Apple datacenter met eigen servers

Wat is differential privacy? Zo beschermt Apple jouw data

Differential privacy is een techniek waarmee Apple gebruikersdata verzamelt. Lees hier wat differential privacy is en hoe Apple ervoor zorgt dat jouw gegevens veilig zijn.

Differential privacy is een techniek waarmee Apple informatie verzamelt over het gebruik van iOS en macOS, zonder dat daarbij de privacy in gevaar komt. Gebruikers kunnen vrijwillig meedoen en hun data delen, waarbij Apple extra maatregelen treft om te voorkomen dat te achterhalen is van wie de data afkomstig is. In deze gids lees je alles over differentiële privacy, of differential privacy, zoals Apple het noemt. Door de strengere privacyregels bij Apple kan het zijn dat Apple soms minder functies kan aanbieden dan concurrenten – simpelweg omdat het bedrijf over minder gedetailleerde persoonlijke informatie beschikt. Als alternatief probeert Apple zoveel mogelijk gebruikersdata lokaal te verwerken, zodat het je toestel niet verlaat.

Waar vind ik differential privacy-data?

Je kunt de data die Apple met differential privacy verzameld terugvinden op je toestel:

  1. Ga naar de Instellingen-app op je iPhone of iPad.
  2. Ga naar Privacy > Analyse en verbeteringen > Analysegegevens.
  3. Blader omlaag naar de items die met ‘DifferentialPrivacy’ beginnen, zoals aangegeven in onderstaande screenshots.
  4. Eventueel kun je in deze bestanden kijken, om te controleren of je je prettig voelt over het delen van deze data.

Differential Privacy data

Differential privacy: niet verplicht

Differential privacy werd voor het eerst ingevoerd in iOS 10 en macOS Sierra. Hiermee is het mogelijk om gebruikersdata te analyseren, zonder dat jouw privacy in gevaar komt. Kortweg komt het erop neer dat jouw gegevens met behulp van algoritmes worden ‘verstopt’ tussen een grote hoeveelheid andere data. Apple voegt opzettelijk extra ‘ruis’ toe zodat het onmogelijk wordt om eigenschappen of locaties terug te voeren op jou als persoon.

Deelname aan differential privacy is vrijwillig. Het staat standaard uitgeschakeld in iOS en macOS en je moet bewust toestemming geven om eraan mee te doen.

Differential Privacy

Waarvoor gebruikt Apple differential privacy?

Apple gebruikt differential privacy bijvoorbeeld om inzicht te krijgen in:

  • De emoji die mensen gebruiken, zodat ze betere suggesties kunnen doen.
  • Taalgebruik van mensen, zodat ze bij de suggesties rekening kunnen houden met straattaal en nieuwe woorden.
  • Het geven van hints bij het opzoeken van woorden.
  • Achterhalen welke websites vaak crashen en veel stroom verbruiken.
  • Gebruik van Gezondheid-gegevens.

Apple maakte bijvoorbeeld bekend dat de emoji die lacht van geluk de meestgebruikte emoji in de VS is:

Apple top 10 emoji

Gebruikersdata verzamelen

Bedrijven verzamelen data om allerlei redenen. Meestal beloven ze dat ze de data nodig hebben om hun diensten beter te maken, maar het komt ook voor dat data wordt gebruikt om een beter profiel van je op te bouwen of om de data te kunnen doorverkopen aan marketingbedrijven. Google analyseert bijvoorbeeld je zoekopdrachten, zodat ze een profiel van je kunnen opbouwen om passende advertenties te kunnen tonen. Facebook gebruikt je profielinformatie om te zorgen dat bedrijven gericht kunnen adverteren. In ruil daarvoor zijn de diensten van Google en Facebook gratis: je betaalt door een stukje privacy weg te geven.

Apple doet daar niet aan mee: ze benadrukken steeds opnieuw dat ze geld verdienen met de verkoop van producten, niet met de data van klanten. Ook belooft Apple geen profiel op te bouwen van klanten. Maar toch worden diensten zoals Siri steeds persoonlijker en lijkt het alsof Apple steeds meer van je weet. Hoe zit dat?

Differential Privacy uitleg

Apple’s aanpak: zoveel mogelijk lokaal

Apple heeft een techniek ontwikkeld die local differential privacy heet, een term die ook in de onderzoekswereld wordt gehanteerd. Dit houdt in dat alle bewerkingen zoveel mogelijk lokaal op je toestel plaatsvinden. Daardoor wordt de kans kleiner dat privacygevoelige informatie wordt onderschept. Door lokale differentiële privacy wordt het lastiger om te bepalen welke gebruiker welke informatie heeft geleverd.

Alle intelligente bewerkingen vinden bij Apple lokaal op je toestel plaats. Het gaat daarbij om gezichtsherkenning in de Foto’s-app van iOS en pro-actieve informatie over reistijden naar je werk. Apple stuurt deze gegevens niet naar een server. Omdat ze lokaal op je toestel staan, die is afgeschermd met een pincode, vingerafdruk of gezichtsscan, kan niemand erbij.

