Edward Snowden: digitale zelfverdediging is (juist) niet alleen voor klokkenluiders

Apple’s privacyhart

Geen account, geen cookie
DOSSIER: Versleuteling

Tim Cook waarschuwde gisteren de Britse overheid dat ze privacy en security moet blijven beschermen. En een tijdje terug stak Apple haar privacyvoorwaarden ook al in een nieuw jasje. In tegenstelling tot haar techrivalen neemt Apple daarmee een sterke pro-privacy positie in. Is dit een PR-stunt of heeft Apple daadwerkelijk een warm privacyhart?

Privacy policy
Bij veel bedrijven kom je in je zoektocht naar privacyvoorwaarden vaak uit op een ellenlange tekst. Apple doet dat nu anders en geeft overzichtelijk informatie over privacy bij haar producten. Op de vernieuwde website schrijft Tim Cook dat Apple, in tegenstelling tot haar concurrenten, veel waarde hecht aan privacy en gegevens van haar gebruikers. In essentie zou Apple niet geïnteresseerd zijn in persoonlijke gegevens, en gebruikt zij slechts een klein deel voor gepersonaliseerde producten.

De site is opgedeeld in verschillende secties: hoe de Apple-diensten werken, hoe je je apparaten beveiligt tegen kwaadwillenden bij diefstal of phishing en hoe Apple informatieverzoeken van overheden afhandelt.

Wat heeft de gebruiker eraan?
Zoals we onze lezers regelmatig informeren, worden je kliks op websites als Facebook en Google gevolgd en opgeslagen. Maar Apple zegt “We don’t want you data” en legt uit hoe je privacy wordt beveiligd met encryptie.

Je kunt je informatie versleutelen. Versleutelen – oftewel encryptie – is het onleesbaar maken van deze informatie. Alleen jij hebt de sleutel zodat je het bericht kunt lezen. Wil je deze informatie versturen, dan geef je ook de ander de sleutel van deze beveiliging. Dit betekent dat als ik een bericht stuur van mijn Macbook via iMessenger naar een vriend met een Macbook, dan zorgt Apple ervoor dat alleen wij twee deze sleutel hebben. Apple zegt deze sleutel niet te hebben en ook niet af te geven aan iemand anders.

Daarnaast weigert Apple om een zogenaamde ‘backdoor’ in het systeem te zetten. Een backdoor is het maken van een soort achterdeurtje in de encryptie. Een derde, bijvoorbeeld een geheime dienst, zou via dit achterdeurtje bij jouw gegevens kunnen komen. Is een backdoor voor bijvoorbeeld een geheime dienst gecreëerd, dan is de kans groot dat een kwaadwillende hacker hier ook bij kan. De deur bestaat, en het is slechts een kwestie van het vinden van de sleutel die erop past. Dit – uiteraard – maakt de encryptie zwakker, waardoor derden makkelijker bij jouw gegevens kunnen. Tim Cook stelde daarom gisteren bij zijn bezoek aan Engeland, dat ze daarmee vooral de ‘goede mensen’ zouden raken.

Achtergrond
Begin juni tijdens EPIC’s Championship of Freedom werd Cook gehuldigd voor ‘Corporate Leadership’. In zijn presentatie bij EPIC benadrukte hij de waarde die Apple hecht aan het beschermen van privacy van haar gebruikers, het verzekeren van deze bescherming, en het beschermen van Apple’s recht van encryptie.

Andere bedrijven zoals Facebook en Google (niet expliciet genoemd) werden sterk becommentarieerd, omdat zij verdienen aan de gegevens van gebruikers, terwijl Apple slechts hardware verkoopt. Cook zegt daarover:

“They’re gobbling up everything they can learn about you and trying to monetize it. We think that’s wrong. And it’s not the kind of company that Apple wants to be.”

Daarnaast geeft Apple een voorbeeld over hoe zij met privacygegevens omgaat. En in vergelijking met Google, steekt zij dit in een heel mooi jasje.

Google Maps:

“Your current location is what allows us to understand where you are on your journey. We can then tell you the next step, and reroute you if a faster route becomes available.”

Apple Maps:

“Maps is also engineered to separate the data about your trips into segments, to keep Apple or anyone else from putting together a complete picture of your travels. Helping you get from Point A to Point B matters a great deal to us, but knowing the history of all your Point A’s and Point B’s doesn’t.”

Informatieverzoeken van overheden
Apple geeft op de website aan dat zij overheidsinstanties geen toegang verleent tot de server. Daarnaast benadrukt Apple dat zij nog nooit heeft samengewerkt met overheden van welk land dan ook om een backdoor te creëren. Daarbij geeft Apple aan:

“Hoewel we graag specifieker zouden willen zijn, is dit wettelijk gezien de meest nauwkeurige informatie die we momenteel kunnen verschaffen.”

En laat dit nu juist het punt zijn waar de schoen wringt. Een rechter of overheidsinstantie kan een ‘gag order’ opleggen. Dit is een verbod voor Apple tot bekendmaking van feiten. Deze verzoeken zijn volstrekt geheim en mogen niet openbaar worden gemaakt. Daarom is een dergelijk statement van Apple volstrekt oncontroleerbaar.

