Ook als je niet op Facebook zit, verzamelt het jouw data via apps

data delen met Facebook

Populaire Android-apps zoals TripAdvisor en Skyscanner sturen ongevraagd data door, blijkt uit een recent rapport.

Een veelheid aan apps zou data hebben doorgespeeld aan Facebook, zoals TripAdvisor en de kinder-app My Talking Tom.
Een veelheid aan apps zou data hebben doorgespeeld aan Facebook, zoals TripAdvisor en de kinder-app My Talking Tom. Foto Mladen Antonov/AFP

Een aantal zeer populaire Android-apps blijkt automatisch data naar Facebook te sturen, zelfs als de gebruiker daarvoor geen toestemming heeft gegeven. Het gaat onder meer om reisapps als TripAdvisor, Skyscanner en Kayak. Dat staat in een rapport van Privacy International, een burgerrechtenorganisatie uit Londen, dat op 29 december is gepresenteerd. In de studie, waarin 34 populaire Android-apps zijn onderzocht, bleken twintig apps ongevraagd gegevens naar Facebook te sturen. Apps voor iPhones zijn niet meegenomen in dit onderzoek.

1 Wat is er precies aan de hand?

Uit het rapport blijkt dat Facebook van alle Android-gebruikers kan zien wanneer ze bepaalde apps installeren en deïnstalleren, plus hoe vaak en hoelang ze die gebruiken. Bovendien sturen sommige apps volgens Privacy International nog veel gedetailleerdere informatie door.

Volgens de onderzoekers is dit mogelijk een schending van de strenge privacywet AVG die sinds mei in de EU geldt. Daarin staan onder meer regels voor het expliciet vragen van toestemming voor het delen van data. Als deze wet inderdaad overtreden wordt - wat een complex juridisch vraagstuk is - dan riskeren de apps die de data doorgaven en Facebook enorme boetes. Die kunnen onder de AVG oplopen tot 4 procent van de wereldwijde jaaromzet. In het geval van Facebook zou dat gaan om maximaal zo’n 2 miljard euro boete.

2 Wat zegt Facebook?

Facebook verwijst in een persreactie naar de verantwoordelijkheid van de appbouwers om eerst toestemming te vragen voordat ze data delen. Maar volgens Privacy International is het de vraag of dat argument standhoudt. Apps die samenwerken met Facebook gebruiken namelijk software van het sociale netwerk, de zogeheten Facebook software development kit (sdk). De standaardinstelling van de sdk is zó dat Facebook al data krijgt op het moment dat gebruikers een app openen - dus nog voordat ze iets kunnen goed- of afkeuren.

Pas vorig jaar juni voegde Facebook een optie toe voor app-ontwikkelaars om vertraging in te bouwen om te wachten op een fiat van de gebruiker. Dat was al een maand nadat de AVG was ingegaan.

De betrokken apps bieden de mogelijkheid om in te loggen via Facebook, maar of gebruikers dat doen, maakt voor de dataverzameling niet uit. Skyscanner zegt dat het zijn app heeft geüpdatet zodra het hoorde van de bevindingen van Privacy International; het delen van data met Facebook is volgens het bedrijf inmiddels gestopt. Kayak en Tripadvisor reageerden niet op verzoeken van NRC om commentaar.

3 Om wat voor data gaat het?

Op het eerste gezicht is het redelijk oppervlakkige informatie, zoals of een gebruiker een app installeert en hoe vaak hij hem opent. Maar onder de apps waar de onderzoekers misbruik constateren zijn bijvoorbeeld ook Qibla Connect, een gebedstijdenapp voor moslims, Indeed, een app voor banenzoekers, en de kinder-app My Talking Tom. Dit gaat dus indirect om informatie die waarschijnlijk sterk samenhangt met iemands geloof, zijn werksituatie of gezinssamenstelling. Ook noemt het rapport een voorbeeld van de reis-app Kayak die ook informatie over reisbestemmingen en reisklasse deelt.

Vooral pikant is dat deze data óók naar Facebook werden gestuurd als de gebruikers uitgelogd waren van het sociale netwerk, of als ze helemaal geen account bij Facebook hadden.

4 Waarom doen bedrijven dit?

Het draait allemaal om het opbouwen van gedetailleerde profielen die adverteerders kunnen gebruiken om heel gericht specifieke personen te bereiken. Wat er precies staat in de deals tussen de Android-apps en Facebook wat betreft financiële vergoedingen en wederzijds gebruik van data, is volstrekt ondoorzichtig. De bedrijven beschouwen dit als bedrijfsgeheim.

Wat opvalt is dat volgens de Financial Times een aantal app-ontwikkelaars eerder dit jaar bezorgd aan de bel getrokken heeft bij Facebook over het automatisch delen van gegevens via de sdk. De app-ontwikkelaars constateerden zelf ook een mogelijke schending van de privacywet en wilden dat de sdk werd aangepast.

Het is al langer bekend dat Facebook op diverse manieren dataprofielen opbouwt van mensen zonder Facebook-account. Deze zogeheten ‘schaduwprofielen’ zijn zeer omstreden, al ontkent Facebook dat het de profielen gebruikt voor reclames. „Als je geen Facebookgebruiker bent kunnen we je niet identificeren op basis van deze informatie”, zegt een woordvoerder van Facebook. Het blijft vaag over waarvoor het de gegevens dan wel gebruikt.

Privacy International zet grote vraagtekens bij deze praktijk: „Zonder verdere transparantie van Facebook is het onmogelijk om zeker te weten hoe deze data precies worden gebruikt.”

5 Wat zijn de gevolgen?

Dat is afwachten, voor zowel de betrokken apps als Facebook. Maar ze kunnen weleens groot zijn. Dit is de zoveelste privacyzaak in een heel lange reeks van schandalen waar Facebook bij betrokken is. Die schandalen variëren van ronduit liegen over het delen van data met dochterbedrijf WhatsApp, tot het negeren van waarschuwingen over haatzaaiend nepnieuws .

Europese privacytoezichthouders, mededingingsautoriteiten en de Europese Commissie zullen de komende maanden moeten besluiten in welke zaken ze overgaan tot boetes, vervolging of mogelijk zelfs zeer vergaande ingrepen zoals het opsplitsen van Facebook.

    • Wouter van Noort