Het verhaal van deze openlijke gay priester is een waarschuwing voor iedereen over de noodzaak van wetten inzake gegevensprivacy
Indignatie redactie
6 min. lezen
Uw locatie gegevens zijn te koop en kunnen tegen u worden gebruikt.
Een van de worstcasescenario’s voor de nauwelijks gereguleerde en geheime locatiegegevensindustrie is werkelijkheid geworden: zogenaamd anonieme gay dating-app-gegevens werden blijkbaar verkocht en gekoppeld aan een katholieke priester, die vervolgens ontslag nam.
Het laat zien hoe, ondanks de frequente garanties van app-ontwikkelaars en gegevensmakelaars dat de gegevens die ze verzamelen “geanonimiseerd” zijn om de privacy van mensen te beschermen, deze gegevens in verkeerde handen kunnen en zullen vallen. Het kan dan ernstige gevolgen hebben voor gebruikers die misschien niet wisten dat hun gegevens in de eerste plaats werden verzameld en verkocht. Het toont ook de noodzaak aan van echte regelgeving voor de databroker-industrie die zoveel weet over zoveel maar aan zo weinig wetten gebonden is.
Dit is wat er gebeurde: een katholieke nieuwszender genaamd de Pillar verkreeg op de een of andere manier “app-gegevenssignalen van de locatiegebaseerde aansluitingsapp Grindr.” Het gebruikte dit om een telefoon te traceren die toebehoorde aan of werd gebruikt door monseigneur Jeffrey Burrill, die een uitvoerende ambtenaar was van de Conferentie van Katholieke Bisschoppen van de Verenigde Staten. Burrill legde zijn functie neer kort voordat de Pillar haar onderzoek publiceerde .
Er is nog veel dat we hier niet weten, inclusief de bron van de gegevens van de pijler. Het rapport, dat Burrills schijnbare gebruik van een dating-app voor homo’s voorstelt als “serieel seksueel wangedrag” en homoseksualiteit en dating-app-gebruik onjuist vermengt met pedofilie, zegt eenvoudigweg dat het “commercieel beschikbare app-signaalgegevens” waren die zijn verkregen van “gegevensverkopers”. We weten niet wie die leveranciers zijn, noch de omstandigheden rond de aankoop van die gegevens. Hoe dan ook, het was vernietigend genoeg dat Burrill zijn positie erover verliet, en de Pillar zegt dat het mogelijk is dat Burrill ook te maken krijgt met ‘canonieke discipline’.
Wat we wel weten is dit: dating-apps zijn een rijke bron van persoonlijke en gevoelige informatie over hun gebruikers, en die gebruikers weten zelden hoe die gegevens worden gebruikt, wie er toegang toe heeft en hoe die derde partijen die gegevens gebruiken of wie ze nog meer verkopen aan of delen met. Die gegevens worden gewoonlijk verondersteld te worden “geanonimiseerd” of “geanonimiseerd” – dit is hoe apps en gegevensmakelaars beweren de privacy te respecteren – maar het kan vrij eenvoudig zijn om die gegevens opnieuw te identificeren, zoals meerdere onderzoeken hebben aangetoond , en zoals Privacyexperts en advocaten waarschuwen er al jaren voor. Gezien het feit dat gegevens kunnen worden gebruikt om je leven te ruïneren of zelfs te beëindigen – op homo zijn staat de doodstraf in sommige landen zijn de gevolgen van een verkeerde behandeling zo ernstig als maar kan.
“De schade veroorzaakt door locatietracking is reëel en kan een blijvende impact hebben tot ver in de toekomst”, vertelde Sean O’Brien, hoofdonderzoeker bij ExpressVPN’s Digital Security Lab, aan Recode. “Er is geen zinvol toezicht op smartphone-surveillance en het privacymisbruik dat we in dit geval zagen, wordt mogelijk gemaakt door een winstgevende en bloeiende industrie.”
Grindr van zijn kant vertelde de Washington Post dat “er absoluut geen bewijs is dat de beschuldigingen ondersteunt van onjuiste gegevensverzameling of gebruik met betrekking tot de Grindr-app zoals beweerd” en dat het “technisch onhaalbaar en ongelooflijk onwaarschijnlijk” was.
Toch is Grindr in het recente verleden in de problemen gekomen vanwege privacykwesties. Internet-advocatuurgroep Mozilla bestempelde het als “privacy niet inbegrepen” in zijn beoordeling van dating-apps . Grindr kreeg eerder dit jaar een boete van bijna $ 12 miljoen van de Noorse gegevensbeschermingsautoriteit voor het verstrekken van informatie over zijn gebruikers aan verschillende advertentiebedrijven, inclusief hun precieze locaties en gebruikersvolgcodes. Dit kwam nadat een non-profitorganisatie genaamd de Norwegian Consumer Council in 2020 ontdekte dat Grindr gebruikersgegevens naar meer dan een dozijn andere bedrijven stuurde, en na een onderzoek van BuzzFeed News in 2018 ontdekte dat Grindr de hiv-statussen, locaties, e-mailadressen en telefoon-ID’s van gebruikers deelde met twee andere bedrijven.
