Laatst wilde ik de NieuweWetten-app van de Rijksoverheid installeren op mijn Android-telefoon. Daarbij kreeg ik de gebruikelijke pop-up om de app toegang te geven tot bepaalde functionaliteiten of informatie op mijn telefoon. In de pop-up stond alleen ‘identiteit’. Waarom wil NieuweWetten mijn identiteit weten, vroeg ik mij af. En wat verstaat Android precies onder mijn identiteit? Dat staat er op geen enkele manier bij uitgelegd. Is de NieuweWetten-app daarmee niet in strijd met privacy-wetgeving, die o.a. eist dat er geïnformeerde toestemming bestaat voor het uitlezen of opslaan van gegevens in randapparaten? In deze blog ga ik daar nader op in.
Als Android-gebruiker zie ik het vaker dan me lief is: een pop-up met toestemmingen die je moet verstrekken om een nieuwe app te kunnen installeren. Bij de meest onbenullige apps met de meest onbenullige functionaliteiten, moet je vaak al toegang geven tot de meest privacy-gevoelige zaken, zoals je camera, foto’s, contactenlijst, locatie en je agenda, terwijl onduidelijk blijft waarom en hoe die toegang precies zal worden gebruikt.
Betalen met je privacy, tot die op is?
Bij de meeste apps die zogenaamd ‘gratis’ zijn, weet je tegenwoordig dat jij zelf het product bent dat wordt verkocht. Je betaalt niet in geld maar met je oogballen (die advertenties te zien krijgen) en met je persoonsgegevens (waarmee advertenties gepersonaliseerd worden). Security-guru Bruce Schneier zegt bijvoorbeeld ook wel dat het business-model van het Internet surveillance is. Al Gore noemt het de ‘stalker economy’. Bij veel van de ‘gratis’ apps, moet je de prijs van de app dus eigenlijk in de privacyverklaring zoeken. Ondubbelzinnig is die vaak bepaald niet, waardoor je als consument helemaal niet wéét wat je feitelijk betaalt. En dat terwijl de prijs van met geld betaalde apps volgens consumentenwetgeving altijd inclusief alle heffingen en toeslagen moet worden getoond. Maar dat is weer een ander verhaal.
Eigenlijk zou ik het misschien als een verademing moeten zien dat NieuweWetten maar één toestemming vraagt, terwijl apps als Facebook en LinkedIn zichzelf de controle over bijna je hele telefoon toe-eigenen. Geen verrassing: ook die notoire privacy-schenders, correctie: bedrijven, willen je identiteit hebben. Maar wat is het nou precies, die ‘identiteit’ in Android? Google heeft het antwoord. ‘Identiteit’ geeft o.a. het recht te zoeken naar accounts op het apparaat (incl. je bankieren-app-account?), het lezen van naam en contactgegevens en het toevoegen of verwijderen van accounts.
Wederom: waarom heeft NieuweWetten dit in vredesnaam nodig? Het enige dat de app doet is een notificatie sturen van nieuw aangenomen wetten. Moet ik de app van de Rijksoverheid dan zowel met mijn belastingcenten als met mijn privacy betalen? En waarom moet ik überhaupt eerst zelf gaan Googlen Startpagen naar wat de permissie precies betekent? En waarom heb ik dat probleem iedere keer opnieuw, als er weer eens apps willen updaten, die daarbij weer nieuwe permissies vragen? Iedereen die wat van security weet, weet dat je als verantwoordelijke gebruiker geacht wordt om updates zo snel mogelijk te installeren, voor je eigen veiligheid. Het is dus moeilijk om die update maar te laten zitten, zelfs als de privacy-prijs van de app je eigenlijk te hoog wordt. Het geld in je portemonnee raakt soms op en wordt (als het goed is) weer bijgevuld. Maar wat als je privacy helemaal is opgebruikt? Zo dringt de vergelijking van de kikker zich weer op, die langzaam genoeg wordt gekookt dat hij niet uit de pan springt, maar uiteindelijk wel het loodje legt.
Strijd met de wet
We hebben al vaker geschreven over de zogenaamde ‘Cookiewet’ (art 11.7a Tw), die eigenlijk een veel breder toepassingsgebied heeft dan alleen cookies. Volgens deze bepaling is er voorafgaande toestemming van de eindgebruiker nodig, als zijn of haar gegevens worden uitgelezen of geplaatst bij diens randapparatuur (pc, laptop, tablet, smartphone, etc). En niet alleen dat, er moet ook duidelijke en volledige informatie worden verstrekt over het doel van de (toestemming voor) de toegang.
En daar schort het aan. Niet alleen bij NieuweWetten, maar bij alle apps in Android. En is Apple’s iOS dan veel beter? Nee het lijkt er niet op; daar wordt je toestemming gewoon helemaal niet gevraagd.
Hoogste tijd dat hier iets aan wordt gedaan. Een handhavend optreden van het College Bescherming Persoonsgegevens zou leuk zijn. Maar die waakhond krijgt eigenlijk pas echt tanden wanneer de nieuwe Europese privacyverordening in werking gaat. Misschien dat een advocaat een rechtszaak kan beginnen à la gebruikers tegen Facebook?
Of u als developer apps in opdracht van een ander bouwt, zelf apps aanbiedt in de Android Play Store of Apple App Store, of doorverkoopt aan anderen, met onze generatoren op JuriDox maakt u de juiste documenten om dit goed te regelen. Op documenten binnen de App-developersbundel, krijgt u maar liefst 20% korting!
Meer weten over privacywetgeving?
ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.