In dit document lees je meer over Apple’s aanpak. Ook heeft Apple een wetenschappelijk artikel gepubliceerd in het Machine Learning Journal, waarin ze meer inzicht geven in hun aanpak.

Waarom voegt Apple ruis toe?

Als bedrijven gebruikersdata van je willen verzamelen, beloven ze meestal dat ze de data anoniem zullen maken. Daarbij verwijderen ze unieke gegevens, zoals woonadres en de combinatie van naam en geboortedatum. Maar toch is dat niet genoeg: uit onderzoeken is regelmatig gebleken dat anonieme data met wat moeite toch terug te voeren is op een bepaalde persoon. Vooral als iemand je locatie weet of toegang tot je foto’s heeft (zoals bij veel apps het geval is), is te achterhalen om wie het gaat.

Bekijk ook

Apps weten meer dan je denkt: overal is je locatie te achterhalen via foto's

Door apps toegang te geven tot je camerarol kunnen ze precies alle locaties achterhalen. De app DetectLocations maakt dat op een pijnlijke manier duidelijk: die laat precies zien waar je wel en niet bent geweest.

Apple pakt het daarom anders aan. Apple voegt lokaal op het toestel al extra ruis toe (willekeurige nepgegevens), voordat de data naar een server bij Apple wordt gestuurd. Apple weet dus niet welke data nep of echt is, maar als je over grote aantallen kijkt en gemiddelden uitrekent zijn er toch trends te ontdekken.

Differential Privacy: toepassingen

Toen Apple differential privacy in iOS 10 en macOS Sierra aankondigde, benadrukten ze het aanvankelijk op slechts vier gebieden zou worden toegepast:

  • Nieuwe woorden die gebruikers toevoegen aan hun lokale woordenboeken.
  • Emoji die je intikt, zodat Apple vervangende emoji kan voorstellen.
  • Deeplinks binnen apps, waarvan is toegestaan dat ze openbaar worden geïndexeerd.
  • Zoekacties binnen de Notities-app.

Twee voorbeelden: als heel veel gebruikers opeens het woordje ‘brexit’ toevoegen aan hun autocorrectie-woordenlijst, dan kan Apple daaruit concluderen dat het blijkbaar een veelgebruikt woord is. Ze kunnen het dan toevoegen aan de woordenlijst voor iedereen.

iOS 10 messaging

Hetzelfde geldt voor emoji: als veel mensen een pizzapunt-emoji gebruiken als ze praten over pizza, dan weet Apple dat het vervangen van ‘pizza’ door een dergelijke emoji gebruikelijk is.

emoji vervangen in iOS 10

Apple probeert zoveel mogelijk data lokaal te analyseren, maar willen ze leren van gebruikerspatronen van de massale hoeveelheid iPhone- en Mac-gebruikers, dan zullen ze toch data naar een server moeten sturen. Differential privacy zorgt ervoor dat jouw data wordt ‘gemixt’ met bewust toegevoegde nepgegevens. Alle gegevens die iOS en macOS naar de Apple-servers sturen, is uiteraard versleuteld.

Wat heb jij eraan?
Het lijkt misschien alsof differential privacy alleen is bedacht om te zorgen dat Apple meer data over je kan verzamelen. Maar uiteindelijk moeten vooral de gebruikers ervan profiteren. Je merkt het bijvoorbeeld tijdens het gebruik van iMessage: deze app kan beter woorden voorspellen op basis van nieuwe straattaal of veelgebruikte termen (denk bijvoorbeeld aan het eerder genoemde voorbeeld van ‘brexit’, een term die voorheen nog niet bestond).

Ook weet Spotlight beter welke resultaten vaak worden aangetikt, zodat populaire opties en functies hoger in de lijst verschijnen. iOS kan daardoor beter voorspellen wat mensen zoal doen, waardoor het gebruik prettiger wordt. Uiteraard moeten dan wel voldoende mensen meedoen.

Zoals al aangegeven is differential privacy niet verplicht (het werkt met opt-in). Het staat standaard uitgeschakeld en je moet zelf toestemming geven om mee te doen.

Bekijk ook

Apple's Differential Privacy-functie is niet verplicht

Differential privacy niet verplicht in iOS 10 en macOS Sierra. Apple heeft aangegeven dat het opt-in is: het is standaard uitgeschakeld en niemand is verplicht om mee te doen.

Het voordeel voor Apple is dat ze kunnen beschikken over grote hoeveelheden gebruikersdata, zonder dat het terug te voeren is op individuele gebruikers. Als een overheidsinstelling de data opeist, is daaruit niets af te leiden, behalve algemene trends en patronen.

Bekijk ook

Waarom Siri en Apple's eigen apps soms minder functies hebben dan concurrenten

Apple's eigen apps en diensten missen vaak functies die je wel bij de concurrent vindt. Een veelgehoord voorbeeld is Siri, dat een stuk minder slim is dan andere assistenten. Tot ongenoegen van ontwikkelaars bij Apple, zo laten zij weten. Maar waarom is dat eigenlijk?