Het oeps van apps
Met de aanschaf van een smartphone of tabletcomputer zet de koper definitief een punt achter zijn privacy. Tienduizenden applicaties kruipen via het gadget op sluwe wijze de intieme zone van hun gebruikers binnen. Het ergste is: „De meeste mensen gaan klakkeloos akkoord met de veelal dubieuze voorwaarden van ontwikkelaars.”
De Amerikaanse privacywaakhond Federal Trade Commission (FTC) luidde recent de noodklok over het gebruik van applicaties door kinderen. De apps –veelal educatieve programma’s of spelletjes– zouden aan ouders niet duidelijk uitleggen welke gegevens er bij hun kroost allemaal worden losgepeuterd. Zonder dat vaders en moeders er erg in hebben, leggen ze hun nageslacht in de tentakels van een grote, onbekende octopus.
De noodkreet van de FTC is maar een bescheiden gilletje in de aanzwellende kakofonie van heftige discussies over privacy, zegt woordvoerster Daphne van der Kroft van Bits of Freedom. De burgerrechtenbeweging komt op voor de vrijheid en privacy van internetgebruikers. Bits of Freedom doet technisch en juridisch onderzoek en roept overheid en bedrijfsleven tot de orde als ze de privacy van mensen via onlinekanalen schenden.
Met name de laatste weken is er over dit thema veel te doen geweest. Zoekmachinegigant Google lanceerde zijn nieuwe privacybeleid, een Franse toezichthouder kondigde een grootschalig Europees onderzoek aan naar de omstreden regels en op de ict-handelsbeurs Cebit in het Duitse Hannover werd gedebatteerd over de rammelende privacymentaliteit van socialenetwerksite Facebook.
Tentakels
Een discussie die veel raakvlakken heeft met de veiligheid van burgers op internet, maar die er eigenlijk rakelings langsheen scheert, is die rond de apps. Het is een discussie bovendien die een stuk gecompliceerder ligt.
De tentakels van Apple en Googlebesturingssysteem Android, aanbieders van de applicaties voor tablets en smartphones, zijn namelijk lang, grillig en zeer scherp afgesteld op hun prooi. Ze zijn moeilijker te ontwijken dan die van bijvoorbeeld Microsoft en Facebook, zegt Van der Kroft. „Als je een applicatie downloadt uit de App Store (de digitale winkel van Apple waar je apps kunt kopen, JvdB) krijg je een gebruikersovereenkomst van zo’n negentig pagina’s Engelse tekst op je schermpje. Ga die maar eens zitten lezen, al hobbelend in de trein. En dáár begint het probleem. Want in die voorwaarden staat misschien wel dat de app toegang wil tot je agenda, je contactpersonen, je locatiegegevens of je berichten. Niemand die zich er druk om maakt, en de meeste mensen gaan dan ook klakkeloos akkoord met de veelal dubieuze voorwaarden.”
In een artikel dat vorig jaar in gratis dagblad De Pers verscheen, stellen de journalisten bijvoorbeeld dat de app van reisplanner 9292ov.nl contactgegevens uit de telefoonlijst van de gebruiker kopieert. Ter verklaring meldt de organisatie aan De Pers dat de functionaliteit wordt gebruikt om reisadviezen in de kalender op te slaan. Een verklaring die door het dagblad wordt getypeerd als „merkwaardig.”
Van der Kroft: „Ontwikkelaars hebben via dit soort trucjes nodeloos inzicht in privélevens van gebruikers.” Aarnout Mijling van 9292ov.nl reageert desgevraagd: „Wij neuzen niet in het systeem rond, we kopiëren geen gegevens en we bewaren ze dus ook niet. Als de gebruiker voor de app kiest, kan hij zelf aangeven wat hij wil gebruiken, zoals locatiebepaling, agenda en netwerk. Deze informatie blijft binnen het domein van de mobiele telefoon en wordt niet naar 9292ov.nl doorgezonden.”
Geen controle
Het hengelen naar privégegevens van gebruikers zonder dat daartoe een specifieke aanleiding is, ziet Van der Kroft evenwel als „een van de grote gevaren van de App Store.” „Als ontwikkelaars een app aanmelden, moeten ze aangeven welke gegevens ze van mensen willen gebruiken om de app te laten functioneren. Dat kan bijvoorbeeld gaan om contactpersonen, locatie, foto’s, berichten en mailtjes. Vervolgens controleert de winkel –de App Store of de Android Market– echter niet of de apps de desbetreffende informatie daadwerkelijk nodig hebben.”
