• Mobile
    wordt gesponsord door

Jouw app-vingerafdruk: droom voor marketeers of privacynachtmerrie?

Jouw app-vingerafdruk: droom voor marketeers of privacynachtmerrie?
, 2organize
@larscrama

De apps die jij op je smartphone hebt geïnstalleerd zeggen veel over wie je bent. Maar wist je dat ik ongemerkt kan nagaan welke mobiele applicaties jij op je telefoon hebt staan? Het gebruik van de informatie uit jouw 'app-vingerafdruk' is een droom voor marketeers en tegelijkertijd een potentiële privacynachtmerrie voor consumenten.

De Blije Doos 2.0

Stel je voor: je bent producent van baby-artikelen. Dan vormen aankomende moeders een interessante doelgroep. Maar hoe kom je erachter dat iemand zwanger is, zeker als lang niet iedereen meer zit te wachten op bijvoorbeeld De Blije Doos? Welke event-triggers kun je definiëren die met hoge mate van waarschijnlijkheid voorspellen dat er een kindje op komst is?

Eens kijken, wat was het eerste wat mijn partner deed toen ze een paar dagen over tijd was? Juist, ze downloadde op haar iPhone een mooie zwangerschaps-app, die in geuren en kleuren informatie geeft die je als aankomende moeder graag wilt weten. En nu komt het: door zo'n app te downloaden verraad je aan iedereen die het maar wil weten dat je wellicht zwanger bent.

De ontwikkelaar van de app ontvangt een paar euro van je. En ervan uitgaand dat deze ontwikkelaar jouw profielinformatie niet deelt met anderen (of erger nog, verkoopt) is je kleine geheimpje veilig. Dat soort zaken wordt (als het goed is) door de algemene voorwaarden van de app-store afgedekt.

Installed app recognition

In iOS en Android is er een technische functionaliteit beschikbaar, genaamd installed app recognition. Heel handig - want als je bijvoorbeeld met je iPad op de Wehkamp-site komt, herkent je toestel dat je de Wehkamp-app al hebt en verwijst je door naar die applicatie voor een betere gebruikservaring. Niks nieuws onder de zon: mobiele ontwikkelaars kennen deze functionaliteit al lang.

Maar wat niet iedereen weet, is dat diezelfde installed app recognition-functionaliteit is aan te roepen door iedere willekeurige applicatie die je hebt geïnstalleerd. Sterker nog: met wat handige scripts kan ik jou een e-mail sturen waarvan de content wordt gepersonaliseerd op basis van de door jou geïnstalleerde apps. Of nog praktischer: ik kan zorgen dat de e-mailnieuwsbrieven die mijn vriendin ontvangt opeens "verdacht veel" baby-aanbiedingen tonen.

Droom of nachtmerrie?

Het is de droom van iedere marketeer om superrelevant te kunnen zijn op basis van jouw klantprofiel. Naast persoonlijke voorkeuren die je zelf hebt aangegeven, transactionele informatie en (online) gedrag is er dus een vierde dataset beschikbaar waarmee een marketeer waardevolle informatie over jouw voorkeuren kan toevoegen aan het klantprofiel, namelijk een overzicht van de apps jij hebt geïnstalleerd. Je app-vingerafdruk, als het ware. En dat zegt wel iets over wie je bent. De droom van een marketeer, maar een potentiële nachtmerrie voor de privacy van een consument.

Dat het technisch mogelijk is om informatie over geïnstalleerde apps op te halen is geen geheim. Sommige apps ontlenen hieraan hun bestaansrecht. En verregaande (re)targeting wordt op het web natuurlijk ook allang en regelmatig ingezet (denk aan de Zalando banners). En hoewel er wetgeving is die aangeeft hoe je met dit soort functionaliteit omgaat (de cookiewet en de Wet Bescherming Persoonsgegevens) is het nog maar de vraag in hoeverre de autoriteiten deze wetten (kunnen) handhaven binnen apps. Zeker zolang er geen klachten van consumenten zijn, mediaaandacht voor is of kamervragen over worden gesteld.

Overgeleverd

Met andere woorden: voorlopig lijkt het erop dat consumenten zijn overgeleverd aan de goede intenties van marketeers. Het wachten is op de eerste marketeer die dit grijze gebied verkent. (Of wellicht doen sommigen dit al?)

Hoe zou Karlijn het gevonden hebben als de nieuwsbrief van haar favoriete e-tailer ineens vol stond met Maxi-Cosi's, luiers en spenen? Of erger nog: dat mijn bank mij benaderde met een financieel advies vanwege de aankomende gezinsuitbreiding? "Geachte heer Crama, van harte gefeliciteerd met uw aanstaande gezinsuitbreiding. We gaan graag het gesprek met u aan voor extra financiële ruimte".

Als ik nog niet op de hoogte was van het blije nieuws, zou dat op zijn minst een interessante situatie hebben opgeleverd aan de ontbijttafel.

Wat vind jij?

Ik ben benieuwd naar jouw mening op basis van de volgende stelling:  

“Marketeers mogen best experimenteren met app recognition als dat tot extra relevantie voor klanten leidt.”

Credits afbeelding: Chris Isherwood (CC)


Delen

0
0


Er zijn 12 reacties op dit artikel

  • Waar kan ik meer lezen over installed app recognition? Ik had tot dit artikel nog niet van de term gehoord en kom ik Google nu ook vooral dit artikel tegen. Ik ken niet zo'n soort functie binnen iOS namelijk (tenzij je refereert naar app url schemes, maar die zijn vanuit html niet zomaar op te vragen AFAIK)

    geplaatst op
  • Goede vraag. Technisch antwoord van een niet technisch iemand: Dit zit inderdaad niet in de HTML. Er is blijkbaar een andere truc voor (via aanroepen van een extern script, het lijkt me niet handig die methode hier nu publiekelijk te delen maar er is vast iemand die je kan laten zien hoe dat werkt).

    Mijn punt gaat echter niet zozeer over de TECHNIEK, maar meer over de ETHIEK van deze methode. Want vind je van het feit dat het kan?

    geplaatst op
  • Het is inderdaad mogelijk om, wanneer een gebruiker op een site komt, via de 'URL schemes' of 'intents' te checken middels een javascript of bepaalde apps op de telefoon staan geinstalleerd.
    Als je er een klein aantal hebt dan ben je snel klaar. Wanneer je alles wilt checken dan ben je een tijdje bezig, langer doorgaans dan dat je op een site aanwezig bent.

    Het kan ook op een andere manier. Wanneer je een app installeert, heeft deze app toegang tot bepaalde delen van het toestel, waaronder de Cache etc.

    Verschillende apps laten hier folders of files staan, waaraan is te herkennen dat de betreffende app op het device staat. Door sommige wordt deze data 'geoogst' en publiek toegankelijk gemaakt. Er zijn dus databases beschikbaar die de folder/file fingerprint matchen op app name.

    Ik ben het eens met Lars dat de vraag over ETHIEK hierin eigenlijk belangrijker is dan dat het kan.

    Wie is verantwoordelijk voor de naleving hiervan? Apple & Google? Moeten software bouwers een certificering behalen wat dit afdekt? Of moet het gewoon kunnen?

    geplaatst op
  • Nee, dat mogen marketeers niet weten zonder dat eerst te vragen. Als basis zijn er mensenrechten die recht of privacy geven (mensenrecht no 13), en het wordt stilletjes aan tijd dat bedrijven ophouden met sluikerige weggetjes om dat te omzeilen. Als ze eens zo netjes zouden zijn om het te vragen, maar nee, het moet altijd geniepig en dan maar "oops" zeggen achteraf, alsof ze zich dan pas realiseren dat zoiets niet door de beugel kan (en nee, dat gelooft dan ook niemand). Het gevolg is een doorgaande erosie van gebruikersrechten, maar ook van elk resterend respect voor marketing. Marketing is over communicatie - gegevensdiefstal moet er werkelijk uit.

    geplaatst op
  • Over de toepassing van de privacyregels op apps, is al meer te vinden in het volgende rapport van de Artikel 29 Werkgroep: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp202_en.pdf. In dit rapport leggen de Europese toezichthouders op het gebied van gegevensbescherming uit hoe de belangrijkste privacyprincipes zich verhouden tot de gegevensverwerking via apps.

