Wat aanvankelijk klonk als een klassiek beveiligingsincident, blijkt in werkelijkheid het gevolg van de dagelijkse werking van de digitale advertentie-industrie. Onderzoeksjournalisten van Netzpolitik.org ontdekten dat miljoenen locatiegegevens van Belgische smartphonegebruikers werden verzameld via gewone apps en vervolgens verhandeld door data­brokers.

In die datasets bevonden zich duizenden signalen afkomstig van apparaten die zich herhaaldelijk bevonden op gevoelige plaatsen zoals het Berlaymont-gebouw, hoofdzetel van de Europese Commissie, en het Europees Parlement. Zelfs het terrein van de NAVO in Brussel dook op in de gegevens. Het gaat om zogenaamd “anonieme” data, maar in werkelijkheid laten herhaalde locatiepatronen zich eenvoudig herleiden tot specifieke personen.

Anonieme data die allesbehalve anoniem zijn

Hoewel data­makelaars benadrukken dat hun bestanden geen namen of telefoonnummers bevatten, tonen de onderzoeksresultaten hoe eenvoudig anonimiteit in rook opgaat. Een toestel dat elke werkdag geregistreerd wordt in het Berlaymont en ’s avonds op hetzelfde adres in een Brusselse wijk, verraadt meer dan genoeg om de eigenaar te identificeren.

De onderzoekers spreken van een structureel probleem: het advertentie-ecosysteem verzamelt en deelt miljarden locatiepings via apps, zonder dat gebruikers begrijpen waar hun gegevens terechtkomen. Wat bedoeld is voor marketing, kan in verkeerde handen veranderen in een instrument voor profilering of zelfs spionage.

Een dreiging voor privacy én veiligheid

De gevolgen van dit lek reiken verder dan privacy alleen. Het feit dat locatiegegevens van personeel van EU- en NAVO-instellingen zomaar te koop zijn, vormt ook een risico voor de Europese veiligheid. Buitenlandse inlichtingendiensten zouden met dergelijke datasets eenvoudig bewegingspatronen van beleidsmakers of veiligheidsfunctionarissen kunnen analyseren.

Beveiligingsexperts waarschuwen dat deze situatie de grenzen doet vervagen tussen commerciële dataverzameling en digitale spionage. Het probleem beperkt zich bovendien niet tot Europa: vergelijkbare praktijken zijn eerder al vastgesteld in de Verenigde Staten en Azië.

Europese regels botsen op realiteit

Ironisch genoeg speelt dit alles zich af in het hart van de Europese Unie, waar de GDPR (General Data Protection Regulation) juist bedoeld was om burgers te beschermen tegen misbruik van persoonsgegevens. Toch blijkt de naleving ervan in de praktijk beperkt.

Databrokers opereren grotendeels buiten het zicht van toezichthouders. Ze kopen en verkopen gegevens afkomstig van talloze apps die gebruikers toestemmingen laten aanklikken zonder veel uitleg. De Belgische Gegevensbeschermingsautoriteit en haar Europese tegenhangers onderzoeken of de betrokken bedrijven wetgeving hebben overtreden, maar de complexiteit van de markt maakt handhaving bijzonder lastig.

Brussel als kwetsbaar dataknooppunt

Omdat Brussel de thuisbasis is van de Europese instellingen en talloze diplomatieke missies, krijgt het schandaal een extra dimensie. De concentratie van internationale besluitvorming maakt de stad tot een aantrekkelijk doelwit voor digitale dataverzameling.

Het feit dat zelfs medewerkers van Europese toporganen, mensen die dagelijks met vertrouwelijke dossiers werken, zonder hun medeweten in commerciële datasets terechtkomen, onderstreept hoe diep deze industrie in het dagelijkse leven is doorgedrongen.

Van appgebruik tot geopolitiek risico

De bron van het probleem is alledaagser dan men zou denken. Gewone apps zoals een weerapp, een navigatiedienst, een mobiel spelletje, vragen toegang tot locatiegegevens, vaak zonder dat gebruikers het belang daarvan beseffen. Die informatie wordt vervolgens gedeeld met advertentienetwerken en belandt via een keten van tussenpartijen bij databrokers die de gegevens verhandelen.

Gebruikers kunnen wel maatregelen nemen, zoals het beperken van locatietoestemmingen of het resetten van hun advertentie-ID. Maar zolang het verdienmodel van apps gebaseerd blijft op dataverkoop, blijven dit slechts pleisters op een structurele wonde.