Achterliggende reden voor de app-bouwers is vaak dat ze de persoonsgegevens voor goed geld kunnen doorverkopen aan marketingbureaus en internetbedrijven. En die koppelen op hun beurt weer allerlei feitjes van de gebruikers aan elkaar, legt Van der Kroft uit.
Het verschil met het privacyvraagstuk op internet is dat gebruikers daarbij zelf kiezen wat ze aan gegevens achterlaten, benadrukt de woordvoerster van Bits of Freedom. „Via smartphones en tablets is het nauwelijks meer te achterhalen wie er met welke persoonlijke informatie vandoor gaat. En je hebt maar één keuze: óf je gaat akkoord met de veelal onbegrijpelijke voorwaarden, óf je krijgt die app niet.”
Roofzuchtig
Die mentaliteit tekent het roofzuchtige karakter van de app-markt ten voeten uit, legt Van der Kroft uit. „Internet functioneert steeds meer via gesloten systemen. De grote partijen, zoals Apple en Android, spreiden als het ware een net over het wereldwijde web. Ze willen dat je je via hun platform over internet beweegt. Op die manier kunnen ze elke stap die je zet nauwkeurig registeren. Alles wat je aan informatie achterlaat, wordt bewaard.”
Dat er met alle persoonsgegevens wel degelijk wat gebeurt, bevestigt Van der Kroft. Stel, je loopt in de buurt van de Bijenkorf. Het volgende scenario is dan zeer realistisch. Een van je apps analyseert je locatie, een andere app heeft onthouden dat je graag leest en weer een volgende applicatie weet dat je 24 jaar bent en een universitaire opleiding politicologie volgt. Het volgende moment ontvang je op je telefoon een pushbericht met een aanbieding –van de Bijenkorf, speciaal voor jou!– van een wetenschappelijk boek over de Amerikaanse verkiezingen. Je hoeft nog maar een paar stappen te zetten.
Dat Apple en Android gegevens verzamelen en doorverkopen, is tot daaraan toe. Het is echter zeer waarschijnlijk dat de persoonlijke informatie zich ongestoord blijft voortplanten wanneer de gebruiker z’n iPhone tegen de muur in duizend splinters gooit of wanneer hij –iets minder ruw– een app verwijdert. Volgens Bits of Freedom zouden alle persoonlijke gegevens dan direct moeten worden vernietigd. In de praktijk gebeurt dat echter nauwelijks, stelt de organisatie. „In Europa kennen we het recht van gegevensverwijdering. We proberen mensen op dit recht te wijzen, maar er wordt slechts zelden gebruik van gemaakt. Het is daarnaast lastig te controleren of de app de desbetreffende informatie daadwerkelijk weggooit, omdat zij is uitgezwermd naar weet-jij-veel-waar.”
Het College bescherming persoonsgegevens (CPB) dient hier formeel op toe te zien, maar volgens Van der Kroft heeft het momenteel „te weinig mankracht om handhavend op te treden.” „Hun werk is door dit soort ontwikkelingen enorm toegenomen.” Lysette Rutgers van het CBP bevestigt dat de nieuwe vormen van zogenoemde datalekken voor veel extra werk zorgen. Het verzamelen van persoonsgegevens via websites, social media en apps staat hoog op de agenda van het college, zegt de woordvoerster. „We moeten als kleine toezichthouder echter prioriteiten stellen. Daarbij proberen we zo effectief mogelijk te handelen. Dat betekent dat we niet alles kunnen onderzoeken.”
Het doorverkopen van gegevens is overigens op zich niet strafbaar, stelt Koen Versmissen van De Privacypraktijk. Versmissen verdiept zich al meer dan tien jaar in beleid, onderzoek en advisering op het gebied van identiteit en privacy. Hij wijst erop dat er in Nederland een levendige handel in naam-, adres- en woonplaatsgegevens bestaat. „Als je je klanten deugdelijk informeert, is het in principe legaal.”
