Hoe vanzelfsprekend is privacy op het internet nog?
Talloze datalekken, privacyschandalen, steeds persoonlijker advertenties en een nieuwe privacywet hebben een gemene deler: je digitale beveiliging en privacy zijn actueler en belangrijker dan ooit. Hoe staat de wereld er anno 2019 voor en wat kun je doen om je online privacy te verbeteren? Computer!Totaal sprak met deskundigen en betrokkenen over misschien wel de interessantste ontwikkeling in de techwereld.
Misschien gebruik je een digitale spraakassistent, bijvoorbeeld Siri op je iPhone. Wellicht heb je een slimme luidspreker in huis – zo’n Google Home (Mini), Amazon Echo of (een niet in Nederland verkrijgbare) Apple HomePod. De luidsprekers gebruiken slimme spraakassistenten om je vragen te beantwoorden, muziek op te zetten en je slimme verlichting en thermostaat te bedienen. Hartstikke handig natuurlijk! Wereldwijd zijn er al miljoenen slimme luidsprekers verkocht en experts verwachten dat de markt explosief blijft groeien.
Dat aan deze productgroep ook een nadeel kleeft, daar kwamen veel (potentiële) gebruikers pas afgelopen zomer achter. Toen schreven (inter)nationale media opeens dat zowel Google als Apple duizenden medewerkers de hele dag laat luisteren naar gesprekken die jij met je slimme assistent voert. Een klokkenluider deelde meer dan duizend Nederlandstalige audiofragmenten van Google Assistent met het Belgische VRT. NU.nl sprak met een oud-medewerker die in opdracht van Apple Nederlandstalige Siri-opnamen beluisterde. Dat gebeurt allemaal zonder expliciete toestemming van jou als gebruiker, want in de algemene voorwaarden van de spraakassistent wordt helemaal niet gerept over menselijke analyse.
Spraakopnamen niet anoniem
De duizenden medewerkers van de techbedrijven horen niet alleen dat jij een liedje van Ed Sheeran aanvraagt, maar ook dat je ruzie maakt met je partner, de liefde bedrijft of de arts vertelt dat jouw ongeneeslijke ziekte je sloopt. Zeer intieme informatie waar je spraakassistent niets mee te maken heeft dus, maar die toch stiekem opgenomen en geanalyseerd wordt. Dat gebeurt alleen om de software achter de assistent slimmer te maken, verklaarden de techreuzen toen ze betrapt werden. Bovendien, stellen zij, wordt slechts een te verwaarlozen deel van de fragmenten beluisterd. Het zou gaan om 0,02 tot 1 procent van de opnamen wereldwijd. Dat zijn alsnog tienduizenden fragmenten per dag.
De claim dat de opnamen anoniem zijn, bleek eveneens niet te kloppen. Klokkenluiders vertelden dat de gesprekken vaak zo veel persoonlijke informatie bevatten dat je met wat zoeken zo bij de eigenaar uitkomt. Siri stuurde bijvoorbeeld je contacten en locatie mee.
Alleen actie na ophef
Slechts uren na de enorme ophef maakten zowel Google als Apple bekend voorlopig te stoppen met het menselijk analyseren van opnamen van hun spraakassistenten. Amazon, dat al in april werd betrapt, introduceerde een dag later een knop in zijn app waarmee gebruikers zich kunnen afmelden voor deze analysevorm.
“Dergelijke relletjes zijn vooral symptomatisch voor de bedrijfscultuur bij al deze techgiganten”, stelt Esther Crabbendam van privacyorganisatie Bits of Freedom. “Ze doen waar ze zin in hebben, zonder klanten om toestemming te vragen, zonder transparant te zijn over hun methoden. En als ze betrapt worden, zeggen ze sorry en passen ze wat kleine lettertjes in de Algemene Voorwaarden aan.” Apple en Google nemen inderdaad hun voorwaarden nog eens onder de loep om te kijken hoe ze hun tientallen miljoenen gebruikers beter kunnen informeren over de menselijke spraakanalyse.
