Ruim een derde van de apps op uw smartphone geeft via de achterdeur persoonlijke informatie prijs. Dat blijkt uit een analyse van 120 populaire Android-apps in België die De Tijd liet uitvoeren. Die gegevens komen terecht bij een amalgaam van databedrijven die u profileren. ‘Informatie over uw gedrag is de belangrijkste koopwaar geworden.’
Super Bright LED Flashlight is een app die van uw smartphone een krachtige zaklamp maakt. Praktisch in het donker, misschien leuk op feestjes (met strobo- effect!) en handig om uw telefoon even te laten flitsen als een oproep of een bericht binnenkomt. Wat de app – van Hongkongse makelij en wereldwijd al meer dan een half miljard keer gedown- load – ook doet, is in alle stilte uw persoonlijke informatie doorsluizen naar derde partijen. Gebruik de zaklampapp nog maar gedurende tien minuten en minstens tien bedrijven hebben al persoonlijke gegevens over u ontvangen.
Hetzelfde met het populaire online- scrabblespel Wordfeud. Terwijl u andere spelers uitdaagt om extra woordwaarde te scoren, zijn binnen de kortste keren minstens twee bedrijven met een deel van uw data aan de haal.
Beide komen uit een selectie van 120 populaire smartphoneapps op de Belgische markt die draaien op het Android-platform van Google. Die 120 apps werden voor De Tijd doorgelicht door onderzoekers van de universiteit van Berkeley in de VS en van het Belgische databedrijf Collibra.
Van die 120 geteste apps blijken 47, ruim een derde, via de achterdeur informatie over u door te sluizen zonder dat u dat wellicht beseft, meestal zonder dat ze erom vragen of zonder dat ze u trans- parant informeren over welke bedrijven de gegevens in handen krijgen en wat ze van plan zijn ermee te doen.
Hoe lek is uw smartphone?
Bovendien blijkt ruim een vijfde van de geteste apps het privacybeleid van Google, de eigenaar van het Android-platform, met de voeten te treden. Ze sturen combinaties van persoonlijke gegevens door die in principe niet worden toegelaten door Android zelf, omdat ze schadelijk zijn voor de privacy van de gebruikers.
‘De meeste gebruikers hebben geen idee van de schaal waarop persoonlijke gegevens hun telefoon verlaten. Als consument weet je niet bij wie stukken van je identiteit belanden’, zegt Serge Egelman, de Amerikaanse academicus die de apps screende. De resultaten sporen met een grootschaliger onderzoek naar duizenden Android-apps dat hij eerder uitvoerde.
Het onderzoek toont aan hoe via uw smartphone ongemerkt persoonlijke details over u wegstromen. De analyse geeft een glimp van de onzichtbare en ondoorzichtige handel in uw persoonlijke data. De gegevens – zoals uw precieze locatie, de unieke gebruikerscode van uw telefoon, of andere puntjes van informatie die blootgeven wie u bent – leggen een traject af tussen externe databedrijven die ze gebruiken om gedetailleerde profielen over u op te stellen.
Opgeteld bij de gegevens die u achterlaat op sociale media of over de websites die u bezoekt, worden de data stukje per stukje via gesofistikeerde algoritmes gelegd tot een puzzel over u en uw bezig- heden. Op basis daarvan voorspellen advertentiebedrijven aan welk product u geld wilt uitgeven, welke boodschap u te zien krijgt, of op welke partij u mogelijk wilt stemmen.
Maar het gaat veel verder dan gewoon reclame. ‘Informatie over uw gedrag is de waardevolste koopwaar op een globale markt’, zegt Pieter De Leenheer, chief science officer van Collibra. ‘Verzekeraars en banken gaan op zoek naar risicoprofielen over u en gebruiken die om levens- bepalende beslissingen voor u te maken, zoals het krijgen van een woonlening, een sollicitatiegesprek of een levensverzekering. Die profielen worden samengesteld op basis van combinaties van gegevens van uw smartphone met wat u zelf publiek maakt op Facebook, maar ook met wat de overheid online zet, zoals statistieken en gerechtsdossiers.’
De Leenheer verwijst naar de term ‘surveillance capitalism’ van de Amerikaanse auteur Shoshana Zuboff. ‘Bedrijven ontwikkelen diensten die de levens van consumenten vergemakkelijken, maar die ook massaal gegevens verzamelen. Consumenten verwelkomen ze, maar tegelijk wordt hun gedrag geassembleerd tot profielen die met enige zekerheid aangeven wat je nu, morgen en in de verdere toekomst wil.’
