In opdracht van de stichting Mijn Kind Online heb ik een rapport geschreven over hoe appontwikkelaars van kinderapps omgaan met persoonsgegevens. Ik heb het juridisch kader geschetst, het onderzoek uitgevoerd en de uitkomsten voorgelegd aan enkele experts. Het rapport is hier te lezen (pdf). Hieronder de conclusies:
“Bij de meeste onderzochte apps is niet of nauwelijks voldaan aan de Europese adviezen en de Nederlandse regels. Vooral aan de voorwaarde om vóór het downloaden bekend te maken welke persoonsgegevens een app zal verzamelen, wordt niet voldaan.
Maar ook ná het downloaden van een app wordt het de gebruiker niet gemakkelijk gemaakt om zich te informeren over het privacy-beleid. Veelal moet de gebruiker zelf op zoek gaan naar een privacy- beleid, bijvoorbeeld via de website van de ontwikkelaar. Enkele van de onderzochte apps hadden wel links naar het privacy-beleid in de app zelf, maar die leidden naar een Engelstalige en daardoor voor kinderen onbegrijpelijke versie.
Sowieso is vaak onduidelijk wie de doelgroep is van het privacy-beleid. Sommige bepalingen zijn in de jij-vorm geschreven op een redelijk begrijpelijke manier, gevolgd door juridisch lastige paragra- fen die zelfs voor veel ouders moeilijk zullen zijn. Moet de tekst gelezen worden door het kind of door de ouders? Ook is niet duidelijk op welk moment in het proces van ingebruikname van een app de ouders worden uitgenodigd om mee te kijken. Bij sommige apps is de toestemming van ouders nodig, maar onduidelijk is wanneer en hoe ouders die toestemming moeten geven.
En wat de techniek betreft: 4 van de 10 apps versturen hun gegevens onversleuteld en dus onveilig. Versleuteling zorgt ervoor dat er koeterwaals verschijnt wanneer de gegevens worden afgetapt. Onversleutelde gegevens zijn gewoon leesbaar. Aftappen op zich is overigens kinderlijk eenvoudig; dat kan iedereen doen, met een network analyzer zoals Debookee (voor OS X) of Wireshark (voor Windows, Linux, en tal van andere platforms).”
Peter Teffer 