonlijke, financiële en medische informatie.

Zeker als je voornamelijk je smartphone gebruikt om te internetten (i.p.v. je tablet of laptop); dan weet Ipsos bijna alles wat er over jou te weten is.

Locatiegegevens alleen zijn al voldoende om te bepalen waar je slaapt (ga je vreemd, heb je een uitkering maar vergeten je relatie door te geven), naar welke school je gaat (of dat je spijbelt), of je een abortus hebt gepleegd, naar de hoeren gaat, in een GGZ instelling verblijft, regelmatig naar de huisarts of de psycholoog gaat, wie je vrienden zijn (of in ieder geval waar ze wonen of in welke kroeg je ze ontmoet), etc.

Je kijk, luister, appgebruik en surfgedrag geeft inzage in je interesses of verslavingen (doe je aan yoga, houdt je van auto’s, muziek, koop je veel boeken of kleren, kijk je porno, of mediteer je veel), je politieke voorkeuren (ben je een ‘wappie’, of klimaatactivist), je geloofsovertuiging, en inderdaad je `financiële en medische’ situatie.

Een subtieler risico is het gebruik van ultrasone geluiden onhoorbare digitale fingerprints aan het geluidssignaal (aangepast 2022-11-14) voor het detecteren van de TV- of radio-programma’s die we bekijken of beluisteren. Kennelijk worden die (voor het menselijke oor onhoorbare) audiosignalen nu al toegevoegd. Daarmee is het niet uit te sluiten dat ook andere apps die signalen opvangen, analyseren en zo gegevens over ons kijk- en luistergedrag verzamelen. Toch wel creepy.

Ipsos privacyverklaring

Voor het Nationaal Media Onderzoek heeft Ipsos een privacyverklaring opgesteld (voor het laatst bijgewerkt op 9 augustus 2021). Deze bevat interessante, soms zelfs brisante, informatie.

Verwerkingsverantwoordelijkheid

Ten eerste is Ipsos zelf enkel tussenpersoon: de daadwerkelijke analyse wordt door Kantar uitgevoerd: (1.4)

Ipsos combineert alle verzamelde informatie, voert vervolgens een aantal kwaliteitschecks uit en stelt de meetgegevens ter beschikking aan het collega-onderzoeksbureau Kantar voor het onderzoek naar televisiekijkgedrag en van de Nederlandse huishoudens en het meten van hun gebruik van geselecteerde websites en apps.

Toch stelt Ipsos (in 3.1) dat alleen zij en de Samenwerkende Organisaties (niet zijnde Kantar) de gezamenlijk verwerkingsverantwoordelijken zijn. Het is voor mij echter wel de vraag in hoeverre in deze specifieke situatie niet ook Kantar veel invloed heeft op in ieder geval de manier waarop de informatie verwerkt wordt. Zijn zij dan in de praktijk niet eigenlijk ook verwerkingsverantwoordelijke?

Ook kun je je de vraag stellen of je de verantwoordelijkheid voor de verwerking over zoveel organisaties zinvol en effectief kunt verdelen: het hierboven al genoemde aantal betrokken partijen is schier eindeloos!

Merk ook op dat de data niet noodzakelijkerwijs binnen de EU blijft (6.2):

Sommige van deze onderaannemers zijn mogelijk buiten de Europese Unie (EU) of Europese Economische Ruimte (EER) gevestigd.

Fingerprinting

Ten tweede blijkt dat er gebruik gemaakt wordt van ‘fingerprinting’ (4.10):

We maken ook gebruik van technologie voor digitale vingerafdrukken (ook wel “Machine Identification” genoemd) om bepaalde informatie over uw computer, hardware en software te verzamelen, zoals uw IP-adres, de browser, het besturingssysteem enz. Deze informatie wordt naar onze vaste leverancier gestuurd, die de gegevens omzet in een uniek serienummer (de “digitale vingerafdruk”) en bepaalt of deze vingerafdruk overeenkomt met eerder verzamelde vingerafdrukken.

Kennelijk is het doel om gegevens uit verschillende bronnen te kunnen combineren, zie e.g. (4.4):

Wij en onze partners zoals opgenomen in paragraaf 6, zullen uw gegevens samenvoegen met andere gegevensbronnen. Dit is uitsluitend voor onderzoeksdoeleinden en niet voor marketingdoeleinden.