VERSLAVEND
Bij de grootste zondaars onder de apps zitten onder andere entertainende en van reclame bulkende mobiele spelletjes als Helix Jump of Happy Water. Verslavende bezigheden die uw privacy kunnen schaden. In de korte test van tien minuten kregen 23 externe bedrijven informatie over u doorgespeeld van de makers van Helix Jump, en 20 partijen van die van Happy Water. Beide apps vragen eerst wel of u bereid bent data te delen, maar blijven vaag over hun intenties en maken het moeilijk om nee te zeggen.
Dat u via uw smartphone een digitaal spoor van persoonlijke informatie achterlaat, is geen verrassing. We zijn in dit digitale tijdperk al langer gewoon dat we iets prijsgeven in ruil voor de technologie die we meestal gratis krijgen. Maar de resultaten tonen hoe moeilijk – ondanks het belang dat technologiebedrijven zeggen te hechten aan privacy – het blijft om persoonlijke gegevens veilig te houden op het internet. En hoe de industrie omwegen blijft verzinnen rond de bestaande privacymaatregelen.
‘Dit zou in de Europese Unie allemaal moeten worden gereguleerd via GDPR’, zegt Egelman. ‘Maar de schendingen zijn flagrant. We zijn anderhalf jaar na de invoering ervan en er is geen enkele focus op de grootschalige trafiek in persoonlijke data die illegaal worden verzameld. Dat op zich is al zeer alarmerend.’
De gegevens die uw smartphone via schijnbaar onschuldige apps kunnen verlaten, variëren. Het kan gaan om informatie als uw e-mailadres of het serienummer van uw telefoon. Maar ook om verschillende codes die aan u als persoon of aan uw toestel verbonden zijn. Die identificeerbare gegevens zijn in veel gevallen niet te wissen, in het vakjargon worden ze ‘persistent’ genoemd. Zo heeft elke smartphone een unieke 15-cijferige IMEI-code ingebouwd tegen diefstal. In totaal zijn er meer dan tien datatypes die u op een manier kunnen identificeren. Daarbij ook de gegevens van de wifinetwerken in uw buurt, die uw locatie kunnen prijsgeven zelfs als u die functie uitschakelt.
Een van de identificeerbare codes is het ‘advertisement id’ dat gebruikers van Android krijgen. De code is vergelijkbaar met cookies op een website: ze traceert uw activiteiten en geeft adverteerders de kans om reclame te personaliseren. 60 van de geteste apps sturen die uit. Belangrijk is dat die code gereset kan worden, zodat u telkens u het wilt de opgestapelde informatie over u kunt wissen en de advertentiebedrijven weer van nul moeten beginnen om u te profileren. Die optie – die u wel diep in uw instellingen moet zoeken – bouwde Android in als privacymaatregel.
Google laat wel niet toe dat een app die ‘ad id’ samen met een ander type identificeerbare data weggeeft aan een extern bedrijf. Want die andere types zijn niet of heel moeilijk te resetten, waardoor de privacygarantie ondermijnd wordt. Zelfs als u verzoekt niet getraceerd te worden door het ad id regelmatig te wissen, blijven die apps toch identificeerbare gegevens over u uitsturen. Uit onze selectie bleken 26 apps die regels te overtreden.
REACTIE GOOGLE
Recentelijk vernamen we dat verschillende apps het privacybeleid van Google Play schenden. We zullen actie ondernemen en de ontwikkelaars op de hoogte brengen’, zegt een woordvoerder van Google België. Google zegt ook dat het zich het recht voorbehoudt om apps uit te schakelen als wordt vastgesteld dat ze niet aan het beleid van de Play Store voldoen.
Google liet eerder al verstaan dat het strenger zal toezien op zijn privacybeleid. In de volgende versie van Android, die rond deze tijd wordt uitgerold, zou het euvel opgelost moeten zijn. Maar dan nog duurt het lang voor alle Android-smartphones de update effectief geïnstalleerd hebben.
Apps van Belgische makelij komen grotendeels als goede leerlingen uit de steekproef. Wel bleek dat de app van BNP Paribas Fortis de ongeoorloofde combinatie van gegevens uitstuurt. In een reactie laat de bank weten dat ze sinds de invoering van GDPR vorig jaar extra maatregelen heeft genomen. BNP Paribas Fortis houdt de data die de app verzamelt niet bij en betwist dat het de regels van Google schendt.
Ook de app van De Tijd zondigt. ‘Uit de test blijkt dat onze eigen app niet honderd procent in orde is. Dat komt omdat een stuk verouderde code nog steeds actief is. Begin oktober lanceren we een update van de app waarin we dat oplossen’, zegt Steve Deplacie, chief digital officer van Mediafin, de uitgever van De Tijd.
