Jouw app-vingerafdruk: droom voor marketeers of privacynachtmerrie?
De apps die jij op je smartphone hebt geïnstalleerd zeggen veel over wie je bent. Maar wist je dat ik ongemerkt kan nagaan welke mobiele applicaties jij op je telefoon hebt staan? Het gebruik van de informatie uit jouw 'app-vingerafdruk' is een droom voor marketeers en tegelijkertijd een potentiële privacynachtmerrie voor consumenten.
De Blije Doos 2.0
Stel je voor: je bent producent van baby-artikelen. Dan vormen aankomende moeders een interessante doelgroep. Maar hoe kom je erachter dat iemand zwanger is, zeker als lang niet iedereen meer zit te wachten op bijvoorbeeld De Blije Doos? Welke event-triggers kun je definiëren die met hoge mate van waarschijnlijkheid voorspellen dat er een kindje op komst is?
Eens kijken, wat was het eerste wat mijn partner deed toen ze een paar dagen over tijd was? Juist, ze downloadde op haar iPhone een mooie zwangerschaps-app, die in geuren en kleuren informatie geeft die je als aankomende moeder graag wilt weten. En nu komt het: door zo'n app te downloaden verraad je aan iedereen die het maar wil weten dat je wellicht zwanger bent.
De ontwikkelaar van de app ontvangt een paar euro van je. En ervan uitgaand dat deze ontwikkelaar jouw profielinformatie niet deelt met anderen (of erger nog, verkoopt) is je kleine geheimpje veilig. Dat soort zaken wordt (als het goed is) door de algemene voorwaarden van de app-store afgedekt.
Installed app recognition
In iOS en Android is er een technische functionaliteit beschikbaar, genaamd installed app recognition. Heel handig – want als je bijvoorbeeld met je iPad op de Wehkamp-site komt, herkent je toestel dat je de Wehkamp-app al hebt en verwijst je door naar die applicatie voor een betere gebruikservaring. Niks nieuws onder de zon: mobiele ontwikkelaars kennen deze functionaliteit al lang.
Maar wat niet iedereen weet, is dat diezelfde installed app recognition-functionaliteit is aan te roepen door iedere willekeurige applicatie die je hebt geïnstalleerd. Sterker nog: met wat handige scripts kan ik jou een e-mail sturen waarvan de content wordt gepersonaliseerd op basis van de door jou geïnstalleerde apps. Of nog praktischer: ik kan zorgen dat de e-mailnieuwsbrieven die mijn vriendin ontvangt opeens “verdacht veel” baby-aanbiedingen tonen.
Droom of nachtmerrie?
Het is de droom van iedere marketeer om superrelevant te kunnen zijn op basis van jouw klantprofiel. Naast persoonlijke voorkeuren die je zelf hebt aangegeven, transactionele informatie en (online) gedrag is er dus een vierde dataset beschikbaar waarmee een marketeer waardevolle informatie over jouw voorkeuren kan toevoegen aan het klantprofiel, namelijk een overzicht van de apps jij hebt geïnstalleerd. Je app-vingerafdruk, als het ware. En dat zegt wel iets over wie je bent. De droom van een marketeer, maar een potentiële nachtmerrie voor de privacy van een consument.
Dat het technisch mogelijk is om informatie over geïnstalleerde apps op te halen is geen geheim. Sommige apps ontlenen hieraan hun bestaansrecht. En verregaande (re)targeting wordt op het web natuurlijk ook allang en regelmatig ingezet (denk aan de Zalando banners). En hoewel er wetgeving is die aangeeft hoe je met dit soort functionaliteit omgaat (de cookiewet en de Wet Bescherming Persoonsgegevens) is het nog maar de vraag in hoeverre de autoriteiten deze wetten (kunnen) handhaven binnen apps. Zeker zolang er geen klachten van consumenten zijn, mediaaandacht voor is of kamervragen over worden gesteld.
Overgeleverd
Met andere woorden: voorlopig lijkt het erop dat consumenten zijn overgeleverd aan de goede intenties van marketeers. Het wachten is op de eerste marketeer die dit grijze gebied verkent. (Of wellicht doen sommigen dit al?)