Tech niet transparant
Een deel van de gebruikers zegt: ik wil mijn slimme spraakassistent (blijven) gebruiken, maar dan wel met de zekerheid dat er niemand meeluistert. Andere mensen zeggen: spraakanalyse hoort erbij en als je dat niet wilt, is het logisch dat de aanbieder jou de dienst mag weigeren. Advocaat Martijn Poulus van Ploum houdt zich veel bezig met privacywetgeving en zegt dat het gebruik van spraakassistenten een gecompliceerde zaak is. De diensten verwerken veel persoonsgegevens en moeten daarom goed aan de wet voldoen. De privacywet schrijft voor dat de fabrikanten de voorwaarden voor het gebruik van persoonsgegevens duidelijk uiteenzetten. Dat is de afgelopen tijd niet het geval geweest. Poulus vindt echter dat het gebruik van persoonsgegevens een onlosmakelijk onderdeel vormt van de dienst. “Spraakassistenten werken nu eenmaal omdat ze jouw stem opvangen. Ik vind het dus heel goed verdedigbaar dat je mensen, nadat je ze goed hebt geïnformeerd over wat je met de persoonsgegevens doet, vraagt akkoord te gaan met de voorwaarden. Dat betekent ook dat je iemand die géén toestemming geeft voor het gebruik van zijn persoonsgegevens de toegang tot gebruik van de dienst kunt weigeren.”
De heimelijke stemopnamen en dubieuze voorwaarden zijn een typerend voorbeeld van online privacy anno 2019. Technologie wordt steeds beter, toegankelijker en verschijnt in steeds meer vormen op onder meer je smartphone, tablet, smartwatch en slimme speaker. En keer op keer blijkt dat de technologische vooruitgang ook een keerzijde heeft. Dit tot grote frustratie van Crabbendam van Bits of Freedom. “Waar we kwaad over worden zijn de bedrijven die mensen in feite de kans ontnemen om een afgewogen keuze te maken, onder meer door niet transparant te zijn over de werking van een dienst of product.”
‘Grafdelvers online privacy’
Het langdurige gebrek aan transparantie lijkt techbedrijven inmiddels ook te bereiken, in elk geval de marketingafdelingen. Eerder dit jaar plaatste zowel Sundar Pichai (CEO van Google) als Mark Zuckerberg (CEO van Facebook) opiniestukken in invloedrijke media waarin zij riepen dat gebruikers meer controle over hun privacy moeten krijgen. Bovendien vinden ze dat overheden strengere privacywetten moeten introduceren.
Bits of Freedom is niet overtuigd en schreef een blogpost waarin het de twee bedrijven de ‘grafdelvers van online privacy’ noemt. “Er zit een groot gat tussen wat Google en Facebook zeggen en wat ze doen”, licht Crabbendam toe. “Ze zeggen dat ze voor strengere wetgeving zijn, maar besteden miljoenen dollars per jaar aan lobbyisten om elk voorstel in Brussel en Washington kapot te maken. En ze zeggen dat ze gebruikers meer controle willen geven, maar nog altijd is de standaardinstelling voor bijna al hun producten: géén privacy.” Dat druist – uiteraard – volledig in tegen de filosofie van Bits of Freedom. Volgens Crabbendam kunnen Google, Facebook en concurrenten één ding doen om de privacy van hun gebruikers te verbeteren: hun verdienmodel aanpassen. Zolang dat niet gebeurt, ziet Crabbendam de ‘mooie beloftes en maatregelen als pr, als rookgordijn om de kern van het probleem te verhullen’.
Onethisch verdienmodel
Met ‘het probleem’ doelt zij op de manier waarop socialmediabedrijven met jouw persoonsgegevens en analytische informatie omgaan. Daar staat Bits of Freedom niet alleen in. Er is wereldwijd brede kritiek op de grootschalige en geavanceerde data-analyse die techgiganten gebruiken om zo veel mogelijk over jou te weten te komen. Dat gebeurt via gratis apps en programma’s zoals Instagram, Gmail en de Google-zoekmachine, die zijn volgestopt met onzichtbare volgtechnieken en zichtbare advertenties. Hoe meer jij een bepaalde dienst gebruikt, hoe completer en nauwkeuriger een partij als Facebook een advertentieprofiel van jou kan samenstellen. En hoe beter dat profiel, hoe hoger de verkoopprijs aan een geïnteresseerde adverteerder. Die probeert je schoenen aan te smeren omdat je daar vandaag naar zoekt, of toont je vlak voor de verkiezingen een GroenLinks-video omdat je twijfelt tussen PvdA en GroenLinks.
Een gratis dienst is nooit écht gratis, benadrukt Crabbendam. “We zullen blijven uitleggen dat je linksom of rechtsom toch betaalt. Mensen die ‘gratis’ apps gebruiken, worden verleid om vaker producten te bestellen – dat is het hele verdienmodel.” En dat verdienmodel is volgens Bits of Freedom nogal onethisch, een redenering die wereldwijd wordt gesteund door andere privacyorganisaties, gespecialiseerde hoogleraren en privacyvriendelijke onlinediensten.
Berucht Facebook blijft in trek
Facebook is ondanks de mooie woorden volgens velen nog altijd het beste voorbeeld van een socialmediabedrijf dat zó machtig is dat het zichzelf en partners allang niet meer onder controle heeft. De afgelopen jaren zijn er talloze datalekken en privacyschandalen aan het licht gekomen, problemen die vaak miljoenen tot tientallen miljoenen gebruikers raakten. Alleen dit jaar al zijn er meerdere databases op de digitale straat beland, met informatie over honderden miljoenen(!) Facebookgebruikers.
Deze zomer ontving de techreus een boete van liefst 5 miljard dollar van de Amerikaanse Federal Trade Commission (FTC) omdat Facebook zijn gebruikersdata jarenlang niet goed wist te beschermen. Het wereldwijde Cambridge Analytica-schandaal vormde de directe aanleiding voor het FTC-onderzoek. Het data-analysebedrijf kreeg in 2014 stiekem toegang tot de gegevens van 87 miljoen Facebookgebruikers, informatie die onder meer werd gebruikt om de Amerikaanse presidentsverkiezingen in 2016 te beïnvloeden.
Maar zelfs zo’n schandaal en de bijbehorende recordboete doen Facebook weinig. “Toen onlangs bekend werd dat het bedrijf 5 miljard dollar moest betalen, steeg het aandeel in waarde. Het werd dus gezien als een meevaller”, redeneert Crabbendam van Bits of Freedom.
Nauwelijks goede alternatieven
Facebook blijft voorlopig gewoon bestaan als dominante speler, voorspellen kenners. Voor Google is dat idem dito. Is er een alternatief voor het gratis-met-een-nare-bijsmaak-verdienmodel? Nee, zeggen sommige mensen. Je kunt bij Facebook en Google niet betalen in ruil voor een reclamevrije dienst die jouw surfgedrag niet volgt. Je moet akkoord gaan met de voorwaarden, of je bent vrij de dienst niet te gebruiken. En dan?
Vind maar eens een alternatief voor Instagram, YouTube of Facebook. Dat wordt moeilijk, en als je er eentje hebt, ben je waarschijnlijk de enige in je omgeving die het gebruikt. Stoppen met Facebook is eenvoudig, maar een privacyvriendelijk alternatief ontbreekt – nog steeds. De afgelopen jaren zijn er meerdere pogingen gedaan, maar die zijn allemaal niet geslaagd. Zonde, vinden deskundigen en ook Bits of Freedom. De privacy-organisatie zou graag meer betaalde, niet-dataverzamelende onlinediensten zien. Een ander alternatief, zegt woordvoerder Crabbendam, is dat internetgebruikers over de hele wereld gezamenlijk een opensourceplatform of -dienst maken. “Het internet staat vol mooie opensource-oplossingen.”
Cookies vormen probleem
Natuurlijk wordt er genoeg gemaakt, maar voorlopig blijft een privacyvriendelijk internet een utopie. Veruit de meeste websites gebruiken allerlei technieken om zo veel mogelijk over jou te weten te komen. Die informatie is handig voor eigen gebruik, maar vooral voor adverteerders. Je wordt op bijna het hele internet van site naar site gevolgd. Dit zogeheten tracken gebeurt veelal via cookies, kleine bestandjes die jouw online voorkeuren onthouden voor praktische doeleinden, maar ook betere advertentieprofielen mogelijk maken.
De term ‘cookies’ ken je waarschijnlijk vooral of alleen van die irritante melding als je een site bezoekt met het bericht dat je akkoord moet gaan met het gebruik van cookies. Als je dat niet doet, werkt de site minder goed of zelfs helemaal niet. “Achter de zogeheten cookiemuur zit een complexe wereld van veilingdiensten die binnen een seconde je persoonsgegevens aan adverteerders verkopen”, zegt advocaat Poulus. “Ik begrijp dat nog omdat ik er dagelijks mee bezig ben, maar mijn oma, die ook op internet actief is, weet bijvoorbeeld niet hoe dat werkt. Het is voor websites erg lastig de wereld achter cookies in begrijpelijke taal aan de gemiddelde internetgebruiker uit te leggen.”
