Update 23 mei: Apple’s beloofde privacytools staan nu live. Hier vind je meer informatie.
Hieronder volgt ons oorspronkelijke bericht.
Apple en GDPR
Apple heeft het van alle grote techbedrijven misschien wel het makkelijkst. Het bedrijf werkt al jaren volgens de principes ‘privacy by design’ en daar komt nu ‘privacy by default’ bij. Toch waren er nog wel wat klussen te klaren voordat de GDPR op 25 mei van kracht wordt, zo vertelde Apple. Vooral het herschrijven van de privacyvoorwaarden kostte nogal wat mankracht en daarnaast komen er nieuwe opties bij, zoals het deactiveren van je account en het wissen van je account. Heb je vragen? Stel ze in de reacties en we zullen proberen bij Apple het antwoord te achterhalen. Daarbij moet je er wel rekening mee houden dat het bedrijf niet op elke vraag een echt antwoord zal geven. Vragen over China werden bijvoorbeeld beleefd beantwoord met een: ‘we werken in alle landen hetzelfde en je data is overal veilig’.
Apple’s privacyprincipes
Dat neemt niet weg dat Apple op privacygebied het al vrij goed heeft geregeld. Uitgangspunt van het bedrijf is dat er geen data wordt verzameld, tenzij dat echt nodig is. Zo moet Apple wel vastleggen welke apps je ooit hebt gekocht, om te zorgen dat je een dergelijke app later nog eens kosteloos kunt downloaden. Maar met Siri-zoekopdrachten gaat het bedrijf heel anders om: Apple wil geen profielen opbouwen en probeert alleen data vast te leggen die echt noodzakelijk is. De meeste privacygevoelige activiteiten worden daarom alleen lokaal op het toestel verwerkt. Als er toch contact met een server nodig is, wordt een randomized identifier aangemaakt die niet langer dan 15 minuten actief is, waarna alle data vanzelf verdwijnt.
Vier principes zijn leidend bij de dingen die Apple doet, zo gaf het bedrijf aan:
- Minimale dataverzameling en -gebruik
- Gebruik van on-device intelligence
- Transparantie
- Beveiliging
Wat dat laatste punt betreft heeft Apple de afgelopen tijd wel wat steekjes laten vallen, maar dat was niet opzettelijk. “Waarom zouden wij die data op onze servers moeten hebben?” is een vraag die intern bij Apple regelmatig wordt gesteld. Apple heeft de data niet nodig om reclames te tonen of om een profiel op te bouwen. Apple weet bijvoorbeeld wel dat persoon X met persoon Y een FaceTime-gesprek wil voeren, om de juiste verbinding te kunnen leggen. Maar de inhoud van het gesprek is niet nodig om FaceTime-gesprekken te kunnen aanbieden. Pas als een gebruiker klaagt over een storing heeft het zin om er nadere data over te verzamelen, door bijvoorbeeld een testgesprek te voeren.
Wat heeft Apple al gedaan?
Apple is de afgelopen maanden bezig geweest met het duidelijker opschrijven van de gebruikersvoorwaarden. Een uiting daarvan is het nieuwe privacyscherm dat je te zien krijgt als een app of dienst van Apple je data wil raadplegen:
Dit scherm is al in werking getreden sinds iOS 11.3. Er zit meer werk achter dan je denkt: Apple is met UX-designers, juristen en andere experts aan de slag gegaan om te zorgen dat alle informatie op één scherm past en makkelijk van een klein scherm afgelezen kan worden. Zelfs op kleine toestellen zoals de iPhone SE moest alle info op het scherm passen en dat betekende schrappen en herformuleren. Inhoudelijk is er overigens niets veranderd, maar het staat vooral duidelijker geformuleerd, waardoor een gebruiker beter begrijpt wat er wordt bedoeld. Als je wilt kun je doorklikken naar een scherm met meer info, ook geoptimaliseerd voor mobiele schermen.
Wat gaat Apple op korte termijn doen?
Vanaf volgende week komen de nieuwe privacy managent-tools beschikbaar. Die bestaan uit vier onderdelen:
- Een kopie van je data opvragen
- Data corrigeren
- Deactiveren van je account
- Wissen van je account
Het corrigeren van data komt meteen wereldwijd beschikbaar. Het deactiveren en opvragen van een kopie van je data zal eerst alleen in Europa mogelijk zijn, later volgt de rest van de wereld.
Wat heeft Apple nog niet gedaan?
Apple vertelde dat ze in ‘versie 1’ de nadruk hebben gelegd op het voldoen aan de richtlijnen en het inrichten van nieuwe processen om bijvoorbeeld te zorgen dat je de data kunt opvragen die Apple van je bewaart. We kregen tijdens de sessie een scherm te zien, waarbij je per dienst op een downloadknop kunt drukken (het maken van foto’s was helaas niet toegestaan tijdens de sessie). Je kunt dus voor elk item (Apple Music, iTunes, Apple Store-aankopen) apart een databestand downloaden dat in json of een ander een goed leesbaar formaat wordt toegestuurd. Heb je geen aankopen in de Apple Store gedaan, dan zal Apple daar ook geen databestand van hebben.