Hoe zou Karlijn het gevonden hebben als de nieuwsbrief van haar favoriete e-tailer ineens vol stond met Maxi-Cosi's, luiers en spenen? Of erger nog: dat mijn bank mij benaderde met een financieel advies vanwege de aankomende gezinsuitbreiding? “Geachte heer Crama, van harte gefeliciteerd met uw aanstaande gezinsuitbreiding. We gaan graag het gesprek met u aan voor extra financiële ruimte”.
Als ik nog niet op de hoogte was van het blije nieuws, zou dat op zijn minst een interessante situatie hebben opgeleverd aan de ontbijttafel.
Wat vind jij?
Ik ben benieuwd naar jouw mening op basis van de volgende stelling:
“Marketeers mogen best experimenteren met app recognition als dat tot extra relevantie voor klanten leidt.”
Credits afbeelding: Chris Isherwood (CC)
#helpt toonaangevende organisaties aan blije(re) klanten dankzij datadriven marketing en innovatie. #favoriete quote: “There is no doubt that if marketing were done perfectly, selling, in the actual sense of the word, would be unnecessary.”
Waar kan ik meer lezen over installed app recognition? Ik had tot dit artikel nog niet van de term gehoord en kom ik Google nu ook vooral dit artikel tegen. Ik ken niet zo’n soort functie binnen iOS namelijk (tenzij je refereert naar app url schemes, maar die zijn vanuit html niet zomaar op te vragen AFAIK)
Goede vraag. Technisch antwoord van een niet technisch iemand: Dit zit inderdaad niet in de HTML. Er is blijkbaar een andere truc voor (via aanroepen van een extern script, het lijkt me niet handig die methode hier nu publiekelijk te delen maar er is vast iemand die je kan laten zien hoe dat werkt).
Mijn punt gaat echter niet zozeer over de TECHNIEK, maar meer over de ETHIEK van deze methode. Want vind je van het feit dat het kan?
Het is inderdaad mogelijk om, wanneer een gebruiker op een site komt, via de ‘URL schemes’ of ‘intents’ te checken middels een javascript of bepaalde apps op de telefoon staan geinstalleerd.
Als je er een klein aantal hebt dan ben je snel klaar. Wanneer je alles wilt checken dan ben je een tijdje bezig, langer doorgaans dan dat je op een site aanwezig bent.
Het kan ook op een andere manier. Wanneer je een app installeert, heeft deze app toegang tot bepaalde delen van het toestel, waaronder de Cache etc.
Verschillende apps laten hier folders of files staan, waaraan is te herkennen dat de betreffende app op het device staat. Door sommige wordt deze data ‘geoogst’ en publiek toegankelijk gemaakt. Er zijn dus databases beschikbaar die de folder/file fingerprint matchen op app name.
Ik ben het eens met Lars dat de vraag over ETHIEK hierin eigenlijk belangrijker is dan dat het kan.
Wie is verantwoordelijk voor de naleving hiervan? Apple & Google? Moeten software bouwers een certificering behalen wat dit afdekt? Of moet het gewoon kunnen?
Nee, dat mogen marketeers niet weten zonder dat eerst te vragen. Als basis zijn er mensenrechten die recht of privacy geven (mensenrecht no 13), en het wordt stilletjes aan tijd dat bedrijven ophouden met sluikerige weggetjes om dat te omzeilen. Als ze eens zo netjes zouden zijn om het te vragen, maar nee, het moet altijd geniepig en dan maar “oops” zeggen achteraf, alsof ze zich dan pas realiseren dat zoiets niet door de beugel kan (en nee, dat gelooft dan ook niemand). Het gevolg is een doorgaande erosie van gebruikersrechten, maar ook van elk resterend respect voor marketing. Marketing is over communicatie – gegevensdiefstal moet er werkelijk uit.
Peter, goed punt. Maar als bedrijven het netjes zouden vragen, is daarmee het probleem dan opgelost? Beseft de gemiddelde consument wel waar hij dan ja tegen zegt?
Nicole, dank voor het delen van (interessante) rapport. De vraag is natuurlijk wel in hoeverre de autoriteiten in staat zijn tot tijdige en volledige handhaving op dit vlak. Is het niet zo dat op dit moment handhaving vaak plaats vindt op basis van ontvangen klachten? En daarmee dit soort zaken dus niet snel aan de oppervlakte zal komen?