Gegevensbescherming
Zo’n cookiemuur is niet alleen lastig, hij is ook een doorn in het oog van de Autoriteit Persoonsgegevens (AP), de Nederlandse toezichthouder op het gebied van online privacy. De AP waakt ervoor dat websites in Nederland de Algemene Verordening gegevensbescherming (AVG) volgen, de veelbesproken privacywet die in mei vorig jaar is ingegaan. De AVG verbiedt onlinemedia zonder toestemming van de gebruiker cookiemuren te plaatsen. Veel media hebben daar echter maling aan, bleek eerder dit jaar uit een waarschuwing van de AP.
Hoogleraar Lokke Moerel, hoogleraar Global ICT Law en advocaat, concludeerde destijds bijvoorbeeld dat de site van de Volkskrant liefst 91 trackingcookies plaatst om gratis én betalende bezoekers te volgen. De uitgever van de krant vindt de cookiemuur nodig voor advertentiedoeleinden en bestrijdt dat het gebruik onwettig is.
Privacyjurist Nico van Eijk liet aan de NOS weten dat hij de Autoriteit Persoonsgegevens te ver vindt gaan. “Zolang je nog naar een alternatief kunt waarbij je geen cookies hoeft te accepteren, heb je in principe nog een keuze.” Het beste cookievrije alternatief is overigens de site van de NOS, want die mag als publieke dienst geen cookies verplichten. De website van het dagblad NRC doet het eveneens goed.
Privacytips Bits of Freedom
Data verwijderen is moeilijk
De AVG-privacywet, die inmiddels anderhalf jaar van kracht is, geeft consumenten meer zeggenschap over hun online data. Je kunt bedrijven verzoeken inzage te geven in de gegevens die zij van je hebben, deze gegevens te laten corrigeren als ze incorrect zijn en je gegevens exporteren naar een andere dienst. Daarnaast kun je je data laten verwijderen, bijvoorbeeld omdat je de dienst niet meer gebruikt. Vooral dat laatste levert nog weleens problemen op. Advocaat Poulus, gespecialiseerd in de AVG, zegt bekend te zijn met bedrijven die de gegevens van (oud-)klanten niet willen verwijderen. “Een organisatie moet persoonsgegevens op verzoek wissen, bijvoorbeeld wanneer de persoonsgegevens niet meer nodig zijn voor het doel waarvoor ze oorspronkelijk zijn verzameld. Uit onderzoek blijkt dat niet alle bedrijven aan dit soort verzoeken meewerken.”
Marijn Pool heeft hier ook ervaring mee. In de afgelopen maanden probeerde hij 78 online accounts te laten verwijderen. Niet omdat hij paranoïde is, maar meer als experiment om te kijken of hij die gegevens kan laten verdwijnen. “Ik houd me al langer met privacy en online beveiliging bezig en heb een inventarisatie gedaan om te kijken hoeveel onlineaccounts ik heb. Daar bleek ik een deel niet meer van te gebruiken, dus die mogen weg.”
Bedrijven contacteren met het verzoek zijn gegevens te verwijderen ging eenvoudig, maar daarna verliep het lang niet altijd even soepel. “Een account verwijderen is vaak veel moeilijker dan een account aanmaken.” Dat is in strijd met de privacywet AVG, maar daar hebben sommige bedrijven maling aan. “Grote bedrijven reageren vaak niet eens op mijn verzoek of trekken hun eigen plan. Ze gebruiken eigen, niet-wettelijke regels”, zegt Pool. Een voorbeeld: evenementverkoopsite Eventbrite weigerde Pools account te verwijderen en deactiveerde het alleen. Toen hij later inlogde, was al zijn data er gewoon nog. Bij Bol.com ging het verwijderen van zijn account ook met veel moeite. “Het was vervelend en onnodig ingewikkeld, maar het is uiteindelijk wel gelukt.”
Klagen bij de toezichthouder
Pool ondervond vooral problemen met fora van gamewebsites, die vaak niet wilden meewerken. Of bedrijven antwoordden dat ze het account ‘binnen twee of drie maanden’ zouden deactiveren. Dat duurt wel erg lang, maar het mag. De AVG zegt namelijk wel dat een organisatie binnen één maand op je verzoek moet reageren, maar het verwijderen heeft geen harde deadline. De Autoriteit Persoonsgegevens verklaart dat het verwijderen ‘zo snel mogelijk’ moet gebeuren, maar kan ook geen duidelijkheid verschaffen.
Wat de toezichthouder wél kan: bedrijven op het matje roepen als ze de AVG negeren. “Handelt een organisatie in strijd met de wet omdat hij je persoonsgegevens niet wil verwijderen terwijl dat moet, maak dan vooral een melding bij de AP”, zegt een woordvoerder. De toezichthouder heeft niet de capaciteit om alle klachten over alle bedrijven aan te pakken, maar treedt wel sneller op als er veel klachten over een bepaalde organisatie binnenkomen.
