Big Brother zit overal! Heel wat instellingen, personen of organisaties nemen het niet zo nauw met de privacy van de burgers

 

  Big Brother zit overal! Heel wat instellingen, personen of organisaties nemen het niet zo  nauw met de privacy van de burgers. De Liga voor Mensenrechten en La Ligue des droits  de l’homme hebben een aantal kandidaten op een rijtje gezet die het recht op privacy niet  respecteren. Hieronder vindt u het dossier van één van de kandidaten. 

      1   

SPYWARE  « Hallo,  waar  ben  je? »  is  ongetwijfeld  de  nieuwe  uitdrukking  ontstaan  uit  de  generalisatie  van de mobiele telefonie. De verleiding is immers zeer groot om iemand te vragen waar hij  zich  bevindt,  wetende  dat  die  persoon  niet  door  de  telefoondraad  op  kantoor  of  thuis  vastzit.  Zo  gaat  dat  nu  eenmaal:  de  mens  is  een  nieuwsgierig  beest  dat  zijn  omgeving  wil  beheersen. Misschien lijkt de vraag wel alledaags en automatisch – Koen wil weten of Lies  het huis nadert en wil graag weten of ze even brood wil gaan kopen – of zelfs controlerend –  Koen wil weten waarom Lies 5 minuten te laat op het werk aankomt en waar ze uithangt in  plaats van haar plicht te vervullen.  Toch zou het kunnen dat deze uitdrukking niet lang meer gebruikt wordt: de “intelligente”  telefoons, vaker « smartphones » genoemd, zijn immers verbluffende apparaten waarbij de  locatie  van  de  eigenaar  grof  of  net  zeer  precies  bepaald  kan  worden.  Dit  proces  wordt  « geolocalisatie » genoemd. Zo zou “Hallo, waar ben je?” snel kunnen veranderen in “Hallo  Lies, u dient zich niet in de winkels van onze concurrentie te bevinden, ik verwacht u binnen   10  minuten  in  mijn  bureel.”  Maar  is  dat  een  reden  om  het  hele  geolocatiesysteem  dan  automatisch  te  beschouwen  als  negatief  en  bovendien  gevaarlijk  voor  onze  meest  fundamentele rechten zoals bewegingsvrijheid of het recht op privacy?  De vrijwillige geolocalisatie  Elk  nieuw  technologisch  snufje  heeft  voor‐  en  tegenstanders.  Het  zijn  de  gebruikers  die  gewoonlijk de inzet kennen (of denken te kennen) van de instrumenten die ze gebruiken en  die  een  persoonlijke  mening  hebben  over  de  relevantie  van  het  gebruik  ervan.  We  nemen  even een kijkje naar de geolocatie‐services aanwezig in de apparatuur:  

Facebook « Places »1: met deze service kan de Facebook‐gebruiker aangeven dat hij ergens  aanwezig is (« ik ben in de Deli van Waterloo »), weten wie zich op dezelfde plaats bevindt  (« Lies  is  ook  in  de  Deli »)  en  elke  essentiële  informatie  eraan  koppelen  (« oh  nee,  ik  heb  geen voer meer voor mijn hond »). 



Foursquare2: de “nummer één”‐applicatie op het gebied van vrijwillige geolocalisatie. Het is  een sociale netwerksite, met spelletjes en microblogging, waarbij de gebruiker kan aangeven  waar  hij  zich  bevindt  en  zo  zijn  contacten  kan  ontmoeten  (geolocatiesysteem).  Het  ludiek  aspect:  de  gebruiker  kan  bij  specifieke  plaatsen  badges  verdienen,  een  beetje  zoals  de  stickers uit de jaren ‘70. 

