Veiligheid van gegevens in plaats van app-machtigingen

De app-beschrijvingen op Google Play hebben nu een nieuw gedeelte over Veiligheid van gegevens. Wij leggen uit waarom dit geen geweldig nieuws is.

Vanaf 20 juli moeten alle ontwikkelaars die Android-apps in de Google Play Store publiceren op gedetailleerde wijze aangeven welke gegevens ze verzamelen en hoe ze die gebruiken. Deze ontegenzeggelijk positieve innovatie is echter enigszins overschaduwd door de krachten van “optimalisatie”: want voordat u een app installeert, weet u niet welke gegevensbronnen die aanboort. Wij geven een kort overzicht van wat er is veranderd en leggen uit hoe u de risico’s voor uw privacy in de toekomst kunt inschatten.

Wat is er veranderd?

In april van dit jaar heeft Google een nieuwe functie op Google Play geïmplementeerd waarmee ontwikkelaars kunnen aangeven welke gegevens apps verzamelen en voor welke doeleinden. Sinds 20 juli is deze optie verplicht geworden: ontwikkelaars die dergelijke beschrijvingen niet toevoegen, riskeren dat hun apps uit de winkel worden verwijderd.

De beschrijving in het speciale gedeelte Veiligheid van gegevens op Google Play ziet er ongeveer zo uit:

Informatie over verzamelde gegevens kan direct worden bekeken op Google Play vóór de installatie

Informatie over verzamelde gegevens kan direct worden bekeken op Google Play vóór de installatie

U kunt ook een gedetailleerde lijst van verzamelde gegevens zien:

Het gedeelte Veiligheid van gegevens op Google Play: informatie over gegevensverzameling door apps

Ontwikkelaars zijn nu verplicht om openbaar te maken welke gegevens ze verzamelen

Deze positieve verandering volgt op een soortgelijke stap van Apple. Voorheen kon je bij Google alleen indirect nagaan of een app belangstelling had voor je persoonlijke gegevens door de lijst met gevraagde machtigingen te bekijken. In de app-instellingen in Android zien deze machtigingen er als volgt uit:

App-machtigingen in the Android-instellingen

Machtigingen beschrijven de specifieke bronnen op uw telefoon waar de app gegevens van zal verzamelen

Soms heeft een app machtigingen nodig om goed te functioneren. U kunt bijvoorbeeld een e-mail-app toegang geven tot uw contactenlijst. Maar het is niet verplicht. En vergeet niet dat de meeste machtigingen die aan apps zijn verleend op elk moment weer kunnen worden ingetrokken. Maar wees niet verbaasd als sommige functies daarna niet meer werken.

Op 13 juli, kort voor de invoering van de nieuwe regel voor ontwikkelaars, twitterde iemand over een kleine maar belangrijke verandering: het nieuwe gedeelte Veiligheid van gegevens werd toegevoegd in de app-beschrijvingen, maar de lijst met app-machtigingen werd tegelijkertijd verwijderd. Een ietwat controversiële zet, kunnen we wel stellen.

Waarom Veiligheid van gegevens geen vervanger voor App-machtigingen is

Natuurlijk, dit nieuwe gedeelte in de beschrijving kan u helpen beslissen of u de app wel of niet moet installeren. Als een eenvoudig programma bijvoorbeeld uw naam, e-mailadres en toegang tot foto’s wil, is het zinvol een ander programma te zoeken dat hetzelfde doet zonder iets te vragen.

Bescherming van gegevens en app-machtigingen zijn echter niet helemaal hetzelfde. Eerstgenoemde gaat over de volgende vraag: welke gegevens worden er verzameld? Die laatstgenoemde specificeert de bronnen van deze gegevens. Dit kan essentieel zijn om te beoordelen hoe belangrijk deze gegevensverzameling voor u is. Informatie over uw contacten kan bijvoorbeeld worden verzameld uit uw vriendenlijst in de app zelf, of uit de contactenlijst op uw telefoon. Het is duidelijk dat dit heel verschillende lijsten kunnen zijn. Stelt u zich bijvoorbeeld eens voor dat het om een online dating-app gaat.

En belangrijker nog: machtigingen in de beschrijving op Google Play werden automatisch voorgeschreven, op basis van de werkelijke kenmerken van de app in kwestie. Het gedeelte Veiligheid van gegevens is aan de andere kant handmatig ingevuld door de ontwikkelaars zelf. Google kan alleen maar hopen dat zij dit in goed vertrouwen zullen doen.

Hoe u met deze veranderingen om moet gaan

Het doel van het gedeelte over Veiligheid van gegevens is om gebruikers meer informatie te geven over hoe apps de privacy beïnvloeden. Tegelijkertijd heeft Google echter de hoeveelheid informatie om dit te beoordelen beperkt. Wanneer u door apps op Google Play bladert, zult u niet langer worden geleid door vragen als “Waarom heeft een wekker toegang nodig tot mijn foto’s en locatie?” Dit soort gegevens wordt namelijk niet langer verstrekt.

Dat gezegd hebbende, moeten we er voor de duidelijkheid op wijzen dat alleen de lijst met machtigingen in de app-beschrijvingen op Google Play is verdwenen. Het Android-machtigingsmechanisme is niet verdwenen. Net als voorheen kunt u een app nog steeds toegang verlenen of verbieden tot bepaalde informatiebronnen binnen het besturingssysteem: de camera, geolocatie, contactenlijst, enz.

Daarom bevelen wij een tweestapsprocedure aan voor de beoordeling van het potentiële privacyrisico op Android. Kijk eerst eens goed in het gedeelte over Veiligheid van gegevens op Google Play om te zien welke gegevens de app over u verzamelt. Als u daar tevreden mee bent, installeer de app, en controleer vervolgens welke machtigingen hij wil na de installatie. Als iets niet goed aanvoelt, geef dan niet onnodig toegang tot uw gegevens (of trek die toegang in als die al is verleend).

Vergeet niet dat noch de bestaande privacycontroles van Android, noch de hierboven beschreven innovatie het (zij het zeldzame) probleem van malware op Google Play zullen oplossen. Daarom raden we zoals altijd aan om een betrouwbare beveiligingsoplossing op uw Android-smartphone te installeren.

Tips