De app van de NMBS stuurt eveneens een moeilijk te wissen ‘identifier’ uit. Het bedrijf verwijst in een reactie naar een externe partner die de interactie met de gebruikers meet.
De bedrijven die uw gegevens in handen krijgen, behoren tot een onoverzichtelijk ecosysteem van enkele heel grote en vele kleine, obscure datamakelaars. Als individu hebt u geen enkel zicht op of keuze in bij wie uw gegevens terechtkomen eenmaal ze zijn gedeeld. Het hoeft niet te verbazen dat Google en Facebook, gevolgd door enkele andere datareuzen als Oracle en Acxiom, de slokoppen zijn. Allemaal wheelen en dealen ze in persoonsgegevens die in combinatie met elkaar en dankzij complexe algoritmes een zo accuraat mogelijk beeld van u schetsen, of toch een beeld waar geld mee te verdienen valt.
Die advertentiebedrijven lijken soms zodanig griezelig goed op de hoogte over u dat het lijkt alsof u afgeluisterd wordt. De realiteit is dat ze dat niet hoeven te doen, omdat al zoveel over u bekend is dankzij uitvoerige tracking van uw online en mobiel gedrag.
De industrie van datamakelaars die doelgerichte toegang tot profielen verhandelen is een kluwen, maar wel een dat volgens de Europese Commissie tegen 2020 meer dan 106 miljard euro waard zal zijn. Het systeem kan verder gaan dan reclame, en bijvoorbeeld meebeslissen over wie al dan niet een job of een verzekering krijgt. Dat dergelijke verregaande vormen van profilering een impact op de democratie hebben, bleek al bij het schandaal rond Cambridge Analytica. Die datafirma stelde kiezersprofielen samen om heel gericht de stem van mensen te beïnvloeden.
Paul-Olivier Dehaye, een Brusselse privacyspecialist die de non-profitorganisatie PersonalData.io vanuit Genève runt, hekelt de asymmetrie van de informatie. ‘Ze weten iets over je, dus ze hebben meer macht.’ Volgens hem leidt het systeem tot uitspattingen. Zo kunnen gokkers die een neiging hebben tot verslaving via advertenties in apps specifiek gemanipuleerd worden om nog meer uit te geven. Dehaye vertelt ook het verhaal van een homoseksuele man die tegen vrienden of familie nog niet uit de kast is gekomen, maar wel een profiel op de datingapp Grindr aanmaakte. Sindsdien krijgt hij advertenties van organisaties die mensen met hiv willen bijstaan, die bovendien nep zijn.
ALGOCRATIE
Dat kan tot dystopische toestanden leiden. ‘Als het systeem heel goed werkt, wordt het orwelliaans’, zegt Dehaye. ‘Een dictatuur van data die alles over u weet. Maar als het niet goed werkt, wordt het kafkaiaans. Dan raak je vast in situaties die mogelijk helemaal niet op jou van toepassing zijn, en moet je een onmogelijk gevecht aangaan om dat te corrigeren. In principe plaatsen die diensten ons allemaal in een zo klein mogelijk hokje, ingedeeld volgens onze karakteristieken. Dat is hyperpersonalisatie. Stel dat je geen lening kan krijgen op basis van je dataprofiel. Dan krijg je algoritmische beslissingen zonder controle. Een algocratie.’
HOE GINGEN WE TE WERK?
De Tijd maakte een selectie van 120 populaire Android-apps gebaseerd op de rangschikking van de meest gedownloade apps uit de Google Play Store in België in augustus, aangevuld met een rondvraag via mail. De apps zijn geanalyseerd door het Amerikaanse bedrijf AppCensus in samenwerking met onderzoekers van het data-intelligencebedrijf Collibra. De apps zijn gedown- load via Europese servers, die aan de Europese GDPR-regels moeten voldoen.
De tests zijn gedaan op LG Nexus 5X-toestellen die draaien op een manueel aangepaste opensourceversie van het Android-besturingssysteem. Door die aanpassing kan tijdens de test worden geregistreerd welke apps toegang hebben tot beschermde gebruikersdata, en met welke derde partijen die gebruikersinformatie wordt gedeeld. De dynamische analyse levert realistischer resultaten op dan een statische analyse van de code van een app.
De apps werden gedurende 10 minuten getest, waarbij een softwareprogramma willekeurig in de applicatie klikt, swipet en tapt om genoeg interactie te simuleren.
De test is niet uitgevoerd op het mobiele besturingssysteem iOS van Apple. Dat laat de nodige aanpassing van het besturingssysteem niet toe, waardoor apps op dat platform niet zijn getest. We kunnen dus geen uitspraken doen over welke persoonlijke informatie apps op iOS delen of met welke derde partijen ze dat doen.
