Gegevensmakelaars verbergen hun afmeldpagina's voor Google Zoeken

Gegevensmakelaars zijn wettelijk verplicht om consumenten de mogelijkheid te bieden om te verzoeken om verwijdering van hun gegevens. Maar veel succes met het vinden ervan.

Meer dan 30 bedrijven die de persoonlijke gegevens van consumenten verzamelen en verkopen, hebben hun verwijderingsinstructies voor Google verborgen, blijkt uit een onderzoek van The Markup en CalMatters naar honderden websites van makelaars. Dit vormt een extra obstakel voor consumenten die hun gegevens willen verwijderen.

Veel pagina's met instructies, die geregistreerd staan in een officieel staatsregister, gebruiken code om zoekmachines te vertellen de pagina volledig uit de zoekresultaten te verwijderen . Populaire tools zoals Google en Bing respecteren de code door pagina's uit te sluiten bij het reageren op gebruikers.

Gegevensmakelaars in het hele land moeten zich in Californië registreren op grond van de Consumer Privacy Act van de staat. Op grond van deze wet kunnen inwoners van Californië verzoeken dat hun gegevens worden verwijderd, niet worden verkocht of dat zij er toegang toe krijgen.

Nadat we de websites van alle 499 bij de staat geregistreerde gegevensmakelaars hadden gecontroleerd, ontdekten we dat 35 daarvan code bevatten die ervoor zorgde dat bepaalde pagina's niet in zoekresultaten werden weergegeven.

Volgens Matthew Schwartz, beleidsanalist bij Consumer Reports die onderzoek doet naar de Californische wetgeving inzake gegevensmakelaars en andere privacykwesties, voldoen deze bedrijven wellicht aan de wet door een pagina aan te bieden waar consumenten hun gegevens kunnen verwijderen. Maar dat betekent weinig als consumenten de pagina niet kunnen vinden.

"Dit klinkt mij in de oren als een slimme oplossing om het voor consumenten zo moeilijk mogelijk te maken om het te vinden", aldus Schwartz.

Nadat The Markup en CalMatters contact hadden opgenomen met de databrokers, gaven zeven van hen aan dat ze de code op hun websites zouden controleren of volledig zouden verwijderen, en nog eens twee zeiden dat ze de code onafhankelijk van elkaar hadden verwijderd voordat ze werden benaderd. The Markup en CalMatters bevestigden dat acht van de negen bedrijven de code hadden verwijderd.

Twee bedrijven gaven aan dat ze de code opzettelijk hadden toegevoegd om spam te voorkomen op aanraden van experts en dat ze deze niet zouden wijzigen. De overige 24 bedrijven reageerden niet op een verzoek om commentaar; drie bedrijven verwijderden de code echter nadat The Markup en CalMatters contact met hen hadden opgenomen.

( Zie de gegevens in onze GitHub-repository .)

De meeste bedrijven die reageerden, zeiden dat ze niet op de hoogte waren van de code op hun pagina's.

"De aanwezigheid van de [code] op onze afmeldpagina was inderdaad een vergissing en niet opzettelijk", aldus May Haddad, woordvoerder van databedrijf FourthWall, in een e-mailreactie. "Ons team heeft het probleem onmiddellijk verholpen nadat we hiervan op de hoogte waren gesteld. Standaard worden alle kritieke pagina's – inclusief afmeld- en privacypagina's – standaard geïndexeerd om maximale zichtbaarheid en toegankelijkheid te garanderen." The Markup en CalMatters bevestigden dat de code per 31 juli was verwijderd.

Sommige bedrijven die hun privacy-instructies verborgen hielden voor zoekmachines, plaatsten een kleine link onderaan hun homepage. Om deze te openen, moest je vaak meerdere schermen scrollen, pop-ups voor cookietoestemming en nieuwsbriefaanmeldingen negeren en vervolgens een link vinden die een fractie van de grootte van andere tekst op de pagina had.

Consumenten werden dus nog steeds met een groot obstakel geconfronteerd als ze hun gegevens wilden laten verwijderen.

Neem het eenvoudige afmeldformulier voor ipapi , een dienst van Kloudend die de fysieke locatie van internetbezoekers bepaalt op basis van hun IP-adres. Mensen kunnen naar de website van het bedrijf gaan om te verzoeken dat het bedrijf hun persoonsgegevens "niet verkoopt" of om hun "recht op verwijdering" in te roepen. Ze zouden het formulier echter moeilijk kunnen vinden, omdat het code bevatte die de gegevens uitsloot van de zoekresultaten. Een woordvoerder van Kloudend beschreef de code als een "vergissing" en zei dat de pagina was aangepast zodat deze zichtbaar was voor zoekmachines; The Markup en CalMatters bevestigden dat de code per 31 juli was verwijderd.

Telesign, een bedrijf dat fraudepreventiediensten voor bedrijven promoot, biedt een eenvoudig formulier voor 'Gegevensverwijdering' en 'Afmelden / Niet verkopen'. Maar dat formulier is verborgen voor zoekmachines en andere geautomatiseerde systemen en staat niet gelinkt op de homepage.

