Lusha-schandaal

Overtreden apps die contactlijsten doorverkopen de Europese wetgeving?

De browserplugin Lusha laat gebruikers telefoonnummers zoeken bij LinkedIn-profielen, zonder dat de eigenaars daarvan op de hoogte zijn.Beeld ANP

De manier waarop het Amerikaanse bedrijf Simpler Apps privénummers vergaart doet denken aan Cambridge Analytica. Kan de privacywet mensen hiertegen beschermen?

Onlinedienst Lusha verkoopt mailadressen en telefoonnummers. Een belangrijke bron voor die contactinformatie blijkt het bedrijf Simpler Apps Inc. De gratis mobiele apps van Simpler slurpen persoonsgegevens op, niet alleen van gebruikers, maar ook die van iedereen in hun contactlijsten.

De zaak doet privacy-advocaat en -hoogleraar Gerrit-Jan Zwenne denken aan het Cambridge Analytica-schandaal. “Facebook stond toe dat dat bedrijf gegevens verzamelde, niet alleen van de gebruikers zelf, maar ook van hun vrienden. Facebook kreeg toen een boete van vijf miljard dollar en overal waar de zaak werd onderzocht – zoals in Nederland en het Verenigd Koninkrijk – werd vastgesteld dat dit een overtreding was.”

Voorwaarden

Overtreden Lusha en Simpler de Algemene verordening gegevensbescherming (AVG)? Volgens privacyjurist Jeroen Terstegge gaat daar een andere vraag aan vooraf: valt deze praktijk onder Europese wetgeving? “Om onder de AVG te vallen, moet een bedrijf aan minstens één van drie voorwaarden voldoen. Het bedrijf moet een vestiging in Europa hebben, gebruikers in Europa monitoren – bijvoorbeeld met cookies – of zijn diensten nadrukkelijk ook op Europese klanten richten.”

Lusha lijkt aan geen van deze voorwaarden te voldoen. Europese toezichthouders kunnen dit bedrijf dus niet zonder meer aanpakken. Maar voor Simpler ligt dat ingewikkelder. Als de Simpler-apps die de persoonsgegevens verzamelen bewust op Europese gebruikers zijn gericht, treedt de AVG in werking.  Anders staan waakhonden als de Autoriteit Persoonsgegevens buitenspel. “Als je iets koopt op de Nederlandse website van een Chinees bedrijf, valt dat onder de AVG”, geeft Terstegge als voorbeeld. “Maar als je door China reist en incheckt bij een plaatselijk hotel, gaat de AVG niet op.

Nederlandse wetgever

Uiteindelijk vallen de contactlijsten van Europese gebruikers wel onder de AVG, denkt Terstegge. De reden: Simpler biedt zijn apps aan in diverse Europese talen, waaronder Nederlands. En dat betekent problemen voor Simpler, want in tegenstelling tot de minder strenge Amerikaanse privacyregels, zegt de AVG dat het bedrijf toestemming nodig heeft van de contactpersonen wier gegevens het doorverkoopt.

Dat een app als Simpler bijna buiten de AVG valt, zou je volgens Terstegge een omissie van de AVG kunnen noemen. “De wet weerspiegelt de kwesties die speelden toen zij tot stand kwam. Toen de AVG werd opgesteld tussen 2009 en 2016, waren er geen voorbeelden van bedrijven als Simpler bekend.”

Mocht de Europese regelgeving toch tekortschieten, dan ligt hier volgens Terstegge een taak voor de Nederlandse wetgever. “Je hebt in Nederland de UAVG, met aanvullende bepalingen bij de privacywet. Die wordt nu geëvalueerd en tussen nu en volgend jaar aangepast. Deze kwestie zou daarbij wellicht geregeld kunnen worden. Daar zou minister Sander Dekker voor rechtsbescherming dan wat van moeten vinden.”

Hier controleert u of ook úw afgeschermde LinkedIn-gegevens kunnen worden gevonden

Aan de wieg van verschillende Simpler-apps staat Yoni Tserruya, een van de oprichters van Lusha. Hij bedacht bijvoorbeeld ook de apps ‘Contacts Manager’, ‘Easy Backup’ en ‘Dialer’. Bij elkaar zijn de Simpler-apps voor Android-telefoons al meer dan zeventien miljoen keer geïnstalleerd. Om welke apps gaat het eigenlijk en hoe werken ze?

Het beheren van contacten kan een tijdrovende bezigheid zijn. Vaak is een contactlijst dan ook een rommeltje met dubbele contacten, ongeldige nummers, of alleen een e-mailadres. De apps van Simpler helpen particulieren om orde te scheppen in die chaos. Voor de iPhone en iPad maakt Simpler twee apps: Contacts Manager en Easy Backup. Voor Android-telefoons zijn dat er vier: Dialer, ‘Dutch beller-ID, contacten en telefoon’, ‘Cleaner’ en Easy Backup.

Alle apps zijn gericht op de contactlijst van de gebruiker, maar bieden een net iets andere service. De Contacts Manager en Cleaner speuren dubbele contacten op en helpen bij het samenvoegen, Easy Backup bewaart alle contacten extern, met Dialer kan vanuit de contactlijst snel een belletje, sms, of WhatsApp-bericht worden verzonden en met Beller-ID kun je zien wie er belt, ook zonder dat degene als contact in de telefoon staat.

Bij alle apps moet de gebruiker toestemming geven om in de contactlijst te kijken. Die informatie wordt vervolgens uitgelezen en opgeslagen. In de voorwaarden is te lezen dat de persoonlijke informatie, waaronder de contactenlijst, zal worden gedeeld met derden. Niet alleen met partners zoals Lusha, maar ook met andere commerciële partijen waarmee ze samenwerken. Voor Simpler zijn het dus niet de apps waarmee het geld wordt verdiend, maar doen de gebruikers de kassa rinkelen. En het verklaart ook waarom de informatie van Trouw-redacteuren die zelf nooit een Simpler-app hebben geïnstalleerd, toch via Lusha kon worden gevonden.

Om te controleren of ook uw gegevens via Lusha kunnen worden gevonden installeert u de Lusha-extensie en kijkt u op uw eigen profielpagina op LinkedIn. Via www.lusha.co/privacy_policy en www.simplercontacts.com/opt-out kunt u uw gegevens laten verwijderen. In de instellingen van de Simpler-apps zit ook een knop waarmee u het delen van contacten kunt stoppen. Daarmee voorkomt u dat het bedrijf informatie uit uw contactlijst kan actualiseren.

Lees ook:

Deze apps voor contactbeheer gebruikt Chrome-extensie Lusha

Een rommelige contactlijst met dubbele namen, ontbrekende nummers en verkeerde e-mailadressen? Deze apps helpen bij het opruimen. Maar ondertussen doen ze nog veel meer.

Gratis apps blijken bron van privé-data: ‘Dit mag zeker niet volgens de AVG’

Techbedrijf Lusha verkoopt contactinfo afkomstig van gratis smartphone-apps. Deze apps kunnen niet alleen gegevens van de app-gebruikers doorverkopen, maar ook die van hun contactpersonen.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden