Bits of Freedom adviseert Tweede Kamer over cybersecurity

Wat doen SMS-alternatieven met jouw gegevens?

Copyrightindustrie: doet u mij maar internetcontrole

Steeds meer mensen hebben een smartphone. Met de populairste applicaties kun je gratis berichtjes naar elkaar sturen. Maar hoe gaan deze bedrijven zelf eigenlijk om met jouw persoonlijke gegevens? We onderzochten de drie grootste spelers en de belangrijkste conclusie is: we weten het niet precies.

Pingen met je Blackberry

Blackberry Messenger (BBM) is standaard geïnstalleerd op alle Blackberry toestellen en een belangrijke reden dat de Blackberry zo populair is. Je kan met BBM onbeperkt gratis berichtjes naar andere gebruikers sturen.

Maar: om dit te kunnen doen stuurt het programma wel eerst je volledige adresboek naar een server van RIM, de fabrikant van Blackberry. RIM geeft niet duidelijk aan waar die server staat, maar het is goed mogelijk dat die gegevens in Canada worden opgeslagen. Daar wordt gekeken welke contacten in je adresboek ook BBM gebruiken. Het wordt uit de privacy policy van RIM niet duidelijk of ze het adresboek later weer verwijdert en het wordt ook niet duidelijk er precies gebeurt met de berichten die je verstuurt. We vermoeden dat deze tijdelijk worden opgeslagen op de server van RIM – en we hopen dat ze daarna worden gewist.

Ook is moeilijk te achterhalen in hoeverre RIM persoonlijke gegevens doorgeeft aan derden. RIM behoudt zich het recht voor deze gegevens door te spelen aan derden om producten te verbeteren, en om de gegevens op geaggregeerd niveau zelfs door te verkopen. Er wordt helaas in het midden gelaten wat onder persoonlijke gegevens moet worden verstaan. Begrijpelijkerwijs behoudt RIM zich ook het recht voor om op verzoek van de overheid toegang te geven tot jouw gegevens – iets dat steeds relevanter wordt, nu toegang tot de berichten van BlackBerry-gebruikers hoog op het wensenlijstje van India staat.

eBuddy

eBuddy is een Nederlandse messaging-applicatie voor smart-phones met miljoenen gebruikers wereldwijd. eBuddy slaat volgens haar privacy statement een  aantal persoonlijke gegevens, zoals e-mailadres, IP adres en adresboek, op hun servers op. eBuddy geeft als enige expliciet aan dat de berichten die jij verstuurt nadat ze ontvangen zijn direct van hun server verwijderd worden. Het is opmerkelijk dat eBuddy volgens haar privacy policy “pictures you send through eBuddy” opslaat, maar daarvoor weer niet uitdrukkelijk meldt dat die worden verwijderd. Er wordt ook niet duidelijk in welk land deze gegevens zijn opgeslagen. Verder geeft het bedrijf zichzelf het recht om geanonimiseerde gegevens te verstrekken naar adverteerders. En ook eBuddy zal deze gegevens aan de overheid geven voor zover zij hiertoe verplicht zijn.

WhatsApp

WhatsApp is op dit moment een populairste alternatieven voor SMS. Ook hier worden eerst een aantal persoonlijke gegevens, waaronder je adresboek, geïnventariseerd en doorgespeeld naar de servers van WhatsApp. Berichtjes worden, voor zover wij kunnen nagaan, tijdelijk opgeslagen op de servers van WhatsApp. De privacy policy is hier echter niet duidelijk over. Er blijkt uit de privacy policy wel dat de gegevens worden opgeslagen in de Verenigde Staten. Ook zij behouden zich het recht om anonieme data naar adverteerders te sturen om meer inzicht te geven in het gebruik van WhatsApp en om deze gegevens te verstrekken aan de overheid.

Massale opslag

Conclusie: bij het gebruik van alledrie de apps wordt in ieder geval je complete adresboek verstuurd naar de servers. Je geeft deze bedrijven dan toegang tot belangrijke informatie, niet alleen over jezelf, maar ook over al je vrienden die hier dus geen toestemming voor hebben gegeven. En waar deze gegevens worden opgeslagen, is niet altijd duidelijk, laat staan wanneer die gegevens weer worden verwijderd.

Ondertussen kunnen deze gegevens in voorkomende gevallen wel worden opgevraagd door opsporingsdiensten in het land waar de gegevens zijn opgeslagen. En om je een indruk te geven: in de zaak over het opvragen van Twittergegevens van Nederlander Rop Gonggrijp twijfelde de Amerikaanse rechter (PDF) of Europeanen überhaupt een recht op privacy hebben in de Verenigde Staten:

“Though they [Rop Gonggrijp en Birgitta Jonsdottir] assert First and Fourth Amendment claims, petitioners cite no authority as to the applicability of the United States Constitution to non-citizens residing and acting outside of the U.S. […] The Court has serious doubts as to whether Ms. Jonsdottir and Mr. Gonggrijp enjoy rights under the U.S. Constitution.”

