iPhone X op een bureau

Schrems klaagt Apple aan om traceercode op iPhones

Laatst bijgewerkt: 18 november 2020
Leestijd: 4 minuten, 55 seconden

Max Schrems heeft een klacht ingediend bij de Duitse en Spaanse gegevensbeschermingsautoriteit. Volgens de Oostenrijkse privacyactivist plaatst Apple een zogeheten IDFA-traceercode op iPhones, waarmee het technologiebedrijf het internetgedrag van haar klanten volgt. Dit doet Apple zonder haar gebruikers daarvan op de hoogte te stellen of toestemming te vragen. Volgens Europese privacyregels is dit echter wel verplicht.

Dat schrijft Noyb, de stichting die Schrems heeft opgericht om misstanden aan de kaak te stellen en privacyrechtszaken te voeren, in een persbericht. Noyb is een acroniem dat staat voor None of your business.

‘Apple plaatst zonder toestemming traceercode op iPhone’

Iedereen die met een iPhone op zak loopt, heeft een smartphone die draait op iOS. Volgens Schrems genereert het besturingssysteem van Apple automatisch een unieke IDFA-code. Deze afkorting staat voor Identifier For Advertisers en kun je volgens de privacyactivist vergelijken met een nummerplaat op een auto. Hij bestaat uit een willekeurige reeks van nummers en tekens die in staat zijn om gebruikers te identificeren. Deze traceercode kan gebruikt worden om te achterhalen welke applicaties iemand op zijn of haar iPhone heeft geïnstalleerd, maar ook om online en mobiel gedrag in kaart te brengen.

Nadat iOS een IDFA-code heeft aangemaakt, krijgen Apple, applicatieaanbieders, adverteerders en andere derde partijen toegang tot de informatie die de traceercode verzamelt. Hiermee kunnen ze het gedrag van gebruikers volgen, hun verbruiksvoorkeuren uitwerken en hen gepersonaliseerde advertenties voorschotelen. Dergelijke tracering is echter strikt gereguleerd, zo betoogt Schrems. Net als bij het plaatsen van cookies moeten techbedrijven gebruikers hierover informeren en expliciet om toestemming vragen om een IDFA-code te genereren.

“De EU-wetgeving beschermt onze apparaten tegen externe tracering”, zo stelt Stefano Rossetti, privacyadvocaat bij Noyb. “Tracking is alleen toegestaan als de gebruikers daar expliciet mee instemmen. Deze zeer eenvoudige regel is van toepassing ongeacht de gebruikte traceertechnologie. Hoewel Apple functies in hun browser heeft geïntroduceerd om cookies te blokkeren, plaatst het vergelijkbare codes in zijn telefoons, zonder enige toestemming van de gebruiker. Dit is een duidelijke inbreuk op de privacywetgeving van de EU.”

‘Maak alle smartphones vrij van trackers’

Apple heeft plannen aangekondigd om het huidige IDFA-systeem te wijzigen. Volgens Schrems beperken deze veranderingen het gebruik van IDFA voor derden, maar niet voor Apple zelf. Het Amerikaanse techbedrijf plaatst de traceercode zonder toestemming van gebruikers en dat kan niet door de beugel. Daarom heeft Noyb een klacht ingediend tegen Apple bij de Duitse en Spaanse privacytoezichthouders.

“Wij zijn van mening dat Apple de wet heeft overtreden voor, nu en na deze veranderingen”, zo betoogt Rossetti. “Met onze klachten willen we een eenvoudig principe afdwingen: trackers zijn illegaal, tenzij een gebruiker daar vrijelijk mee instemt. De IDFA moet niet alleen worden beperkt, maar ook permanent worden verwijderd.” De advocaat vindt dat alle smartphones standaard vrij moeten zijn van trackers.

Apple reageert: ‘Wij voldoen aan Europese regelgeving’

Apple reageert verbolgen op de aanklachten. Tegenover de Financial Times en andere media zegt Apple dat de beschuldigingen ongefundeerd zijn.

“De beweringen die in deze klacht tegen Apple worden ingediend, zijn feitelijk onjuist en we kijken ernaar uit om dat duidelijk te maken aan de privacyregelgevers als ze de klacht onderzoeken. Apple heeft voor geen enkel doel toegang tot of gebruikt de IDFA op het apparaat van een gebruiker.

 Ons doel is altijd om de privacy van onze gebruikers te beschermen en onze nieuwste softwarerelease, iOS 14, geeft gebruikers nog meer controle over het al dan niet toestaan dat apps ze volgen door hun informatie te koppelen aan gegevens van derden voor dit doel, het aanbieden van gepersonaliseerde advertenties, of het delen van hun informatie met datamakelaars.

 Onze praktijken zijn in overeenstemming met de Europese wetgeving en ondersteunen en bevorderen de doelstellingen van de AVG en de e-Privacyrichtlijn, namelijk om mensen volledige controle over hun gegevens te geven.”

Ook Google in het beklaagdenbankje om tracken van Android-gebruikers

Apple is overigens niet de enige die zich voor het plaatsen van een traceercode moet verantwoorden. In mei van dit jaar klaagde Noyb Google aan voor hetzelfde vergrijp. De zoekgigant installeert namelijk automatisch een Android Advertising ID (AAID) op iedere Android-telefoon. Net als bij Apples IDFA-code kunnen Google en derden precies zien wat je uitspookt op je smartphone. Gebruikers kunnen deze AAID niet verwijderen of uitschakelen.

Google verdedigde zich tegen deze beschuldiging met het argument dat ze niet over de middelen beschikt om de identiteit van een gebruiker te achterhalen met een AAID. Om die reden kan ze dan ook geen actie ondernemen. De zaak ligt momenteel bij de Oostenrijkse privacywaakhond.

Schrems volop in de aanval voor betere waarborging van onze privacy

Max Schrems heeft in het recente verleden diverse successen geboekt. Afgelopen zomer slaagde de privacyactivist uit Oostenrijk erin om het Europees Hof voor Justitie te overtuigen om een einde te maken aan het Privacy Shield. Sindsdien mogen Europese bedrijven persoonsgegevens van inwoners van EU-lidstaten niet meer op basis van dit verdrag in het buitenland opslaan. Willen ze dit toch doen, dan moeten ze modelcontracten opstellen waarin het data-uitwisselingsbeleid wordt toegelicht.

De Data Protection Commission (DPC), de Ierse privacywaakhond, claimde in september dat het modelcontract dat Facebook gebruikt niet dezelfde waarborgen bevat als de Europese privacywetgeving. Daarom riep de toezichthouder op om minder persoonsgegevens te verzamelen, of nieuwe afspraken te maken. Facebook vocht het besluit aan bij de High Court en werd in het gelijk gesteld. Het onderzoek van de DPC naar Facebook is daarom voorlopig in de ijskast gezet.

Om te kijken hoe andere bedrijven omgaan met de uitspraak van het Europees Hof voor Justitie, schreef Noyb 33 internationale organisaties aan. Daarin vroeg de organisatie of zij persoonsgegevens buiten de EU opslaan, op welke juridische basis ze dit doen, of ze zich daarbij beroepen op Amerikaanse wetten en regels en welke technische maatregelen ze nemen om ervoor te zorgen dat persoonsgegevens van Europese burgers niet worden onderschept door de Amerikaanse overheid. De conclusie was volgens Schrems dat de meeste bedrijven geen flauw benul hebben hoe ze hiermee moeten omgaan.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen