Is de verplichte registratie van Android app-ontwikkelaars werkelijk toegestaan onder de EU Digital Markets Act?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Allerlei partijen maken zich zorgen over de plannen van Google voor de verplichte registratie van app-ontwikkelaars. Volgens Google zou dit gebruikers juist tegen "bad actors" moeten beschermen, maar het maakt het downloaden van apps via alternatieve app stores behoorlijk ingewikkeld. Is dit werkelijk toegestaan onder de EU Digital Markets Act?
Antwoord: De Digital Markets Act is in 2022 ingevoerd om eindelijk niet meer achter Big Tech aan te hoeven rennen. Het klassieke mededingingsrecht biedt natuurlijk de optie om alle vormen van machtsmisbruik aan te pakken, maar als je zo veel geld (en advocaten) hebt als FAANG en MANGO dan duurt het jaren, zo niet decennia voordat dit definitief uitgevochten is. En ondertussen is je markt allang kapot.
De DMA benoemt simpelweg een trits praktijken die niet mogen, en een pakket met eisen waar "poortwachters" van grote "kernplatformdiensten" aan moeten voldoen. De Commissie kan bij overtreding direct ingrijpen en boetes of bindende aanwijzingen opleggen. Natuurlijk kun je dan naar het Hof van Justitie, maar een stuk gestroomlijnder is het in ieder geval.
Eén van die eisen is dat een ecosysteem zoals Android meerdere afrekenmogelijkheden en appstores moet kunnen hebben (art. 6 lid 4). Voor Android is F-Droid de bekendste, en die heeft grote moeite met Google's voorgenomen openstelling van deze optie bij Android.
De reden is dat Google er meteen de voorwaarde bij stelt dat iedere Android developer zich bij Google moet registreren. Dit maakt gebruik van F-Droid heel moeilijk: zij kunnen niet afdwingen dat hun gebruikers dat doen, en de enige optie is dan dat F-Droid zichzelf voordoet als de maker van alle via hun appwinkel aangeboden apps. En dat werkt niet.
Google draagt als reden aan dat ze zo malafide apps buiten de deur wil houden. Een formele identiteitscheck zal bad actors immers wel afschrikken (niet lachen daar achterin). Maar Google hééft al een uitgebreide set maatregelen hier tegen (Play Protect) dus dat voelt wat gezocht.
Mag het van de DMA, die eis van Google? Heel algemeen lijkt het erop van wel: "Het wordt de poortwachter niet belet maatregelen, voor zover die strikt noodzakelijk en evenredig zijn, te treffen om ervoor te zorgen dat softwareapplicaties of appstores van derden de integriteit van de door hem ter beschikking gestelde hardware of besturingssystemen, niet in gevaar brengen, op voorwaarde dat dergelijke maatregelen naar behoren gemotiveerd worden door de poortwachter."
Op het eerste gezicht kun je Google's "zorgen om malware" en gekozen maatregel van identiteitscontrole dus niet terzijde schuiven. Ik maak me zorgen dat het effect op F-droid te subtiel is, veel mensen nemen al snel genoegen met "dit moet voor de security". Het wetsartikel eist natuurlijk een uitgebreide motivatie, en die zou ik dus wel eens willen lezen.
Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.
Beveiliging is slechts een excuus.
Google heeft Android de laatste tijd flink in de duimschroeven gedraaid wanneer het aankomt op openheid, dit is te zien aan hoe se AOSP hebben behandeld en de manier waarop beveiligingsupdates worden vertraagd.
Het wordt tijd voor alternatieven, en zo zijn er nog meer vam dat soort problemen.
Ikzelf neem een mobiele PC met Linux, en ja, dat is minder veilig voor onderweg, maar ik wil niet afhankelijk zijn van een proprietaire partij die mijn metadata verkoopt, ik wil mijn vrijheid en autonomie, dat is minstens zo belangrijk.
Maar de achterdeurtjes en geitenpaadjes die de lobbyindustrie dan toch altijd weer in zelfs Europese wetten geluld weet te krijgen, best indrukwekkend!
Als ik Google was dan zou ik heel mijn blokfluit uit mijn broek lachen.
Er is maar één lachende derde. Dat is Ouwe Neel. Die trees die nu bij Uber werkt.
U en ik hebben mooi het nakijken alweer.
Maar de achterdeurtjes en geitenpaadjes die de lobbyindustrie dan toch altijd weer in zelfs Europese wetten geluld weet te krijgen, best indrukwekkend!
Als ik Google was dan zou ik heel mijn blokfluit uit mijn broek lachen.
Er is maar één lachende derde. Dat is Ouwe Neel. Die trees die nu bij Uber werkt.
U en ik hebben mooi het nakijken alweer.
https://nl.wikipedia.org/wiki/Neelie_Kroes
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?