Tips om de privacy op je smartphone (en die van je werknemers) te waarborgen

De commotie rond FaceApp toonde weer aan hoe privacygevoelig je mobiele device is. De politie adviseerde zelfs om de app te verwijderen. Maar is je privacy met al die andere apps dan wel goed geregeld? En hoe regel je dit voor je bedrijf?

De schattingen lopen uiteen, maar gemiddeld gebruiken wij 10 apps per dag en ongeveer dertig per maand. Zeker als ze gratis zijn, is de kans groot dat die apps jouw data gebruiken. Nu is ‘data’ een vrij vaag begrip – over welke data hebben wij het?

Uit een onderzoek door The Washington Post van voorjaar 2019 blijkt dat het hoofdzakelijk om de volgende gegevens gaat:

  • je telefoonnummer, je e-mailadres(sen), contactpersonen en locatie
  • je digitale vingerafdruk (wanneer van toepassing)
  • je IP-adres
  • een lijst met andere trackers

Het ging bij dit onderzoek om app trackers op de iPhone en de onderzoekers kwamen tot het verbazingwekkende aantal van meer dan 5.000 trackers per apparaat per persoon!

SDK’s grootste bron van tracking

Tracking wordt op mobiele apparaten over het algemeen uitgevoerd door het gebruik van een ‘softwareontwikkelingskit’ oftewel een SDK (Software Development Kit). Een SDK is een set van hulpmiddelen voor app-ontwikkelaars.

De meeste SDK’s worden gebruikt om code te debuggen of in te haken op nuttige diensten, maar er zijn ook SDK’s die adverteerders en marketeers helpen om jouw data te achterhalen. Zo worden er voor elk Android-apparaat ongeveer 18 SDK’s gebruikt.

SDK’s bij meest gebruikte apps
Er is een overzicht gemaakt van de SDK’s die worden gebruikt voor de Top 200 van gratis iOS-apps.
Ook is er een overzicht van welke data Android-apps van je opslaan.

Een bekende SDK – voor zowel iOS als Android – is Google’s Admob. De tool maakt het niet alleen mogelijk om advertenties te tonen, maar ook om gebruikers te volgen. Het is een tool die in zeker 75% van de top iOS-apps is terug te vinden, zoals bijvoorbeeld LinkedIn.

Advertising and analytics platforms verkopen data

Als je weet dat er alleen al voor iOS 20 miljoen geregistreerde ontwikkelaars zijn, dan hoeft het je niet te verbazen dat er enorm veel bedrijven zijn die bijhouden wat jij dagelijks doet. Die bedrijven noemen zich ‘advertising and analytics’ platforms en zorgen er niet alleen voor dat ontwikkelaars geld verdienen, maar verkopen ook data.

De invoering van de AVG (in het buitenland beter bekend onder de afkorting GDPR) in Europa heeft gevolgen voor het traceren van gebruikersdata met behulp van SDK’s. Onderzoek wijst echter uit dat een meerderheid van de apps desondanks toch nog steeds data van gebruikers ophalen.

Stel je gebruikt de app van een landelijke krant om het dagelijkse nieuws tot je te nemen. Of je gebruikt een parkeer-app (‘de meest gebruikte app van Nederland’). Onderzoek van Brandpunt+ (juli 2019) wees uit dat je dan het risico loopt dat je locatie- en parkeergegevens worden opgeslagen. Bovendien worden je data ook nog eens gedeeld (verkocht) met/aan advertentiebedrijven.

Wat kan je zelf doen?

Je kunt zelf ook het nodige doen om de privacy op je mobiele device te waarborgen. Een paar tips:

# Toestemming kritisch beoordelen

Het begint er natuurlijk mee om minder onverschillig om te gaan met de vragen die worden gesteld bij het downloaden van een app. Vragen als: Gaat u akkoord met de juridische voorwaarden? Mag deze app toegang hebben tot je agenda? Mag deze app toegang hebben tot je contacten? Bij twijfel: niet doen.

# Machtigingen van apps uitschakelen

Zowel op Android- als op iOS-apparaten kan je app-machtigingen uitschakelen. Per besturingssysteem en versie van een besturingssysteem verschillen de mogelijkheden om een en ander aan te passen.

# Nieuwe versies Android en iOS gebruiken

De nieuwste versie van Android (Android Q of Android 10.0) bevat verschillende opties om je privacy beter te beschermen. Je kan nu bijvoorbeeld instellen dat apps alleen toegang tot je locatie hebben, wanneer je ze ook daadwerkelijk gebruikt. Ook waarschuwt Android Q als locatie-data op de achtergrond worden bijgehouden.

Ook het nieuwste besturingssysteem van de iPhone (iOS 13) bevat privacy verbeteringen. Zo kan je bijvoorbeeld je locatie tijdelijk delen met een app. Ook kan je bekijken wanneer een app jouw locatie heeft opgevraagd en voor welk doel. De iPad krijgt een eigen besturingssysteem waarvoor grosso modo dezelfde privacyverbeteringen gelden (zoals toegang tot je locatie regelen als je wifi gebruikt).

Mobile Device Management voor bedrijven

Bovenstaande tips zijn vooral voor je werknemer zelf handig. Maar daarbij heb je de bedrijfsdata nog niet veiliggesteld. Wil je daar serieus werk van maken, dan is het slim om werknemers een zakelijk device te geven waarop Mobile Device Management (MDM) is geïnstalleerd.

De IT-afdeling van je bedrijf heeft dan de mogelijkheid om in te grijpen bij calamiteiten (diefstal, virus, hack). Bovendien communiceer je dan meestal via VPN (Virtual Private Network), een beveiligde internetverbinding door het bedrijf op je apparaat ingesteld.

Wanneer een bedrijf MDM toepast op de devices voor zijn medewerkers, is meestal ook duidelijk welke apps wel of niet door werknemers op een device gebruikt kunnen worden.

Een bedrijf als KPN, waar de risico’s groot zijn, beschikt over uitgebreide policies voor medewerkers over het gebruik van apps. Er zijn diverse eisen om security- en privacy risico’s te minimaliseren. Denk o.m. aan

  1. beperken van rechten voor apps,
  2. het wijzen op mogelijke consequenties van ‘gratis producten’,
  3. het testen en laten autoriseren van apps en te installeren software.

Privacy telefoon

De rel rond FaceApp (app waarmee je jezelf jonger of ouder kunt maken, zie foto) toont echter aan dat het beleid ten aanzien van het gebruik van apps niet altijd eenduidig is. In het geval van FaceApp werd bijvoorbeeld besloten om de app te verwijderen van diensttelefoons van politieagenten.

Landelijk en op Europees niveau zou de AVG in feite al voldoende moeten zijn om app-ontwikkelaars ervan te weerhouden privé-data op te slaan en door te verkopen.
De politiek en in het bijzonder de Autoriteit Persoonsgegevens zal streng(er) moeten toezien op handhaving.

Lees ook: