Overgrote deel apps overdrijft met toestemming vragen

[Gast RSS-bot]

Meer dan 85% van alle apps geven niet eens de meest basale privacyrelevante informatie, zo las ik bij The Register. En een op de drie apps vraagt excessief meer toestemmingen dan ze eigenlijk nodig zouden hebben. Schokkend, maar eigenlijk niet verbazingwekkend. Het onderzoek is van de Global Privacy Enforcement Network (GPEN) waar onder meer de Engelse en Nederlandse privacyautoriteiten deel aan nemen.

Omdat apps best veel kunnen qua privacy, hebben zowel Apple als Google ingebouwde beveiligingen. Je mag als app bepaalde dingen niet doen als die aan de privacy van de gebruiker raken, tenzij je daar toestemming voor hebt gevraagd. Dit gaat dan op de typische techneutenmanier: we mogen iets niet zomaar van Legal, dan vragen we de gebruiker om toestemming en dan kunnen we verder. Een stuk eenvoudiger immers dan je app herbouwen zodat de vraag overbodig is.

Ergerlijk. Maar goed, er komt dus een popup die vraagt “Deze app wil je gps coördinaten” uitlezen en daar kun je ja op zeggen anders mag je de app niet installeren of de update niet gebruiken. Lekker dan. Wie gaat er in die situatie nee zeggen? Ik negeer het ook, hoe vaak ik ook denk “waaróm wil je dat, je bent een zaklamp/spelletje/bankierapp”.

De GPEN pleit zoals toezichthouders wel vaker doen voor meer informatie: mensen uitleggen hoe het werkt, zodat ze daarna met een gerust hart ja of nee kunnen zeggen. Dat gaat ‘m niet worden maar het idee van een gelaagde privacyverklaring is niet verkeerd. Het idee is dat je per permissie kort uitlegt wat en hoe, en wie wil kan doorklikken naar een extra tab.

Maar waarom moeten appbouwers hier het wiel in uitvinden? Laten we de appstores verplichten om dit model te hanteren. Eis dat ze bij een toestemmingsvraag een toelichting laten opnemen. Niet in een privacyverklaring, niet in de app-informatietekst en niet in een “Over ons/Privacy” menu in je app. Nee, gewoon bij de vraag. “Deze app wil je gps coördinaten uitlezen omdat het een navigatie-app is, duh” of “Deze app wil je gps coördinaten uitlezen om lokatiegebonden advertenties te vertonen”.

Natuurlijk is dit lastiger te handhaven dan het technische model dat appstores nu hanteren. Je kunt als beheerder alleen vaststellen of er toestemming is voor functionaliteit, nagaan waaróm die toestemming is verleend (en met welke gedachte bij de gebruiker) is niet echt te programmeren. Maar daar is menselijke controle denk ik een prima alternatief, zeker omdat mensen vrij snel door zullen hebben wanneer toestemming op grond A wordt gevraagd en voor grond B wordt ingezet.

Bij voorkeur zouden mensen dan ook nog eens per toestemmingsvraag ja of nee moeten kunnen zeggen, en als ze nee zeggen dan mag de app best crippled raken maar installatie mag dan niet worden geweigerd. Maar dat lijkt me een brug te ver voor app-ontwikkelaars.

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Bron/Auteur: Arnoud Engelfriet