    geplaatst op
  • Peter, goed punt. Maar als bedrijven het netjes zouden vragen, is daarmee het probleem dan opgelost? Beseft de gemiddelde consument wel waar hij dan ja tegen zegt?

    geplaatst op
  • Nicole, dank voor het delen van (interessante) rapport. De vraag is natuurlijk wel in hoeverre de autoriteiten in staat zijn tot tijdige en volledige handhaving op dit vlak. Is het niet zo dat op dit moment handhaving vaak plaats vindt op basis van ontvangen klachten? En daarmee dit soort zaken dus niet snel aan de oppervlakte zal komen?

    geplaatst op
  • Lars, het College Bescherming Persoonsgegevens (CBP) kan naar aanleiding van klachten maar kan ook ambtshalve een onderzoek starten. Niet alle onderzoeken van het CBP zijn het gevolg van klachten (bijvoorbeeld onderzoek TomTom).

    En apps staan op de radar van het CBP. Zie ook het rapport van het CBP naar de gegevensverwerking bij Whatsapp: http://www.cbpweb.nl/downloads_rapporten/rap_2013-whatsapp-cbp-definitieve-bevindingen-nl.pdf.

    geplaatst op
  • Hi Lars,
    Leuk stuk!!

    Na de cookiediscussie kan je er natuurlijk op wachten voorde focus verschuift naar apps. Net als bij cookies denk ik ook dat hier het informeren van webgebruikers de angel uit de discussie kan halen. Informeer duidelijk en volledig en laat consumenten een afweging maken. Dit staat ook in het rapport van Europese privacywaakhonden waar Nicole aan refereert. Er is wel één probleem, namelijk dat je Europese regels oplegt aan Amerikaanse interfaces. En daar ontmoet ethiek techniek.

    De wet is ook voor apps vrij duidelijk. Het installeren van een app valt onder de cookiewet. Dat betekent dat je voor de installatie moet informeren en toestemming moet vragen. Als je daarna data wilt halen van de randapparatuur verwerk je persoonsgegevens. Hierover moet je –volgens de opinie - apart informeren en (in sommige gevallen) toestemming vragen.

    De toezichthouders zien het liefst dat je voor iedere functie van een app (locatiedata, foto’s, contactgegevens etc.) apart wordt geïnformeerd en apart “ja of nee” kan zeggen. Dit lijkt mij een beetje ver gaan, aangezien je bij cookies wel in één keer toestemming mag geven, maar ok.

    Crux is dat de interfaces van iOS en Google Play deze mogelijkheden helemaal niet standaard bieden. Ze zeggen immers dat de app toegang wil tot bijvoorbeeld je locatiedata, maar niet waarom. Ik denk niet dat Google en Apple onmiddellijk hun interfaces aanpassen naar aanleiding van de opinie.

    Daarnaast zit de toezichthouder ook niet stil. Voor zover ik weet zijn dit jaar zeker twee cookiebedrijven onder de loep genomen door het CBP. Deze publiceerde laatst ook een rapport over illegale gegevensverzameling via smart tv’s, dat in principe op dezelfde manier gebeurt als bij apps.

    Kortom, van mij mogen marketeers met alles experimenteren als ze maar informeren en consumenten een keus geven :)

    Voor de liefhebber organiseert DDMA op 26 september de mobile wave waar zowel het CBP (de privacy toezichthouder) en de appbouwers deze problematiek en mogelijke oplossingen bespreken. Meer informatie via: http://ddma.nl/evenementen/mobile-wave/

    geplaatst op
  • Leuk dat je WhatsApp vermeld - wij hebben de rechten tot een vervanger die exact het tegenovergestelde doet van WhatsApp qua veiligheid (volledig versleuteld - elliptic curve -, en wettelijk BESCHERMDE servers, dus niet in de VS :) ). Het moet alleen nog fatsoenlijk verpakt worden, dus dat duurt nog even (het uitgraven van investeerders duurt altijd wat langer dan je denkt) maar het is al allemaal online.

