GPEN Privacy Sweep 2014: mobile apps

We gaven het in mei van dit jaar al mee: de GPEN, een wereldwijd netwerk van nationale Privacycommissies en -commissarissen, heeft een nieuwe sweep uitgevoerd. Het doelwit was deze keer niet de websites, maar de mobiele apps. Het opzet bleef hetzelfde: worden de privacyrechten van de burgers gerespecteerd.

Mobiele apps zijn enorm talrijk, gaande van een eenvoudige zaklamp of een decibelmeter tot running apps die routes, locaties, calorieverbruik, hartslag en andere vitale informatie verwerken. Om goed te functioneren, hebben apps doorgaans toegang nodig tot bepaalde persoonsgegevens zoals de eigen identiteit, gezondheidsgegevens, contacten, vriendenlijsten of locatievoorzieningen.

Het opzet van de GPEN bestond erin om niet minder dan 1.211 apps door te lichten. De sweep is volledig uitgevoerd en dit zijn alvast de eerste bevindingen:

1. Onvoldoende transparantie:

Driekwart van de onderzochte apps vroegen toegang tot één of meerdere functies en gegevens. Doorgaans wordt toegang gevraagd tot locatievoorzieningen, serienummers, andere accounts, de camera of de contactenlijst. GPEN meende dat de gevoeligheid van de gevraagde gegevens niet in verhouding stond met de gevraagde toestemmingen. Meer transparantie is bijgevolg noodzakelijk.

Hoe moet het dan wel?

– Wees specifiek bij het verstrekken van informatie aan de gebruikers.

– Spreek de taal van het doelpubliek.

– Geef ook aan wanneer je géén persoonsgegevens verwerkt.

2. Niet-relevante gegevens:

Bij 31% van de onderzochte apps was het voor de onderzoekers niet duidelijk wat de relevantie was van bepaalde gevraagde informatie voor het nuttige gebruik van de app.

Slechts 15% van de apps gaven duidelijk te kennen welke gegevens wél en welke niét werden verwerkt, en ook waarom.

Hoe moet het dan wel?

– Geef aan waarom welbepaalde gegevens noodzakelijk zijn voor de goede werking van de app.

– Indien toegang wordt gevraagd tot een sociaal media-account, geef precies aan welke data zal worden gedeeld en waarom.

– Toestemming voor toegang tot bepaalde gegevens betekent nog geen toestemming voor het verzamelen, gebruiken of doorgeven van die gegevens!

3. Onduidelijk privacybeleid:

Meer dan de helft van de onderzochte apps kregen een onvoldoende omdat het privacybeleid hetzij afwezig (30%), hetzij onvoldoende (24%) was.

Bij 43% van de onderzochte apps hadden de onderzoekers klachten omtrent het privacybeleid. Dikwijls werd het privacybeleid onhandig weergegeven op het kleine scherm van smartphones. Doorgaans is het privacybeleid veel te uitgebreid, waarbij de gemiddelde gebruiker ontmoedigd wordt door de “wall of text” en het langdurige scrollen.

Bij 59% van de apps kon de privacygerelateerde informatie na de installatie van de app amper nog gevonden worden.

Hoe moet het dan wel?

– Pas het privacybeleid aan de drager aan.

– Werk met groter lettertype, pop-ups, overlays en just-in-time berichten.

– Maak het privacybeleid te allen tijde toegankelijk, zowel in de app zelf, als via een link naar een website.