Een grootschalig onderzoek heeft aangetoond hoe slecht applicaties de privacy van hun gebruikers respecteren. Populaire apps met miljoenen downloads verkopen persoonlijke gegevens van gebruikers door aan derden, die het op hun beurt doorverkopen aan adverteerders. Daarmee overtreden die applicaties de Europese GDPR-wetgeving.
Datingapplicaties zijn razend populair. Tinder, OkCupid, Happn en Grindr hebben elk tientallen miljoenen gebruikers. Uiteraard hebben deze applicaties veel persoonlijke informatie van iedereen die ze gebruikt.
De Noorse non-profit organisatie Norwegian Consumer Council (NCC) besloot voor een grootschalig onderzoek om deze vier applicaties onder de loep te nemen. Daarnaast keken ze ook hoe andere populaire apps, zoals Perfect365, MyDays, My Talking Tom 2, Muslim: Qibla Finder, Clue en Wave Keyboard, omgaan met de gegevens van hun gebruikers.
Gegevens delen met externe marketingbedrijven
NCC merkte dat al deze applicaties massaal gegevens doorsturen naar externe marketingbedrijven. De tien onderzochte applicaties deelden gegevens van gebruikers in totaal met minstens 135 externe bedrijven zoals Facebook, Google en minder bekende spelers zoals OpenX, MoPub (van Twitter), AppNexus (van AT&T), Smaato en AdColony.
Veel van die externe marketingbedrijven krijgen informatie van verschillende applicaties. Omdat die informatie vaak een Advertising ID, IP-adres en/of GPS-locatie bevat, is het eenvoudig om al die gegevens samen te voegen. Zo kunnen dergelijke bedrijven snel een heel gedetailleerd profiel maken van jou.
Duizenden adverteerders
Zo’n profielen zijn enorm veel geld waard. Het zorgt er namelijk voor dat adverteerders heel gericht gebruikers kunnen targetten. Dat systeem waarbij gegevens van gebruikers telkens opnieuw gedeeld wordt, zorgt ervoor dat je gegevens uiteindelijk bij duizenden adverteerders belanden.
Grindr deelt bijvoorbeeld data met 19 zogenaamde third party bedrijven. Een van die bedrijven, MoPub van Twitter, deelt op zijn beurt alles met 170 partners. Een van die partners is AppNexus, dat op zijn beurt je gegevens deelt met 4.259 partners van hen.
Misbruik
Omdat zoveel gebruikers toegang hebben tot je gegevens is het bijna onmogelijk om misbruik te voorkomen. De data die gedeeld wordt, is namelijk vaak heel persoonlijk.
Zo deelt Tinder je leeftijd, locatie, geslacht, geaardheid en wanneer en hoe vaak je app gebruikt. OkCupid deelt daarboven ook de antwoorden van gebruikers op tientallen persoonlijke vragen over onder andere hun politieke voorkeur, drugsgebruik, godsdienst en financiën.
Zware gevolgen
Dergelijke informatie in de foute handen kan volgens de onderzoekers van NCC gigantische nadelige gevolgen hebben. Zo was er in het verleden al een rapport dat aantoonde dat Grindr medische gegevens van zijn gebruikers deelde. Wie daarbij aangegeven had PrEP, medicatie die besmetting met HIV moet voorkomen, te nemen, ondervond soms problemen bij het afsluiten van een lening. Banken en verzekeringsfirma’s kunnen op dezelfde manier omgaan met informatie over het alcohol- en drugsgebruik van hun klanten.
Informatie over je geaardheid kan in landen waarbij homoseksualiteit strafbaar is zware gevolgen hebben. Hetzelfde geldt voor gegevens over je politieke voorkeur in landen zonder politieke vrijheid.
Android
Belangrijk is om mee te geven dat het onderzoek volledig gebeurde op smartphones die op Android werken. De tien onderzochte applicaties zijn echter allemaal ook te downloaden op een iPhone. Daardoor mag je ervan uitgaan dat de gegevens van die gebruikers ook gedeeld worden met externe bedrijven. Toch schrijven de onderzoekers dat de situatie bij Android vermoedelijk erger is door de nauwe link die Google heeft met de online advertentiewereld.
Klacht
Volgens de Norwegian Consumer Council overtreden de onderzochte applicaties en de third party bedrijven waarmee ze samenwerken de Europese GDRP-wetgeving die bijna twee jaar geleden is ingevoerd. De schaal waarop ze data verzamelen en delen is in strijd met deze wet. Bovendien is het voor gebruikers te moeilijk om hun privacy te beschermen en te weten wat er met hun gegevens gebeurt.
NCC heeft dan ook klacht neergelegd tegen Grindr en vijf bedrijven die data ontvangen via deze applicatie. Als zij veroordeeld worden, kunnen ze een boete krijgen die zo groot is als vier procent van hun omzet.