                                                             1 2

 https://www.facebook.com/about/location   https://foursquare.com/ 

2   

 Twitter:  met  deze  referentiewebsite  voor  microblogging  kan  een  geolocatietag  gekoppeld  worden aan een tweet (een kort bericht), waardoor de persoon die de tweet leest kan weten  van waar de auteur het bericht heeft verzonden. Men kan hierbij ook elk verzonden bericht  in de onmiddellijke omgeving van zijn eigen locatie vinden. 

Men kan dus terecht veronderstellen dat de gebruikers van de bovenstaande services deze  geolocatiefuncties  kennen,  én  dat  ze  deze  services  zelfs  enkel  gebruiken  omwille  van  deze  functies. In dit geval is de geolocalisatie een « opt‐in »‐optie die de gebruiker bewust moet  inschakelen, of die hij natuurlijk kan weigeren te gebruiken.  Verder kunnen ook zeer veel applicaties, die we kunnen downloaden op deze smartphones  (via de AppStore van Apple voor de iPhones en iPads, de Android Market van Google voor de  smartphones en Android‐tablets of via de Marketplace van Microsoft voor de smartphones  Windows Phone), een geolocatiefunctie bevatten. Het kan hierbij gaan om het markeren van  de  door  het  toestel  getrokken  foto’s  (om  de  plaats  te  markeren  waar  de  foto  genomen  werd),  om  het  aangeven  van  de  « vrienden »  in  de  omgeving  die  dezelfde  applicatie  gebruiken, van winkels in de regio die een betere prijs aanbieden voor het voorwerp dat u  gescand hebt met het fototoestel van uw smartphone, enz. De voorbeelden zijn even talrijk  en  rijk  als  de  creativiteit  van  alle  applicatieontwikkelaars  samen.  Hier  zal  de  potentiële  gebruiker blijk moeten geven van meer scherpzinnigheid om te weten of de applicatie die hij  wil  downloaden  al  dan  niet  een  geolocatiefunctie  omvat.  Elk  systeem  (Apple/Google/Microsoft)  springt  anders  met  het  onderwerp  om.  We  nemen  Apple  en  Google ter illustratie.  Apple  Wanneer  een  toekomstige  gebruiker  een  applicatie  op  de  Appstore  bekijkt,  en  alvorens  hij  het op zijn iPhone/iPad installeert, kan hij onmogelijk achterhalen of deze applicatie al dan  niet geolocalisatie inhoudt. Zo zou een gebruiker een betalende applicatie kunnen aankopen  en enkel na het downloaden beseffen dat deze de toegang tot locatiegegevens vraagt; indien  de  gebruiker  weigert  is  hij  gewoonweg  zijn  geld  kwijt  zonder  enige  mogelijkheid  om  terugbetaald te worden. Dit gezegd zijnde, voorziet het iOS‐systeem (besturingssysteem van  de iDevices) een algemene uitschakeling voor de locatievoorzieningen3. Verder moet iedere  applicatie met geolocalisatie de gebruiker, bij de eerste opstarting van zijn toestel, vragen of  hij de applicatie aanvaardt of niet. Achteraf kan de gebruiker dit recht herroepen – voor alles  of  enkel  voor  welbepaalde  applicaties.  Natuurlijk  houdt  deze  inperking  in  dat  bepaalde  applicaties niet meer functioneren. Een ander voordeel van het systeem is dat de gebruiker  snel ingelicht kan worden over het geheel aan geïnstalleerde applicaties die toegang hebben  tot geolocalisatie. Apple heeft overigens de controle over iedere applicatie die gepubliceerd  wordt  op  de  AppStore.  De  « App  Store  Review  Guidelines »4  vermelden  dat  een  applicatie                                                               3 4

 “iOS 4: Understanding Location Services”  http://support.apple.com/kb/ht1975     http://stadium.weblogsinc.com/engadget/files/app‐store‐guidelines.pdf 

