Gratis apps

Gratis apps blijken bron van privé-data: ‘Dit mag zeker niet volgens de AVG’

Beeld Meulendijks Nanne

Techbedrijf Lusha verkoopt contactinfo afkomstig van gratis smartphone-apps. Deze apps kunnen niet alleen gegevens van de app-gebruikers doorverkopen, maar ook die van hun contactpersonen.

Als een onlinedienst gratis is te gebruiken, blijkt de gebruiker meestal het product. Dat is ook het geval bij Simpler Apps Inc. Dit bedrijf maakt smartphone-apps die bijvoorbeeld back-ups maken van je contactenlijst en namen van onbekende bellers voor je achterhalen. Dat doet Simpler gratis, maar ondertussen wordt de contactinformatie verkocht via de Amerikaans-Israëlische dienst Lusha.

Eerder deze week onthulde deze krant dat Lusha via netwerksite LinkedIn mailadressen en privénummers verkoopt – ook van vele Nederlanders, onder wie politici, influencers en zelfs een directeur van de Nederlandse privacywaakhond.  Dat zorgde voor ophef, omdat die gegevens normaal niet vindbaar zouden moeten zijn. Nog onduidelijk was waar die nummers vandaan kwamen. Dus vroegen verschillende Trouw-redacteuren aan Lusha hoe het bedrijf hun data verkreeg. In alle gevallen was het antwoord: Simpler Apps Inc.

Hoewel dit niet bewijst dat Simpler de enige bron is die Lusha hanteert, is er een opvallende connectie tussen de twee bedrijven: Yoni Tserruya, de oprichter en CEO van Lusha, ontwikkelde de apps die Simpler aanbiedt.

Niet alleen gebruikersinfo, maar hele contactenlijsten

Volgens jurist en technologiedeskundige Danny Mekić is dit geen ongebruikelijk soort samenwerking. “Je hebt honderdduizenden gratis apps met handige functies voor je telefoon. Dat blijken vaak bronnen van dit soort data. Aan de ene kant heb je een gratis backup-dienst voor je contacten, aan de andere kant een betaalde dienst waarmee je nummers kunt achterhalen.”

De samenwerking met Simpler verklaart mogelijk waarom Lusha privénummers heeft van mensen die ervan overtuigd zijn dat ze hun contactgegevens nooit zomaar ergens delen. In Simplers privacyvoorwaarden staat dat het bedrijf niet alleen de informatie van gebruikers met derden kan delen, maar ook hun contactenlijsten. Zo kunnen data van mensen die nergens mee hebben ingestemd, alsnog in Lusha’s handen terechtkomen.

Daar zit het probleem”, zegt Mekić. “Een vriend, collega of journalist hoeft maar te denken ‘fijn, een backup maken van m’n lijst’ en hoppa, Kajsa Ollongren gaat mee de database in. Ik denk dat beide bedrijven daar een taaie discussie over gaan krijgen met toezichthouders, want ik zie niet hoe dit door de beugel kan.”

Rechtsgeldige toestemming

Privacy-advocaat en -hoogleraar Gerrit-Jan Zwenne moet denken aan het Cambridge Analytica-schandaal uit 2018. Door dat bedrijf werden niet alleen gegevens verzameld van instemmende gebruikers, maar ook van hun Facebook-vrienden. En Zwenne ziet nog een ander probleem met Simpler. Gebruikers moeten de voorwaarden accepteren om de dienst te installeren, maar krijgen geen link waar ze die voorwaarden vooraf kunnen lezen. “Dat kan nooit rechtsgeldige toestemming zijn. Je moet van tevoren een inschatting kunnen maken van de risico’s. Ook al lezen mensen de voorwaarden in de praktijk vaak niet, omdat ze er moe van zijn, het minste is toch dat je er kennis van kunt nemen.”

Of de bedrijven de wet overtreden, zal een toezichthouder moeten bepalen. De eerste vraag is of ze onder Europese wetgeving vallen, zegt privacyjurist Jeroen Terstegge. Beide bedrijven zeggen gevestigd te zijn in New York, al zijn ze niet direct in het handelsregister van die Amerikaanse staat terug te vinden. Mogelijk valt Lusha  daarom onder de minder strenge Amerikaanse privacyregels. Simpler lijkt zich bij het verzamelen van data echter expliciet op Europese gebruikers te richten, omdat zijn apps in diverse Europese talen beschikbaar zijn. Hierdoor valt Simpler volgens Terstegge onder de AVG en die staat de verkoop van contactenlijsten waarschijnlijk niet toe.

Lusha en Simpler hebben niet gereageerd op vragen voor dit artikel. Op vragen voor een eerder artikel antwoordde Lusha per mail dat het voldoet aan alle relevante wetgeving.

Lees ook:

Overtreden apps die contactlijsten doorverkopen Europese wetgeving?

Mogen apps zomaar contactlijsten mijnen en de gegevens daaruit distribueren, zonder dat de individuele contacten daarvan op de hoogte zijn? Hoe zit dat internationaal? Vallen ze onder AVG?

Deze apps voor contactbeheer gebruikt Chrome-extensie Lusha

Een rommelige contactlijst met dubbele namen, ontbrekende nummers en verkeerde e-mailadressen? Deze apps helpen bij het opruimen. Maar ondertussen doen ze nog veel meer

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden