10 sep
2014

Een internationale privacy-sweep brengt bezorgdheden aan het licht rond apps

Duidelijke en beknopte privacyverklaringen creëren een gevoel van vertrouwen bij de consument en zijn winstgevend volgens de privacycommissies die hebben deelgenomen aan de internationale sweep van dit jaar, waarbij meer dan 1 200 apps onder de loep werden genomen.
eva.wiertz@apd-gba.be


OTTAWA, 10 september 2014 – Nu de populariteit van apps letterlijk boomt, proberen heel wat van die applicaties toegang te krijgen tot grote hoeveelheden persoonsgegevens, zonder fatsoenlijk uit te leggen voor welke doeleinden de gegevens gebruikt zullen worden. Dat werd vastgesteld door de deelnemers aan de tweede jaarlijkse privacy-sweep van het Global Privacy Enforcement Network (GPEN).

De resultaten van de sweep geven een overzicht van de soorten toestemmingen die sommige wereldwijd erg populaire apps vragen en van de manier waarop organisaties hun klanten informeren over hun privacybeleid.

De 1 211 onderzochte apps omvatten Apple- en Android-applicaties, zowel gratis als betalend, en apps uit de publieke en private sector, van spelletjes over gezondheids- en fitheidsapplicaties tot nieuwsapps en bankapps. In België concentreerde de Autoriteit zich op 4 sectoren: gezondheid, spelletjes, kantoorapps en Belgische apps.

De deelnemers onderzochten de soorten toestemming die de apps vroegen en probeerden daarbij te bepalen of die toestemmingen méér vroegen dan wat verwacht zou worden op basis van de functies van de app. Ze bestudeerden vooral de manier waarom  de apps aan de klanten uitlegden waarom persoonsgegevens gevraagd werden en voor welke doeleinden ze gebruikt zouden worden.

Zesentwintig privacycommissies uit de hele wereld namen deel aan de sweep, die plaatsvond van 12 tot 18 mei 2014, terwijl er vorig jaar 19 deelnemers waren. De stijging van het aantal deelnemers toont aan dat privacycommissies meer vastberaden dan ooit zijn om hun krachten te bundelen en zo de bescherming van persoonsgegevens te bevorderen.

Dit initiatief van het GPEN is bedoeld om organisaties ertoe aan te zetten de privacywetgeving te respecteren en de samenwerking te vergroten tussen de instanties die toezien op de naleving van deze wetgeving. De bezorgdheden die naar voren kwamen tijdens de sweep zullen aanleiding geven tot follow-upmaatregelen, zoals sensibilisering van organisatie en een grondige analyse van de privacybepalingen van apps en van maatregelen ter uitvoering van de wetgeving.

Wat opviel tijdens de sweep van 2014

  • Drie vierden van de onderzochte apps vroegen tenminste één toestemming, die meestal de locatie betrof, of het identificatienummer van het toestel en toegang tot andere accounts, tot de camera en tot contacten. De verhouding tussen de apps die toestemmingen vroegen en de eventuele gevoelige aard van de gevraagde gegevens toont duidelijk aan dat apps transparanter moeten zijn.
  • In ongeveer 59% van de gevallen vonden de app-sweepers het moeilijk om informatie te vinden over privacy vóór ze de apps installeerden. Heel wat apps gaven vóór de download weinig informatie over de doeleinde van de inzameling of het gebruik van gegevens, of ze bevatten links naar webpagina's met een privacy policy die niet aangepast was aan de applicatie. In andere gevallen werd gelinkt naar pagina's op sociale media die niet werkten, of moest de gebruiker inloggen. Het was soms moeilijk na te gaan wie de bedenker of de verantwoordelijke voor de verwerking van de gegevens was.
  • De app-sweepers toonden zich bezorgd over de aard van de gevraagde toestemmingen voor bijna één derde (31%) van de onderzochte apps. Zij hadden de indruk dat de toestemmingen verder gingen dan wat je zou kunnen verwachten op basis de functies van de app, tenminste volgens wat zij begrepen hadden van de app en de bijhorende privacyverklaring. In België stelden de "sweepers" vast dat 20% van de apps toegang vroeg tot de geolokalisatiegegevens.
  • De privacyverklaringen van zo'n 43% van de apps waren niet bedoeld om op een klein scherm te lezen. De app-sweepers klaagden over de kleine lettergrootte en de lengte van de privacyverklaringen, waarin ze moesten scrollen of die ze moesten raadplegen door verschillende pagina's te openen. Goeie praktijken die werden vastgesteld zijn privacyverklaringen in pop-upvensters, informatie die over andere informatie getoond wordt en berichten die aan de gebruiker getoond worden net op het moment dat gegevens potentieel verzameld of gebruikt zullen worden.
  • De apps die de privacy het meest respecteerden gaven een korte en makkelijk te begrijpen uitleg over de gegevens die al dan niet zouden worden verzameld volgens elke toestemming. Duidelijke informatie over de verzameling, het gebruik of het doorgeven van persoonsgegevens werd slechts in weinig gevallen getoond (15% van de apps). In België daalt dit cijfer zelfs onder 1%. Daarenboven geeft 60% van de geteste apps geen enkele informatie, of onaangepaste informatie.
  • Tot slot willen we nog vermelden dat erg populaire online verkrijgbare apps bij de best scorende applicaties waren, wat duidelijk aantoont dat gegevens verzamelen niet schadelijk is voor de verkoop als dit goed wordt uitgelegd aan de gebruiker.

Welke initiatieven zal de Autoriteit nemen na de app sweep?

De privacycommissies die aan de sweep hebben deelgenomen, kunnen verdere initiatieven nemen op basis van de resultaten en de bevoegdheden van deze Gegevensbeschermingsautoriteit in elk land. In België zal de Autoriteit contact opnemen met de sector (app-ontwikkelaars en hun klanten als verantwoordelijken voor de gegevensverwerking). Bij flagrante overtredingen van de Privacywet zal zij de betrokken actoren in gebreke stellen. Indien nodig zal de Autoriteit hun dossier ook doorgeven aan de bevoegde autoriteiten (Federal Computer Crime Unit, parket en FOD Economie).

Op internationaal niveau zal de Autoriteit een gecoördineerde aanpak voorstellen tijdens de volgende wereldconferentie van privacycommissies begin oktober.

Over het Global Privacy Enforcement Network (GPEN)

Het Global Privacy Enforcement Network werd opgericht in 2010 na een aanbeveling van de Organisatie voor economische samenwerking en ontwikkeling. Bedoeling is de internationale samenwerking te bevorderen tussen privacy-instanties in een steeds meer geglobaliseerde markt waarin handels- en consumptieactiviteiten steunen op continu gegevensverkeer over de grenzen heen. De leden van het GPEN willen hun krachten bundelen om persoonsgegevens beter te bescherming in deze geglobaliseerde context. Dit informele netwerk bestaat uit 51 privacycommissies uit 39 landen over de hele wereld.

Vragen? Contacteer Eva Wiertz, communicatieverantwoordelijke

+32 (0)2 274 48 08 of +32(0)473 85 15 97

eva.wiertz@apd-gba.be