In september stelde de Nederlandse NGO SDBN een class action voor tegen XCorp (voorheen Twitter) voor het onrechtmatig volgen van haar gebruikers en het verzamelen van persoonlijke gegevens voor advertenties.
Bij de actie is ook MoPub betrokken, een mobiel advertentieplatform dat voorheen eigendom was van Twitter en later werd verkocht aan AppLovin. De betrokkenheid van MoPub is groot omdat de trackers in duizenden apps zitten, waaronder populaire diensten als Shazam en Duolingo.
Rond dezelfde tijd diende privacy-ngo noyb bij de Franse privacy-autoriteit klachten in tegen drie mobiele apps, omdat de apps gebruikers illegaal zouden volgen. Meer informatie over de klachten is te vinden op de website van de organisatie.
Regelgevers in de EU worden eindelijk opgeroepen om de wet tegen mobiele apps te handhaven. Maar wat is het probleem met trackers en mobiele apps en waarom zijn deze zaken van belang?
- Een over het hoofd gezien probleem
- Hoe werkt mobiele tracking?
- Is mobiele tracking verontrustend?
- Wat zegt de GDPR over mobiele tracking?
- Wat is er te weten over de zaken?
- Waarom zijn deze zaken belangrijk?
- Zullen er dingen ten goede veranderen?
Een over het hoofd gezien probleem
Tracking en behavioral advertising zijn al een tijdje een heet hangijzer in de privacygemeenschap. Dat is geen verrassing, want talloze bedrijven vertrouwen op tools zoals Meta's Pixels of Google Analytics.
Er is veel nieuws geweest over dit onderwerp, van Meta's boete van €400 miljoen voor het onrechtmatig volgen en profileren van Facebook- en Instagram-gebruikers tot de lopende procedure van de Belgische DPA over het Transparancy and Consent Framework van IAB Europe.
Mobiele apps krijgen niet dezelfde aandacht als traditionele, op cookies gebaseerde trackingtechnologie. Laten we eens nader bekijken hoe apps hun gebruikers volgen en waarom app-tracking een enorme bedreiging vormt voor de privacy.
Hoe werkt mobiele tracking?
Je bent waarschijnlijk bekend met tracking op basis van cookies op internet. Bedrijven willen bezoekers identificeren om de prestaties van hun websites en marketingcampagnes te evalueren. Vaker wel dan niet willen ze hun bezoekers ook volgen op het web om gepersonaliseerde advertenties weer te geven op basis van persoonlijke gegevens zoals interesses, locatie, demografische gegevens, enzovoort.
De meeste websites doen dit door cookies in de browser van de gebruiker te plaatsen - wat volgens de EU-wetgeving alleen kan met toestemming van de gebruiker (de algemene regels zijn iets ingewikkelder dan dat, maar dit is in een notendop hoe het werkt voor web analytics).
Mobiele tracking is anders: apps halen gegevens rechtstreeks van het apparaat van de gebruiker en sturen deze naar het moederbedrijf van de software development kits (SDK's) die in de apps zijn ingebouwd.
SDK's zijn een soort "bouwstenen" waarmee softwareontwikkelaars gemakkelijker een app kunnen maken. Een SDK is in wezen een kant-en-klare bundel code waarmee apps taken kunnen uitvoeren zoals gebruikers authenticeren, informatie ophalen uit een API, gegevens delen, enzovoort. Bedrijven kunnen veel ontwikkelingstijd besparen door een SDK in hun app op te nemen in plaats van complexe functies vanaf nul te programmeren.
SKD's zijn erg nuttig voor softwareontwikkelaars. In de snelle, zeer concurrerende markt voor mobiele apps wedijveren bedrijven voortdurend met elkaar om een niche te veroveren voordat de concurrentie hen voor is. Het is essentieel voor ontwikkelaars om het product snel uit te brengen en SDK's zijn de eenvoudigste manier om dat te doen. Het gebruik van SDK's is vrij standaard in de industrie en we hebben er allemaal verschillende op onze smartphones.
Maar er zit een addertje onder het gras. SDK's worden meestal gratis beschikbaar gesteld, maar bevatten code die informatie onttrekt aan eindgebruikers en deze doorgeeft aan het bedrijf dat de kit heeft ontwikkeld. Ontwikkelaars krijgen SDK's dus gratis en jij betaalt ervoor met je gegevens wanneer je de app downloadt.