Hoewel het niet bekend is hoe de gegevens van Burrill van Grindr zijn verkregen (ervan uitgaande dat het rapport van de Pillar waarheidsgetrouw is), sturen app-ontwikkelaars meestal locatiegegevens naar derden via softwareontwikkelingskits of SDK’s, dit zijn tools die functies aan hun apps toevoegen of advertenties weergeven. SDK’s sturen vervolgens gebruikersgegevens van de app naar de bedrijven die ze maken. Als voorbeeld, dat is hoe data broker X-Mode in staat was om de locatiegegevens van miljoenen gebruikers over te brengen honderden apps, die zij vervolgens gaf aan een verdediging aannemer, die vervolgens gaf het aan het Amerikaanse leger – en dat is lang niet de enige overheidsinstantie die op deze manier locatiegegevens verzamelt.
Grindr heeft niet gereageerd op een verzoek om commentaar van Recode om details te vragen over met welke bedrijven of derde partijen het gebruikersgegevens heeft gedeeld of verzonden, of welke SDK’s het in zijn app gebruikt. Maar het zegt in zijn eigen privacybeleid dat het de leeftijd, het geslacht en de locatie van gebruikers tot april 2020 met adverteerders heeft gedeeld. The Pillar zei dat de gegevens over Burrill van 2018 tot 2020 zijn.
Bedrijven verkopen deze data met gemak omdat de data supply chain ondoorzichtig is en de praktijk nauwelijks gereguleerd is, vooral in de Verenigde Staten. De boete van $ 12 miljoen van Noorwegen was omdat Grindr de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie schond. De Verenigde Staten hebben nog steeds geen gelijkwaardige federale privacywet, dus Grindr heeft hier mogelijk niets verkeerds gedaan, tenzij het tegen consumenten loog over zijn privacypraktijken (op dat moment kan het worden onderworpen aan boetes van de Federal Trade Commission, zoals zijn ).
“Experts waarschuwen al jaren dat gegevens die door reclamebedrijven zijn verzameld van telefoons van Amerikanen kunnen worden gebruikt om ze te volgen en de meest persoonlijke details van hun leven te onthullen”, senator Ron Wyden (D-OR), die heeft aangedrongen op privacyregels op de locatiegegevensindustrie, zei in de verklaring aan Recode. “Helaas hadden ze gelijk. Gegevensmakelaars en reclamebedrijven hebben tegen het publiek gelogen en hen verzekerd dat de informatie die ze verzamelden anoniem was. Zoals deze vreselijke aflevering aantoont, waren die beweringen nep – individuen kunnen worden gevolgd en geïdentificeerd.
Bij gebrek aan wetten zouden bedrijven zichzelf kunnen reguleren om de privacy van gebruikers beter te beschermen. Maar zonder dat iets hen daartoe dwingt – en in een omgeving waar overtredingen moeilijk te identificeren en op te sporen zijn – moet de gebruiker er maar het beste van hopen. App-winkels zoals Apple en Google Play verbieden het verkopen van locatiegegevens in hun servicevoorwaarden, maar we weten dat sommige bedrijven het toch doen . Als Apple of Google erachter komen dat apps die regels overtreden, kunnen ze ze uit hun winkels weren. Maar dat helpt niet de mensen van wie de gegevens al zijn verzameld, gedeeld of verkocht.
Dus wat kan je doen? Als u Grindr gebruikt en de gegevens die u aan de app hebt verstrekt, wilt minimaliseren of beperken, bevat het privacybeleid enkele details over hoe u zich kunt afmelden voor advertentieservices en uw account kunt verwijderen. Dan moet je erop vertrouwen dat Grindr doorgaat … net zoals je erop moest vertrouwen dat Grindr je gegevens in de eerste plaats zou beschermen.
U kunt ook pleiten voor privacywetten die deze praktijken verbieden, door contact op te nemen met uw lokale en federale vertegenwoordigers. In 2021 zijn twee privacywetten op staatsniveau aangenomen ( Virginia en Colorado ), maar we wachten nog steeds op een federale wet. Hoewel de Democraten het presidentschap, het Huis en de Senaat hebben (nauwelijks, en nog steeds niet genoeg zonder filibusterhervorming), moeten ze nog een van de voorgestelde privacywetten voorschieten – en het jaar is meer dan de helft voorbij.
Het simpele feit is dat de gegevens die je aan apps geeft een enorme economie aandrijven die honderden miljarden dollars waard is, wat honderden miljarden redenen is waarom het niet verandert – totdat en tenzij het wordt gedwongen.
“De FTC moet de Amerikanen opvoeren en beschermen tegen deze schandalige privacyschendingen, en het Congres moet uitgebreide federale privacywetgeving aannemen”, zei Wyden.
