Big Brother zit overal! Heel wat instellingen, personen of organisaties nemen het niet zo nauw met de privacy van de burgers. De Liga voor Mensenrechten en La Ligue des droits de l’homme hebben een aantal kandidaten op een rijtje gezet die het recht op privacy niet respecteren. Hieronder vindt u het dossier van één van de kandidaten.
1
SPYWARE « Hallo, waar ben je? » is ongetwijfeld de nieuwe uitdrukking ontstaan uit de generalisatie van de mobiele telefonie. De verleiding is immers zeer groot om iemand te vragen waar hij zich bevindt, wetende dat die persoon niet door de telefoondraad op kantoor of thuis vastzit. Zo gaat dat nu eenmaal: de mens is een nieuwsgierig beest dat zijn omgeving wil beheersen. Misschien lijkt de vraag wel alledaags en automatisch – Koen wil weten of Lies het huis nadert en wil graag weten of ze even brood wil gaan kopen – of zelfs controlerend – Koen wil weten waarom Lies 5 minuten te laat op het werk aankomt en waar ze uithangt in plaats van haar plicht te vervullen. Toch zou het kunnen dat deze uitdrukking niet lang meer gebruikt wordt: de “intelligente” telefoons, vaker « smartphones » genoemd, zijn immers verbluffende apparaten waarbij de locatie van de eigenaar grof of net zeer precies bepaald kan worden. Dit proces wordt « geolocalisatie » genoemd. Zo zou “Hallo, waar ben je?” snel kunnen veranderen in “Hallo Lies, u dient zich niet in de winkels van onze concurrentie te bevinden, ik verwacht u binnen 10 minuten in mijn bureel.” Maar is dat een reden om het hele geolocatiesysteem dan automatisch te beschouwen als negatief en bovendien gevaarlijk voor onze meest fundamentele rechten zoals bewegingsvrijheid of het recht op privacy? De vrijwillige geolocalisatie Elk nieuw technologisch snufje heeft voor‐ en tegenstanders. Het zijn de gebruikers die gewoonlijk de inzet kennen (of denken te kennen) van de instrumenten die ze gebruiken en die een persoonlijke mening hebben over de relevantie van het gebruik ervan. We nemen even een kijkje naar de geolocatie‐services aanwezig in de apparatuur:
Facebook « Places »1: met deze service kan de Facebook‐gebruiker aangeven dat hij ergens aanwezig is (« ik ben in de Deli van Waterloo »), weten wie zich op dezelfde plaats bevindt (« Lies is ook in de Deli ») en elke essentiële informatie eraan koppelen (« oh nee, ik heb geen voer meer voor mijn hond »).
Foursquare2: de “nummer één”‐applicatie op het gebied van vrijwillige geolocalisatie. Het is een sociale netwerksite, met spelletjes en microblogging, waarbij de gebruiker kan aangeven waar hij zich bevindt en zo zijn contacten kan ontmoeten (geolocatiesysteem). Het ludiek aspect: de gebruiker kan bij specifieke plaatsen badges verdienen, een beetje zoals de stickers uit de jaren ‘70.
1 2
https://www.facebook.com/about/location https://foursquare.com/
2
Twitter: met deze referentiewebsite voor microblogging kan een geolocatietag gekoppeld worden aan een tweet (een kort bericht), waardoor de persoon die de tweet leest kan weten van waar de auteur het bericht heeft verzonden. Men kan hierbij ook elk verzonden bericht in de onmiddellijke omgeving van zijn eigen locatie vinden.
Men kan dus terecht veronderstellen dat de gebruikers van de bovenstaande services deze geolocatiefuncties kennen, én dat ze deze services zelfs enkel gebruiken omwille van deze functies. In dit geval is de geolocalisatie een « opt‐in »‐optie die de gebruiker bewust moet inschakelen, of die hij natuurlijk kan weigeren te gebruiken. Verder kunnen ook zeer veel applicaties, die we kunnen downloaden op deze smartphones (via de AppStore van Apple voor de iPhones en iPads, de Android Market van Google voor de smartphones en Android‐tablets of via de Marketplace van Microsoft voor de smartphones Windows Phone), een geolocatiefunctie bevatten. Het kan hierbij gaan om het markeren van de door het toestel getrokken foto’s (om de plaats te markeren waar de foto genomen werd), om het aangeven van de « vrienden » in de omgeving die dezelfde applicatie gebruiken, van winkels in de regio die een betere prijs aanbieden voor het voorwerp dat u gescand hebt met het fototoestel van uw smartphone, enz. De voorbeelden zijn even talrijk en rijk als de creativiteit van alle applicatieontwikkelaars samen. Hier zal de potentiële gebruiker blijk moeten geven van meer scherpzinnigheid om te weten of de applicatie die hij wil downloaden al dan niet een geolocatiefunctie omvat. Elk systeem (Apple/Google/Microsoft) springt anders met het onderwerp om. We nemen Apple en Google ter illustratie. Apple Wanneer een toekomstige gebruiker een applicatie op de Appstore bekijkt, en alvorens hij het op zijn iPhone/iPad installeert, kan hij onmogelijk achterhalen of deze applicatie al dan niet geolocalisatie inhoudt. Zo zou een gebruiker een betalende applicatie kunnen aankopen en enkel na het downloaden beseffen dat deze de toegang tot locatiegegevens vraagt; indien de gebruiker weigert is hij gewoonweg zijn geld kwijt zonder enige mogelijkheid om terugbetaald te worden. Dit gezegd zijnde, voorziet het iOS‐systeem (besturingssysteem van de iDevices) een algemene uitschakeling voor de locatievoorzieningen3. Verder moet iedere applicatie met geolocalisatie de gebruiker, bij de eerste opstarting van zijn toestel, vragen of hij de applicatie aanvaardt of niet. Achteraf kan de gebruiker dit recht herroepen – voor alles of enkel voor welbepaalde applicaties. Natuurlijk houdt deze inperking in dat bepaalde applicaties niet meer functioneren. Een ander voordeel van het systeem is dat de gebruiker snel ingelicht kan worden over het geheel aan geïnstalleerde applicaties die toegang hebben tot geolocalisatie. Apple heeft overigens de controle over iedere applicatie die gepubliceerd wordt op de AppStore. De « App Store Review Guidelines »4 vermelden dat een applicatie 3 4
“iOS 4: Understanding Location Services” http://support.apple.com/kb/ht1975 http://stadium.weblogsinc.com/engadget/files/app‐store‐guidelines.pdf
3
gewoon niet in de Appstore gepubliceerd zal worden als het niet vraagt om de toestemming van de gebruiker voor het gebruik van geolocalisatie. Er wordt echter niets vermeldt over een mogelijke controle van het kerndoel van een applicatie, nl. de verwerking en eventueel het opslaan van de geolocatiegegevens verzameld door de mobiele terminals. Dit doel is minder verdienstelijk dan bijvoorbeeld het verkoop van de gegevens aan derden. Er wordt ook niets gezegd over de betrouwbaarheid van Apple’s controleproces (“reviews”) alvorens de applicaties worden gepubliceerd in de AppStore. Google & Android: Google heeft voor een andere aanpak gekozen als het gaat om de informatie van de gebruiker. Wanneer de gebruiker van de smartphones of tablets een applicatie wil downloaden van de Android Market, dan krijgt hij een samenvatting te zien van de toegangsrechten vereist door de applicatie die hij wil downloaden ‐ inclusief de locatie van de smartphone. Slechts na instemming zal de toepassing gedownload en geïnstalleerd kunnen worden. Op die manier wordt het risico op geldverlies, zoals bij Apple, weggewerkt. Als de gebruiker niet heeft gelet op de gevraagde rechten door een applicatie voor de aankoop, download en installatie, dan kan hij binnen de 15 minuten de gekochte applicatie verwijderen en zijn geld terugkrijgen. Eens de applicatie(s) geïnstalleerd is/zijn, is het echter niet zo makkelijk om te weten wie er ook geolocalisatie gebruikt. Er bestaat geen gecentraliseerde lijst zoals voor iOS: hier zal de gebruiker de toegangsrechten voor elke applicatie afzonderlijk opnieuw moeten overlopen. Zoals voor iOS kunnen alle geolocatie‐ services uitgeschakeld worden (algemene uitschakeling). In tegenstelling tot Apple, heeft Google geen controleproces voor applicaties uitgewerkt voorafgaand aan de publicatie op de Android Market. Verder blijkt er, net als bij iOS, geen enkele controle te bestaan die verzekert dat een applicatie met geolocalisatie geen gegevens verzamelt buiten ons medeweten om ze op te waarderen bij derden, zonder dat we daartoe hebben ingestemd natuurlijk.
Zoals deze twee voorbeelden aantonen hebben de praktijken van beide technologieleveranciers zowel goede als slechte kanten. Wat niet weet, niet deert In 2011 werden Google, Apple en Microsoft met de vinger gewezen door de media, en zelfs door enkele politieke spelers, voor het verzamelen van geolocatiegegevens via zowel hun mobiele terminals als hun besturingssysteem. Even een overzicht van de feiten:
Apple: in april 2011 hebben Alasdair Allan en Pete Warden tijdens de conferentie « Where 2011 »5 hun ontdekking meegedeeld: Apple zou op zijn iDevices (iPhone en iPad 3G) een verborgen bestand opslaan met een lange lijst van plaatsen waar de iDevice is geweest. Het gaat hier om het opslaan van gegevens van bijna een volledig jaar in het formaat « lengtegraad/breedtegraad/timestamp » en dit bestand is noch gecodeerd noch beschermd.
5
http://whereconf.com/where2011
4
Hierdoor zou eender welke applicatie van een ontwikkelaar toegang kunnen hebben tot de informatie voor commerciële of nog minder toegeefbare doeleinden. Nog verrassender is het feit dat het bestand niet gefundeerd is op het gebruik van de GPS in de iDevices, die trouwens op elk moment uitgeschakeld kan worden door de eigenaar van de iDevices. Aan de basis ligt wel een triangulatie door een GSM‐mast6. Verder wordt het hele wifi‐netwerk, opgespoord door de 3G smartphones en tablets van Apple, ook verzameld in dit bestand. Naar aanleiding van de daaropvolgende algemene verontwaardiging, beweerde Apple natuurlijk dat de ingezamelde gegevens die doorgestuurd worden naar Apple geanonimiseerd zijn. Ook wanneer de inzameling van de gegevens bleef doorgaan zelfs na het uitschakelen van de geolocatie‐services (algemene uitschakeling), verklaarde Apple dit als een « bug » (fout in de programmering) en vanaf mei werd dit probleem verholpen. Apple beperkte ook de inzamelingsperiode tot 7 dagen. Het dient gezegd dat de gebruikslicentie van iOS (die moet worden aanvaard door elke gebruiker die zijn toestel voor het eerst aanzet) bepaalt dat Apple en zijn partners zich het recht toekennen geolocatiegegevens in te zamelen, al wordt dit gedaan onder een anonieme vorm7.
Google: diezelfde algemene verontwaardiging ten opzichte van Apple deed zich ook voelen bij Google. Diezelfde maand april, toonde Magnus Eriksson, een Zweedse programmeur, aan dat Google op de Andriod smartphones een bestand bewaarde met de 50 laatste geolocaties door GSM‐masten en de 200 laatste wifi‐netwerken (en hun geolocatie) « gezien » door de terminal. In tegenstelling tot Apple, gaat het hier niet om een opname van een heel jaar en is het bestand beschermd op vlak van toegang, zodat de gegevens niet door eender welke applicatie gestolen kunnen worden ‐ al worden ze « geanonimiseerd » naar Google doorgestuurd. Bij het starten van een Android smartphone (d.w.z. de eerste opstarting en configuratie), kan de gebruiker ook weigeren om deze gegevensinzameling te activeren8.
Microsoft: de hoofdprijs in deze categorie gaat zonder twijfel naar de gigant van Redmond. Toen Apple en Google het moeilijk hadden, beweerde Microsoft met klem niet aan zulke praktijken te doen. Enkele weken later werd ontdekt dat de smartphones Windows Phone 7 regelmatig geolocatiegegevens naar Microsoft doorstuurde. De kers op de taart is hierbij dat de gegevens van de applicatie Camera zelfs doorgespeeld werden als de gebruiker de gegevensinzameling geweigerd had9. Begin september werd er een klacht ingediend bij het Federale Hof van Seattle. Vervolgens erkende Microsoft een « onopzettelijk gedrag » van zijn mobiele besturingssystemen en corrigeerde deze fout met de versie Windows Mobile 7.510. Buiten deze “blunder”, maar ditmaal gedekt door de toestemming van de eindgebruiker, blijft Microsoft ‐ net als Apple en Google ‐ geolocatiegegevens inzamelen. Naar analogie van de twee andere bedrijven, kunnen de geolocatieservices op de Windows Phone uitgeschakeld worden, hetzij applicatie per applicatie, hetzij door de algemene uitschakeling.
6
Zie http://fr.wikipedia.org/wiki/G%C3%A9olocalisation#G.C3.A9olocalisation_par_GSM (frans) http://www.apple.com/legal/sla/docs/iphone.pdf 8 http://socialtimes.com/turn‐off‐location‐services‐on‐android‐phones_b59219 9 http://news.cnet.com/8301‐31921_3‐20100228‐281/microsoft‐collects‐phone‐location‐data‐without‐ permission‐says‐researcher/ 10 http://www.microsoft.com/windowsphone/en‐us/howto/wp7/web/location‐and‐my‐privacy.aspx 7
5
De vraag die nu dient gesteld te worden: waarom verzamelen Apple, Google en Microsoft deze gegevens? Ten eerste: het commercieel aspect. We mogen niet vergeten dat Apple heeft besloten om Google niet alle winst uit reclame op de mobiele terminals alleen te laten opstrijken. Apple wil ook een deel van de winst en dit dankzij de « iAd »‐dienst. Apple kent zich het recht toe om, indien de eindgebruiker instemt met de servicebepalingen, de geolocalisatie van de smartphones te gebruiken om reclame te richten, al worden de locatiegegevens niet doorgespeeld naar de bedrijven voor wie het reclame maakt (behalve als de gebruiker op de reclame klikt). Voor deze gerichte reclame heeft Apple een Opt‐outsysteem bedacht11. Google gaat natuurlijk gelijkaardig te werk met zijn eigen reclamesysteem voor mobiele systemen en het bedrijf legt ook uit dat het geen gebruikersidentificatie van uw toestel doorgeeft aan de bedrijven met dewelke het handel drijft. Het biedt tevens een wat onduidelijk Opt‐outsysteem1213. Ten tweede, het aspect van hulp bij de locatie, dat zelf herleidt kan worden tot een commercieel aspect. Zo kan een GPS‐chip een zekere tijd nodig hebben om zijn locatie te herkennen (de gebruiker staat in een gebouw, de GPS is al een tijdje niet meer gebruikt, solar flares, enz.). Het lokaliseren van een toestel versnelt bij een lokale opslagplaats of bij toegang tot een enorme databank die de login van de GSM‐masten of de wifi‐netwerken met de geografische gegevens verbindt. Ter illustratie: als men weet welke GSM‐ verbindingen beschikbaar zijn aan de uitgang van een lange tunnel, dan zal het heraansluiten van de GSM op het netwerk versnellen als men uit de tunnel komt. Om te kunnen genieten van dit type service bestaan er 2 mogelijkheden: u betaalt een derde bedrijf of u maakt uw eigen databank aan. Het gaat hier dus duidelijk om een belangrijke commerciële inzet. Men kan dus begrijpen waarom Apple, Google en Microsoft uw mobiliteit en uw GSM willen gebruiken om die gegevens in te zamelen en zo hun eigen databank samen te stellen zodat ze geen derde bedrijf moeten betalen, of gewoonweg om deze service zelf te kunnen doorverkopen aan andere bedrijven. Toestemming, opt‐in en opt‐out Krachtens artikel 7(a) van de Europese Richtlijn 95/46/EG betreffende de bescherming van persoonsgegevens, is de toestemming een vereiste voor de verwerking van persoonsgegevens. De toestemming speelt een zeer belangrijke rol bij de bescherming van persoonsgegevens. Het is inderdaad zodanig nauw verbonden met de notie van controle dat, wanneer de burger instemt met de verwerking van zijn persoonsgegevens, dan is dat omdat hij er daadwerkelijk 11
http://osxdaily.com/2010/06/23/opt‐out‐of‐iad‐location‐and‐data‐tracking‐cookies/ http://searchengineland.com/google‐intros‐new‐privacy‐controls‐for‐mobile‐consumers‐73156 13 http://www.google.com/ads/preferences/html/mobile‐about.html 12
6
voor gekozen heeft. Hij heeft de controle en oefent zijn « vrijheid om inlichtingen te ontvangen en te verstrekken » uit. Het lijkt er dus op dat de toestemming een middel is voor de burger om een zekere controle te behouden over zijn informatief imago en over wat derden met zijn persoonsgegevens doen. Toch is de toestemming geen onvoorwaardelijk gegeven als het gaat over het legitimeren van de verwerking van persoonsgegevens. Enerzijds moet de verwerking, op basis van een toestemming, steeds de andere beschermingsbeginselen voor gegevens naleven, voornamelijk het finaliteitsbeginsel en het beginsel betreffende de kwaliteit van de gegevens. Anderzijds mag de toestemming enkel toelaten dat de gegevens verwerkt worden voor gerechtvaardigde doeleinden. Anders zou men de toestemming kunnen misbruiken om de gegevensverwerking voor ongerechtvaardigde doeleinden te rechtvaardigen, wat gewoonweg onaanvaardbaar zou zijn. Om geldig te zijn moet de toestemming voldoen aan verschillende voorwaarden. Volgens de hierboven vermelde Richtlijn, moet de toestemming voldoen aan verschillende criteria. Deze moet vrij, specifiek, op informatie berustend en ondubbelzinnig zijn. De vraag die daaruit volgt is hoe men een toestemming kan verkrijgen die geldig is volgens deze criteria en dit voor de gegevensinzameling betreffende de geolocalisatie van de smartphones en andere smart mobiele apparatuur (iPad bvb)? Om de toestemming van de gebruiker te verkrijgen voor geolocalisatie zijn er twee technieken: de opt‐in, en de opt‐out. De opt‐out neemt het idee van de “stilzwijgende toestemming” over. Hoewel de gebruikers de geolocatiefunctie kunnen uitschakelen, staat deze automatisch aan. Deze oplossing moet om 2 redenen verworpen worden. Ten eerste, de gebruiker mist vaak de nodige (technische of andere) kennis om exact te weten hoe de technologie in kwestie werkt, en vooral, hoe hij die moet uitschakelen. Praktisch gezien zullen slechts heel weinig mensen deze optie kunnen gebruiken. Men kan dus stellen dat een dergelijke toestemming onvoldoende toegelicht wordt. Ten tweede, de opt‐out berust op het idee van stilzwijgende toestemming. Zo een toestemming is echter dubbelzinnig. Het is bedrieglijk te beweren dat het gewone gebruik van een smartphone overeenstemt met een eenduidige