Apps voor iPhone en iPad houden zich niet aan de onlangs van kracht geworden cookiewet, die de privacy van internetgebruikers beschermt. Apps vallen net als websites onder de wet. Vrijwel alle apps hebben toegang tot informatie van gebruikers, zoals adresboeken en locatiegegevens.
Dat mag volgens de cookiewet alleen als gebruikers hier goed over zijn geïnformeerd en expliciet toestemming hebben geven, net zoals dat bij websites tegenwoordig verplicht is. In de praktijk gebeurt dit vaak niet. Dit blijkt uit onderzoek (pdf) waarmee jurist Emre Yildirim op 22 november de Internet Scriptieprijs 2012 heeft gewonnen.
Het onderzoek bevestigt eerdere informatie dat apps vaak niet aan de wet ter bescherming van persoonsgegevens voldoen. Die wet zegt onder meer dat verder gebruik van persoonsgegevens – zoals het doorsturen naar advertentiebedrijven – alleen mag met expliciete toestemming van de gebruiker.
Locatiegegevens gebruiken voor advertenties
Als een app bijvoorbeeld locatiegegevens gebruikt om het weer te tonen, mag zij diezelfde locatiegegevens niet gebruiken om aan de locatie gerelateerde advertenties te tonen. Hoewel veel apps met een standaard pop-up toestemming vragen voor toegang tot gegevens, blijkt daar vrijwel nooit uit met welk doel de gegevens worden gebruikt en met wie die gegevens worden gedeeld. Fabrikanten van apps nemen het risico om de wet te overtreden omdat de kans op sancties klein is, schrijft Yildirim in zijn juridische scriptie.
Yildirim onderzocht van enkele iPhone-apps welke informatie zij precies doorsturen. Hij denkt dat andere besturingssystemen zoals Android op dezelfde wijze werken. Een voorbeeld: fotodienst Instagram geeft de mogelijkheid om ‘vrienden te vinden’ door middel van het adresboek. Daarbij uploadt Instagram het adresboek met telefoon- en e-mailgegevens van de contacten van de gebruiker naar zijn eigen servers. Dit gebeurt in eerste instantie zonder de gebruiker hierover te informeren – pas sinds kort gebeurt dat door middel van een pop-up. Twitter kam om eenzelfde soort privacyschending in februari dit jaar in het nieuws.
NU.nl geeft weerbericht, én lokale advertenties
Een ander voorbeeld is de oude en de net vernieuwde app van NU.nl. Deze vraagt om toegang tot locatiegegevens om het lokale weerbericht te kunnen tonen, maar de gegevens worden ook verzonden naar een advertentiebedrijf. Dat weten gebruikers niet als zij op ‘ja’ klikken in de pop-up die vraagt om de gegevens. Hoewel de pagina met het privacy- en cookiebeleid van NU.nl meldt dat het gegevens kan doorsturen naar een advertentiebedrijf, is niet te vinden naar welk bedrijf.
Nadat in verschillende kranten koppen verschenen als ‘App Nu.nl tapt privédata af’ (Het Parool, afgelopen weekend), blogt productmanager mobile bij NU.nl, Brechtje de Leij over “incorrecte kranten artikeltjes” (sic):
“Je kunt, als je daar zelf voor kiest, je locatiegegevens met de NU.nl app delen. Je krijgt daar een pop-up voor als je de weerpagina opent, waar je “ja” of “nee” op kunt zeggen. Je krijgt dan een lokaal weerbericht. Daarnaast wordt je locatie gebruikt om eventueel lokale advertenties te kunnen tonen. Je locatie wordt daarbij meegegeven als de app even verbinding met het advertentiesysteem maakt. Het komt neer op dat de advertentie positie vraagt aan het advertentiesysteem (mOcean): ‘hé, moet ik hier nu een advertentie tonen? Oh, en mocht je iets hebben wat past bij deze locatie, doe me die maar, want we zitten hier in Amsterdam op dit moment’. Je krijgt daardoor een advertentie die beter bij je ‘past’. Deze locatie informatie wordt uiteraard niet ‘opgeslagen’, het wordt alleen even meegegeven als er een advertentie wordt opgehaald.”
De Leij erkent wel dat de communicatie over het door de NU.nl-app uitwisselen van informatie met derden nog niet goed is, en dat daar aan wordt gewerkt. In de volgende release komt een tekst waarin wordt verklaard dat locatieinformatie ook wordt gedeeld met adverteerders.
En NRC?
Ook de apps van NRC Handelsblad en nrc.next voldoen niet aan de nieuwe privacywetgeving. In deze apps worden statistieken bijgehouden over leesgedrag. Die informatie wordt opgeslagen, om daarmee de apps te kunnen verbeteren. Volgens de wet moeten gebruikers daar voor het gebruik over geïnformeerd worden, en moeten ze toestemming geven voor het vergaren van data. Daar schort het op dit moment nog aan. Han-Menno Depeweg, uitgever digitaal van NRC Media, noemt het “lastig” om die mogelijkheden op een goede manier in de apps te verwerken:
“We willen voldoen aan de wet, maar het is lastig om dat goed in apps te verwerken, zonder dat de gebruikservaring achteruit gaat. Het wordt zeker aangepast, maar op welke termijn durf ik nog niet te zeggen.
Overigens is bij ons geen sprake van het delen van informatie van gebruikers met adverteerders.”
Lees hier meer over hoe nrc.nl met cookies omgaat.
Lees de hele scriptie van Emre Yildirim: