Misbruiken apps je privégegevens?

Vorige zomer leek de online wereld in brand te staan: via de razendpopulaire app FaceApp zouden al je gegevens in Russische handen vallen. Zo luidde althans berichtgeving van onder meer de politie. Welke gegevens verzamelen apps en wat doen ze ermee? Hoe zit het met Android versus iPhone? Welke apps gaan het slechtst met je privacy om? En wat kun je doen om je privégegevens te bewaken?

FaceApp: feit en fictie
Met FaceApp kun je onder andere jongere en oudere versies van jezelf photoshoppen. In de zomer van 2019 ging de app viraal, mede omdat allerlei beroemdheden oudere versies van zichzelf postten. De app van het Russische bedrijf Wireless Labs zou alleen buitengewoon privacy-onvriendelijk zijn, zo berichtte onder meer de politie. Critici wezen erop dat de app allerlei unieke gegevens van je telefoon opslaat en bewerkte foto’s op zijn servers in Rusland zou opslaan, waardoor het bedrijf niet aan de Europese privacywet AVG voldoet. Bovendien zou FaceApp extreem veel data delen.

Een groot deel van de kritiek blijkt onjuist te zijn. Zo gebruikt FaceApp servers van Amazon en Google die op Amerikaans of Brits grondgebied staan en voldoet het bedrijf (in ieder geval naar eigen zeggen) aan alle privacywetten, waaronder de AVG. De website Onemorething.nl constateert dat FaceApp weliswaar gegevens deelt met externe partijen, maar dat dit allemaal noodzakelijk is voor de werking van de app, het gebruik van sociale netwerken en het tonen van advertenties.

Experts stellen vast dat FaceApp eigenlijk niets anders doet dan wat veel andere apps ook doen en vermoeden dat de app in zo’n kwaad daglicht is komen te staan omdat het van een Russisch bedrijf is. Waarschijnlijk schrikken gebruikers ervan dat er méér gebeurt met hun gegevens dan zij denken.

Tal van celebrities postten FaceApp-foto’s van hun oudere zelf, zoals Gordon Ramsay.

Dit doet FaceApp met je gegevens
FaceApp gaat als volgt met je gegevens om:

Volgens de voorwaarden mogen je gegevens en foto’s gedeeld worden met partners. Als de app wordt verkocht, mag de nieuwe eigenaar alle gegevens overnemen.
De app wil toestemming om de foto’s die je bewerkt altijd en overal te kunnen gebruiken. Klinkt heftig, maar het staat bijvoorbeeld ook in de gebruiksvoorwaarden van Facebook, Instagram en Snapchat.
FaceApp vraagt volledige toegang tot je foto’s. Volgens geruchten zou FaceApp alle foto’s van je telefoon halen, maar dit blijkt niet waar.
De app verbindt met Facebook, of je daar nu toestemming voor hebt gegeven of niet (al wisselt het daar geen gegevens mee uit).
Waarom verzamelen en delen apps gegevens?
Daar zijn verschillende redenen voor. Een weer-app moet natuurlijk je locatiegegevens hebben om je de lokale weersverwachting te kunnen voorschotelen. In een enkel geval ligt de verklaring wat minder voor de hand. Zo vraagt de Simyo-app toegang tot je foto-album zodat het daar facturen kan opslaan.

Sommige apps delen je gegevens met externe partijen. Bijvoorbeeld om aanmelden met een Facebookprofiel mogelijk te maken. Of omdat een advertentienetwerk zo relevante advertenties in gratis apps kan publiceren. Volgens de regels van de app stores van zowel iPhone als Android mogen gebruikersgegevens níet worden gedeeld met externe partijen, tenzij het doel is om de app te verbeteren of advertenties te tonen. BuzzFeed onthulde echter dat er desalniettemin apps zijn die gegevens doorverkopen aan marketingbureaus.

Android-apps die het niet zo nauw nemen met jouw data
Amerikaanse wetenschappers hebben 88.000 Android-apps getest. 1.325 apps bleken indirect toegang te hebben gekregen tot gegevens die eigenlijk achter slot en grendel lagen. Dat ging overigens niet om e-mailadressen en telefoonnummers, maar om meer obscure gegevens als MAC-adres (een soort huisnummer van je computer) en IMEI-nummer. Met dat soort data kunnen adverteerders andere verzamelde gegevens aan elkaar vastknopen en gerichtere advertenties plaatsen.

De onderzoekers hebben alle verzamelde data gebundeld op appcensus.io, waar je per app kunt opzoeken om welke machtigingen wordt gevraagd, welke machtigingen zijn overtreden tijdens het onderzoek en aan welke derde partijen jouw gegevens worden verstrekt. Tof: er zijn ook allerlei Nederlandse apps onderzocht, zoals Buienradar en de NS-app.

De opvallendste uitwas die de onderzoekers zagen? De games van Tiny Lab Productions, die expliciet gericht zijn op kinderen, bleken locatiedata, persoonsgegevens en e-mailadressen te verzamelen én te delen met een hoop adverteerders.