Ook als je niet op Facebook zit, verzamelt het jouw data via apps

Vijf vragen Populaire Android-apps zoals TripAdvisor en Skyscanner sturen ongevraagd data door, blijkt uit een nieuw rapport. Dit is mogelijk een schending van de Europese privacywet en kan grote gevolgen krijgen. Wat is er nu weer aan de hand?

Foto Joel Saget/ AFP

Een aantal zeer populaire Android-apps blijkt automatisch data naar Facebook te sturen, zelfs als de gebruiker daarvoor geen toestemming heeft gegeven. Het gaat onder meer om reisapps als TripAdvisor, Skyscanner en Kayak. Dat staat in een rapport van Privacy International, een burgerrechtenorganisatie uit Londen. In de studie, waarin 34 populaire Android-apps zijn onderzocht, bleken twintig apps ongevraagd gegevens naar Facebook te sturen. Apps voor iPhones zijn niet meegenomen in dit onderzoek.

  1. Wat is er precies aan de hand?

    Uit het rapport blijkt dat Facebook van alle Android-gebruikers kan zien wanneer ze bepaalde apps installeren en deïnstalleren, plus hoe vaak en hoelang ze die gebruiken. Bovendien sturen sommige apps volgens Privacy International nog veel gedetailleerdere informatie door.

    Volgens Privacy International is dit mogelijk een schending van de strenge privacywet AVG die sinds mei in de EU geldt. Daarin staan onder meer strenge regels voor het expliciet vragen van toestemming aan gebruikers. Als er inderdaad sprake blijkt van een schending van de privacywet, en dat is een complexe juridische vraag, dan riskeren de apps die de data doorgaven en Facebook enorme boetes. Die kunnen onder de AVG oplopen tot 4 procent van de wereldwijde jaaromzet. In het geval van Facebook zou dat gaan om maximaal zo’n 2 miljard euro boete.

  2. Wat zegt Facebook?

    Facebook verwijst in een persreactie naar de verantwoordelijkheid van de appbouwers om eerst toestemming te vragen voordat ze data delen. Maar volgens Privacy International is het de vraag of dat argument standhoudt. Apps die samenwerken met Facebook werken namelijk met standaardsoftware van Facebook, de zogeheten Facebook software development kit (sdk). De standaardinstelling van die sdk is zó dat Facebook al data krijgt op het moment dat gebruikers een app openen, nog voordat ze iets kunnen goed- of afkeuren dus.

    De data werden tot juni dit jaar zelfs altijd doorgestuurd voordat de gebruiker überhaupt de mogelijkheid had om toestemming te geven. Pas toen voegde Facebook een optie toe voor app-ontwikkelaars om vertraging in te bouwen om te wachten op een fiat van de gebruiker. Dat was al een maand nadat de AVG was ingegaan.

    Lees ook: NRC-commentaar: Annus horribilis van Facebook moet tot hervorming interneteconomie leiden

    Desbetreffende apps bieden de mogelijkheid om in te loggen via Facebook, maar of gebruikers dat doen, maakt voor de dataverzameling niet uit. Skyscanner zegt dat het zijn app heeft geüpdatet zodra het hoorde van de bevindingen van Privacy International, zodat het op deze manier delen van data met Facebook inmiddels is gestopt. Kayak en Tripadvisor reageerden niet op verzoeken van NRC om commentaar.

  3. Om wat voor data gaat het?

    Op het eerste gezicht is het redelijk oppervlakkige informatie, zoals of een gebruiker een app installeert en hoe vaak hij hem opent. Maar onder de apps waarbij Privacy International misbruik constateert, zijn bijvoorbeeld ook Qibla Connect, een gebedstijdenapp voor moslims, Indeed, een app voor banenzoekers, en de kinderapp My Talking Tom. Dit gaat dus indirect om informatie die waarschijnlijk sterk samenhangt met iemands geloof, zijn werksituatie of gezinssamenstelling. Ook noemt het rapport een voorbeeld van de reis-app Kayak die ook informatie over reisbestemmingen en reisklasse deelt.

    De bevindingen van Privacy International zijn vooral pikant, omdat deze data naar Facebook werden doorgestuurd, óók als gebruikers uitgelogd waren van Facebook, of als ze helemaal geen account bij Facebook hadden en ook geen toestemming hadden gegeven. Gebruikers lijken dus geen enkele zeggenschap te hebben over het feit dat hun gegevens bij Facebook belanden.

  4. Waarom doen bedrijven dit?

    Het draait allemaal om het opbouwen van gedetailleerde profielen die adverteerders kunnen gebruiken om heel gericht specifieke personen te bereiken. Wat er precies staat in de deals tussen Android-apps en Facebook wat betreft financiële vergoedingen en wederzijds gebruik van data, is volstrekt ondoorzichtig. De bedrijven beschouwen dit als bedrijfsgeheim.

    Wel hebben volgens de Financial Times diverse app-ontwikkelaars eerder dit jaar aan de bel getrokken bij Facebook over het automatisch delen van gegevens via de sdk. De app-ontwikkelaars constateerden zelf ook een mogelijke schending van de privacywet.

    „We zullen alle voorwaarden voor privacy-toestemming controleren en waar nodig aanpassen om te zorgen dat de privacyrechten van reizigers volledig gerespecteerd worden,” aldus een woordvoerder van Skyscanner.

    Het is al langer bekend dat Facebook op diverse manieren dataprofielen opbouwt van mensen zonder Facebook-account. Deze zogeheten ‘schaduwprofielen’ zijn zeer omstreden, al ontkent Facebook dat het die profielen gebruikt voor reclames. „Als je geen Facebookgebruiker bent kunnen we je niet identificeren op basis van deze informatie”, zegt een woordvoerder van Facebook. Het blijft vaag over waarvoor het de gegevens dan wel gebruikt.

    Privacy International zet grote vraagtekens bij deze praktijk: „Zonder verdere transparantie van Facebook is het onmogelijk om zeker te weten hoe deze data precies worden gebruikt.”

  5. Wat zijn de gevolgen?

    Dat is afwachten, voor zowel de betrokken apps als Facebook. Maar ze kunnen wel eens groot zijn. Dit is de zoveelste privacyzaak in een heel lange reeks van schandalen waarbij Facebook betrokken is. Die schandalen variëren van ronduit liegen over datadelen met dochterbedrijf WhatsApp, tot het negeren van waarschuwingen over haatzaaiend nepnieuws tot laksheid bij datamisbruik door bedrijven zoals het politieke campagnebureau Cambridge Analytica. Europese privacytoezichthouders, mededingingsautoriteiten en de Europese Commissie zullen de komende maanden moeten besluiten in welke zaken ze overgaan tot boetes, vervolging of mogelijk zelfs zeer vergaande ingrepen zoals het opsplitsen van Facebook.

    • Wouter van Noort