Is mobiele tracking verontrustend?
Als je onze blog volgt, weet je waarschijnlijk dat we niet de grootste fans van cookies zijn. Tracking via mobiele apps is om verschillende redenen nog erger.
Ten eerste zijn apps stiekem. Je kunt je cookies met een paar klikken controleren via je browser, maar het kost veel werk en kennis om erachter te komen welke gegevens je apps van je telefoon verzamelen.
De klachten van Noyb zijn een goed voorbeeld. De website van de organisatie legt in detail uit hoe Noyb ontdekte welke persoonlijke gegevens werden verzameld en gedeeld. Noyb roootte eerst een apparaat en gebruikte vervolgens software van derden om uitgaand verkeer vast te leggen en te ontsleutelen. Niet erg gebruiksvriendelijk.
Bovendien geven browsers gebruikers controle over cookies, omdat ze met een paar klikken kunnen worden gewist. Gebruikers hebben een dergelijke controle niet over mobiele apps.
De toegangsautorisatiesystemen in de meeste besturingssystemen bieden de gebruiker een zekere mate van controle over het verzamelen van gegevens, bijvoorbeeld door de toegang tot locatiegegevens of de microfoon van het apparaat te weigeren. Andere persoonlijke gegevens worden echter niet vergrendeld achter het machtigingssysteem. Bovendien hebben sommige apps de gegevens gewoon nodig om te kunnen werken, waardoor de gebruiker in feite wordt gechanteerd om onnodige gegevens te verstrekken.
Cross-device tracking is ook triviaal voor mobiele apps omdat veel gebruikers dezelfde apps op verschillende apparaten installeren en inloggen met hetzelfde profiel.
Tot slot gebruiken veel apps dezelfde SDK's en geven ze gegevens door aan dezelfde bedrijven, waaronder de gebruikelijke verdachten zoals Google en Meta. Deze centralisatie vormt een aanzienlijk privacyrisico: de gegevens die door bepaalde apps worden verzameld, kunnen onschuldig lijken, maar zeer onthullend zijn wanneer ze worden gecombineerd met gegevens van andere apps.
Stel dat je een app voor geestelijke gezondheid en een app voor het bijhouden van calorieën gebruikt. Je gebruikt ze vaak samen omdat je geneigd bent troost te zoeken in eten als je je verdrietig of angstig voelt. Als de apps worden aangestuurd door dezelfde SDK's, zie je mogelijk advertenties voor de levering van voedsel wanneer je een website bezoekt nadat je de app voor geestelijke gezondheid hebt gebruikt. Door gegevens van je apps te combineren, kan de ontwikkelaar van de SDK profiteren van je comfortzoekende gedrag.
Dit is slechts een voorbeeld van de onethische en roofzuchtige reclamestrategieën die mogelijk worden gemaakt door de centralisatie van persoonlijke gegevens op de mobiele reclamemarkt. Stel je voor wat bedrijven kunnen doen met een paar apps meer op je telefoon.
Wat zegt de GDPR over mobiele tracking?
We hebben al regels om ervoor te zorgen dat mobiele apps de privacy van gebruikers respecteren - we hebben ze alleen nog niet genoeg gehandhaafd.
Volgens de ePrivacy-richtlijn is toestemming vereist voor het lezen en schrijven van alle gegevens op het apparaat van de gebruiker. Dit omvat de tracking-ID's die SDK's meestal op mobiele apparaten schrijven, evenals andere economisch waardevolle gegevens zoals locatiegegevens. In de praktijk negeren veel apps deze vereiste volledig of persen ze toestemming af door te weigeren te werken tenzij de gebruiker hen de gegevens geeft die ze willen (wat niet is toegestaan onder de GDPR).
(Voor de duidelijkheid: apps mogen best om gegevens vragen die ze echt nodig hebben. Google Maps heeft je locatie nodig, Tinder niet!)
Transparantie is ook behoorlijk problematisch voor apps. Onder de GDPR is het verplicht om, wanneer iemand je gegevens verzamelt, je te voorzien van een aantal essentiële gegevens: welke gegevens worden verzameld, door wie, voor welk doel, of ze worden gedeeld met derden, enzovoort. Maar de meeste apps bieden een onvolledig privacybeleid omdat bedrijven zelf vaak geen idee hebben welke gegevens hun apps verzamelen via SDK's.
