Gelukkig zijn dit soort openbaarmakingen van gegevensgebruik de afgelopen jaren gebruikelijker geworden. Google kondigde voor het eerst zijn plannen aan om in mei 2021 aan te dringen op meer gegevenstransparantie in de Play Store, ruim nadat soortgelijke op privacy gerichte ‘voedingslabels’ hun weg begonnen te vinden naar de App Store van Apple. Maar hoewel Big Tech vooruitgang heeft geboekt bij het uitpakken van de manieren waarop onze apps ons proberen te begrijpen, zijn privacyonderzoekers er niet van overtuigd dat ze tot nu toe genoeg hebben gedaan.
“Ik pleit al twintig jaar voor privacylabels”, zegt Lorrie Cranor, directeur van het CyLab Security & Privacy Institute aan de Carnegie Mellon University. “En ik had gehoopt dat we het beter konden doen.”
Het zal waarschijnlijk een paar weken duren voordat de meeste mensen deze gegevensveiligheidslabels gaan zien, en nog langer voordat ze onmogelijk te missen zijn. In de tussentijd is dit echter wat u moet weten over de onthullingen over de veiligheid van gegevens over de Android-app van Google.
Wat hebben app-makers mij te vertellen?
Best wel. Hier is een snel (en niet-uitputtend) overzicht van wat ontwikkelaars vóór 20 juli moeten onthullen:
- Of de apps gegevens verzamelen.
- De soorten gegevens die worden verzameld — denk aan uw naam, e-mailadres, locatie en meer — samen met de reden waarom ze nodig zijn.
- Of die gegevens worden gedeeld met derden.
- Of de gegevens die uw telefoon verlaten, tijdens het transport worden versleuteld.
- Of u kunt vragen om uw gegevens te verwijderen.
- Of u zich volledig kunt afmelden voor gegevensverzameling.
App-makers kunnen gebruikers ook vertellen of hun software onafhankelijk is gevalideerd voor beveiliging of dat deze voldoet aan het strengere ontwerpbeleid van Google voor gezinnen en kinderen, maar in tegenstelling tot alles wat hierboven is vermeld, zijn deze puur optioneel.
Van de soorten informatie die Google ontwikkelaars heeft gevraagd om uit te pakken voor potentiële app-gebruikers, zei Cranor dat het bedrijf “lijkt holistischer te zijn in het praten over beveiliging en veiligheid in het algemeen, niet alleen over privacy”, zoals de app-labels van Apple doen. Toch gelooft ze dat er manieren zijn om dergelijke openbaarmakingen nog leesbaarder te maken voor – en nuttiger voor – niet-techneuten.
“De meesten van ons willen privacy, maar we willen niet elk wakker moment aan privacy denken,” zei ze.
Haar suggesties? Een duidelijke privacyscore die is afgeleid van informatie die in het label wordt vermeld, zou mensen kunnen helpen beter geïnformeerde downloadbeslissingen te nemen, net als een tool waarmee mensen de privacyinformatie van twee apps naast elkaar kunnen vergelijken. “Ik wil niet alleen de app met veel sterren en goede recensies, maar ook de app met betere privacy”, voegde ze eraan toe.
Wanneer ga ik ze zien?
In theorie zou je ze nu kunnen zien – zolang je een apparaat gebruikt met de Android 5.0-software of nieuwer. (Dit is waarschijnlijk geen probleem voor u, tenzij uw Android-telefoon meer dan zeven tot acht jaar oud is.)
Dat gezegd hebbende, kan het nog een paar weken duren voordat u deze onthullingen ziet voordat u een nieuwe app downloadt. Google was oorspronkelijk van plan om ze eind vorige maand verplicht te stellen, maar heeft die deadline verschoven naar 20 juli, deels omdat app-makers meer tijd wilden hebben om eraan te voldoen.