3   

gewoon niet in de Appstore gepubliceerd zal worden als het niet vraagt om de toestemming  van de gebruiker voor het gebruik van geolocalisatie. Er wordt echter niets vermeldt over een  mogelijke  controle  van  het  kerndoel  van  een  applicatie,  nl.  de  verwerking  en  eventueel  het  opslaan van de geolocatiegegevens verzameld door de mobiele terminals. Dit doel is minder  verdienstelijk dan bijvoorbeeld het verkoop van de gegevens aan derden. Er wordt ook niets  gezegd  over  de  betrouwbaarheid  van  Apple’s  controleproces  (“reviews”)  alvorens  de  applicaties worden gepubliceerd in de AppStore.  Google & Android:   Google  heeft  voor  een  andere  aanpak  gekozen  als  het  gaat  om  de  informatie  van  de  gebruiker.  Wanneer  de  gebruiker  van  de  smartphones  of  tablets  een  applicatie  wil  downloaden  van  de  Android  Market,  dan  krijgt  hij  een  samenvatting  te  zien  van  de  toegangsrechten vereist door de applicatie die hij wil downloaden ‐ inclusief de locatie van  de  smartphone.  Slechts  na  instemming  zal  de  toepassing  gedownload  en  geïnstalleerd  kunnen worden. Op die manier wordt het risico op geldverlies, zoals bij Apple, weggewerkt.  Als  de  gebruiker  niet  heeft  gelet  op  de  gevraagde  rechten  door  een  applicatie  voor  de  aankoop, download en installatie, dan kan hij binnen de 15 minuten de gekochte applicatie  verwijderen en zijn geld terugkrijgen. Eens de applicatie(s) geïnstalleerd is/zijn, is het echter  niet  zo  makkelijk  om  te  weten  wie  er  ook  geolocalisatie  gebruikt.  Er  bestaat  geen  gecentraliseerde  lijst  zoals  voor  iOS:  hier  zal  de  gebruiker  de  toegangsrechten  voor  elke  applicatie  afzonderlijk  opnieuw  moeten  overlopen.  Zoals  voor  iOS  kunnen  alle  geolocatie‐ services  uitgeschakeld  worden  (algemene  uitschakeling).  In  tegenstelling  tot  Apple,  heeft  Google geen controleproces voor applicaties uitgewerkt voorafgaand aan de publicatie op de  Android  Market.  Verder  blijkt  er,  net  als  bij  iOS,  geen  enkele  controle  te  bestaan  die  verzekert  dat  een  applicatie  met  geolocalisatie  geen  gegevens  verzamelt  buiten  ons  medeweten  om  ze  op  te  waarderen  bij  derden,  zonder  dat  we  daartoe  hebben  ingestemd  natuurlijk. 

Zoals  deze  twee  voorbeelden  aantonen  hebben  de  praktijken  van  beide  technologieleveranciers zowel goede als slechte kanten.   Wat niet weet, niet deert  In 2011 werden Google, Apple en Microsoft met de vinger gewezen door de media, en zelfs  door  enkele  politieke  spelers,  voor  het  verzamelen  van  geolocatiegegevens  via  zowel  hun  mobiele terminals als hun besturingssysteem. Even een overzicht van de feiten:  

Apple: in april 2011 hebben Alasdair Allan en Pete  Warden  tijdens de conferentie « Where  2011 »5  hun  ontdekking  meegedeeld:  Apple  zou  op  zijn  iDevices  (iPhone  en  iPad  3G)  een  verborgen bestand opslaan met een lange lijst van plaatsen waar de iDevice is geweest. Het  gaat  hier  om  het  opslaan  van  gegevens  van  bijna  een  volledig  jaar  in  het  formaat  «  lengtegraad/breedtegraad/timestamp » en dit bestand is noch gecodeerd noch beschermd. 

