Mag ik mijn gegevens terug?
Wie heeft er nog geen? De smartphone: als we onderzoekers mogen geloven groeide de markt voor deze telefoons afgelopen maand maar liefst met 64%. En dat is niet verwonderlijk. De apparaten stellen ons in staat om op elk moment alles op te zoeken, met iedereen in contact te staan, te bloggen, met social media te werken en al onze vrienden te laten weten waar we ons op welk moment bevinden. Maar hoe gemakkelijk deze functies ook lijken: voor privacy bewuste mensen hebben ze ook een grote keerzijde. De controle over de eigen privacy neemt er nl. met enorme snelheid door af. En dat vaak zonder dat je het zelf in de gaten hebt.
Handig, die locatiedienstverlening...
Met de ingebouwde gps en op basis van wifi/gsm toegangspunten kunnen we op onze smartphone eenvoudig zien waar we ons bevinden. We kunnen navigeren, zien welke huizen er in de buurt te koop staan of wat er in de buurt voor goede restaurants te vinden zijn. Maar helaas vinden de leveranciers van de telefoons dit ook interessante informatie. Zowel Google als Apple geven toe deze gegevens over ons te verzamelen en soms zelfs door te verkopen aan derden. De telefoon bevat helaas geen knop die je wél toegang geeft tot de handige functies, maar tegelijkertijd voorkomt dat de gegevens bij Google of Apple worden opgeslagen. Waarom kennen we hier eigenlijk geen opt-in/opt-out wetgeving voor?
Leuk, al die apps
Zowel de iPhone als Android kennen een marktplaats voor het downloaden van extra applicaties. De marktplaatsen zijn echter niet te bezoeken zonder je eerst aan te melden. Apple heeft hiervoor een iTunes store account en Google biedt je de mogelijkheid om je met een gmail account aan te melden. Erg handig, vooral voor Google. Want zodra je je vanaf je telefoon met een gmail account aanmeldt, kunnen ze alle gegevens die ze vanuit het gebruik van je mailbox en het zoekscherm al hebben verrijken met de gegevens die van je telefoon afkomstig zijn. Ze kunnen op basis van je online gedrag niet alleen vaststellen welk klanttype je bent, maar weten op basis van je telefoon ook op welke locaties je veel te vinden bent. Een droom voor direct marketeers.
Opletten met aanmelden dus?
Maar eenmaal in het bezit van een smartphone wil je als gebruiker toch een aantal extra applicaties installeren. Kijken we naar de Android telefoons, dan maakt de privacy bewuste gebruiker hiervoor een apart gmail account aan. Deze geeft wel toegang tot de applicaties, maar staat verder overal los van. Maar is dat wel zo? Na het aanmaken van een gmail account voor toegang tot de applicaties koppelt Google ook automatisch de telefoon aan de gmail agenda, de mail en het adresboek. Het gebruiken van deze functies staat standaard aan. De telefoon zal daardoor alle persoonlijke afspraken en contactgegevens naar Google versturen. Op dat moment is Google in het bezit van je dagelijkse leefpatroon en iedereen die zich in je sociale netwerk bevindt. Deze gegevens verdwijnen de Google cloud in, zonder dat ik hier als gebruiker expliciet (goed, ongetwijfeld ergens diep verborgen in de voorwaarden van Android, gmail of market) voor heb gekozen. Omdat Google geen Nederlands bedrijf is en dus te maken heeft met hele andere (privacy) wetgeving, mag je je afvragen waar deze gegevens vervolgens allemaal terecht komen.
Maar ik heb geen smartphone...
Natuurlijk kun je besluiten om bewust niet mee te doen met al dit smartphone geweld. Als je zorgvuldig met je gegevens omgaat hoef je je over privacyschending geen zorgen te maken, toch? Dat is maar de vraag. Op het moment dat je voorkomt in het adresboek van vrienden of relaties die wel een smartphone hebben, zullen zij je gegevens verstrekken aan Google, Apple een leveranciers als Microsoft (MSN, Hotmail, Windows Mobile). En op die manier zullen de bedrijven alsnog in het bezit komen van tenminste jouw persoonlijke gegevens, zoals e-mail, telefoon, adres, geboortedatum, foto, IM adres en wat er maar is opgeslagen in de telefoons van bekenden. De kans dat ze deze gegevens nimmer meer zullen verwijderen is erg groot.
Is het iemand al eens opgevallen hoe Facebook na het aanmaken van een nieuw account met een al lang gebruikt e-mail adres al diverse vrienden-suggesties kan doen? Dit is mogelijk doordat deze vrienden in het verleden hun adresboek naar Facebook hebben verzonden om te controleren of er bekenden lid zijn. De verstrekte gegevens worden niet enkel voor deze koppel-acties ingezet, maar permanent opgeslagen en ook voor andere doeleinden gebruikt. Bijvoorbeeld om ook jou een vrienden-suggestie te doen. Op dezelfde wijze kan Google ook met de door derden over mij verstrekte gegevens activiteiten ontplooien zonder dat ik hier zelf ook maar enige controle over heb.
En wat als ik op de Android mijn gmail ontkoppel en de locatiefunctie deactiveer. Kan ik me dan vrij bewegen zonder hierover iets aan Google bekend te maken?
Helaas niet. Elke keer als je je telefoon aan een datanetwerk koppelt, neemt hij contact op met Google. Hiervoor gebruikt Google het domein "1e100.net". 1e100 staat voor 1 googol (een 1 met 100 nullen). In het contact met Google wordt het MAC adres van je telefoon doorgegeven.
10:51:37.728154 arp reply 192.168.0.115 is-at 38:fe:ac:61:09:6a (oui Unknown)
...
10:54:38.144820 IP 192.168.0.115.35101 > ww-in-f118.1e100.net.5228: S 3007542161:3007542161(0) win 64240
0x0000: 000c 29c7 56d8 38fe ac61 096a 0800 4500
Maak je gebruik van Wifi, dan kan Google deze gegevens in veel gevallen in combinatie met streetview data alsnog tot een locatie correleren. En weet men in elk geval op welke locaties je je regelmatig ophoudt. Of Google dit daadwerkelijk doet is natuurlijk niet met zekerheid te stellen.
Is hier niets tegen te doen?
Grote bedrijven als Google, Apple maar ook Microsoft weten dus veel van je. Zoveel dat dit te correleren is tot conclusies die je vermoedelijk over jezelf nog niet had getrokken. Geweldig voor marketeers, maar ook voor justitie is dit een goudmijn. Met vorderingen kunnen ze heerlijk in dit soort informatie grasduinen. Als individu is hier weinig aan te doen. Je bent te afhankelijk van de wijze waarop je netwerk met jouw privacy omgaat. Daarnaast zijn de interessante functies voor velen zo aantrekkelijk dat ze ondanks enige huiver toch overstag gaan om hiervoor een stuk privacy op te geven. Maar onze wetgevers zouden hiertegen wel strenger kunnen optreden. Met name daar waar het standaard instellingen betreft die direct en zonder hier expliciet voor te hebben gekozen gegevens kopiëren. Een opt-in zou hier al helpen. Daarnaast zou het goed zijn als leveranciers eenvoudige functies zouden inbouwen die het mogelijk maken om alle aan een account gekoppelde gegevens (en historie) volledig te verwijderen. Dus wil je na enige tijd alle gedeelde informatie verwijderen, dan zou dit mogelijk moeten zijn. Maar helaas loopt wetgeving hier over het algemeen ruim achter de techniek aan...