Anouk ging naar een abortuskliniek. Een bekende app wist daarvan en verkocht die informatie
- Artikel
- 18 jul 2019
- 10 minuten leestijd
Grote appmakers, zoals ParkMobile en Telegraaf Media Groep, houden gedetailleerd het gaan en staan bij van mogelijk honderdduizenden gebruikers. Kamerlid Kees Verhoeven (D66) wil dat de Autoriteit Persoonsgegevens een onderzoek instelt. “Dit moet stoppen.”
Een abortuskliniek, een soa-poli, een homo-ontmoetingsplaats. Natuurlijk hoef je je niet te schamen dat je op deze plaatsen komt, maar zou je willen dat iedereen ervan wist? Waarschijnlijk niet. Toch houden sommige apps op je iPhone bezoekjes nauwkeurig bij. Dat blijkt uit onderzoek van Brandpunt+. Twee van onze redacteuren, Anouk Burgman en Eric van den Berg, bezochten al deze plaatsen om te zien of ze daarna terug te vinden waren in de computers van appmakers. Dat bleek zo te zijn. Die gegevens werden in sommige gevallen ook verkocht.
Voor dit onderzoek keken we naar 30 van de populairste Nederlandse iPhone-apps. Bijna tweederde daarvan vraagt niet om toegang tot je locatiegegevens. Bij de resterende 11 apps keken we wat je precies uit handen geeft als je op het knopje “toestaan” drukt.
De methode die we gebruikten was simpel: we vroegen appmakers alle locatiegegevens die ze over ons hadden te overhandigen. Een eerlijk antwoord is sinds vorig jaar namelijk wettelijk verplicht, dankzij nieuwe Europese wetgeving. Bedrijven die de regels aan hun laars lappen kunnen fikse boetes krijgen: tot 4% van hun jaaromzet.
Sanoma stelt onderzoek in na 'grove fouten'
Ondanks deze stok achter de deur was het niet makkelijk de data boven tafel te krijgen: er gingen maanden mailen en bellen overheen. Twee app-makers beweerden herhaaldelijk dat ze geen locatiegegevens van onze redacteuren op hun servers hadden staan. Dit waren niet de minsten: Sanoma, de maker van Nu.nl, en HartslagNu, een app die ondersteund wordt door de Hartstichting en het Ministerie van VWS. Toen we via de afdeling persvoorlichting die vraag opnieuw stelden bleken er - oeps, foutje - toch locatiegegevens bewaard te worden. Sanoma heeft naar aanleiding van onze vragen een onderzoek aangekondigd. (Klik hier voor hun volledige reactie.)
Uiteindelijk wisten we op deze manier te achterhalen wat alle onderzochte apps aan locatiegegevens over hun gebruikers achterhielden. Daaruit blijkt dat de mate van respect voor de privacy van hun gebruikers wild uiteenloopt. Een minderheid van de onderzochte appmakers met toegang tot je locatie slaat die nooit op, maar gebruikt hem alleen op je telefoon (Marktplaats, NS en 9292). Hierdoor is je privacy gewaarborgd, ook als je gebruik maakt van locatie-gebonden functies. Niemand kijkt mee.
De meeste apps (8 van de 11, waaronder Buienradar, RTL Nieuws en Nu.nl) bleken een tussenweg te bewandelen. Ze bewaren alleen de laatste plek waar je gezien bent. Dit geeft appmakers net wat meer ruimte: ze kunnen hierdoor bijvoorbeeld locatiegebonden pushberichten versturen. De gebruiker geeft ook wat meer privacy op, maar niet veel. Een bezoek aan - bijvoorbeeld - een abortuskliniek blijft nooit lang op de server staan. Ook valt uit een enkele positie vaak niet te herleiden van wie een telefoon is, zolang de data anoniem zijn opgeslagen. De meeste makers zetten hun apps dus zo in elkaar dat ze niet veel meer over hun gebruiker weten dan strikt noodzakelijk, althans wat betreft locatiedata. Dit ontwerpprincipe heet privacy by design.
De maker van Nu.nl beweerde geen locatiedata op te slaan. Dat bleek toch het geval.