Het exporteren van data is daarmee geregeld, maar om volledige dataportabiliteit tussen diensten mogelijk te maken, zou er ook een mogelijkheid moeten zijn om data van andere diensten bij Apple in te lezen. Of om bijvoorbeeld de data van het ene Apple ID te kunnen inlezen in het andere Apple ID.
Dat is nu nog niet mogelijk en kan pas in een latere fase worden ingevoerd. Er zitten namelijk nogal wat privacybezwaren aan: andere bedrijven verzamelen heel andere data van gebruikers en als Apple dat zomaar zou inlezen, kan het gebeuren dat er ongewenste privacygevoelige data op de servers van Apple komt te staan. Daar zit Apple niet op te wachten, want het bedrijf wil alleen data verzamelen als het echt nodig is.
Wat was het lastigste voor Apple?
Apple vertelde dat het deactiveren van accounts tot de meeste interne discussies heeft geleid. Het deactiveren van je account betekent dat je account niet meteen weg is, maar dat het bedrijf geen informatie meer over je mag verzamelen. Het bleek voor verschillende teams iets anders te betekenen. Als je reparaties hebt lopen bij de Apple Store wil je die spullen nog wel terugkrijgen. Maar andere zaken zoals een abonnement op Apple Music wil je niet laten doorlopen. En je persoonlijke aanbevelingen voor muziek zijn ook niet meer nodig.
Apple zal die gebruikersdata ook niet meer op andere manieren gebruiken. Het is geen verplichting vanuit de wet, maar het leek Apple het beste om te doen.
Ook moest Apple een mechanisme verzinnen om te zorgen dat je later weer toegang krijgt tot je account. Je krijgt bij het deactiveren een code, die je goed moet bewaren en die niet opnieuw toegestuurd kan worden. Apple weet namelijk je e-mailadres of telefoonnummer niet meer.
Hoe lang mag je account gedeactiveerd blijven? Ook daar zijn niet echt regels over, maar Apple koos een termijn ven 9 tot 10 jaar. Dat leek de beste balans: als je na een paar jaar Android-gebruik toch weer naar Apple overstapt is het wel zo fijn als je je account weer terug kunt krijgen. Maar het heeft geen zin om die data tot in de oneindigheid te bewaren.
Account wissen: hoe werkt dat?
Je kunt bij Apple vanaf volgende week ook gemakkelijker je account wissen. Dat zal niet meteen gebeuren, maar er gaat een periode van 7 dagen overheen, zodat de eigenaar van het account nog de mogelijkheid heeft om het verzoek terug te draaien. Dit voorkomt dat een kwaadwillende zomaar je account kan hacken en je account kan wissen. Na 7 dagen wordt je account daadwerkelijk gewist en alle data die daarmee samenhangen zijn na 30 dagen definitief verdwenen. Ook in dit geval zal Apple de data niet meer gebruiken in analyses (bijvoorbeeld wanneer je bij het inrichten van je iPhone hebt aangegeven dat je data wilt delen met Apple).
Hoe lang bewaart Apple je data?
Dit blijkt per dienst verschillend te zijn. De specifieke tijdsduur is terug te vinden in de EULA’s, terms of service of soms in de technische en juridische documenten die Apple publiceert (zoals hier). Bij data die de sleutel is tot je identiteit is 30 dagen de bewaarperiode. Gaat het om App Store-aankopen, dan is 10-12 jaar volgens Apple een passende periode. Dit is specifiek per type data en type gebruik. Apple vraagt zich steeds af: hoe lang hebben we het nodig?
We zullen dit artikel gaandeweg nog verder aanvullen met vragen, onder andere over de vraag hoe het zit als je met je privacybewuste Europese Apple-account naar landen als Rusland en China reist.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Apple Pay
Apple Pay is Apple's eigen betaaldienst, die sinds juni 2019 en november 2018 beschikbaar is in respectievelijk Nederland en België. Met Apple Pay kun je betalen met je iPhone, Apple Watch, iPad en Mac in zowel winkels als apps en webshops. In Nederland is Apple Pay beschikbaar bij nagenoeg alle banken. Lees onze Apple Pay FAQ voor antwoorden op veelgestelde vragen, bekijk hoe je Apple Pay moet instellen en hoe je Apple Pay kunt gebruiken. Apple heeft ook nog andere gelieerde diensten, zoals Apple Pay Later en Apple Cash. Lees hier alles wat je wil weten over Apple Pay!
- Alles over Apple Pay
- Apple Pay FAQ: antwoorden op veelgestelde vragen
- Apple Pay vergelijken
- Apple Pay instellen: zo doe je dat
- Apple Pay gebruiken: zo betaal je ermee
- Apple Pay op Apple Watch
- Problemen met Apple Pay
- Apple Pay in het ov
- Express-ov met Apple Pay
- Apple Pay en privacy
- Apple Pay-transacties bekijken
- Meerdere Apple Pay kaarten van dezelfde bank herkennen
- Apple Pay blokkeren
- Welke winkels accepteren Apple Pay?
- De beste Apple Pay tips
Reacties: 16 reacties