Marijn Pool heeft in de afgelopen twee maanden zes meldingen bij de AP gemaakt van bedrijven die – ondanks herhaaldelijke verzoeken – zijn data niet willen verwijderen. Een daarvan is VanDijk, de (web)winkel die schoolboeken aan middelbare scholen levert. Pool had daar een account, aangemaakt door zijn school. Omdat hij al lang van school af is, wil hij dat VanDijk zijn gegevens verwijdert. “Daar hebben ze niets meer aan, want ik koop daar niets meer.” VanDijk weigerde echter meermaals zijn data te verwijderen omdat het bedrijf een fiscale bewaarplicht van zeven jaar heeft. Dat is geen geldige reden, bevestigt de Autoriteit Persoonsgegevens. “De fiscale bewaartermijn heeft hier niets mee te maken.” Enkele weken later zegt Pool dat VanDijk toch akkoord is gegaan met verwijdering van zijn gegevens. “Misschien dat de AP contact met ze heeft opgenomen.”
Tinder heeft boeken vol informatie
Pool denkt dat veel mensen onderschatten hoeveel bedrijven iets tot enorm veel van jou weten. Een voorbeeld, overigens niet afkomstig van Pool: een Engelse journaliste die al een tijdje op Tinder zat vroeg de dating-app om alle informatie die het bedrijf over haar had. Ze ontving een document van 800 pagina’s waaruit bleek dat het bedrijf een angstaanjagend compleet profiel had verzameld over welk type mannen zij wel en niet leuk vindt, haar Facebookgebruik, haar locatiegeschiedenis en foto’s. Ook had Tinder alle gesprekken met haar matches bewaard – inclusief de conversaties. “De dating-app kent mij beter dan ik mezelf ken”, concludeerde de geschokte vrouw.
Dé tip van Pool voor wie zijn persoonsgegevens óók wil laten verwijderen: gebruik www.mydatadoneright.eu, een website van privacy-organisatie Bits of Freedom. Hiermee stuur je snel en eenvoudig een compleet verwijderverzoek naar de juiste persoon of afdeling van het betreffende bedrijf. Advocaat Poulus vindt Mydatadoneright ook een aanrader om je online privacy te controleren en indien nodig aan te pakken.
Identiteitsfraude
Sleepwet
Niet alleen socialmediabedrijven, techreuzen, nieuwsmedia en webwinkels willen alles van je weten. De overheid is ook graag op de hoogte van onze onlineactiviteiten, onder meer om terroristen vroegtijdig op te pakken. Sinds de invoering van de nieuwe Wet op de inlichtingen- en veiligheidsdiensten op 1 mei 2018 hebben inlichtingendiensten AIVD en MIVD meer mogelijkheden op het internet, waaronder het grootschalig onderscheppen van data. Hierdoor kwam de wet vooraf bekend te staan als de Sleepwet, en stemde een nipte meerderheid van de Nederlanders tegen de wet. Hij kwam er toch en is sindsdien iets aangepast, onder meer door input van Bits of Freedom.
Toch is de privacy-organisatie nog niet tevreden, want niet alle suggesties zijn doorgevoerd. “Met de Sleepwet kan ongericht informatie worden verzameld van mensen die niets verkeerd hebben gedaan, maar bijvoorbeeld in dezelfde wijk wonen als een verdachte”, zegt woordvoerder Crabbendam. “En informatie die op die manier verzameld is, en nog niet is bekeken, mag nu in principe worden overgedragen aan buitenlandse geheime diensten waar Nederland mee samenwerkt, zoals die van de Verenigde Staten en Turkije. Dat vinden wij onacceptabel.”
Niks te verbergen?
Critici die anno 2019 nog met het argument ‘je hebt toch niets te verbergen’ aankomen, zijn bij Crabbendam aan het verkeerde adres. “Het gaat niet om verbergen maar om beschermen. We hebben allemaal wel wat te beschermen, en het is de normaalste zaak van de wereld om bepaalde informatie vertrouwelijk te houden.” Dat wordt met een datahongerig bedrijfsleven en dito overheid steeds lastiger, helemaal als gehackte gegevens op het internet verschijnen. Je online privacy en beveiliging staan zwaar onder druk, al kun je gelukkig de nodige maatregelen nemen om jezelf daar tegen te beschermen.