toestemming betreffende het inzamelen van de geolocatiegegevens. Bij het lezen van deze kritiek, kiest de gebruiker dus best voor de oplossing waarbij hij eerst ingelicht wordt over wat het inzamelen van geolocatiegegevens inhoudt en waarbij zijn eenduidige en expliciete toestemming nodig is alvorens gegevens worden ingezameld. Dat is de opt‐inoplossing. Nu moet men nog weten hoe men overigens het best met de opt‐in omgaat. Ten eerste, moet de toestemming specifiek gaan over de inzameling van geolocatiegegevens. Dit betekent dat het geen deel mag uitmaken van de algemene gebruiksvoorwaarden die de toegang tot de technologie zouden beperken. Ten tweede, zoals reeds vermeld, moet de toestemming het finaliteitsbeginsel naleven. Daarom is er een specifieke toestemming nodig voor elk doel betreffende het gebruik van gegevens en bij elk 7
nieuw doel is er een nieuwe toestemming nodig. Ten slotte moet de toestemming dynamisch zijn (en niet statisch). Het is niet omdat een gebruiker 1x instemt met een inzameling van geolocatiegegevens dat dit betekent dat zijn toestemming “eeuwig” geldt. De gebruiker zou immers ook kunnen vergeten dat hij heeft ingestemd. Een dynamische toestemming zou dus voor een bepaalde periode (een jaar bvb) geldig blijven. De gebruiker moet er ook voortdurend aan herinnerd worden dat hij heeft ingestemd, wat uitgevoerd kan worden d.m.v. een « ON »‐icoon bvb. Tot slot moet een dynamische toestemming de gebruiker steeds de mogelijkheid bieden zijn toestemming in te trekken, en dit op een gebruiksvriendelijke manier, zonder enig nadelig gevolg. Naar goede praktijken Door de tegenslagen van Apple, Google en Microsoft, kunnen we – gedeeltelijk maar niet volledig – de schim van Big Brother die al ons doen en laten zou controleren en registreren achterwege laten. Toch is het risico op een plotselinge ommekeer nooit veraf en het « anonimiseren van uw gegevens » lijkt meer op een steeksleutel, een soort numerieke amulet. Wat echter zorgwekkend is, is het gebrek aan transparantie t.a.v. de gebruiker, op verschillende niveaus naargelang de geviseerde bouwer, en de acties die meer reactief zijn dan proactief. In dit opzicht roepen wij op tot een goede technische praktijk, mede dankzij daadwerkelijke transparantie, via de applicatieontwikkelaars maar ook via de bouwers, op het vlak van toegangsbeleid en ‐ als deze verstreken is ‐ op het vlak van het gebruik van gegevens. Dit zou hen ertoe dwingen: 1. De gebruiker te informeren over de nodige toegangsrechten voor de aankoop van de applicatie. 2. Binnen redelijk termijn, de terugzending en eventuele terugbetaling toe te staan zodat de applicatie kan worden uitgetest. 3. Een gecentraliseerde lijst bij te houden met daarin alle applicaties met toegang tot geolocatiegegevens en er een selectieve weigering van toe te laten. 4. Een “algemene uitschakeling” beschikbaar te stellen zodat de hele geolocatie‐ service kan uitgeschakeld worden. Verder zou er een handvest of een « privacy »‐label ingevoerd kunnen worden. Hierdoor zouden de akkoordgaande applicatieontwikkelaars de eindgebruiker kunnen verzekeren dat de geolocatiegegevens respectvol gebruikt worden (geen gecentraliseerde inzameling, het systematisch anonimiseren van de ingezamelde gegevens, enz.) en dat deze niet doorgestuurd worden zonder expliciete en systematische toestemming. 8