Privacy als ruilmiddel voor apps: onvermijdelijk, maar ook acceptabel?

22 november 2016 Consultancy.nl

Gebruikers zijn zich vaak niet bewust van de hoeveelheid persoonsgegevens die zij vrijgeven bij het installeren van een app. Hoe wordt de balans gevonden tussen het gebruik van apps en de privacy van gebruikers?

Ons leven draait steeds meer om toegang tot informatie en diensten, op elk moment en waar we ook zijn. Applicaties (apps) op smartphones spelen hierin een belangrijke rol. In ruil voor het gebruik vragen veel apps toegang tot persoonsgegevens van de gebruiker. Gebruikers zijn zich vaak niet bewust van de hoeveelheid gegevens die zij vrijgeven als zij een app installeren. Het risico van misbruik van deze gegevens ligt op de loer. Het identificeren, inschatten en beoordelen van risico’s door gebruikers, en het beheersen en monitoren door de overheid kan een stap in de goede (bewuste) richting betekenen.

Het gebruik van een smartphone is de standaard

Sinds 2013 zijn in Nederland meer mensen in het bezit van een smartphone dan een desktop. De smartphone is een vast onderdeel van ons dagelijks leven. Gebruikers willen altijd en overal informatie opzoeken, producten kopen en communiceren. Apps ondersteunen bij deze wens: gemiddeld staan er twintig apps op een smartphone. 

Aspecten die een rol spelen bij het installeren van een app

Eisen aan verwerking van persoonsgegevens door apps

Het verwerken van persoonsgegevens betreft elke handeling met betrekking tot die persoonsgegevens, zoals het verzamelen, vastleggen, ordenen en raadplegen. In Nederland beschermt de Wet bescherming persoonsgegevens (Wbp) de gebruiker door eisen te stellen aan de verwerking van persoonsgegevens door een app:

Doel: Verwerking van persoonsgegevens mag enkel worden gedaan voor een bepaald doel. Deze doelen moeten voorafgaand aan de gegevensverwerking duidelijk en overzichtelijk bij de gebruiker bekend zijn gemaakt.

Ondubbelzinnige toestemming: Voor de verwerking van persoonsgegevens moet de betrokkene zijn ondubbelzinnige toestemming hebben gegeven. Dit houdt in dat de toestemming vrij en geïnformeerd is en een actieve handeling is. Vrij wil zeggen dat de betrokkene geen druk ervaart om met de verwerking in te stemmen. Geïnformeerd houdt in dat de betrokkene moet weten welke gegevens verwerkt worden en hoe die verwerking plaatsvindt. Een actieve handeling moet gericht zijn op het geven van toestemming.

De nieuwe Europese privacyverordening die in de loop van 2016 in werking treedt, de General Data Protection Regulation, stelt nog strengere eisen aan de informatieplicht richting de consument, onder meer over de duur van het bewaren van persoonsgegevens en het recht op inzage en verwijdering. 

Omgang met gegevens

If something is free, you’re the product

Apps kunnen toegang vragen tot verschillende functies van een telefoon en persoonsgegevens, zoals de locatiegegevens, foto’s, contactenlijst, microfoon of berichten. Apps kunnen veelal gratis worden geïnstalleerd. De consument betaalt met het ter beschikking stellen van zijn persoonsgegevens. Persoonsgegevens zijn om verschillende redenen erg waardevol voor bedrijven:

  • De gegevens helpen om de service te verbeteren.
  • De gegevens kunnen worden verkocht aan advertentiebedrijven of marketingbedrijven om reclame op maat aan te bieden aan de gebruiker.
  • Andere bedrijven kunnen rechtstreeks toegang krijgen tot de smartphone en gegevens abstraheren.
  • Facebook verdient bijvoorbeeld €3,39 per kwartaal per gebruiker door het aanbieden van persoonlijke advertenties of door het monitoren van je surfgedrag buiten Facebook.

Aan het vrijgeven van persoonsgegevens via apps kleven behoorlijke risico’s

Zoals eerder gesteld, vereist de Wbp een vrije en geïnformeerde toestemming. Vaak zijn mensen zich echter onbewust van de aard en de hoeveelheid persoonsgegevens die worden vrijgegeven via een app, en waar de gegevens voor kunnen worden misbruikt. Via locatiegegevens kan, ook zonder actief gebruik van de app, achterhaald worden wanneer je met vakantie bent: ideale informatie voor inbrekers. Eerder ingevulde creditcardgegevens zijn zeer aantrekkelijk te misbruiken voor identiteitsfraude. 

Het vrijgeven van die gegevens en daarmee het ‘betalen’ van een app met persoonsgegevens brengt dus een zeker risico mee voor de gebruiker met een behoorlijke impact op de persoonlijke levenssfeer. Als onderdeel van het visierapport ‘Trends in Veiligheid’ heeft Capgemini Consulting door TNS NIPO in 2016 een onderzoek onder Nederlandse burgers uit laten uitvoeren. Hieruit blijkt dat bijna 70% van de respondenten denkt dat het vrijgeven van persoonsgegevens aan apps van invloed is op het plegen van criminaliteit door misbruik van gegevens. Meer dan de helft is van mening dat ontwikkelaars niet veilig omgaan met de gegevens. Tegelijkertijd vindt 70% het vooral belangrijk dat de app gratis gebruikt kan worden. De gemiddelde gebruiker neemt nauwelijks de tijd om zijn privacy te beschermen: uit de resultaten van hetzelfde TNS NIPO-onderzoek komt naar voren dat slechts een derde van de respondenten het privacybeleid leest alvorens te besluiten de app wel of niet te installeren.