Hoewel het bedrijf in zijn aankondiging zei dat gebruikers rond eind april dataveiligheidsstoringen zouden zien, hebben we er zelf nog geen gevonden. Geen van de top 40 gratis apps die beschikbaar zijn voor Android-telefoons bevatte een onthulling van gegevens toen we op 4 mei controleerden, en ook veel van de populaire apps die Google zelf maakte niet. (Dat omvat YouTube, Google Foto’s, Gmail, Google Fit, de webbrowser Chrome, de toetsenbord-app Gboard en meer.)
Het bleek dat we niet de enige mensen waren die problemen hadden met het vinden van deze openbaarmakingen van gegevensgebruik.
“Ontwikkelaars vullen de formulieren in. Maar ik heb vanmorgen gekeken en ik heb het aan al mijn studenten gevraagd’, zei Cranor toen we elkaar eerder deze week spraken. “Niemand heeft enig bewijs gevonden van echte labels.” En tot nu toe heeft ze geen van beiden leden van een grotere groep privacyonderzoekers en studenten bij CMU e-mailden na ons gesprek.
Google-woordvoerder Scott Westover suggereerde in een e-mail dat het slechts een eigenaardigheid was van de manier waarop het bedrijf deze onthullingen aan gebruikers uitrolt en dat onze apparaten “de secties misschien nog niet kunnen zien”.
Moeten alle app-makers deze informatie vrijgeven?
Ja. Sommige artikelen van Google over dit onderwerp gebruiken soms zweverige taal, maar alle Android-apps moeten voor de deadline een gedeelte over gegevensveiligheid in hun Play Store-lijst hebben.
Als een persoon of bedrijf dat een app heeft gebouwd besluit dat soort informatie niet te willen delen, mogen ze geen bijgewerkte versies van hun apps publiceren. Westover van Google zegt ook dat openbaarmakingen van gegevensveiligheid met “onopgeloste problemen” volledig uit de Play Store kunnen worden verwijderd, als apps die willens en wetens “valse of misleidende informatie bevatten”.
Maar dat betekent niet dat elke afzonderlijke Android-app die u in de Play Store van Google vindt, met trots deze uitsplitsingen van gegevensveiligheid zal aanbieden. Oudere apps die niet zijn bijgewerkt – misschien omdat ze in de steek zijn gelaten, of omdat hun makers ze beschouwen als complete werken die geen updates nodig hebben – kunnen zonder hen nog een tijdje blijven bestaan. Dat gebrek aan openbaarmaking van gegevens betekent echter niet noodzakelijk dat u die apps niet moet installeren; alleen dat u extra voorzichtig moet zijn tijdens het gebruik ervan.
Controleert iemand of deze onthullingen juist zijn?
Dat is de grote vraag, en met een goede reden.
Kort nadat Apple de lancering van privacylabels in zijn eigen App Store aankondigde, ontdekte onze persoonlijke tech-columnist Geoffrey A. Fowler gevallen van apps die openlijk een verkeerde voorstelling gaven van de hoeveelheid gegevens die ze verzamelden. De grootste overtreders, die tot dan toe niet waren opgemerkt, werden betrapt op het verzenden van traceerbare stukjes informatie naar derden zoals Facebook en Google, ondanks het feit dat ze beweerden dat de gegevens “helemaal niet” waren verzameld.
Google-woordvoerder Westover zei dat “alleen de ontwikkelaars over alle benodigde informatie beschikken” om de vragen die deze onthullingen vereisen nauwkeurig te beantwoorden, maar hij voegde eraan toe dat het bedrijf “een aantal controles uitvoert op de app’s gegevensveiligheidssectie” omwille van de nauwkeurigheid. (Dat gezegd hebbende, zou het bedrijf niet ingaan op de aard van die controles.)
Dat is misschien waar, maar het lijkt erg op wat Apple zei toen we betrapte erop dat sommige apps hun privacybeloften niet nakwamen.
Voor nu is het moeilijk te zeggen of ontwikkelaars zo eerlijk zijn als ze zouden moeten zijn met deze onthullingen, omdat zo weinig apps ze zelfs lijken te hebben. Naarmate deze uitsplitsingen van gegevens echter vaker voorkomen, zullen we er zelf doorheen gaan graven om te zien welke app-makers zich aan de regels houden en welke minder dan eerlijk zijn.