Amerika
Opmerkelijk in de hele discussie is dat de grote aanjagers van het privacyprobleem van Amerikaanse bodem komen. En laten ze daar een tikkeltje andere opvattingen koesteren over privacy en de bescherming van persoonsgegevens dan in Europa. In de VS is het algemene recht op privacy bijvoorbeeld niet grondwettelijk vastgelegd, zegt Versmissen. „In Europa zijn de grondrechten van de bescherming van persoonsgegevens en privacy afzonderlijk opgenomen in het Verdrag van Lissabon. Daarnaast hebben alle EU-lidstaten te maken met de Europese Privacyrichtlijn.”
De Verenigde Staten hebben met die verdragen en richtlijnen niet zo veel van doen. Het Amerikaanse hooggerechtshof heeft zelfs letterlijk uitgesproken dat bedrijven persoonsgegevens van klanten mogen verzamelen als dat een commercieel doel dient.
In Amerika wordt dan ook veel meer app-info doorgesluisd dan in Europa. „We hebben hier duidelijke regels”, aldus Versmissen. „Je moet gebruikers op z’n minst fatsoenlijk informeren. Helaas overschrijden app-ontwikkelaars de grenzen van de Europese privacywetgeving. Overeenkomsten die bestaan uit tientallen pagina’s onleesbare tekst lijken me althans niet afdoende. Formeel zou elke app-ontwikkelaar een vertegenwoordiger binnen de EU moeten hebben die mensen met vragen of klachten gemakkelijk te woord kan staan. Toen de privacywet geschreven werd, kenden we dit soort ontwikkelingen alleen nog niet.”
Zelf verantwoordelijk
Met dat probleem worstelt ook filterbedrijf Kliksafe. Er valt volgens directeur Bert Jan Peters vooralsnog niet zo veel te beginnen tegen de App Store en de Android Market. „Je kunt ze niet blokkeren, omdat dit soort ontwikkelingen volledig buiten het bereik van filters plaatsheeft. Ze acteren via afgesloten protocollen; je kunt niet achter de schermen kijken. Vergelijk het met sms’en: dat loopt via een digitaal netwerk waar wij niet tussen kunnen komen. Mensen zijn daarom ten volle zelf verantwoordelijk voor de transacties.”
Kliksafe denkt wel over het thema na. „Ik denk echter dat we hooguit in voorlichtende zin iets kunnen betekenen. Wij vinden dat je als ouders je best moet doen om voorzieningen te treffen waardoor je kinderen verantwoord hun telefoon kunnen gebruiken. Ik zou echter niet weten hoe we als organisatie mensen kunnen beschermen. De verantwoordelijkheid komt meer en meer bij de gebruiker zelf te liggen.”
Hoe gaan ouders eigenlijk om met het gebruik van smartphones en tablets bij hun kinderen? Kennen ze de privacygevaren van apps voor hun kroost?
Lubbert van den Heuvel uit Putten: „Mijn drie dochters van vier, tien en zestien zitten geregeld op de iPad te internetten, filmpjes te kijken via YouTube of een potje te dammen. Dat lijkt me allemaal vrij onschuldig. Bovendien downloaden mijn kinderen zelf geen apps en zelf doe ik dat ook maar beperkt. Eerlijk gezegd ben ik niet op de hoogte van de problematiek op het gebied van privacy. Ik dacht dat Apple dat soort zaken goed had afgeschermd, maar dat blijkt niet helemaal terecht. Dit vind ik wel heftig. Als het klopt dat er daadwerkelijk gegevens worden losgepeuterd, gaan ze echt over het randje. Ik ga me hier de komende tijd goed in verdiepen.”
Hans Speelman uit Almere: „Heel soms download ik een soort prentenboek-app voor onze pleegdochter van vijf jaar. Ze zit af en toe achter de iPad, maar we proberen dat zo veel mogelijk te beperken. Ik weet dat er privacygevaren kleven aan de applicaties, maar dat doet me niet zo veel. Als het programma expliciet vraagt om toegang tot mijn telefoonboek of mijn locatie, gaan er wel belletjes rinkelen. Het schermpje met algemene voorwaarden lees ik niet. Ik laat me bij het aanschaffen meestal inspireren door gerenommeerde websites waar apps uitvoerig worden gerecenseerd. Min of meer ga ik er dan van uit dat de desbetreffende app wel veilig is.”
Lees ook:
