Wanneer je de interactieve film Black Mirror: Bandersnatch kijkt, kijkt Netflix terug. Eigenlijk wisten we allemaal allang dat Netflix bijhoudt wat hun gebruikers bekijken en hoelang ze dat doen, maar Bandersnatch gaf de streamingdienst de unieke kans om erachter te komen wat hun gebruikers wilden, in real time. Er zijn zelfs mensen die denken dat Bandersnatch vooral bedoeld was om gegevens over Netflix-gebruikers te kunnen verzamelen.

Michael Veale, een onderzoeker op het gebied van technologiebeleid aan het University College in Londen, wilde weten welke gegevens Netflix allemaal via Bandersnatch verzamelde. “Op Twitter gingen er al allerlei verhalen rond over de intenties van Netflix,” vertelt Veale me in een e-mail. “Daarom leek het me een leuk idee om mensen te laten zien hoe je de wet op gegevensbescherming kunt gebruiken om een antwoord te vinden op je vragen.”

Veale maakte gebruik van de Algemene verordening gegevensbescherming (AVG). De AVG verleent Europeanen het recht op toegang, waardoor iedereen een schat aan informatie kan opvragen bij ieder bedrijf dat onze gegevens verzamelt. Zo kunnen gebruikers bijvoorbeeld formeel aan een bedrijf als Netflix vragen waarom het gegevens opslaat, in welke categorieën ze die gegevens sorteren en met welke derde partijen die gegevens worden gedeeld.

Veale gebruikte de wet om Netflix vragen te stellen over Bandersnatch, en deelde de antwoorden vervolgens op Twitter met zijn volgers. Hij ontdekte dat Netflix de beslissingen van zijn gebruikers volgt (wat logisch is, zo werkt die aflevering immers), maar ook dat het die beslissingen nog lang nadat een gebruiker de film heeft voltooid blijft bewaren. De informatie over de keuzes die gebruikers maken wordt opgeslagen “om Netflix te helpen bepalen hoe deze manier van verhalen vertellen in series of films kan worden verbeterd,” aldus Netflix in reactie op de vraag van Veale. De .csv-bestanden en pdfjes laten alle keuzes zien die Veale gemaakt heeft bij het kijken naar Bandersnatch, in een lange lijst.

Veale vertelt me dat hij voor het aanvragen van de gegevens alleen een mailtje hoefde te sturen naar Netflix. Het ontvangen van de specifieke informatie waar hij naar op zoek was, bleek echter een stuk lastiger te zijn. De AVG lijkt een beetje op de Amerikaanse Freedom of Information Act, waarbij je bij het opvragen van informatie heel specifiek moet zijn om de antwoorden waar je naar op zoek bent te krijgen. Na het opsturen van een kopie van zijn paspoort om zijn identiteit te bevestigen, kreeg Veale de antwoorden toegestuurd in een e-mail. In een ander bericht kreeg hij vervolgens een link naar een website, waar hij een gecodeerde versie van zijn gegevens kon downloaden. Hij had een wachtwoord van Netflix nodig om toegang te kunnen krijgen tot de gegevens, die hij in de vorm van een .csv-bestand en een pdfje kon downloaden.

“Het feit dat ik zulke specifieke vragen moest stellen, maakte het best lastig,” vertelt Veale me in zijn e-mail. “Ik weet niet of de gegevens die ik zocht standaard worden bijgevoegd wanneer je Netflix om je gegevens vraagt. Maar ik weet wel dat dit over het algemeen niet het geval is, wanneer je bedrijven vraagt om ‘al je gegevens’ in te zien. Het moeilijkste is dus om erachter te komen wat ‘al je gegevens’ eigenlijk zijn en wat het bedrijf je toestuurt wanneer je om ‘al je gegevens’ vraagt.”

Veale voegt hier bovendien aan toe dat Netflix misschien alleen zo meegaand deed omdat hij een publiek figuur is, die bekendstaat om het gebruik van de AVG om gegevens van grote technologiebedrijven te ontfutselen. Collega’s die soortgelijke onderzoeken bij andere bedrijven probeerden te doen, werd verteld dat “ze konden oprotten, of hun accounts werden verwijderd omdat ze als onruststokers werden gezien,” vertelt Veale.



Hij vindt zijn bevindingen nogal zorgwekkend; zo wilde Netflix hem niet vertellen hoe lang ze de data van plan zijn te bewaren, of wat het plan is voor het verwijderen van de data op termijn.

“Ze beweren dat ze deze gegevens verwerken omdat het ‘noodzakelijk’ zou zijn voor het uitvoeren van het contract tussen mij en Netflix,” legt Veale uit. “Maar is het opslaan van mijn persoonlijke gegevens echt zo noodzakelijk? Blijkbaar hebben ze het niet geanonimiseerd of losgekoppeld van mijn account, aangezien ik er ver na het kijken van de aflevering nog toegang tot had. Als je het mij vraagt, zouden ze je daar toestemming voor moeten vragen (die je ook moet kunnen weigeren) of rekening houden met de legitieme belangen van de gebruiker (wat betekent dat je er bezwaar tegen kunt maken).”

Bandersnatch lijkt misschien een onschuldige aflevering van een serie. Maar welke gegevens Netflix ermee verzamelt, hoe die worden opgeslagen en hoelang ze blijven bestaan, zijn allemaal vragen waar we als gebruikers een antwoord op moeten krijgen. Als we beseffen dat we dit soort vragen aan een bedrijf als Netflix kunnen stellen, zien we misschien ook in dat we hetzelfde kunnen doen bij bijvoorbeeld Facebook en Google.

“Ik hoop dat dit mensen inspireert om gebruik te maken van hun rechten in situaties als deze. Dat zou niet meer dan normaal moeten zijn,” zegt Veale. “Als bedrijven steeds meer aanvragen blijven ontvangen, zullen ze het uiteindelijk een stuk makkelijker maken om er toegang tot te krijgen, om zelf geld en tijd te besparen. Daar zullen alle gebruikers baat bij hebben.”