Google laat via omweg toch privé-mails scannen in Gmail

Privacy Honderden app-ontwikkelaars hebben toegang tot persoonlijke berichten van miljoenen Gmail-gebruikers. Het gaat om apps waarvoor gebruikers zich zelf hebben aangemeld.

Foto Dado Ruvic/Reuters

Google zou er écht mee stoppen. Na jaren van klachten van privacy-organisaties bracht het bedrijf vorig jaar een verklaring uit waarin het aankondigde dat Google-computers zouden stoppen met het scannen van inboxen van Gmail-gebruikers voor het op maat maken van advertenties. „De inhoud van Gmail voor consumenten zal niet worden gebruikt of gescand voor welke gepersonaliseerde advertenties dan ook”, schreef Diane Greene, de topvrouw van Google Cloud destijds.

Maar nu blijkt dat Google via een omweg toch nog externe apps gebruik laat maken van de inhoud van e-mails. Honderden app-ontwikkelaars hebben toegang tot persoonlijke berichten van miljoenen Gmail-gebruikers. Dat leidt er toe dat algoritmes en soms zelfs medewerkers van die externe appbedrijven persoonlijk kunnen meelezen. Dat blijkt uit berichtgeving van The Wall Street Journal.

Het gaat dan om apps waarvoor gebruikers zichzelf hebben aangemeld en waarbij in de (vaak zeer lange en zeer weinig gelezen) gebruiksvoorwaarden ook staat dat de apps kunnen meelezen met mails. De apps gebruiken de inhoud van e-mails bijvoorbeeld voor het vergelijken van prijzen van producten of het automatisch aanmaken van reisschema’s, bijvoorbeeld met hulp van e-mails over vliegtickets.

Security check-up

Het is niet direct duidelijk of dit soort datadelen onder de nieuwe Europese privacywet AVG zomaar mag. Onder die wet moeten bedrijven duidelijke en expliciete toestemmingen vragen voor het delen van gegevens met andere bedrijven. Het is de vraag of het verstoppen van zulke verregaande datadeling in de gebruiksvoorwaarden daaronder valt. De maximale boete onder de AVG bedraagt maar liefst 4 procent van de wereldwijde jaaromzet.

Lees meer over de gevolgen van de nieuwe privacyregels voor techreuzen als Google: Alle zeilen bij voor Facebook en Google

Google wil tegen NRC niet officieel reageren op de beschuldigingen. Een woordvoerder wijst wel op de zogeheten security check-up die gebruikers kunnen doen, om te zien welke apps toegang hebben tot welke gegevens. Die toestemmingen kunnen op elk moment worden ingetrokken. Het bedrijf hanteert naar eigen zeggen een streng screeningbeleid voor welke apps mogen meelezen met mails. Maar de Wall Street Journal stelt vast dat dat erg moeilijk te controleren is voor Google, zeker omdat medewerkers van de apps de mails soms nota bene handmatig meelezen.

Handmatig ingevoerd

Eén van de bedrijven die inboxen mag scannen is Return Path, een marketingbedrijf. Bronnen rondom dat bedrijf vertellen tegen de Wall Street Journal dat medewerkers ongeveer twee jaar geleden zo’n 8.000 e-mails van Gmail-gebruikers handmatig hebben gelezen en ingevoerd, om zo de systemen van Return Path te trainen.

Het gaat om de tekst van de e-mails zelf, informatie over de verzender en ontvanger en bijvoorbeeld het tijdstip van verzenden. Dit is volgens meerdere onlinemarketeers ‘standaard praktijk’ in de branche. Op deze manier kan het dus voorkomen dat medewerkers van apps allerlei persoonlijke berichten van gebruikers te lezen krijgen.

Onlangs kwam de grote concurrent van Google, Facebook, in de problemen omdat apps van derden toegang hadden tot gevoelige informatie. Eén van die apps werd misbruikt door campagnebedrijf Cambridge Analytica.

Lees ook: Klokkenluider van Cambridge Analytica kon uitzoeken wat hij maar wilde

Er zijn vooralsnog geen concrete aanwijzingen dat de apps die toegang hebben tot Gmail vergelijkbaar misbruik hebben gemaakt van de privé-informatie die ze kunnen inzien. Maar toegang van derden tot de enorme berg privacy-gevoelige informatie die techreuzen over gebruikers verzamelen, is door het schandaal juist nu een bijzonder gevoelig thema.

    • Wouter van Noort