De wereld digitaliseert. Het is daarom van belang dat mensen weten hoe ze met hun online gegevens om moeten gaan. App stores spelen een belangrijke rol in gegevensbescherming. App stores hebben namelijk een invloedrijke positie dankzij hun rol als gatekeepers. Het zijn de app stores die bepalen wie wel of niet toegang hebben tot een app en zij zijn degene die gebruikers informatie geven over apps. Julia Krämer, promovenda aan Erasmus School of Law, was te gast in de Podcast The Digital Period, een podcast serie gepresenteerd door de juridisch filosoof Judith Blijden. In de aflevering getiteld “Values and Technology” bespreekt Krämer de cruciale rol van app stores bij het waarborgen van naleving van gegevensbescherming voor apps en hoe app-gebruikers zich beter kunnen bewapenen om hun gegevens te beschermen.
Krämers onderzoeksproject maakt deel uit van het Sectorplan ‘Balancing public and private interests’ en ‘Empirical Legal Studies’, waarvoor zij heeft gesolliciteerd met haar eigen onderzoeksvoorstel. Tijdens Krämers masteropleiding begon zij onderzoek uit te voeren naar de wetgeving inzake gegevensbescherming. Ze onderzocht hoe de invoering van de Algemene Verordening Gegevensbescherming (AVG) in 2018 van invloed was op de privacy beleidsregels van websites. “Echter, begon ik me meer zorgen te maken over mobiele apps, omdat de gegevens die apps kunnen verzamelen mogelijk gevoeliger zijn dan de gegevens die we onthullen tijdens het browsen op onze computers.” Naast haar studie, werkte Krämer als onderzoeksassistent bij het Leibniz Centre of European Economic Research, waar zij geleerd heeft om te programmeren. Deze vaardigheid gebruikt Krämer ook in haar promotieonderzoek.
Gegevensbescherming binnen de EU
Krämer vertelt dat in de Europese Unie veel regels bestaan die bepalen hoe apps gegevens mogen verzamelen of verwerken. “In de praktijk ontbreekt het echter aan naleving van deze regels om verschillende redenen.” Krämer geeft aan dat bijvoorbeeld kleinere teams van ontwikkelaars mogelijk niet goed bekend zijn met de Europese privacywetten. Daarnaast wijst ze er ook op dat handhaving van de wetgeving inzake gegevensbescherming uitdagend kan zijn voor entiteiten zonder aanwezigheid binnen de EU. “Daarom is de rol van mobiele app stores cruciaal, omdat ze feitelijk fungeren als privacy regulators, die de regels bepalen voor de opname of uitsluiting van apps binnen de stores en derhalve bepalen welke apps toegankelijk zijn voor gebruikers. In mijn onderzoek verken ik deze rol door te onderzoeken hoe app stores van invloed zijn op de naleving van gegevensbescherming in apps. Om deze reden verzamel ik privacy-informatie over miljoenen apps, zoals hun privacy beleid, die ik analyseer op basis van hun naleving.”
Een kritische blik op ontwikkelingen
Krämer vertelt dat er momenteel een verschuiving te zien is in hoe mensen zich opstellen tegenover privacybescherming. Ze geeft aan dat privacy van een onderwerp van ongemak verandert naar een waarde die gebruikers daadwerkelijk willen beschermen. “Bedrijven herkennen deze verandering en positioneren zich strategisch als privacy-gericht om aantrekkelijk te zijn voor steeds privacy bewustere consumenten, zoals te zien is in recente marketingcampagnes van bedrijven zoals Apple.”
Krämer wijst op verschillende initiatieven van bedrijven, zoals de Apple Tracking Transparency, die toestemming van gebruikers verplicht maakt voordat apps mogen tracken, of de Google Privacy Sandbox, die tot doel heeft om tegen 2024 third-party cookies op Chrome uit te faseren. Ook hebben beide app stores privacy labels geïntroduceerd. Deze labels geven informatie over gegevensverzameling van apps met behulp van afbeeldingen. “Het is echter essentieel om deze veranderingen kritisch te evalueren. Dergelijke initiatieven worden aangestuurd door machtige particuliere entiteiten, waarbij Apple en Google de leiding nemen, wat de aandacht heeft getrokken van mededingingsautoriteiten in de EU. Hoewel het toe te juichen is dat privacy meer aandacht krijgt, is het cruciaal dat EU- en nationale regelgevers ervoor zorgen dat deze initiatieven niet alleen de belangen van individuele bedrijven dienen, maar oprecht bredere privacy- en gegevensbeschermingsprincipes waarborgen.”
Verantwoordelijkheid voor online privacy
Op de vraag wat Krämer vindt van hoe mensen omgaan met hun online privacy, zegt zij: “Ik vind het zorgwekkend dat veel mensen zich niet bewust zijn van de gevolgen van online tracking.” Krämer geeft meerdere voorbeelden van wat deze tracking in kan houden. Zo wijst zij op gerichte winkeladvertenties die je gemakkelijk kunnen verleiden om iets te kopen wat je eigenlijk niet nodig hebt of zelfs politieke advertenties die directe invloed kunnen uitoefenen op democratische waarden. “Ik ben echter niet van mening dat de verantwoordelijkheid hier bij de gebruiker moet liggen, aangezien we zien dat dit niet werkt.”
Krämer geeft aan dat zij het nieuwe initiatief van de Apple App Store en de Google Play Store om gebruikers met behulp van afbeeldingen te informeren op de pagina van een app vóór installatie, een goed idee vindt. “Echter is het ontwerp van het label twijfelachtig, omdat het gebruikers niet informeert over de eigen trackingpraktijken van Apple en Google. Gelukkig hebben maatschappelijke organisaties en academische wetenschappers initiatieven genomen om gebruikers te versterken.” Voorbeelden hiervan zijn het Exodus Privacy Project en TrackerControl.org. Deze initiatieven maken het voor gebruikers makkelijker om de omvang en inhoud van trackers die door een app worden gebruikt te begrijpen.
“Welke belanghebbende - gebruiker, app-ontwikkelaar, app-store of EU-regelgevers - de meeste verantwoordelijkheid moet dragen voor privacy-naleving binnen apps, onderzoek ik verder in mijn onderzoek, en ik hoop hier binnenkort een antwoord op te hebben!”
De aflevering, Values and Technology, waarin Krämer spreekt is te beluisteren via het podcastkanaal ‘The Digital Period’ op Spotify.
- Promovendus