Telegraaf-app wilde vier keer per dag weten waar Anouk was
Twee van de onderzochte apps bleken echter grote hoeveelheden locatiedata van hun gebruikers te bewaren: Telegraaf en ParkMobile. We legden de verzamelde gegevens voor aan een aantal deskundigen op het gebied van privacy en IT, waaronder Eelco Herder, universitair docent bij de Digital Security Group aan de Nijmeegse Radboud Universiteit. De Telegraaf-app bleek van een van de onderzochte telefoons over de loop van ongeveer twee maanden 376 keer de locatie te hebben gecheckt en opgeslagen: meer dan vier keer per dag. (Bij de andere telefoon lag het tempo lager, maar hiervan had de Telegraaf-app ook 268 locaties bewaard.) De nauwkeurigheid van de locatiedata varieert. Soms wordt er gemeten op stadsniveau, andere keren nauwkeuriger. Volgens TMG hangt dit ervan af welke meetmethode voorhanden is. ParkMobile maakte het net wat minder bont en sloeg elke maand gemiddeld tussen de 40 en 50 keer locaties op, zonder dat er één keer geparkeerd was. Of de app open stond of niet maakte niet uit. Als je eenmaal toestemming hebt gegeven, geven beide apps ook in de achtergrond je locatie door. Doordat de apps dag in, dag uit, kijken waar je geweest bent ontstaat een fijnmazig beeld van wie je bent en wat je uitspookt. Zo hadden we onbedoeld privézaken laten registreren, waaronder een doktersbezoek en een off-the-record gesprek.
Deskundigen: “TMG overtreedt mogelijk de wet”
Door zoveel gegevens op te slaan zoekt Telegraaf Media Groep (maker van de Telegraaf-app) de randen van de wet op. Mogelijk overschrijdt het die zelfs, aldus Herder. Elke inbreuk op de privacy moet volgens de nieuwe Europese richtlijnen in verhouding staan tot het beoogde doel ervan. TMG slaat enorm veel data op en de privacyverklaring van het bedrijf is vaag over het waarom. “Bij ParkMobile kan ik me nog voorstellen dat er een valide reden is voor het opslaan van deze gegevens”, zei Herder. “Bij Telegraaf weet ik dat niet zo zeker. Voor het analyseren van leesgedrag of gepersonaliseerde advertenties heb je geen half jaar aan locatiedata nodig”
Andere deskundigen, waaronder TNO-onderzoeker Marc van Lieshout, sluiten ook niet uit dat TMG’s handelen illegaal is. “Locatiegegevens vormen een koppeling tussen de echte en de virtuele wereld en zijn daarom bijzonder gevoelig”, aldus Van Lieshout. “Ik zou de app in ieder geval niet op mijn telefoon willen hebben.”
Zelf als het verzamelen van gegevens door TMG en ParkMobile wel binnen wettelijke kaders valt zijn er risico’s voor gebruikers. Zo wijst Herder erop dat de Belastingdienst in het verleden al parkeergegevens probeerde los te peuteren bij Q-Park om te controleren of leaserijders stiekem niet teveel privé reden. “Bij ParkMobile valt zo te zien nog veel meer te halen”, zegt Herder.
De instantie die hierin het laatste woord heeft is de Autoriteit Persoonsgegevens (AP), een toezichthouder die speciaal voor de handhaving van de GDPR in het leven is geroepen. Tweede Kamerlid Kees Verhoeven (D66) wil dat de AP zich over de zaak buigt. “Je moet kunnen gaan en staan waar je wil, zonder gevolgd te worden. Niet voor niets zijn daar duidelijke regels over”, zeg Verhoeven. Dat locatiegegevens van gebruikers op deze wijze worden ingezet voor commerciële doeleinden vindt hij onacceptabel. “Daar moeten ze nu mee stoppen. De Autoriteit Persoonsgegevens moet direct onderzoek instellen want het is een probleem dat bij veel te veel apps speelt.”
