Vorige week publiceerde de Canadese privacy waakhond het resultaat van de tweede veegactie van de Global Privacy Enforcement Network (GPEN). In mei 2014 zijn in deze Privacy Sweep ruim 1.200 apps bekeken. Internationale privacy experts evalueerden gevraagde consent voor gebruik van persoonlijke gegevens en of die past bij de functionaliteit van de app. Het belangrijkste daarbij was de toelichting van de app voor gebruikers over het waarom de gegevens nodig waren en wat ermee ging gebeuren.

Therrien (de Canadese Privacy Commisioner) vat de resultaten als volgt samen: “Both large and small app developers are embracing the potential to build user trust by providing clear, easy to read and timely explanations about what information they will collect and how they will use it. Others are missing that opportunity by failing to provide even the most basic privacy information.” Wat grofweg natuurlijk neer komt dat er apps zijn die het goed doen, maar ook die het niet zo best doen qua privacy.

De highlights:

  • Driekwart van de apps vroeg om permissie om gegevens te mogen gebruiken. In de regel: locatie, device ID, toegang tot andere accounts, camera en contacten.
  • Voor bijna een derde van de apps was de toelichting op het hoe en waarom van gebruik van gegevens onduidelijk (noot: het gaat hier om experts).
  • Ruim veertig procent van de apps had de privacy teksten niet aangepast aan het scherm van het mobiele apparaat. Kleine lettertjes en veel scrollen.

De bevindingen zijn vertaald naar 10 tips om privacy beleid in te richting voor apps. Samengevat: wees transparant, leg het hoe en wat uit en zorg dat privacy informatie makkelijk beschikbaar is (en blijft).

Ter illustratie worden de beste en slechtste voorbeelden uit Canada uitgelicht ter lering ende vermaak. Bij de besten hoort de muziek-app Shazam die helder uitlegt waarom het nodig is om met de app o.a. je accounts, je locatie, je foto’s te delen. Voor sommige informatie wordt pas consent gevraagd op het moment dat het nodig is, in dit geval audio. Een ander goed voorbeeld is Fertility Friend, een vruchtbaarheidskalender die je kunt delen met je vrienden. Die legt uit hoe de informatie wordt gebruikt en ook wat ze nooit met jou informatie zullen doen (verkopen of doorgeven aan derden – fijn om te weten vanuit gebruikersperspectief). Plezierige bijkomstigheid was dat informatie goed te lezen is op een klein schermpje. En dan de apps die tenenkrommend omgaan met de privacy van de gebruiker. Hoog in de downloadlijst staat Super-Bright LED flashlight, maar dus ook hoog in de disAPPointing lijst m.b.t. privacy. Een app die van je mobiel een zaklantaarn maakt. De app wil camera en microfoon gebruiken, het device ID, telefoon informatie, foto’s, media, etc. Geen idee waarom dat nodig is om een lichtje te laten schijnen. En geen enkele informatie over privacy beleid. Een andere is Pixel Gun 3D. Scoort ook hoog in de downloadlijsten in Canada. Het is een multiplayer schietspel, waarbij je je eigen poppetjes maakt. Er is geen privacy tekst beschikbaar, maar gebruikers worden wel geacht hun device ID, telefoon gegevens, app geschiedenis, foto’s, etc. te delen. In the terms-of-use staat dat de ontwikkelaars volledig toegang hebben tot informatie van de gebruiker. Dat klinkt niet goed vanuit privacy oogpunt.

Al met al leuk en leerzaam om te lezen. En benieuwd naar de resultaten van volgend jaar.