Apps voor telefoon en tablet ontduiken nieuwe cookiewet

Apps voor de iPhone en iPad houden zich niet aan de onlangs van kracht geworden cookiewet, die de privacy van internetgebruikers beschermt. Apps vallen net als websites onder de wet. Vrijwel alle apps, programmaatjes voor de toepassing van internetdiensten, hebben toegang tot informatie van gebruikers, zoals adresboeken en locatiegegevens. Dat mag volgens de cookiewet alleen als gebruikers hier goed over zijn geïnformeerd en expliciet toestemming hebben geven, net zoals dat bij websites tegenwoordig verplicht is. In de praktijk gebeurt dit vaak niet. Dit blijkt uit onderzoek waarmee jurist Emre Yildirim op 22 november de Internet Scriptieprijs 2012 heeft gewonnen.

Het onderzoek bevestigt eerdere informatie dat apps vaak niet aan de wet ter bescherming van persoonsgegevens voldoen. Die wet zegt onder meer dat verder gebruik van persoonsgegevens – zoals het doorsturen naar advertentiebedrijven – alleen alleen mag met expliciete toestemming van de gebruiker.

Als een app bijvoorbeeld locatiegegevens gebruikt om het weer te tonen, mag zij diezelfde locatiegegevens niet gebruiken om aan de locatie gerelateerde advertenties te tonen. Hoewel veel apps met een standaard pop-up toestemming vragen voor toegang tot gegevens, blijkt daar vrijwel nooit uit met welk doel de gegevens worden gebruikt en met wie die gegevens worden gedeeld. Fabrikanten van apps nemen het risico om de wet te overtreden omdat de kans op sancties klein is, schrijft Yildirim in zijn juridische scriptie.

Yildirim onderzocht van enkele iPhone-apps welke informatie zij precies doorsturen. Hij denkt dat andere besturingssystemen zoals Android op dezelfde wijze werken.

Een voorbeeld: fotodienst Instagram geeft de mogelijkheid om ‘vrienden te vinden’ door middel van het adresboek. Daarbij uploadt Instagram het adresboek met telefoon- en e-mailgegevens van de contacten van de gebruiker naar zijn eigen servers. Dit gebeurt in eerste instantie zonder de gebruiker hierover te informeren – pas sinds kort gebeurt dat door middel van een pop-up.

Een ander voorbeeld is de oude en de net vernieuwde app van NU.nl. Deze vraagt om toegang tot locatiegegevens om het lokale weerbericht te kunnen tonen, maar de gegevens worden ook verzonden naar een advertentiebedrijf. Dat weten gebruikers niet als zij op ‘ja’ klikken in de pop-up die vraagt om de gegevens. Hoewel de pagina met het privacy- en cookiebeleid van NU.nl meldt dat het gegevens kan doorsturen naar een advertentiebedrijf, is niet te vinden naar welk bedrijf.

    • Laura Wismans