In plaats daarvan moeten consumenten ongeveer 7.000 woorden door een privacybeleid vol juridisch jargon zoeken om een link naar de pagina te vinden.

Een woordvoerder van Telesign reageerde niet op een verzoek om commentaar.

Vijf van de pagina's in het register van Californië zijn niet alleen niet geïndexeerd voor zoekopdrachten, ze bestaan ook niet. Zo heeft een bedrijf genaamd BrightCheck, dat "AI-gestuurde identiteitsverificatie" aanbiedt, een pagina met privacy-instructies in het register van Californië. Maar toen The Markup en CalMatters de pagina eind juli bezochten, vonden we een melding dat de pagina niet meer bestaat. De pagina was er al op 18 maart, toen The Markup en CalMatters de site voor het eerst scanden, en de Wayback Machine heeft een archief van de pagina van 14 februari.

BrightCheck heeft niet gereageerd op een verzoek om commentaar.

De California Consumer Privacy Act trad in 2020 in werking en is van toepassing op bedrijven die het grootste deel van hun omzet halen uit de verkoop van consumentengegevens, of die meer dan $ 25 miljoen per jaar verdienen of de gegevens van meer dan 100.000 mensen in de staat verwerken. Zonder alomvattende federale privacywet is de wet een van de weinige regels waaraan gegevensmakelaars moeten voldoen.

De meest recente makelaarsdatabase van Californië bevat bijna 500 bedrijven, waarvan de meeste consumenten waarschijnlijk nog nooit hebben gehoord. Ze omvatten bedrijven met flitsende startupnamen zoals StatSocial en UpLead, en bieden alles van e-mailmarketingtools tot contactlijsten. CalMatters publiceerde vorig jaar een gids met informatie over hoe consumenten hun rechten kunnen uitoefenen via de database of tools van derden, en hoe ze verwijdering van de gegevens van hun kinderen kunnen aanvragen.

Tom Kemp, directeur van de instantie die belast is met de handhaving van de privacywetgeving, de California Privacy Protection Agency, zei in een interview dat de instantie de bevindingen van The Markup en CalMatters had overgenomen. Hoewel hij weigerde commentaar te geven op de praktijken van een specifiek bedrijf, verwees hij naar een handhavingsadvies van de instantie over "dark patterns", ontwerpkeuzes die "het substantiële effect hebben dat ze de autonomie, besluitvorming of keuze van een consument ondermijnen of belemmeren".

Als een bedrijf het veel moeilijker maakt om te beslissen om persoonlijke gegevens te verwijderen dan om deze te doneren, of als het te veel jargon gebruikt of andere obstakels neemt waar consumenten overheen moeten springen om de gegevens te verwijderen, dan overtreedt het bedrijf mogelijk de wet, aldus het advies.

Dit jaar heeft de privacyautoriteit handhavingsmaatregelen genomen tegen bedrijven zoals Todd Snyder en Honda, omdat ze het onder andere te moeilijk maakten om te kiezen voor het niet gebruiken van hun gegevens. Todd Snyder betaalde dit jaar een boete van bijna $ 350.000 , terwijl Honda akkoord ging met een boete van meer dan $ 630.000. Beide partijen stemden in met een herziening van hun privacybeleid.

Kemp zei dat het bij het bepalen of een bedrijf de privacywet heeft overtreden, belangrijk is om te bepalen of er een patroon van activiteiten is dat het voor consumenten moeilijk maakt hun rechten uit te oefenen. Het verbergen van een privacy-instructiespagina zou de eerste 'draad' kunnen zijn bij het bepalen of een bedrijf zijn verplichtingen ontloopt.

In het verleden zijn andere bedrijven bekritiseerd omdat ze belangrijke webpagina's voor zoekmachines verborgen hielden. In 2019 onthulde ProPublica hoe het bedrijf achter belastingaangiftedienst TurboTax code toevoegde om gebruikers de mogelijkheid te bieden hun belastingaangifte gratis in te dienen. Een rapport uit 2021 van de Wall Street Journal concludeerde dat ziekenhuizen prijzen verborgen hielden die ze volgens de federale transparantieregels moesten publiceren .

Wetgevers in Californië hebben onlangs de Delete Act aangenomen, omdat de meeste inwoners van Californië nog nooit van de honderden bedrijven in het register van databrokers hebben gehoord. Deze wet creëert een systeem genaamd het Delete Request and Opt-out Platform (DROP), waarmee consumenten in Californië één enkel, juridisch bindend verzoek tegelijk kunnen indienen bij alle databrokers in het register. Het agentschap voor privacybescherming is van plan het volgend jaar te lanceren.

Tijdens ons onderzoek hebben we enkele URL's in het register van Californië aangepast. Voor 64 sites hebben we "www." aan het begin van de domeinnaam verwijderd om serverfouten te verhelpen. Voor nog eens 16 sites hebben we de URL handmatig aangepast om een werkende pagina te krijgen. In sommige gevallen hebben we een typefout hersteld, in andere gevallen hebben we de hoofdsite van de broker bezocht en de juiste link gevonden door ernaartoe te navigeren. Lees hier onze volledige methodologie.