Van meer dan honderd Nederlandse apps staan de gegevens van app-gebruikers te koop op het wereldwijde web. Dit zonder dat dit bekend is bij de gebruikers. Onder andere gegevens van Buienalarm gebruikers worden gegevens aangeboden.
Gegevens van app-gebruikers op straat
Uit een onderzoek van BNR en partnermedia, blijkt dat de gegevens van miljoenen app-gebruikers uit Nederland te koop aangeboden worden op het internet. Volgens deskundigen gaat het om iets volledig illegaals. Het zou gaan om een extreem veiligheidsrisico, waarbij het gaat om meer dan 80 gigabyte aan locatiegegevens. Eén van de apps waarbij misbruik gemaakt is, is Buienalarm. Deze applicatie hebben we afgelopen jaar nog meegenomen in onze uitgebreide weer-app test 2024, in de zoektocht naar de meest accurate weer-app.
De data worden aangeboden door Amerikaanse datahandelaar Datasys en zijn via de online marktplaats Datarade verspreid. Een gratis sample toonde locaties van gebruikers op één dag in juli 2024, terwijl volledige datasets tegen betaling dagelijks worden geleverd.
Nederlandse apps betrokken
Ook in Nederland worden veelgebruikte apps zoals dus Buienalarm en games van MY.GAMES, GameHouse en Sparkling Society gebruikt om gegevens te verzamelen. Internationale apps zoals Tinder, Grindr en Candy Crush delen eveneens gegevens. Buienalarm, met vijf miljoen gebruikers, deelt via advertenties minder nauwkeurige locatiegegevens op basis van ip-adressen, terwijl andere apps gps-data delen waarmee zelfs een straatzijde te achterhalen is.
De CEO van Infoplaza Network, het bedrijf achter Buienalarm, noemt het datamisbruik ‘schokkend en ongewenst.’ Hoe de gegevens bij Datasys zijn beland, blijft onduidelijk. Waarschijnlijk zijn ze verkregen via realtime bidding-advertentiesystemen. Dit advertentiemodel deelt locatiegegevens met adverteerders zodra een app met advertenties wordt geopend.
Risico’s voor gebruikers
Volgens experts zijn de risico’s van dit datamisbruik groot. Locatiegegevens kunnen eenvoudig worden gekoppeld aan persoonlijke informatie, zoals identiteit en seksuele voorkeur. Roos Dijkxhoorn van cybersecuritybedrijf PuraSec waarschuwt dat niet alleen overheden en criminelen hiervan profiteren, maar ook bedrijven zoals verzekeraars, die bijvoorbeeld rijgedrag kunnen analyseren.
Privacywetgeving geschonden
Volgens de Nederlandse wet is de verkoop van persoonsgegevens zonder expliciete toestemming illegaal. Zowel Dijkxhoorn als Anouk Ruhaak van de Stichting Data Bescherming Nederland benadrukken dat hier sprake is van een duidelijke privacyschending. Datasys claimt dat gebruikers toestemming hebben gegeven, maar deskundigen bestrijden dit.
In 2024 beloofde de minister van Justitie maatregelen tegen de handel in locatiegegevens, maar een jaar later blijkt dat nauwelijks actie is ondernomen, zo schrijft BNR. Privacy-experts pleiten voor strengere handhaving van bestaande wetgeving en meer verantwoordelijkheid bij appontwikkelaars, die kiezen voor samenwerking met advertentieplatformen.
GameHouse, een van de betrokken ontwikkelaars, heeft niet gereageerd op vragen.