                                                             5

 http://whereconf.com/where2011 

4   

Hierdoor zou eender welke applicatie van een ontwikkelaar toegang kunnen hebben tot de  informatie voor commerciële of nog minder toegeefbare doeleinden. Nog verrassender is het  feit  dat  het  bestand  niet  gefundeerd  is  op  het  gebruik  van  de  GPS  in  de  iDevices,  die  trouwens op elk moment uitgeschakeld kan worden door de eigenaar van de iDevices. Aan  de basis ligt wel een triangulatie door een GSM‐mast6. Verder wordt het hele wifi‐netwerk,  opgespoord  door  de  3G  smartphones  en  tablets  van  Apple,  ook  verzameld  in  dit  bestand.  Naar  aanleiding  van  de  daaropvolgende  algemene  verontwaardiging,  beweerde  Apple  natuurlijk  dat  de  ingezamelde  gegevens  die  doorgestuurd  worden  naar  Apple  geanonimiseerd  zijn.  Ook  wanneer  de  inzameling  van  de  gegevens  bleef  doorgaan  zelfs  na  het  uitschakelen  van  de  geolocatie‐services  (algemene  uitschakeling),  verklaarde  Apple  dit  als een « bug » (fout in de programmering) en vanaf mei werd dit probleem verholpen. Apple  beperkte  ook  de  inzamelingsperiode  tot  7  dagen.  Het  dient  gezegd  dat  de  gebruikslicentie  van  iOS  (die  moet  worden  aanvaard  door  elke  gebruiker  die  zijn  toestel  voor  het  eerst  aanzet) bepaalt dat Apple en zijn partners zich het recht toekennen geolocatiegegevens in te  zamelen, al wordt dit gedaan onder een anonieme vorm7.  

Google: diezelfde algemene verontwaardiging ten opzichte van Apple deed zich ook voelen  bij Google. Diezelfde maand april, toonde Magnus Eriksson, een Zweedse programmeur, aan  dat Google op de Andriod smartphones een bestand bewaarde met de 50 laatste geolocaties  door GSM‐masten en de 200 laatste wifi‐netwerken (en hun geolocatie) « gezien » door de  terminal. In tegenstelling tot Apple, gaat het hier niet om een opname van een heel jaar en is  het  bestand  beschermd  op  vlak  van  toegang,  zodat  de  gegevens  niet  door  eender  welke  applicatie  gestolen  kunnen  worden  ‐  al  worden  ze  « geanonimiseerd »  naar  Google  doorgestuurd.  Bij  het  starten  van  een  Android  smartphone  (d.w.z.  de  eerste  opstarting  en  configuratie), kan de gebruiker ook weigeren om deze gegevensinzameling te activeren8. 



Microsoft: de hoofdprijs in deze categorie gaat zonder twijfel naar de gigant van Redmond.  Toen  Apple  en  Google  het  moeilijk  hadden,  beweerde  Microsoft  met  klem  niet  aan  zulke  praktijken te doen. Enkele weken later werd ontdekt dat de smartphones Windows Phone 7  regelmatig geolocatiegegevens naar Microsoft doorstuurde. De kers op de taart is hierbij dat  de  gegevens  van  de  applicatie  Camera  zelfs  doorgespeeld  werden  als  de  gebruiker  de  gegevensinzameling geweigerd had9. Begin september werd er een klacht ingediend bij het  Federale Hof van Seattle. Vervolgens erkende Microsoft een « onopzettelijk gedrag » van zijn  mobiele besturingssystemen en corrigeerde deze fout met de versie Windows Mobile 7.510.  Buiten  deze  “blunder”,  maar  ditmaal  gedekt  door  de  toestemming  van  de  eindgebruiker,  blijft Microsoft ‐ net als Apple en Google ‐ geolocatiegegevens inzamelen. Naar analogie van  de  twee  andere  bedrijven,  kunnen  de  geolocatieservices  op  de  Windows  Phone  uitgeschakeld worden, hetzij applicatie per applicatie, hetzij door de algemene uitschakeling. 