Persoonsgegevens versus meetgegevens

De privacyverklaring gebruikt zowel de term persoonsgegeven als de term meetgegeven, met de kennelijke suggestie dat een meetgegeven geen persoonsgegeven is. Lees 4.1 (‘emphasis added’):

Voor het onderzoek naar het gebruik van smartphones, het bekijken en beluisteren van televisie- en radiozenders en het online gedrag van Nederlandse huishoudens verwerkt Ipsos persoonsgegevens. De persoonsgegevens die Ipsos voor dit onderzoek zal gebruiken zijn postcode, leeftijd, geslacht, e-mailadres, huishoudsamenstelling, relatiestatus, opleiding, beroepsgegevens, inkomensklasse, politieke voorkeur, religie en etnische achtergrond.

en 4.2:

Deze gegevens worden door ons collega-onderzoeksbureau Kantar verzameld per telefoon of via een online vragenlijst, en door het invullen van ons inschrijfformulier wanneer u besluit lid te worden van het panel.

Dit lijkt de categorie persoonsgegevens limitatief te beschrijven. In de laatste zin van 4.2 staat vervolgens:

Bovendien verzamelt Ipsos de gegevens over het gebruik van de smartphone zoals verder uitgelegd in paragraaf 4.7.

Hier wordt in het midden gelaten of het persoonsgegevens of meetgegevens betreft. Maar als (zoals in 4.3 vermeld) de gegevens gepseudonimiseerd worden bewaard, dan zijn ook dit persoonsgegevens.

Meetgegevens worden al in 1.2 genoemd:

Wanneer u deelneemt aan het NMO Panel, meet Ipsos uw televisiekijk- en radioluistergedrag en overig gebruik van uw smartphone. Om de meetgegevens te verkrijgen, gebruikt Ipsos apps: de zogenaamde MediaCell(+) app en VPN.

Gezien de manier waarop die verzameld worden, en (zoals ik het begrijp) via fingerprinting uniek en permanent aan een specifiek apparaat gekoppeld worden, lijken ook dat mij persoonsgegevens. In dat licht bezien is dit statement uit 4.10 misleidend:

De hierbij verzamelde gegevens en de digitale vingerafdruk zijn niet gekoppeld aan uw persoonlijke informatie

Nog afgezien van het feit dat volgens artikel 4.2:

Deze gegevens worden door ons collega-onderzoeksbureau Kantar verzameld.

Deze semantische discussie is van belang omdat in de in 7 genoemde bewaartermijn van 12 maanden na afronding van het onderzoek geldt voor persoonsgegevens. Geld dat dan ook voor meetgegevens? Dat zou wel moeten (het zijn immers ook persoonsgegevens), maar gezien het onderscheid dat Ipsos maakt is het de vraag of die meetgegevens in de praktijk óók na 12 maanden verwijderd worden.

Doelbinding?

Artikel 5 beschrijft de doeleinden waarvoor de verzameld persoonsgegevens voor gebruikt worden. Naast het voor de hand liggende doel

Meten van het televisiekijk- en radioluister gedrag, het gebruik van de smartphone en online gedrag

staat vervolgens

Controleren, analyseren en aggregeren van de meetgegevens, waaronder het verstrekken aan Kantar voor verder onderzoek;

Welk verder onderzoek? Dat is volstrekt onduidelijk. En wat mag Kantar vervolgens met die gegevens en de onderzoeksresultaten doen? Dit lijkt een vrijbrief voor ongecontroleerde verdere verwerking door Kantar van de persoonsgegevens. Dit is misschien niet eens zo bedoeld, maar dan had dat wel beter opgeschreven moeten worden.

De uitsmijter is echter artikel 6.4.

Ipsos deelt met de Samenwerkende Organisaties de meetgegevens die zij heeft verzameld, zodat de Samenwerkende Organisaties de juistheid van de door Ipsos verzamelde gegevens kunnen verifiëren.

Wat!? Hoezo dan? Dus ál onze zeer persoonlijke gegevens, alle verzamelde meetgegevens (locatie, zoektermen, wat we lazen, keken, beluisterden, hoe laat, en waar), en alle gevoelige conclusies die daar uit te trekken zijn, wordt gedeeld met de NPO, RTL, de Telegraaf, de Donald Duck en noem maar op?

Erger nog:

De Samenwerkende Organisaties delen de meetgegevens die zij van Ipsos ontvangen met adviesbureaus, adverteerders en media-exploitanten. Ook werken we samen met softwarehuizen die zorgen voor de distributie en het beschikbaar stellen van de geaggregeerde data aan eindgebruikers via media-planningssoftware.

Ik ben eerlijk gezegd sprakeloos. Ik ben (helaas?) geen jurist, maar ik mag hopen dat dit juridisch gezien niet door de beugel kan.