Leuk dat je WhatsApp vermeld – wij hebben de rechten tot een vervanger die exact het tegenovergestelde doet van WhatsApp qua veiligheid (volledig versleuteld – elliptic curve -, en wettelijk BESCHERMDE servers, dus niet in de VS 🙂 ). Het moet alleen nog fatsoenlijk verpakt worden, dus dat duurt nog even (het uitgraven van investeerders duurt altijd wat langer dan je denkt) maar het is al allemaal online.
Dat terzijde, Lars stelt in principe de meest belangrijke vraag, en het antwoord is dat de burger inderdaad het risico niet kent. Ik bescherm de privacy van bekende personen, en zelfs die hebben pas interesse als ze zich de vingers verbrandt hebben of een journalist iets “gehackt” heeft (tussen aanhalingstekens want wat ik “hacking” noem vraagt iets meer talent).
Er is hier een mengeling van wetshandhaving en eigen verantwoordelijkheid van toepassing, en ik denk dat we de balans al zeker niet goed hebben bij de wetshandhaving omdat de misbruikers een ERG diepe portemonnee hebben.
Jan met de pet is als een vis in de rivier: die ziet alleen maar het wormpje van “vrije” services, maar zoals de gemiddelde vis wordt hier de haak van een permanente inbreuk of privacy mee netjes mee gecamoufleerd (niet te spreken over de permanente lening van copyright op jouw beelden).
Van een overheid zou ik op z’n minst al de voorlichting verbeteren, en dat begint al op school, ook omdat we ook daar een massief gat hebben qua privacy bescherming in de wetgeving, een gat dat met schrikbarend enthousiasme misbruikt wordt. De zelfbestemming van kinderen over hun gegevens was om de afgave van gegevens in vooral het medisch bereik te beschermen, niet om het publiek op Facebook te gooien en dat moet gecorrigeerd worden.
Ik ben wel tevreden over het werk van de Art 29 Working Group – wat ze met Google gedaan hebben was netjes, ook al heeft Google daar geen gebruik van gemaakt..
Jitty; eens dat Google en Apple niet zo snel eea uit zichzelf zullen aanpassen. Maar als er IETS is dat grote organisaties tot actie kan aanzetten, dan is het wel de publieke opinie, toch?
Overigens vraag ik me af of we bij de app bouwers moeten zijn voor de opt in, aangezien dat wat ik beschrijf (volgens mij) kan zonder daarvoor een specifieke app te hoeven installeren. Omdat je het vanuit bijvoorbeeld een email nieuwsbrief zou kunnen aanroepen. (Misschien dat Naos hier nog iets zinnigs over kan roepen?). Daarmee zou de opt in voor een email nieuwsbrief met daarin wat kleine lettertjes (die niemand leest) daarom voldoende kunnen zijn(?).
Lars: die kleine lettertjes bij een opt-in “die niemand leest” mag niet. Zie de Code E-mail & Telecomwet, specifiek en geïnformeerd… Het uitlezen van een device valt onder de cookiewet, zelfde verhaal. Zie de reactie van Jitty voor meer hierover.
Autoriteit Consument en Markt (ACM, voorheen o.a. Opta) en de Reclame Code Commissie handhaven hierop, om nog te zwijgen van CBP. De boetes zijn niet mis en worden waarschijnlijk verder verhoogd in de nabije toekomst.
Wat mij betreft helemaal terecht: misleiding, privacy schending (zoals zaken stiekem uitlezen en gebruiken) zijn verboden ter bescherming van de consument. En we zijn het er allemaal over eens dat dat ook helemaal niets meer met marketing te maken heeft. Zoals Peter hierboven ook aangeeft.
Je klanten en prospects meerwaarde bieden, marketing as a service. Ze goed voorlichten over waar je hun data voor wil gebruiken, er toestemming voor vragen wanneer nodig. Een relevante dialoog aangaan. Zonder de kleine lettertjes en mét maximale transparantie. Dat is in het belang van direct/dialoog/datadriven marketing en de organisaties die deze vorm van marketing succesvol inzetten nu en in de toekomst.
Gerelateerde artikelen
Marketingfacts. Elke dag vers. Mis niks!
Marketingfacts. Elke dag vers. Mis niks!