Wat is er te weten over de zaken?
De klachten van Noyb richten zich op drie populaire mobiele apps op de Franse markt: FNAC, Se Loger en MyFitnessPal (die toevallig gebruikmaakt van de SDK's van MoPub). Zoals uitgelegd in deze voorbeeldklacht, beweert Noyb dat de apps op onwettige wijze gegevens verwerken zonder toestemming van de gebruiker, wat in strijd is met de ePrivacy-richtlijn van de EU en de Franse wetten die deze implementeren. Noyb beweert ook dat de apps het GDPR-beginsel van gegevensbescherming door ontwerp en standaard schenden door onnodige gegevens te verzamelen.
Het is vermeldenswaard dat de Franse autoriteit voor gegevensbescherming (CNIL) onlangs een aantal hoge boetes heeft uitgedeeld over illegale tracking(waar we over schreven). Wij denken dat noyb een sterke zaak heeft en dat de CNIL de zaak heel serieus zal nemen. Natuurlijk zal alleen de tijd het leren.
Wat betreft de class action tegen X Corp, de website van de SDBN beweert dat duizenden apps zonder toestemming persoonlijke gegevens hebben verzameld via de trackers van MoPub. Afgezien daarvan weten we niet veel, omdat het persbericht van de organisatie de rechtszaak alleen in grote lijnen beschrijft.
Het is de moeite waard om op te merken dat de organisatie optreedt namens miljoenen mensen, wat zou kunnen resulteren in aanzienlijke schadevergoedingen die worden toegekend door Nederlandse rechtbanken.
Waarom zijn deze zaken belangrijk?
Zoals we hebben uitgelegd, krijgen de privacykwesties die mobiele apps oproepen niet de aandacht die ze verdienen en is er tot nu toe weinig rechtshandhaving geweest tegen uitgevers van mobiele apps en SDK-distributeurs.
De rechtszaken van SDBN en Noyb zullen daar hopelijk verandering in brengen. Noyb is een bekende organisatie in de privacygemeenschap en de CNIL is een invloedrijke autoriteit. De klachten van Noyb zullen zeker de aandacht trekken als ze goed uitpakken voor de NGO.
Voor SDBN kan de rechtszaak X Corp veel geld kosten. Maar het belangrijkste is dat er indirect duizenden apps bij betrokken zijn, waaronder populaire diensten als Shazam en MyFitnessPal. Deze rechtszaak kan dus gevolgen hebben voor de trackers in talloze diensten.
Zullen er dingen ten goede veranderen?
We hopen van wel en er zijn redenen om optimistisch te zijn.
Centralisatie maakt de mobiele advertentiemarkt winstgevend, maar kan het bedrijfsmodel ook kwetsbaar maken voor rechtszaken. Een succesvolle rechtszaak tegen de eigenaars van alomtegenwoordige SDK's kan gevolgen hebben voor duizenden apps en golven door de hele markt sturen - vooral als een zaak zijn weg zou vinden naar het Europese Hof van Justitie of de Europese Raad voor Gegevensbescherming.
Bovendien zullen toekomstige klachten tegen mobiele tracking waarschijnlijk onder de ePrivacy-richtlijn vallen en het notoir inefficiënte systeem van de GDPR voor de behandeling van grensoverschrijdende zaken omzeilen. Dit kan leiden tot snellere procedures, omdat klachten worden behandeld in de staat waar ze zijn ingediend in plaats van heen en weer te stuiteren tussen verschillende lidstaten.
Mobiele apps doemen al jaren op de achtergrond van onze telefoons op en hamsteren op grote schaal persoonlijke gegevens. Hopelijk vestigen deze rechtszaken de aandacht op het probleem van mobiele tracking en zetten ze toezichthouders aan tot strengere handhaving op de lange termijn.
Zoals je waarschijnlijk al hebt begrepen, houden wij niet van tracking. Wij vinden het onverantwoordelijk, gevaarlijk en onethisch. Daarom hebben we Simple Analytics gemaakt om onze klanten alle inzichten te geven die ze nodig hebben, zonder persoonlijke gegevens van de eindgebruiker te verzamelen. Als dit u aanspreekt, probeer ons dan gerust uit!