Conclusie

Het Nationaal Media Onderzoek van Ipsos gaat veel verder dan het aloude kijk- en luisteronderzoek: er wordt veel meer, veel gedetailleerdere, en uit veel diversere bronnen data verzameld. Je verkoopt bijna letterlijk een inkijkje in je ziel aan de duivel. En die deelt je ziel met een groot aantal andere partijen. En wat krijg je als je meedoet? Een cadeaubon. Daar zou ik het niet voor doen. (En ook niet voor gouden bergen.)

In case you spot any errors on this page, please notify me!
Or, leave a comment.
Jaas Coppens
, 2022-07-16
(reply)

Goedemorgen!

Dank voor je onderzoek; ik was er bijna ingetrapt. Ik kreeg een brief met persoonlijke inlogcode om mee te doen. TNS Nipo heeft toch een goede naam, en het lijkt of het hier gewoon kijk- en luisteronderzoek betreft. Gelukkig had ik al wantrouwen en bij mijn zoektocht naar kritisch commentaar kwam ik jouw blog tegen. Dankjewel voor je uitgebreide uitleg!

Hartelijke groet, Jacinta Coppens

marcel@marnan.nl
, 2022-07-21
(reply)

Geweldig artikel, dank! Ik had al ernstige twijfels maar ben nu overtuigd om het zeker NIET te doen.

aleida heikens
, 2022-08-23
(reply)

Hey,

Dankjewel, ik kreeg inderdaad een brief door de bus en daar kon ik zelfs geld mee verdienen. Nu ik je website en onderzoek heb gelezen heb ik m’n twijfels of ik wel mee zou doen ja of te nee. Vooral omdat er zoveel informatie wordt verzameld. Dankjewel dus voor de bewustwording.

Groetjes, Aleida

Robbert
, 2022-09-02
(reply)

Beste auteur,

Na een uitnodiging per brief voor het NMO ging ik even Googlen naar ‘privacy nationaal mediaonderzoek’. Gelukkig kwam o.a. deze pagina duidelijk naar voren. Ik heb de artikelen en meningen aandachtig gelezen en ook de site/verklaring van het instituut doorgenomen. Blijkbaar is er nog niets veranderd aan de privacyverklaring/werkwijze van het NMO of Ipsos/Kantar of welke derde partij dan ook mijn gegevens verwerkt.

Bedankt voor het schrijven van dit artikel! Hopelijk denkt men 2 keer na voor er akkoord wordt gegaan met het delen van al je complete online activiteiten en historie.

Claudia Rodriguez Araya-Marín
, 2022-04-18
(reply)

Klopt inderdaad, ik deed Helaas ook mee.

Ik werd gek van de sms’jes, (herstart je mobiel,we krijgen weinig info etc) tot op gegeven moment ik mijn telefoon op bed had gelaten ,en zag dat mijn scherm aan ging. Iemand deed mijn ipsos app open en typte codes in, ook ging het naar m’n browser ,en sluite al mijn webbrowser. Ik probeerde mijn telefoon direct uit te doen ,maar werd steeds weer weg gedrukt zodat ik het niet uit kom doen. Na veel snlle pogingen is het mij gelukt. Heb direct een sms verstuurd. Tot op heden geen (menselijke) antwoord op mijn vraag.

Rob Scholtes
, 2022-11-10
(reply)

Hoi!

Je hebt het over een ‘ultrasoon’ geluid dat meegestuurd wordt in de audio. Ultrasoon geluid ligt ver boven onze gehoorgrens en een code kan op die frequenties niet meegestuurd worden in de uitzendsystemen of audiobestanden.

Het is dus niet ultrasoon, maar een ‘fingerprinting’-techniek die in de audio (live of on demand) toegevoegd wordt. Die code wordt uit het audio-signaal gedetecteerd en is te gebruiken om te bepalen of je ‘geluisterd’ hebt naar dat stuk audio.

Er is sowieso veel discussie over wat ‘luisteren’ is. Met een dagboekje schijf je op waarnaar je bewust geluisterd hebt. Als je in de bakkerswinkel staat en die heeft Sky Radio aanstaan, wilt dat niet inhouden dat je daadwerkelijk geluisterd hebt naar Sky Radio.

De fingerprint-methode registreert alleen wat er ‘aan’ stond op een bepaalde plek. Het wil niet zeggen dat je er ook naar ‘geluisterd’ hebt.

Enfin, fingerprinting is een digitale code die in het audiobereik toegevoegd is en onhoorbaar voor het menselijk oor.

Groeten, Rob

Jaap-Henk Hoepman
, 2022-11-14
(reply)

Beste Rob, je hebt helemaal gelijk. Ik heb het aangepast.