Het is weer dinsdag, en in menig brievenbus zal er weer een brief vallen van de buurt-app NextDoor. In deze brief, nodigt een buurman u uit om gebruik te maken van een buurt-app. Deze aparte manier van leden-werven heeft bij veel mensen kwaad bloed gezet. Hoewel in de media afgelopen week veelvuldig dit onderwerp hebben besproken, is er eindelijk een officiele reactie van NextDoor op hun blog te vinden. – of moeten we zeggen ‘Officiele reklame’ ?
Stortvloed van meldingen.
Hoewel facebook zeker bijdraagt aan de stortvloed aan meldingen m.b.t de NextDoor wervings-actie van vorige week, zijn er zijn legio andere mogelijkheden waar wij alleen naar kunnen raden. Ik was benieuwd wat er aan de hand is, en ben een aantal opties gaan opsommen.
Wat kan de ‘brievenlawine’ veroorzaakt hebben?
Het sneeuwbal effect. Tja, het sneeuwbal effect. Dit zou inderdaad een mogelijkheid zijn, immers de uitnodigings-brieven strategie bestaat al een tijdje. Hierdoor is de sneeuwbal al aardig groot geworden, waardoor het meer opvalt. Des te meer mensen je bereikt, des te meer blije/boze reacties je kunt verwachten
Fout van de gebruiker. We zijn allemaal mensen. Dus fouten maken hoort daar bij. De slimme user-interface is designed om mensen een uitnodiging te laten versturen, alleen goed lezen kan dit soort fouten voorkomen.
Een fout in de software. Dat er kan een programmeer-fout in de software kan zijn geslopen, is een van de mogelijkheden. Deze reden is realistisch, maar ook een fantastisch excuus.
Misbruik van het systeem. Misbruik, het gebeurd overal. Iemand die baat heeft bij negative reacties op een bepaald product, of iemand die baat heeft bij meer aanmeldingen – misbruik is de mogelijkheid om dit te bereiken.
Agressieve reclame campagne. Een reclame campagne, ze zijn er in alle soorten en maten. Van simpele banners, tot héél irritante page-wide video-ads. Maar ook deur-verkoop of reclame via de brievenbus. Agressieve campagnes zijn vaak op het randje…
Wie heeft er profijt van?
Om objectief het probleem te bekijken is het zaak om vast te stellen welke partijen mogelijk profijt hebben van deze wervings-actie.
Onderstaand een lijst van mogelijke profiteurs in volgorde van waarschijnlijkheid.
1. De publisher: NextDoor
Het bedrijf zelf, of misschien een individu binnen het bedrijf, gestimuleerd door bonussen…
2. Faciliterend bedrijf dat de brieven verstuurd.
Ook dit bedrijf wil zoveel mogelijk brieven versturen, het is immers hun core-buisiness. Ook hier kan het één persoon betreffen, of een (ongeschreven) beleid.
3. Adverteerders/Affiliate programmas
Affilliates… betaald per ‘aanmelding’ – één van de veroorzakers van campagnes die op het randje zijn… gedreven door geld voor aantallen gebruikers doen sommige mensen rare ideeen krijgen…
4. Dataminers
Dataminers: bedrijven die zo veel mogelijk relevante informatie van ‘bewoners van het internet’ opslurpen, teneinde de reeds bestaande database-records aan te vullen met méér data – waardoor de data-collectie nog meer waard wordt.
5. Criminelen
Slimme criminelen/oplichters breken niet meer in zonder gedegen onderzoek. Een buurtapp is een fantastische manier om veel informatie van de buurt te weet te komen. Ook voordoen als een ‘buurtbewoner’ kan mensen een onterecht vertouwensbeeld geven…
6. Trollen
De trol. Iemand die voor de lol andere mensen op de kast jaagt.
deze lui doen alles voor de leut, lekker anoniem – maar o-zo vervelend.
7. Concurrent buurt-apps
De concurrent – die heeft helemaal geen zin in nog meer reclame voor de een andere app. Ook hier kunnen individuen of een beleid er voor zorgen dat er plots veel ‘negatieve’ reacties jegens de concurrent verschijnen.
Nu we dit weten kunnen we met deze informatie, een aantal andere vraagstukken beantwoorden
Kosten/baten
Laten we een sitatie schetsen, waarin NextDoor (vrijwillig of niet) toegeeft dat ze de wervings campagne ‘iets’ te aggressief hebben ingezet / of ietwat laat achter een software-bug komt die de brieven perongeluk verstuurde – en men krijgt een boete van de reclamecode commissie..
Hoe verhoudt die boete zicht tot de baten? – immers, voor een investeerder geldt alleen de aantallen – hoe deze behaald zijn is niet relevant.
Voor een bedrijf dat 2.2miljard waard is, is die boete dan ‘collateral damage’? Zolang het target van X% dekking van Nederland nog niet is gehaald – is er veel geoorloofd.
Zowel de Nextdoor, als het bedrijf dat de brieven verstuurd – hebben het meest baat, en het minste ‘pijn’ bij deze strategie.