Privacy: “Het is niet zo heel moeilijk”
Brandpunt+ zocht contact met de appmakers en vroeg waarom ze zoveel gegevens over hun klanten opsloegen. (Je kan hier de volledige reacties van TMG en ParkMobile teruglezen.) ParkMobile zei dat het locaties van gebruikers ook checkt wanneer de app uitstaat zodat het gebruikers kan waarschuwen wanneer die terugkeren bij een geparkeerde auto. Handig, want dan betaal je nooit teveel parkeergeld. De app checkt locaties echter ook als iemand niet geparkeerd staat. Jaap-Henk Hoepman, universitair hoofddocent aan de Radboud Universiteit, veegde dan ook de vloer aan met dit argument. “Je leest alleen iemands locatie uit als ‘ie parkeert, klaar. Het is niet zo heel moeilijk”
TMG vertelde Brandpunt+ dat de locatiegegevens van gebruikers ingezet worden voor “analysedoeleinden, om inbreuken op de beveiliging van onze dienst tegen te gaan, om gepersonaliseerde advertenties te kunnen tonen en om weer, lokaal nieuws en evenementen in de buurt te kunnen aanbieden”. Dat zijn vrij algemene termen, en waarom de uitgever hetzelfde niet kan bereiken met een kleinere hoeveelheid locatiegegevens, zoals uitsluitend iemands meest recente positie, is onduidelijk.
Locatiegegevens worden volgens TMG daarbij anoniem opgeslagen. De gegevens zijn alleen gekoppeld ID-nummers, niet aan namen. Sec genomen klopt dat, maar hoe meer locatiegegevens je hebt, hoe makkelijker het wordt iemands identiteit daarmee vast te stellen. TMG bewaart verzamelde locatiedata maximaal 13 maanden, waardoor een behoorlijk berg data ontstaat. Daarnaast zijn de ID-nummers die TMG gebruikt niet erg anoniem. Je Telegraaf-ID wordt bijvoorbeeld elke keer dat de app contact legt met de TMG-server onversleuteld verzonden in één datapakketje samen met je gebruikersnaam en mailadres.
Advertentiebedrijven hebben ook inzage in locatiegegevens
TMG liet desgevraagd weten dat andere bedrijven ook inzage hebben in de verzamelde gegevens. Locatiedata worden gedeeld met NLProfiel, een samenwerkingsverband met Sanoma, de Persgroep en RTL. Daarnaast hebben partijen die zich specialiseren in persoonlijke reclame toegang ertoe, zoals het Amerikaanse bedrijf Cxense. ParkMobile heeft een ander verdienmodel: adverteerders hebben daarom geen toegang tot locatiedata, maar gemeentes en parkeergarages onder bepaalde omstandigheden weer wel.
ParkMobile en TMG willen niet zeggen van hoeveel gebruikers ze het gaan en staan bijhouden omdat dit concurrentiegevoelige informatie zou zijn, maar waarschijnlijk gaat het om honderdduizenden. Marktonderzoekbureau GfK schat dat de Telegraaf-app op 11% van alle Nederlandse telefoons geïnstalleerd is, wat het aantal potentiële gebruikers ruim boven een miljoen brengt. ParkMobile is naar eigen zeggen “de meest gebruikte app van Nederland”.
Waarom? Voor het geld
De belangrijkste reden voor dit Big Brothertje spelen laat zich raden. In de online advertentiemarkt zijn locatiegegevens geld waard. Wie wil adverteren onder de bezoekers van een bepaald gebied, bijvoorbeeld een congres of sportevenement, kan via speciale advertentieservers op zoek gaan naar appmakers en andere uitgevers die die mensen weten te vinden. Via computergestuurde veilingen vinden vraag en aanbod elkaar. Het aanbieden van reclames aan de hand van de fysieke locatie van een gebruiker heet in de online reclamewereld geotargetting. TMG laat weten dat verzamelde persoonsgegevens inderdaad ingezet worden voor de online handel in getargete advertenties en dat het bedrijf daar ook voor betaald krijgt. ParkMobile zegt de data nooit te delen in ruil voor geld.
Wissen die hap dus? Was het maar zo simpel. Als twee van de elf door ons onderzochte apps over de schreef gaan staan er vrijwel zeker nog veel meer op je telefoon die stilletjes een server ergens voeden met je locatiegegevens. Bij ons onderzoek hebben we ons specifiek gericht op Nederlandse apps, maar Apple, Facebook en Google hebben nog veel meer data tot hun beschikking. Wat je wel kan doen: heel selectief zijn in wie je toegang geeft tot je locatiegegevens. “Zeg altijd nee, tenzij je het echt nodig hebt”, tipt privacy-expert Hoepman. Bij een navigatie-app is zoiets misschien onmogelijk, maar zelfs de ParkMobile-app functioneert gewoon zonder GPS. En mocht je je echt ergens bevinden waar je niet gezien wilt worden, dan kan je er altijd voor kiezen je telefoon uit te doen.