Nu we meer thuis zitten, zoeken we naar online alternatieven om toch te kunnen vergaderen of met vrienden en familie in contact te blijven. Wordt daarbij dan ook aan onze privacy en databescherming gedacht?
De vergaderapp Zoom en videobel-app Houseparty zagen hun downloads de afgelopen weken vanwege de wereldwijde quarantaine in razend tempo stijgen. Zoom biedt uitkomst om onze vergaderingen toch te blijven voortzetten en met Houseparty videobellen we op een laagdrempelige manier met meerdere vrienden, alsof je op een huisfeestje bent. Maar zijn die apps echt zo onschuldig als ze lijken?
Privacy-expert Suzanne Vergnolle bestudeerde het privacybeleid van de nu immens populaire videobel-apps Zoom en Houseparty. Wat blijkt? Het zijn enorme gedrochten, en bovendien soms illegaal.
De Franse promovendus Suzanne Vergnolle doet momenteel onderzoek naar de bescherming van privacy en databescherming, en is een van juridisch jargon doordrenkt privacybeleid niet vreemd. Ze gebruikte haar tijd in quarantaine om het privacybeleid van Zoom en Houseparty te lezen. Opmerkingen daarover plaatste ze op Twitter, waarop beide bedrijven kort daarna hun beleid plotseling aanpasten. Wat is er aan de hand?
Eerst even een opfrisser: In Europa hebben we wetgeving die onze privacy en data beschermt: de General Data Protection Regulation (GDPR). In Nederland kennen we deze wet als de Algemene Verordening Gegevensbescherming (AVG). Als een bedrijf zich niet aan die wet houdt, kunnen er na een onderzoek fikse boetes worden opgelegd.
We kunnen dus gerust zeggen dat onze privacy en databescherming met deze wet tot op zekere hoogte gewaarborgd wordt. Waar maken we ons nu dan zorgen om, zou je denken?
je hebt wél iets te verbergen
Laten we beginnen bij het Amerikaanse Houseparty. In het eerdere beleid leek Houseparty het niet zo nauw te nemen met de Europese privacywet: de service slaat bijvoorbeeld data van gebruikers automatisch op. Gebruikers geven dus, of ze nu willen of nu, hun data weg. Ook als je aangeeft níet getrackt te willen worden, zei Houseparty daar mogelijk geen rekening mee te houden.
Vergnolle: 'Het is goed dat ze transparant waren, maar dit beleid voldoet niet aan de wet: volgens de AVG heb je toestemming nodig voor het verwerken van persoonsgegevens.'
Na de opmerkingen van Vergnolle op 22 maart op Twitter over het illegale privacybeleid van Houseparty, wordt het beleid op 10 april plotseling rigoureus aangepast.
'Het nieuwe beleid is veel minder goed leesbaar en vager geschreven,’ zegt Vergnolle. 'Waar het vorige beleid heel transparant was op de vlakken die niet aan de AVG voldeden, is het nu zo dat de voorwaarden zo zijn geschreven dat ze open zijn voor interpretatie.
Zo stond er in het vorige beleid heel duidelijk dat Houseparty claimde eigenaar te zijn van alle content die via hun app gegenereerd wordt. In het nieuwe beleid erkennen ze dat je gebruikersrechten hebt, maar in de volgende zin ontkrachten ze dat vervolgens weer.’
Ook de voorwaarden rondom het eerder genoemde tracken werden in het nieuwe beleid minder transparant en open voor interpretatie. Zo lezen we dat 'niet al hun sites en online services reageren op een volg-me-niet-signaal' en dat ze 'passief' informatie verzamelen door middel van trackers, zoals cookies die gerichte advertenties mogelijk maken. Cookies waar overigens geen toestemming voor wordt gevraagd en die jijzelf moet uitschakelen.
'het beleid is niet goed leesbaar en vaag geschreven'
recht op duidelijke informatie
En niet alleen op het gebied van tracken houdt Houseparty zich ogenschijnlijk niet aan de AVG. We geven een kleine bloemlezing.
Zo lezen we in het huidige privacybeleid dat Houseparty persoonlijke data voor reclamedoeleinden deelt met hun partners en derden. Maar het is onduidelijk wie deze partijen zijn, welke informatie ze precies gebruiken en waarvoor je gegevens precies worden gebruikt. Dat is in strijd met het AVG-recht op duidelijke informatie.
In het eerdere beleid lazen we bovendien dat de app niet garandeert dat alle data na een verzoek tot het verwijderen van gebruikersdata ook écht verwijderd is. In het nieuwe beleid is die passage ineens verwijderd.