Bedrijfs-strategie
Hoewel het concept ‘NextDoor’ in de markt gezet wordt als ‘besloten en veilig’ (met flinke nadruk op veilig) , zitten hier een aantal problemen in die ik graag toelicht. Maar er is nog een veel groter probleem. Het buisiness model druist tegen alle regels van de AVG in! Besloten groepjes mensen die hun persoonsgegevens blootstellen aan buurtgenoten. Het gebruikers verplichtten hun echte naam & adres op te geven, onder het mom van ‘besloten buurt-app’ mág dat uberhaupt wel?.
Door het vragen van deze persoon-gegevens, beheerd NextDoor een enorme database met persoonsgegevens, die –tot in tegenstelling met wat nextdoor ons doet geloven– toch in de Verenigde Staten staan.
In deel 2 van mijn reeks artikelen liet ik al zien, hoe eenvoudig het is om je voor te doen als iemand anders op de buurtapp NextDoor. Onder de naam ‘Willem van Oranje’ heb ik mij door heel Nederland bij de diverse buurt-appgroepen aangemeldt. Dit illustreert zien hoe de ‘veilige’ buurtapp opeens niet zo veilig lijkt as men deed vermoedden. Dit wordt nog eens onderstreept in een artikel door Tom Estom van Securityboulevard.
Bij deze bezoeken aan Buurtgroepen heb ik eenvoudig alle adresboeken kunnen downloaden, resulterend in een datalek van tienduizenden leden van NextDoor. Op geen enkele manier heeft NextDoor mijn tientallen verhuizingen opgemerkt, en is het account nog steeds ‘actief’
Alleen Nextdoor heeft baat bij het stilhouden van een datalek.
Wat is de reactie van NextDoor
Hoewel NextDoor predikt erg zorgvuldig om te gaan met uw gegevens en klachten, is daar niet veel van terug te vinden. Tot er vandaag een artikel werdt geplaatst op het NextDoor blog.
Geen verklaringen, geen enkel woord over een datalek, maar slechts de standaard verkoop riedel, vertrouwen etc etc. Dit is geen reactie!
Dit is een manier om zo lang mogelijk door te gaan – zonder een echte verklaring te geven. Ook hier weer, een quote van de buurtApp van Hendrik Ido Ambacht – en verder niets.
Alleen NextDoor heeft baat bij deze herhalingen mbt. vertrouwen en de brieven-actie, en heeft geen baat bij publiceren mogelijke problemen.
Datalek
Waar men wél op reageerde, is mijn melding van het datalek op vrijdag 2 Augustus. Geheel in stijl, verzoekt een vriendelijke medewerker om een DM te sturen, alwaar hij mij het email adres van dpo@nextdoor.com verschafde.
Verbaasd over de nonchalance, én de auto-responder van het email van de Data Protection Officer (DPO) van NextDoor, ben ik dit artikel gaan schrijven. U zult begrijpen, dat ik dit artikel nooit zou hebben gepubliceerd, als er adequaat actie werdt ondernomen op een gemeldt datalek.
Naast het verwittiggen van het lek aan Nextdoor, ben ik in de AVG gedoken, en heb andere (ict)kennissen gesproken -waaronder Brenno de Winter.
De conclusie was eenduidig, NextDoor is mogelijk in strijd met de AVG, maar heeft zeker een datalek, waar men niet adequaat op reageert.
Art.33 AVG Termijn voor Melding
Artikel 33 bepaalt dat de 72 uur termijn gaat lopen op het moment dat de verwerkingsverantwoordelijke kennis heeft genomen van (“aware is”) een datalek dat gemeld moet worden.
Conclusie
Hoe deze Amerikaanse ‘BuurtApp’ omgaat met klachten en vragen van gebruikers is op zn minst gezegd byzonder te noemen. Gelet op het feit dat men sinds 2016 in nederland actief zijn, en de AVG in 2018 is ingegaan – is er tijd genoeg geweest om te kijken of NextDoor wel binnen de nederlandse wetgeving toegestaan is in zijn huidige vorm. Daarnaast is het heel herkenbaar dat het aanmelden heel makkelijk gaat – maar verwijdering alleen mogelijk is door het schriftelijk per email te verzoeken.
De herhalende mantra’s “dat er geen brieven zonder toestemming worden verstuurd”, zijn strategien om zo lang mogelijk door tegaan.
Dit en de legio ‘signalen’ die NextDoor heeft gekregen omtrent onvrede rond hun wervingsactie, doet mij concluderen dat NextDoor enorme hoeveelheden data probeert te verkrijgen, en ‘By Design’ deze persoons-informatie openbaart op een manier die -zonder correcte beveiliging – niet toegestaan is.
Het niet handelen conform de nederlandse wet op persoonsgegevens en datalekken is stuitend!
En daarom ben ik van mening dat NextDoor heel goed weet waar ze mee bezig zijn, en ondanks de wet AVG – hun app bij het publiek proberen op te dringen.
Nee, deze ‘reclame/data Cowboys’ zijn uw tijd én gegevens niet waard!
Authoriteit Persoonsgegevens is op de hoogte van het lek. ….. wordt ongetwijfeld vervolgt.