                                                             6

 Zie http://fr.wikipedia.org/wiki/G%C3%A9olocalisation#G.C3.A9olocalisation_par_GSM (frans)   http://www.apple.com/legal/sla/docs/iphone.pdf  8  http://socialtimes.com/turn‐off‐location‐services‐on‐android‐phones_b59219  9  http://news.cnet.com/8301‐31921_3‐20100228‐281/microsoft‐collects‐phone‐location‐data‐without‐ permission‐says‐researcher/  10  http://www.microsoft.com/windowsphone/en‐us/howto/wp7/web/location‐and‐my‐privacy.aspx  7

5   

De  vraag  die  nu  dient  gesteld  te  worden:  waarom  verzamelen  Apple,  Google  en  Microsoft  deze gegevens?  Ten eerste: het commercieel aspect. We mogen niet vergeten dat Apple heeft besloten om   Google niet alle winst uit reclame op de mobiele terminals alleen te laten opstrijken. Apple  wil ook een deel van de winst en dit dankzij de « iAd »‐dienst. Apple kent zich het recht toe  om,  indien  de  eindgebruiker  instemt  met  de  servicebepalingen,  de  geolocalisatie  van  de  smartphones  te  gebruiken  om  reclame  te  richten,  al  worden  de  locatiegegevens  niet  doorgespeeld naar de bedrijven voor wie het reclame maakt (behalve als de gebruiker op de  reclame  klikt).  Voor  deze  gerichte  reclame  heeft  Apple  een  Opt‐outsysteem  bedacht11.  Google  gaat  natuurlijk  gelijkaardig  te  werk  met  zijn  eigen  reclamesysteem  voor  mobiele  systemen  en  het  bedrijf  legt  ook  uit  dat  het  geen  gebruikersidentificatie  van  uw  toestel  doorgeeft  aan  de  bedrijven  met  dewelke  het  handel  drijft.  Het  biedt  tevens  een  wat  onduidelijk Opt‐outsysteem1213.  Ten  tweede,  het  aspect  van  hulp  bij  de  locatie,  dat  zelf  herleidt  kan  worden  tot  een  commercieel  aspect.  Zo  kan  een  GPS‐chip  een  zekere  tijd  nodig  hebben  om  zijn  locatie  te  herkennen  (de  gebruiker  staat  in  een  gebouw,  de  GPS  is  al  een  tijdje  niet  meer  gebruikt,  solar flares, enz.). Het lokaliseren van een toestel versnelt bij een lokale opslagplaats of bij  toegang  tot  een  enorme  databank  die  de  login  van  de  GSM‐masten  of  de  wifi‐netwerken  met  de  geografische  gegevens  verbindt.  Ter  illustratie:  als  men  weet  welke  GSM‐ verbindingen beschikbaar zijn aan de uitgang van een lange tunnel, dan zal het heraansluiten  van de GSM op het netwerk versnellen als men uit de tunnel komt. Om te kunnen genieten  van dit type service bestaan er 2 mogelijkheden: u betaalt een derde bedrijf of u maakt uw  eigen databank aan. Het gaat hier dus duidelijk om een belangrijke commerciële inzet. Men  kan  dus  begrijpen  waarom  Apple,  Google  en  Microsoft  uw  mobiliteit  en  uw  GSM  willen  gebruiken om die gegevens in te zamelen en zo hun eigen databank samen te stellen zodat  ze  geen  derde  bedrijf  moeten  betalen,  of  gewoonweg  om  deze  service  zelf  te  kunnen  doorverkopen aan andere bedrijven.  Toestemming, opt‐in en opt‐out  Krachtens artikel 7(a) van de Europese Richtlijn 95/46/EG betreffende de bescherming van  persoonsgegevens,  is  de  toestemming  een  vereiste  voor  de  verwerking  van  persoonsgegevens.  De toestemming speelt een zeer belangrijke rol bij de bescherming van persoonsgegevens.  Het is inderdaad zodanig nauw verbonden met de notie van controle dat, wanneer de burger  instemt met de verwerking van zijn persoonsgegevens, dan is dat omdat hij er daadwerkelijk                                                               11

 http://osxdaily.com/2010/06/23/opt‐out‐of‐iad‐location‐and‐data‐tracking‐cookies/   http://searchengineland.com/google‐intros‐new‐privacy‐controls‐for‐mobile‐consumers‐73156  13  http://www.google.com/ads/preferences/html/mobile‐about.html  12