Toegevoegd is wel een opmerking over de AVG, al biedt die weinig duidelijkheid. We lezen dat we als EU-burger 'mogelijk het recht op inzage en verwijdering van onze gebruikersdata' hebben. Onder de AVG hebben we daar niet 'mogelijk het recht op', we hebben daar recht op. De AVG geeft jou namelijk het recht op inzage van de gegevens, maar ook het recht op vergetelheid: je gegevens moeten, indien jij dat wil, 'vergeten', en dus verwijderd worden.
onderzoek ontbreekt
Het privacybeleid van Houseparty is duidelijk niet op orde. Hoe kan het dan toch, dat het Amerikaanse bedrijf hier vooralsnog mee weg komt? Vergnolle: 'Er is nog geen autoriteit geweest die een onderzoek opende naar het reilen en zeilen van de app. Zolang dit niet gebeurt, zullen ze dus ook niet worden beboet. We zien de laatste weken veel discussie rondom het privacybeleid van ZOOM. Helaas is dit bij Houseparty nog niet het geval.’
De Autoriteit Persoonsgegevens laat weten dat een onderzoek naar het beleid van Houseparty op dit moment (nog) niet aan de orde is. Verder wil de AP op dit moment niets kwijt over een mogelijk onderzoek. Wel verwijst de woordvoerder naar een keuzehulp voor video-apps.
Ook Zoom update regelmatig het privacybeleid. Op het moment van schrijven, is ook dit beleid, dat stamt van 29 maart 2020, volgens Vergnolle behoorlijk chaotisch.
Vergnolle: 'Zoom beschrijft onduidelijk welke data ze precies verzamelen, hoe ze het verzamelen, wat hun rol hierin is en waar ze de data voor gebruiken. Er wordt geen uitleg gegeven – uitleg waar men wel recht op heeft. Met mij doken vele andere in het privacybeleid en zo stuitte men ook op activiteiten van Zoom die helemaal niet in het beleid opgenomen waren, zoals het doorsluizen van gebruikersdata naar Facebook.' Daarover later meer.
Na de publicatie van de bevindingen van Vergnolle updatete Zoom zijn privacybeleid, waarna Vergnolle’s kritische punten ineens waren aangepast: 'De definitie van persoonlijke data, die niet overeenkwam met die van de AVG, was na de update opeens verdwenen. Ik ben blij om verbetering te zien in het beleid, maar nu hoop ik nog verbetering te zien in de uitvoering. Ik hoop dat ze privacy en databescherming nu ook echt in acht gaan nemen en dat het niet enkel bij woorden blijft.'
als het product gratis is, ben jijzelf het product
Zoom kwam de afgelopen weken meerdere keren in opspraak. Onder andere naar aanleiding van onderzoek van Motherboard, waaruit bleek dat Zoom via trackingsoftware gebruikersdata doorsluist naar Facebook, zelfs als je geen Facebook gebruikt om voor de videobel-service in te loggen.
Het bedrijf beloofde de trackingsoftware te verwijderen, maar volgens Vergnolle is dit slechts een doekje voor het bloeden: 'Mooi gebaar dat ze de tracker verwijderden, maar zelfs dan verzamelen ze volgens de AVG nog te veel data van gebruikers en zijn ze hier onduidelijk over.’
‘Als je bijvoorbeeld naar hun site gaat, zijn de tracking cookies om data te verzamelen, (de cookies die gerichte advertenties mogelijk maken) automatisch ingeschakeld, terwijl je hier toestemming voor nodig hebt.'
De CEO van de videobelapp heeft inmiddels zijn excuses aangeboden voor de vele problemen op het gebied van privacy en belooft beterschap.
een gewaarschuwd mens telt voor twee
Begint het je een beetje te duizelen? Wat raadt Vergnolle nu praktisch aan, als je deze apps al hebt geïnstalleerd? 'Verwijder de apps, maar, maak voordat je dat doet, vooral gebruik van je recht om je data te laten verwijderen; ze zijn verplicht om hier binnen één maand op te reageren.'
En welke alternatieven geeft ze, als je overtuigd bent om je privacy serieus te nemen? De onafhankelijke Nederlandse stichting Bits of Freedom tipte ons eerder het platform Jitsi, als alternatief voor online vergaderen. Ook Vergnolle raadt het opensource-platform aan.
Om met je vrienden in contact te blijven raadt ze een end-to-end-encrypted platform aan, zoals Signal: 'Zodat ook je stomme grapjes niet zomaar op straat komen te liggen.'