Smartphone, apps en privacy

De grootste risico’s bij het gebruiken van apps

We maken allemaal volop gebruik van apps op onze smartphones. Eén van de meest populaire apps is WhatsApp. We versturen letterlijk miljarden berichten via dat programma. Maar hoe zit het met onze persoonsgegevens én die van anderen, waar onze smartphones vol mee staan? Hoe zit het met onze privacy? Is die nog wel gewaarborgd? Een Europese werkgroep concludeert na onderzoek van niet.

In dit artikel een overzicht van de grootste privacyrisico’s bij het gebruiken van apps.

Gemiddeld download een smartphone gebruiker zevenendertig apps. Deze apps verzamelen en verwerken (persoons)gegevens van en over de gebruikers. Op 14 maart 2013 publiceerde de artikel 29-werkgroep een opinie over de grootste privacyrisico’s verbonden aan het gebruik van apps en daarbij publiceerde zij een reeks aanbevelingen gericht aan de vele partijen die betrokken zijn bij de ontwikkeling, distributie en werking van een app. In januari van dit jaar concludeerden twee toezichthouders, het College Bescherming Persoonsgegevens en de Office of the Privacy Commissioner (OPC) al dat WhatsApp Inc. de privacywetgeving schond.

Apps en persoonsgegevens

Smartphones en tablets bevatten een schat aan privacygevoelige informatie van en over de gebruiker: foto’s, contactgegevens, locatie-informatie en creditcard gegevens. Apps verzamelen deze informatie van en over deze gebruikers. Een app heeft bijvoorbeeld toegang tot het fotoalbum of adressenboek dat is opgeslagen op het apparaat van de gebruiker waarop de app is geïnstalleerd. Door deze gegevens vervolgens te verwerken kunnen nieuwe en innovatieve diensten via de apps worden aangeboden. Denk bijvoorbeeld aan de populaire dienst van WhatsApp.

Opinie van artikel 29-werkgroep

De Europese privacytoezichthouders, verzameld in de artikel 29-werkgroep, zijn in hun opinie van oordeel dat gebruikers in veel gevallen onvoldoende zijn geïnformeerd over het verzamelen van persoonsgegevens door middel van apps. Zij menen dat dit tot grote risico’s voor de persoonlijke levenssfeer en de reputatie van de app-gebruikers kan leiden. Zij menen onder meer dat:

  • Gebruikers zelf meer zeggenschap moeten hebben over hun persoonsgegevens. Alleen als zij goed worden geïnformeerd over de persoonsgegevens waar de app gebruik van maakt, kunnen zij een ‘betekenisvolle’ rechtsgeldige toestemming geven voor dat gebruik. In praktijk wordt in veel gevallen toestemming gevraagd door gebruikers een lange lijst van algemene voorwaarden te laten accepteren. Dat is niet voldoende voor een rechtsgeldige toestemming, aldus de Europese toezichthouders.
  • Er moet toestemming worden gevraagd voor de verzameling/verwerking van persoonsgegevens vóórdat de app informatie van het apparaat haalt of erop zet. En voor de verschillende soorten persoonsgegevens die worden verwerkt moet apart toestemming worden gevraagd, zodat gebruikers precies weten welke persoonsgegevens worden verwerkt. Daarnaast moet duidelijk worden aangegeven wie de verantwoordelijke is voor de verwerking, voor welke doelen persoonsgegevens worden gebruikt, of gegevens worden gedeeld met andere (derde) partijen en hoe gebruikers hun toestemming weer kunnen intrekken.

De vraag in de praktijk is, hoe (met name) app-ontwikkelaars aan deze vereisten vorm kunnen geven. Smartphones en tablets hebben in het algemeen een beperkte schermgrootte. App-ontwikkelaars zullen dan ook creatief moeten zijn in het bedenken van oplossingen om gebruikers adequaat te informeren. De Europese privacytoezichthouders noemen als voorbeeld een systeem van gelaagde informatie in combinatie met icoontjes, video en audio. De vraag kan worden gesteld of gebruikers wèl de moeite zullen nemen om dat soort informatie door te nemen.

De zaak Whatsapp

De Nederlandse privacytoezichthouder, het College bescherming persoonsgegevens (CBP), heeft al aangekondigd dat de verwerking van persoonsgegevens via apps hoog op zijn agenda staat.

Eerder dit jaar presenteerde het CBP samen met OPC de resultaten van een onderzoek naar de verwerking van persoonsgegevens door het in Californië gevestigde WhatsApp Inc. Via WhatsApp, ontworpen als gratis internet alternatief voor SMS, worden wereldwijd dagelijks meer dan een miljard berichten verzonden.

Het CBP en de Canadese toezichthouder constateerden in hun onderzoek dat wie WhatsApp wil gebruiken toegang moet geven tot zijn volledige elektronische adresboek. Uit het onderzoek bleek dat WhatsApp alle contactgegevens bewaart. Dus ook de telefoonnummers van de contacten die geen gebruik maken van WhatsApp. En dat is in strijd met zowel de Nederlandse als de Canadese privacywetgeving. Doordat WhatsApp geen toestemming verkrijgt van niet-gebruikers van de populaire app en er ook geen andere grondslag voor het verwerken van deze gegevens is, handelt WhatsApp volgens het CBP in strijd met de wet.

Bovendien hoeft WhatsApp niet alle telefoonnummers uit het adresboek van een gebruiker op te slaan, om gebruikers in staat te stellen met elkaar te Whatsappen. Een groot deel van de verzamelde adressen is dus bovenmatig. Ook constateerde het CBP dat WhatsApp te lange bewaartermijnen hanteert en waren er tekortkomingen in de beveiliging. Volgens het CBP heeft WhatsApp haar werkwijze inmiddels aangepast, waardoor dat laatste punt inmiddels is verholpen.

Het CBP heeft aangekondigd dat – nu de onderzoeksfase is afgerond – zal worden bekeken in hoeverre de overtredingen door WhatsApp voortduren en of er handhavende maatregelen zullen worden genomen.