6   

voor  gekozen  heeft.  Hij  heeft  de  controle  en  oefent  zijn  « vrijheid  om  inlichtingen  te  ontvangen en te verstrekken » uit. Het lijkt er dus op dat de toestemming een middel is voor  de  burger  om  een  zekere  controle  te  behouden  over  zijn  informatief  imago  en  over  wat  derden met zijn persoonsgegevens doen.   Toch  is  de  toestemming  geen  onvoorwaardelijk  gegeven  als  het  gaat  over  het  legitimeren  van de verwerking van persoonsgegevens. Enerzijds moet de verwerking, op basis van een  toestemming,  steeds  de  andere  beschermingsbeginselen  voor  gegevens  naleven,  voornamelijk  het  finaliteitsbeginsel  en  het  beginsel  betreffende  de  kwaliteit  van  de  gegevens. Anderzijds mag de toestemming enkel toelaten dat de gegevens verwerkt worden  voor gerechtvaardigde doeleinden. Anders zou men de toestemming kunnen misbruiken om  de  gegevensverwerking  voor  ongerechtvaardigde  doeleinden  te  rechtvaardigen,  wat  gewoonweg onaanvaardbaar zou zijn.   Om geldig te zijn moet de toestemming voldoen aan verschillende voorwaarden. Volgens de  hierboven vermelde Richtlijn, moet de toestemming voldoen aan verschillende criteria. Deze  moet  vrij,  specifiek,  op  informatie  berustend  en  ondubbelzinnig  zijn.  De  vraag  die  daaruit  volgt  is  hoe  men  een  toestemming  kan  verkrijgen  die  geldig  is  volgens  deze  criteria  en  dit  voor  de  gegevensinzameling  betreffende  de  geolocalisatie  van  de  smartphones  en  andere  smart mobiele apparatuur (iPad bvb)?  Om  de  toestemming  van  de  gebruiker  te  verkrijgen  voor  geolocalisatie  zijn  er  twee  technieken:  de  opt‐in,  en  de  opt‐out.  De  opt‐out  neemt  het  idee  van  de  “stilzwijgende  toestemming”  over.  Hoewel  de  gebruikers  de geolocatiefunctie  kunnen  uitschakelen,  staat  deze automatisch aan. Deze oplossing moet om 2 redenen verworpen worden. Ten eerste,  de gebruiker mist vaak de nodige (technische of andere) kennis om exact te weten hoe de  technologie  in  kwestie  werkt,  en  vooral,  hoe  hij  die  moet  uitschakelen.  Praktisch  gezien  zullen slechts heel weinig mensen deze optie kunnen gebruiken. Men kan dus stellen dat een  dergelijke  toestemming  onvoldoende  toegelicht  wordt.  Ten  tweede,  de  opt‐out  berust  op  het idee van stilzwijgende toestemming. Zo een toestemming is echter dubbelzinnig. Het is  bedrieglijk te beweren dat het gewone gebruik van een smartphone overeenstemt met een  eenduidige toestemming betreffende het inzamelen van de geolocatiegegevens.   Bij het lezen van deze kritiek, kiest de gebruiker dus best voor de oplossing waarbij hij eerst  ingelicht  wordt  over  wat  het  inzamelen  van  geolocatiegegevens  inhoudt  en  waarbij  zijn  eenduidige en expliciete toestemming nodig is alvorens gegevens worden ingezameld. Dat is  de  opt‐inoplossing.  Nu  moet  men  nog  weten  hoe  men  overigens  het  best  met  de  opt‐in  omgaat.  Ten  eerste,  moet  de  toestemming  specifiek  gaan  over  de  inzameling  van  geolocatiegegevens.  Dit  betekent  dat  het  geen  deel  mag  uitmaken  van  de  algemene  gebruiksvoorwaarden  die  de  toegang  tot  de  technologie  zouden  beperken.  Ten  tweede,  zoals reeds vermeld, moet de toestemming het finaliteitsbeginsel naleven. Daarom is er een  specifieke toestemming nodig voor elk doel betreffende het gebruik van gegevens en bij elk  7   

