Gratis app heeft soms hoge prijs

Smartphonegebruikers raken enorm veel gegevens kwijt voor commercieel gebruik. Zonder dat ze dat weten. Maar ze gaven er hun apps zelf toestemming voor.

„Nieuwe update beschikbaar”, meldt de telefoon. Het is voor de YouTube-applicatie, een wijziging van een machtiging in de categorie ‘Bedieningselementen hardware’. Wat dat inhoudt, blijkt als de gebruiker meer informatie vraagt: „Hiermee kan een toepassing foto’s en video’s maken met de camera. De toepassing kan op die manier elk moment beelden verzamelen die de camera ziet.”

Als een ogenschijnlijk onschuldige app als YouTube elk moment toegang wil tot de camera, welke rechten vragen andere toepassingen dan? Veel applicaties blijken vergaande machtigingen te vragen. Zo wil het spelletje Wordfeud alle contactgegevens [adresgegevens] lezen op je telefoon. En wie de NOC*NSF-app London 2012 installeerde, heeft toestemming gegeven een pad voor geluidsopname te openen, op elk moment foto’s te verzamelen en gedetailleerde locatiebronnen te openen, zoals GPS. Dat is veel gevraagd voor een applicatie die de sportliefhebber op de hoogte moest houden van de ontwikkelingen op de Olympische Spelen.

„Er is een belangrijk verschil tussen gegevens die een app nodig heeft om te functioneren en gegevens die om andere redenen worden verzameld”, vertelt Tim Toornvliet van digitale-burgerrechtenorganisatie Bits of Freedom. „Veel ontwikkelaars verzamelen via apps veel meer informatie dan ze nodig hebben. Ongeveer een kwart van hen verkoopt die gegevens door.” De berekening is afkomstig uit Computer Idee. De redactie analyseerde het netwerkverkeer en zag dat sommige applicaties gebruikersgegevens naar liefst vijf advertentieverkopers sturen.

Volgens Toornvliet beseffen veel mensen niet hoeveel privégegevens hun telefoon bevat: „Je adresboek met al je contacten, sms’jes, foto’s, afspraken, muziek, je locatie, andere apps. Voor een ontwikkelaar is het makkelijk toegang te krijgen tot die informatie. Er zijn zo’n een half miljoen app-ontwikkelaars; in theorie vertrouw je een grote groep mensen de inhoud van je telefoon toe.”

De meeste applicaties hebben een goede reden een machtiging te vragen – om je bijvoorbeeld plaatsgebonden informatie te geven – maar afgelopen maanden raakten er ook enkele in opspraak. Zo bleek LinkedIn de complete agenda van de app-gebruiker naar z’n eigen servers te kopiëren. Andere apps, zoals Viber en Path, uploadden het adresboek van de gebruiker, inclusief alle telefoonnummers en e-mailadressen. Nu levert dat niet direct problemen op, maar wie zich het recente wachtwoordlek van LinkedIn herinnert, weet hoe makkelijk privégegevens op straat terechtkomen.

Wie vragen of klachten heeft over misbruik van machtigingen, wordt maar al te vaak van het kastje naar de muur gestuurd. Toornvliet: „Als het misgaat, is het moeilijk data of geld terug te krijgen. Wel zie je soms dat populaire apps onder publieke druk hun leven beteren. Toch blijft het lastig: het is voor een gebruiker moeilijk te achterhalen wie een ontwikkelaar is, waar ter wereld hij zit en aan welke wetten hij zich moet houden.”

Wie applicaties installeert en machtigingen accepteert, doet er goed aan vertrouwelijke informatie niet op de telefoon te zetten. Pikante foto’s, sms’jes, browsegedrag: alles is inzichtelijk voor derden. Met de YouTube-app dient de gebruiker zich zelfs af te vragen wat de camera registreert, die immers elk moment kan aanstaan. Door zijn privacy op te geven, betaalt de gebruiker voor veelal gratis apps alsnog een hoge prijs.