image

In veel apps zit code voor monitoring en analyse zonder melding in de privacyverklaring. Hoe zit dat?

woensdag 11 september 2024, 12:15 door Arnoud Engelfriet, 5 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: In diverse apps die ik gebruik, zie ik dat er code voor monitoring en analyse is ingevoegd. Diensten als DuckDuckGo App Tracking Protection noemen dit een verborgen tracker, en melden dat er meer dan 30 privacy items doorgegeven worden. Ik lees hier niets over in de privacyverklaring. Hoe zit dat juridisch?

Antwoord: Er zijn inderdaad heel veel frameworks voor applicatieontwerp die voor het gemak (van de developer) alvast maar wat monitoring/profiling/analyse tools toevoegen. De bedoeling daarvan klinkt onschuldig: op een gestandaardiseerde manier app-gebruik vastleggen zodat de ontwikkelaar problemen kan oplossen, inzicht in onvoorzien gebruik krijgt enzovoorts.

De bedoeling is dat die informatie anoniem is. Maar let op: die term moet je lezen in de Amerikaanse context van "personally identifiable information" (PII), een veel beperkter begrip van informatie over mensen dan ons begrip "persoonsgegeven". Iets is PII als het, in AVG termen, direct herleidbaar is. Indirect herleidbare informatie is géén PII maar nog steeds wel een persoonsgegeven.

Gegevens zoals van naam en emailadres ontdane gebruikslogs zijn dus geen PII en mogen in de VS dus worden gebruikt zoals je goeddunkt. Dat dit in Europa anders werkt, maakt deze (Amerikaanse) aanbieders niet zo veel uit. De Europese klant hoort alleen dat het in lijn is met heersende privacywetgeving en denkt AVG-proof te zijn.

Uiteraard hangt het af van wat de app precies doet en naar wie de gegevens gaan, en dat kan ik zo algemeen in een blog niet bespreken. Maar dit is wel iets waar de aanbieder van de app (dus de bank, verzekeraar of andere partij wiens merk erop staat) uitsluitsel over moet geven. Dit zou je in eerste instantie in de privacyverklaring moeten kunnen nalezen. Als dat te weinig informatie geeft (en die kans is groot), dan is de volgende stap om de privacy officer te benaderen.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (5)
11-09-2024, 12:40 door Anoniem
Voor trackers in apps gelden dezelfde regels als voor cookies: als het niet technisch noodzakelijk is voor de werking van de app dan is toestemming nodig. Dit staat in de ePrivacy-verordening.
12-09-2024, 19:38 door karma4
De aanbieder is ook verplicht om te controleren of het om de juiste persoon gaat vanuit de privacy wetgeving.
Hier is een onwerkbare tegenspraak ontstaan vanuit eenzelfde wet. Deze dichotomie zal niet houdbaar zijn.
13-09-2024, 10:03 door Anoniem
Heel leuk bedacht nadat ik de cookies geweigerd en ik het uiteindelijk deze weigering ging controleren stond het wederom ingeschakeld.
En dat zie je bij veel website terug het verdienmodel is groter dan de boete die men krijg van AP. Deze word bewust onderbezet gehouden.
13-09-2024, 14:31 door Anoniem
Door karma4: De aanbieder is ook verplicht om te controleren of het om de juiste persoon gaat vanuit de privacy wetgeving.
Hier is een onwerkbare tegenspraak ontstaan vanuit eenzelfde wet. Deze dichotomie zal niet houdbaar zijn.
Het is niet waar de vraag over gaat, de meeste aanbieders hebben dat soort verplichtingen helemaal niet, en als het dan toch moet kan het niet alleen in alle openheid, de wet vereist die openheid ook.

Probeer het nog eens ;-)
14-09-2024, 11:45 door Anoniem
Dit is de reden dat ik doorgaans alle trackers blokkeer. Ik gebruik E/OS op mn telefoon, deze blokkeert over de 20 apps die ik heb ongeveer 100.000 "leaks" per jaar en voorkomt dat je echte geo locatie wordt doorgestuurd naar o.a. Google. Ik gebruik een VPN die automatisch trackers blokkeert (en advertenties). En ik gebruik Brave browser en gebruik diverse Virtual Machines voor diverse doeleinden, en vernieuw deze elke week, zodat super cookies verwijderd worden en het beschermd tegen virussen etc. Pas toen ik E/OS ging gebruiken, kwam ik er achter wat voor spionage tool een normale smartphone eigenlijk is, maar ook een browser waarbij je ingelogd bent bij bijv. Google kan veel data naar hun doorsluizen over je surfgedrag. Hoeveel sites gebruiken google fonts/ analytics? Deze script includen op een site kan ervoor zorgen dat je surfgedrag bekend wordt bij Google. Inderdaad Amerikaanse wetgeving is anders dan Europese. Niet mijn probleem, blokkeren die handel, en mogelijk alleen toestaan wanneer ik daar toestemming voor geef en niet andersom, dit kan met bovengenoemde tools.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.