nieuw  doel  is  er  een  nieuwe  toestemming  nodig.  Ten  slotte  moet  de  toestemming  dynamisch  zijn  (en  niet  statisch).  Het  is  niet  omdat  een  gebruiker  1x  instemt  met  een  inzameling van geolocatiegegevens dat dit betekent dat zijn toestemming “eeuwig” geldt. De  gebruiker  zou  immers  ook  kunnen  vergeten  dat  hij  heeft  ingestemd.  Een  dynamische  toestemming zou dus voor een bepaalde periode (een jaar bvb) geldig blijven. De gebruiker  moet er ook voortdurend aan herinnerd worden dat hij heeft ingestemd, wat uitgevoerd kan  worden  d.m.v.  een  « ON »‐icoon  bvb.  Tot  slot  moet  een  dynamische  toestemming  de  gebruiker  steeds  de  mogelijkheid  bieden  zijn  toestemming  in  te  trekken,  en  dit  op  een  gebruiksvriendelijke manier, zonder enig nadelig gevolg.   Naar goede praktijken  Door  de  tegenslagen  van  Apple,  Google  en  Microsoft,  kunnen  we  –  gedeeltelijk  maar  niet  volledig – de schim van Big Brother die al ons doen en laten zou controleren en registreren  achterwege  laten.  Toch  is  het  risico  op  een  plotselinge  ommekeer  nooit  veraf  en  het  « anonimiseren  van  uw  gegevens »  lijkt  meer  op  een  steeksleutel,  een  soort  numerieke  amulet. Wat echter zorgwekkend is, is het gebrek aan transparantie t.a.v. de gebruiker, op  verschillende niveaus naargelang de geviseerde bouwer, en de acties die meer reactief zijn  dan proactief.   In  dit  opzicht  roepen  wij  op  tot  een  goede  technische  praktijk,  mede  dankzij  daadwerkelijke transparantie, via de applicatieontwikkelaars maar ook via de bouwers, op  het vlak van toegangsbeleid en ‐ als deze verstreken is ‐ op het vlak van het gebruik van  gegevens. Dit zou hen ertoe dwingen:  1. De gebruiker te informeren over de nodige toegangsrechten voor de aankoop van  de applicatie.  2. Binnen  redelijk  termijn,  de  terugzending  en  eventuele  terugbetaling  toe  te  staan  zodat de applicatie kan worden uitgetest.  3. Een gecentraliseerde lijst bij te houden met daarin alle applicaties met toegang tot  geolocatiegegevens en er een selectieve weigering van toe te laten.  4. Een  “algemene  uitschakeling”  beschikbaar  te  stellen  zodat  de  hele  geolocatie‐ service kan uitgeschakeld worden.  Verder zou er een handvest of een « privacy »‐label ingevoerd kunnen worden. Hierdoor  zouden  de  akkoordgaande  applicatieontwikkelaars  de  eindgebruiker  kunnen  verzekeren  dat de geolocatiegegevens respectvol gebruikt worden (geen gecentraliseerde inzameling,  het  systematisch  anonimiseren  van  de  ingezamelde  gegevens,  enz.)  en  dat  deze  niet  doorgestuurd worden zonder expliciete en systematische toestemming.    8