Privacy en cybercrime stellingen

Neemt de gemiddelde gebruiker dan een bewust risico?

Het lijkt dat de gebruiker een weloverwogen keuze maakt: gratis gebruik en gemak boven zorgen over de risico’s. Echter, uit de resultaten blijkt dat veel gebruikers onvoldoende beeld hebben van de toegang tot persoonsgegevens die zij weggeven door het gebruik van apps. Een voorbeeld is de app Whatsapp, een app die 80% van de respondenten uit het TNS NIPO onderzoek heeft geïnstalleerd. Whatsapp vraagt onder meer toegang tot de camera, microfoon, locatie en contacten op een telefoon. Met het accepteren van de gebruikersvoorwaarden geeft de gebruiker deze toegang. Een kwart van de ondervraagden denkt echter dat Whatsapp geen toegang heeft tot de contacten op zijn telefoon, zeventig procent denkt dat Whatsapp geen toegang heeft tot de microfoon en 60% denkt dat de app geen toegang heeft tot de camera. Een op de tien denkt zelfs dat Whatsapp geen enkele toegang heeft tot bovengenoemde gegevens. 

Het is duidelijk dat gebruikers zich vaak onvoldoende bewust zijn van wat wordt vrijgegeven met het accepteren van de gebruikersvoorwaarden. Hiermee staat de door de Wbp vereiste vrije en geïnformeerde toestemming onder druk. Een belangrijke vraag is dan: tot op welke hoogte is dit de verantwoordelijkheid van de individuele gebruiker? Kunnen de principes van risicomanagement ondersteunen in het vinden van een acceptabele balans tussen het weggeven van informatie en risico’s voor de digitale veiligheid van de mens? 

Beoordelen van de risico’s

Het beoordelen van risico’s blijft primair bij de gebruiker liggen. Aanbieders van apps dienen gebruikers hier wel in te begeleiden door op een heldere en eenduidige wijze in hun privacyverklaring aan te geven tot welke gegevens zij toegang vragen, en aan welke derden deze gegevens verder worden verstrekt. Het TNS NIPO-onderzoek laat zien dat 58% van de ondervraagden behoefte heeft aan een ‘veilige app keurmerk’. Een dergelijk keurmerk kan aangeven welke app een duidelijk en helder privacystatement heeft en veilig omgaat met persoonsgegevens. De Autoriteit Persoonsgegevens zou een rol kunnen spelen in het opzetten en uitgeven van dit keurmerk. Deze twee elementen zouden gebruikers beter in staat moeten stellen om de risico’s van het gebruik te beoordelen en deze risico’s af te wegen tegen het gebruiksgemak.

Veilige app keurmerk

Beheersen en monitoring: één meldpunt voor misbruik

Twee belangrijke volgende stappen van risicomanagement zijn beheersen en monitoring. Het beheersen van risico’s behelst twee aspecten: maatregelen en reacties. Op dit moment zijn er weinig maatregelen die een gebruiker kan nemen om zowel zijn persoonsgegevens te beschermen als gebruik te maken van een app. Het niet accepteren van de voorwaarden betekent over het algemeen dat de app niet gebruikt kan worden, en door de steeds prominentere rol van apps in ons dagelijks leven is dit vaak niet acceptabel. Het uitbreiden van het interventiepalet voor gebruikers zou een welkome ontwikkeling zijn om de privacy te beschermen. Een van de mogelijkheden voor deze uitbreiding is het opzetten van één meldpunt voor misbruik. Bij dit meldpunt kunnen gebruikers, overheid en ontwikkelaars gezamenlijk informeren, signaleren en acties ondernemen.

Daarnaast moet de Autoriteit Persoonsgegevens zijn rol nemen in het monitoren van het op rechtmatige wijze (vrij, geïnformeerd en een actieve handeling) verkrijgen van toestemming van de gebruiker. Ontwikkelaars die niet op de gewenste manier omgaan met persoonsgegevens moeten ook daadwerkelijk hierop worden aangesproken.

Een acceptabele balans is een gemeenschappelijke verantwoordelijkheid

Samenvattend kan worden gesteld dat de smartphone en apps niet meer weg te denken zijn in de digitale samenleving. De privacy van gebruikers is op dit moment nog niet genoeg gewaarborgd. Gebruikers betalen veelal met toegang tot hun persoonsgegevens. Privacy als ruilmiddel is hoogstwaarschijnlijk onvermijdelijk, maar er moet wel een acceptabele balans worden gevonden. De principes van risicomanagement laten zien dat hier een gezamenlijke verantwoordelijkheid ligt voor overheid, applicatieontwikkelaars en gebruikers.

Gerelateerd: Bewustzijn over internetcriminaliteit groeit, privacy blijft nog achter.

Een artikel van Eva Miltenburg, Josca Smallenbroek en Martine Middelveld, allen werkzaam bij Capgemini Consulting. Het artikel is afkomstig uit het jaarlijks terugkerend Trends in Veiligheid’ rapport van Capgemini en Capgemini Consulting.

Nieuws