Maar afgezien daarvan: de privacyvoorwaarden blinken vooral uit in wat ze niet vertellen. Wat gebeurt er met je berichten? Hoe lang worden die opgeslagen, en waar worden ze precies opgeslagen? Wat gebeurt er bijvoorbeeld met je gegevens wanneer je besluit de applicatie te verwijderen?

Dit kan veel beter. Privacy statements zouden zo moeten worden geschreven dat je precies weet waar je aan toe bent. Misschien hebben we zelfs wel iets gemist in de kleine lettertjes. Zijn we iets vergeten? Laat het ons weten in de comments.

  1. Johan Schaap

    Misschien is het goed om bij eBuddy onderscheid te maken tussen eBuddy zoals de meeste mensen het kennen en de WhatsApp / BlackBerry Messenger concurrent XMS (http://www.ebuddyxms.com). Ook met het oog op veiligheid (WhatsApp kwam daar recent slecht mee in het nieuws) en wellicht een ander privacy statement.

    Verder mis ik LiveProfile (http://www.liveprofile.com/) en zou Viber (http://viber.com) ook meegenomen kunnen worden. De laatste is eigenlijk een VOIP programma met ook een chat-mogelijkheid, maar werd snel populair, o.a. door een wat spam-achtige manier.

  2. Roel

    Dank je, erg informatief!
    Ik moet eerlijk toegeven dat ik niet eens weet wat Google met mn Android Contacts mag!
    Het ‘ergste’ vind ik dat ik die beslissing niet alleen voor mijn eigen persoon neem maar ook meteen voor al mn vrienden, zeker sjizz als maps, facebook aan elkaar linkend

  3. Kai

    Het is ook interessant dat een geheim nummer in Nederland bij WhatsApp opgeslagen word (al dan niet tijdelijk). KPN maskeert netjes geheime nummers op rekeningoverzichten, maar dat zal WhatsApp vast niet doen. In hoeverre zegt de Nederlandse wet iets over zo’n geheim nummer? Is een geheim nummer in nederland nog wel van deze tijd? 🙂

  4. Bob

    Het blijkt nu dus ook dat bij whatsapp de berichten niet goed versleuteld zijn en daardoor andere applicaties mogelijk toegang hebben tot je berichten: http://tweakers.net/nieuws/74679/whatsapp-slaat-berichten-onversleuteld-op-update.html

  5. Yatta

    Over Live profile heb ik net een artikel geplaatst ; http://www.privacynieuws.nl/nieuwsoverzicht/internet-en-telecommunicatie/6634-chatapp-liveprofile-opeens-populair,-concurrentie-voor-whatsapp.html

    Op sommige punten beter (gebruikt PIN-codes net als Blackberry schijnt te doen) maar verder even goed/slecht als de rest;

    Een aandachtspuntje zijn de gebruiksvoorwaarden. Daar is onder andere te lezen dat LiveProfile onbeperkt van alles mag doen met de inhoud die je via hun website of hun netwerk deelt.

  6. Francis Limbourgh

    Tis algemeen bekend dat telefoongesprekken worden afgeluisterd. Wat dat dat betreft zal dat ook met de berichtjes van messengers gebeuren. Echt belangrijke informatie moet je dan ook nooit over de (mobiele) telefoon versturen. De overheid en ondernemingen proberen steeds meer vat te krijgen op iedermans denk- en vriendenwereld. Hou dat steeds in je achterhoofd, maar wees verder vrij in doen en laten.

  7. Miss

    Hoe zit het met NIMBUZZ????? http://www.nimbuzz.com/nl oorspronkelijk Nederlands bedrijf

  8. ED

    Bij de quote over Rop Gonggrijp en Birgitta Jonsdottir:
    Woon en werk je buiten de VS en je doet daar wat je doet, dan kan je blijkbaar wel onder het strafrecht, maar niet onder de bescherming van basisvrijheden van de VS vallen. Bizar.

  9. Steven

    eBuddy XMS stuurt alleen een hash van een contact in je adresboek voordat deze naar hun server wordt gestuurd. De gegevens zijn zo niet heel direct te herleiden tot de gegevens van een contact. Het zou wel mooi zijn als bedrijven hier meer details over vrij geven.

  10. Marko

    E-buddy is een Amsterdams bedrijf. Ze zitten op de Keizersgracht 585.

    “This Privacy Policy shall be governed by and construed in accordance withthe laws of the Netherlands.”

    Hun servers lijken te staan in de VS. De webserver in ieder geval wel, staat bij

    Je zou eens kunnen tweeten met Onno Bakker van ebuddy: http://twitter.com/#!/rijckholt

  11. Ot van Daalen

    @marko: dank voor de tip, we hebben een tweet gestuurd.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.