In de mobiele omgeving wordt er allang niet meer raar opgekeken wanneer personen telefoonnummers en andere persoonlijke gegevens uitwisselen voor het gratis gebruik van een app of andere dienst. Maar wat nou als personen niet alleen ‘betalen’ met eigen gegevens, maar ook met die van anderen?
De BBC berichtte over een onderzoek van de site Factwire, dat onderzocht hoe enkele mobiele apps miljarden(!) telefoonnummers tot hun beschikking hebben. Daaronder bevinden zich logischerwijs ook veel gegevens van bekenden, zoals die van oud-premier Cameron. Maar een database met miljarden telefoonnummer, wat voor apps zijn dat? En hoe komen zij hier aan?
Factwire spreekt van een aantal apps, waaronder in ieder geval de apps CM Security, Truecaller en Sync.me. Het zijn allen apps die nummercontroles mogelijk maken, in die zin dat zij een naam geven wanneer een telefoonnummer van waaruit wordt gebeld niet bekend is. Handige tool, maar hoe zit het met onze privacy? Die moet toch te allen tijde beschermd worden tegen bijvoorbeeld spam of onbekende bellers met kwade bedoelingen?
Over privacy gesproken, de apps verkrijgen deze databases door bij installatie op de telefoon, het gehele adresboek van de gebruiker te kopiëren. Het nummer van de gebruiker overnemen, daar heeft deze gebruiker hoogst waarschijnlijk mee ingestemd. Maar een kopie van het hele adresboek maken impliceert ook dat de gegevens van mensen die niets met de app te maken hebben worden opgeslagen. En deze mensen hebben zeker geen toestemming voor het gebruik van het telefoonnummer gegeven. Truecaller geeft als reactie: “It’s part of our philosophy that it should be super simple to just un-list your number. You just go on our website and then it’s gone forever.” Bij het afmelden, blijkt dat “you just go on our website…” toch iets meer handelingen verlangt dan verwacht:
Homepage -> Support -> General -> see all articles -> How do I unlist my phone number? (3 uur geleden geüpdatet!) -> go to www.truecaller.com/unlist/ -> voer nummer in.
Niet zo makkelijk als Truecaller doet vermoeden dus. Daarnaast is het voor dit opt-out regime wel van belang dat je Truecaller kent. Ik had tot een paar dagen geleden in ieder geval nog nooit van deze app gehoord, maar mijn nummer is nu gelukkig ‘gone forever.’
Tegen de BBC zegt Truecaller dat het geen inbreuk maakt op Europese regels, maar dat lijkt nog maar de vraag. De databeschermingsrichtlijn stelt toch duidelijk dat verwerking van persoonsgegevens alleen in bepaalde gevallen mogelijk is. De richtlijn noemt zes mogelijkheden voor verwerking, waarbij “ondubbelzinnige toestemming” als eerste wordt genoemd. Degene die Truecaller download geeft allicht toestemming om zijn nummer en naam te gebruiken, maar dat kan toch zeker niet gezegd worden van alle personen in zijn adresboek. Ook acht ik de kans zeer klein dat Truecaller zich kan beroepen op een van de andere eisen: er is geen overeenkomst met deze personen, Truecaller doet dit ook niet wegens een wettelijke verplichting of een belang van personen of overheden en ik acht de belangen van Truecaller lang niet groot genoeg om in een afweging met het belang op privacy te prevaleren.
Dit is (in het kort) de afweging die een rechter moet maken om te kunnen beoordelen of de privacy van EU-burgers wordt gewaarborgd. Zo bekeken lijkt het er dus op dat bedrijven die adresboeken kopiëren nog even goed moeten nagaan hoe de Databeschermingsrichtlijn werkt en hoe hieraan te voldoen.
Met dank aan Remi van Mansfeld