Ophef over privacy NU.nl-app, TVgids.tv en andere apps

·

app-privacyLezers van Het Parool werden vanochtend opgeschrikt door een alarmerende kop: ‘App NU.nl tapt privédata af’ (klik voor artikel). Aanleiding daartoe is een studie door de Amsterdamse jurist Emre Yildirim, die deze week de Internet Scriptieprijs 2012 won. Uit de studie bleek iets wat we eigenlijk al wisten: gratis is zelden écht gratis. Als er geen keiharde euro’s in rekening worden gebracht betaal je wel op een andere manier, bijvoorbeeld door het gebruik van privégegevens of locatiegegevens. Yildirim is advocaat bij De Brauw Blackstone Westbroek en bekeek voor zijn scriptie meerdere apps voor iOS, Android en Windows Phone.

Dat juist de app van NU.nl eruit wordt gelicht heeft er waarschijnlijk mee te maken dat alarmerende berichten over een bekende app harder aankomen dan een algemene beschuldiging dat er veel wordt afgetapt. Yildirim bestudeerde diverse apps en bespreekt onder andere de privacy policies van Instagram en TVGiDS.tv. De volledige scriptie is online in PDF-formaat te lezen.

In feite is het gedeelte over de NU.nl-app al achterhaald, want Yildirim bespreekt de vorige versie van de app, die sinds 1 november is vervangen door een gloednieuwe versie. De oude versie maakte nog gebruik van UDID’s, een praktijk die Apple sinds iOS 5.0 verbiedt. Apps die gebruik maken van UDID worden niet meer goedgekeurd. Ontwikkelaars moeten andere identificatiemethoden gebruiken, bijvoorbeeld de in iOS 6 nieuw ingevoerde Advertising Identifier, die je met een schakelaar kunt uitzetten.

Volgens Yildirim deelt NU.nl gegevens met externe partijen zoals marketingbureau Flurry en advertentiebureau MADS. Dat is inmiddels niet meer het geval. “In de nieuwe app zit geen Flurry en in de oude app zit ook al heel lang geen MADS meer”, meldt productmanager Brechtje de Leij aan iPhoneclub. “We gebruiken in alle apps mOcean”. Het Parool meldt ook dat de NU.nl app privégegevens zoals naam, e-mailadres en persoonlijke interesses met reclamepartijen deelt, al is dat in de scriptie niet zo duidelijk terug te vinden. Yildirim meldt wel dat NU.nl de UDID’s deelt met één analyse- en één reclamebedrijf. Het reclamebedrijf ontvangt daarbij ook locatiedata, mogelijk om locatiegebaseerde advertenties te tonen, aldus Yildirim. Gebruikers zijn zich daarvan bewust, want bij het opstarten van de app krijg je de vraag of je je locatie wil delen. Yildirim merkt daarover op dat er niet wordt gezegd waaróm die locatiedata nodig zijn en waarvoor ze worden gebruikt. Een woordvoerder van NU.nl heeft tegenover het Parool aangegeven dat het delen van gegevens van gebruikers beter gecommuniceerd had moeten worden.

Hiervoor zou een privacy statement gebruik kunnen worden. Angry Birds Free bevat bijvoorbeeld wel zo’n privacy statement, dat meldt dat ‘niet-persoonlijke data’ zoals UDID en IP-adres met derde partijen worden gedeeld. In de nieuwe NU.nl app is dat verbeterd: er is een onderdeel ‘Privacy’ aanwezig waarin wordt uitgelegd dat het verstrekken van persoonsgegevens niet verplicht is, maar dat de gegevens soms wel nodig zijn om bepaalde diensten te verrichten. Er staat ook in kleine lettertjes dat er gegevens met derde partijen worden uitgewisseld.

nu-privacy-1 nu-privacy-2

NU.nl gaat in een blogposting (inmiddels online verschenen) uitleggen hoe er met privacy wordt omgegaan. Wat het onderzoek in ieder geval duidelijk maakt is dat niet alleen websites informatie over gebruikers verzamelen, maar dat dat bij apps in dezelfde mate het geval is. Apple kwam zelf in 2011 volop in het nieuws met het verzamelen van locatiegegevens. In een uitgebreide brief aan het Amerikaanse Huis van Afgevaardigden werd openheid van zaken gegeven. Sindsdien geeft Apple gebruikers meer mogelijkheden om het tracken van locaties te blokkeren.

Volgens Dirk-Jan Huizingh van Peperzaken, ontwikkelaar van de oude versie van de NU.nl app is er geen sprake van privacy-inbreuk. “We vragen in de oude app keurig of we locatie mogen gebruiken, onder andere voor weersverwachting in jouw regio en voor location based ads, kortingen of winacties. Er is geen app of advertentienetwerk dat niet zo werkt”. De app werkt zoals Apple het voorschrijft: je krijgt de vraag of de app je locatie mag gebruiken, ja of nee. Van de apps die in het onderzoek van Yildirim genoemd worden lijkt NU.nl overigens niet meteen de grootste boosdoener als je de scriptie leest. Little Lost Chick van Clickgamer stuurt bijvoorbeeld namen, foto’s, e-mailadressen, locatiedata, UDID’s, IP-adressen, Facebook ID’s, Game Center ID’s en adresboeken door naar een server waar verdere verwerking plaatsvindt.

beperk-reclametrackingEr zitten in iOS 6.0 meerdere opties om je privacy beter te beschermen. Zo kun je reclametracking tegenhouden via de optie Instellingen > Info > Reclame > Beperk reclametracking. Maar ‘beperken’ betekent nog niet dat het volledig uitgeschakeld zal worden. De schakelaar voorkomt vooral het geautomatiseerd doorsturen van allerlei data naar partijen als Flurry. Maar het kan nog steeds gebeuren dat ontwikkelaars allerlei data verzamelen over het gebruik van de app (bijvoorbeeld over rubrieken en artikelen die veel worden gelezen) onder het mom “we willen het weten om de app beter te maken”. Die data kan vroeg of laat (in al dan niet geanonimiseerde vorm) weer worden gebruikt om bijvoorbeeld adverteerders over de streep te trekken die graag een bepaalde doelgroep willen aanspreken.

Een andere manier om je privacy te beschermen is het uitschakelen van locatietracking. De optie daarvoor vind je onder Instellingen > Privacy. Per app kun je aangeven of je locatie geregistreerd moet worden.

We willen nogmaals benadrukken dat het onderzoek van Emre Yildirim betrekking heeft op de oude app van NU.nl, niet op de nieuwe app die inmiddels alweer een paar weken beschikbaar is.
door Gonny van der Zwaag

Gonny van der Zwaag is oprichter van iCulture. Deze maand verschijnt na twee jaar schrijven, schrappen en testen haar boek 'Fit met apps en wearables'. Nu in de boekwinkel!

Reacties zijn gesloten voor dit artikel.