    Dat terzijde, Lars stelt in principe de meest belangrijke vraag, en het antwoord is dat de burger inderdaad het risico niet kent. Ik bescherm de privacy van bekende personen, en zelfs die hebben pas interesse als ze zich de vingers verbrandt hebben of een journalist iets "gehackt" heeft (tussen aanhalingstekens want wat ik "hacking" noem vraagt iets meer talent).

    Er is hier een mengeling van wetshandhaving en eigen verantwoordelijkheid van toepassing, en ik denk dat we de balans al zeker niet goed hebben bij de wetshandhaving omdat de misbruikers een ERG diepe portemonnee hebben.

    Jan met de pet is als een vis in de rivier: die ziet alleen maar het wormpje van "vrije" services, maar zoals de gemiddelde vis wordt hier de haak van een permanente inbreuk of privacy mee netjes mee gecamoufleerd (niet te spreken over de permanente lening van copyright op jouw beelden).

    Van een overheid zou ik op z'n minst al de voorlichting verbeteren, en dat begint al op school, ook omdat we ook daar een massief gat hebben qua privacy bescherming in de wetgeving, een gat dat met schrikbarend enthousiasme misbruikt wordt. De zelfbestemming van kinderen over hun gegevens was om de afgave van gegevens in vooral het medisch bereik te beschermen, niet om het publiek op Facebook te gooien en dat moet gecorrigeerd worden.

    Ik ben wel tevreden over het werk van de Art 29 Working Group - wat ze met Google gedaan hebben was netjes, ook al heeft Google daar geen gebruik van gemaakt..

    geplaatst op
  • Jitty; eens dat Google en Apple niet zo snel eea uit zichzelf zullen aanpassen. Maar als er IETS is dat grote organisaties tot actie kan aanzetten, dan is het wel de publieke opinie, toch?

    Overigens vraag ik me af of we bij de app bouwers moeten zijn voor de opt in, aangezien dat wat ik beschrijf (volgens mij) kan zonder daarvoor een specifieke app te hoeven installeren. Omdat je het vanuit bijvoorbeeld een email nieuwsbrief zou kunnen aanroepen. (Misschien dat Naos hier nog iets zinnigs over kan roepen?). Daarmee zou de opt in voor een email nieuwsbrief met daarin wat kleine lettertjes (die niemand leest) daarom voldoende kunnen zijn(?).

    geplaatst op
  • Lars: die kleine lettertjes bij een opt-in "die niemand leest" mag niet. Zie de Code E-mail & Telecomwet, specifiek en geïnformeerd... Het uitlezen van een device valt onder de cookiewet, zelfde verhaal. Zie de reactie van Jitty voor meer hierover.

    Autoriteit Consument en Markt (ACM, voorheen o.a. Opta) en de Reclame Code Commissie handhaven hierop, om nog te zwijgen van CBP. De boetes zijn niet mis en worden waarschijnlijk verder verhoogd in de nabije toekomst.

    Wat mij betreft helemaal terecht: misleiding, privacy schending (zoals zaken stiekem uitlezen en gebruiken) zijn verboden ter bescherming van de consument. En we zijn het er allemaal over eens dat dat ook helemaal niets meer met marketing te maken heeft. Zoals Peter hierboven ook aangeeft.

    Je klanten en prospects meerwaarde bieden, marketing as a service. Ze goed voorlichten over waar je hun data voor wil gebruiken, er toestemming voor vragen wanneer nodig. Een relevante dialoog aangaan. Zonder de kleine lettertjes en mét maximale transparantie. Dat is in het belang van direct/dialoog/datadriven marketing en de organisaties die deze vorm van marketing succesvol inzetten nu en in de toekomst.

    geplaatst op

Plaats zelf een reactie

Log in zodat je (in het vervolg) nóg sneller kunt reageren

Vul jouw naam in.
Vul jouw e-mailadres in. Vul een geldig e-mailadres in.
Vul jouw reactie in.

Herhaal de tekens die je ziet in de afbeelding hieronder


Let op: je reactie blijft voor altijd staan. We verwijderen deze dus later niet als je op zoek bent naar een nieuwe werkgever (of schoonmoeder). Reacties die beledigend zijn of zelfpromotioneel daarentegen, verwijderen we maar al te graag. Door te reageren ga je akkoord met onze voorwaarden.