Vertrouwen verkoopt
Al deze pro-privacy verhalen lijken te mooi om waar te zijn. Met deze expliciete uitingen, creëert Apple een sterke gebruikers-vriendelijk positie ten opzichte van Facebook of Google. Toch zet Apple, een grote speler op het gebied van mobiele apparaten, in op producten die meer en meer data nodig hebben. Voorbeelden daarvan zijn HomeKit en CarPlay die gebruikt worden in het huis en de auto. Daarnaast hebben diensten zoals Apple Music, Apple Maps en digitale assistent Siri gedrag van de gebruiker nodig om te verbeteren.

Deze diensten nemen het stemgeluid op en analyseren om variaties te ondervangen. Deze uploads zouden niet gekoppeld zijn aan een persoon, maar aan een nummer. Bij de vraag of deze gegevens niet terug te voeren zijn op een persoon, moeten we Apple dan maar op vertrouwen.

Dit verklaart misschien waarom Apple zo veelvuldig inzet op privacy. Bij het groeiend wantrouwen tegen partijen als Google en Facebook vanwege hun privacybeleid, creëert Apple vertrouwen. En vertrouwen verkoopt.

Apple is een bedrijf dat geld verdient aan zijn klanten. Dat is precies wat andere technische concurrenten ook doen. Het is dus heel interessant om te zien wat de reactie wordt van andere bedrijven. Zullen anderen Apple volgen en privacy zien als een ‘unique selling point’? En blijft het dan bij PR of gaan internetgebruikers er ècht wat aan hebben? We blijven het voor je volgen.

 

  1. Frits

    Je kunt bijna niemand vertrouwen in deze wereld, vooral de overheden niet (UK, Plasterks wetje, etc), die hebben een beroerd trackrecord en er zijn maar nauwelijks signalen dat ze het al beter gaan doen, vooralsnog gaat het zeker niet beter.
    Apple stelt naar mijn gevoel zijn naam niet in het geding door onzin te verkopen, als dat uit zou komen hebben ze ineens meerdere deuken in hun Apple imago.

  2. ED

    Onlangs heeft Porsche Apple’s CarPlay de voorkeur gegeven boven Google’s Android Auto, omdat die laatste veel te veel data verzamelt. Dat was de uitkomst van evaluaties. Dus meer dan mooie reclamepraat. Tenzij ook Apple sjoemelsoftware heeft weten te maken.

    http://www.informationweek.com/it-life/porsche-picks-apple-carplay-over-android-auto/d/d-id/1322520

  3. Anoniem

    Het klinkt enigszins geloofwaardig, mits je Apple graag wilt geloven. En daar zit meteen de crux: je moet goedgelovig zijn – in tijden waar vertrouwen keer op keer ongegeneerd wordt geschaad. En dus: nee, ook Apple verdient niet een voordeel van enige twijfel. Samenwerkingen met producten/diesten/apparaten van andere bedrijven doen dat vermeende vertrouwen wat mij betreft bovendien eerder afnemen. Het lijkt er ook niet naar uit te zien dat Apple snel met vrije software op de proppen zal komen die verifieerbaar is – los van de vraag of het dat niet mag of niet wil. Bij mij komen Microsoft, Google, Facebook, Skype, Whatsapp cum suis er niet in, no way. Noch Apple.

    Wat dan wel? Vrije besturingssystemen als Trisquel en/of Parabola GNU/Linux, Tor browser, met PGP versleutelde e-mail, et cetera – zelfs mijn (externe!) bootloader is beschermd met een ‘password hash’, en de hele harde schijf versleuteld (op vliegreizen wil ik die er nog wel eens uithalen en thuis laten – ook zonder kun je prima ‘internetten’). Computers die gebouwd zijn met zo betrouwbaar mogelijke hardware. En daarmee kan ik (en ieder mens met gemiddelde intelligentie) alles doen op een computer wat nodig en leuk is. Op een manier die ik bepaal, niet Apple. En dus met een zekere gemoedsrust.

  4. Raven

    In mijn jarenlange ervaring met Apple heb ik eigenlijk nog steeds best wel vertrouwen in hun intenties. Zoals ze zelf stellen: Ze verkopen hardware. Ik heb ze nooit kunnen betrappen op een dubbele agenda, dit zou ook funest zijn voor het zorgvuldig opgebouwde imago natuurlijk.

    Natuurlijk is Apple gewoon een bedrijf gelijk de anderen, winst is de grootste drijfveer, maar toch…

    Zonder een blinde ‘Apple-geek’ te willen zijn, heb ik ergens toch meer vertrouwen in hun policy als die van de andere spelers (a.i. Gooogle, Facebook)

    Ugh!

  5. Zachtbaardige

    Elk bedrijf verdient aan zijn klanten. Nogal een vreemde zinsnede als het gaat om een vertrouwensdiscussie. Het is niet Apple aantoe rekenen dat ze eigenlijk helemaal niets kan zeggen over enige ‘gag’ order. En al zouden ze dan informatie moeten afstaan, dan is dat onder dwang en heet dat in mijn woordenboek niet ‘meewerken’. Wat dat betreft vind ik dat het standpunt wat Apple inneemt toe te juichen, samen met een waakzame blik op de uiteindelijke praktijken van Apple op het gebied van privacy en monitizing van persoonsgegevens. Ze hebben heel wat te verliezen nu.

  6. Winfried

    Ik snuffelde laatst bij een IOS update weer eens door de privacy statement die er bij kwam. Ze zeggen daarin dat ze weliswaar nogal wat persoonsgegevens verzamelen, maar ze niet doorgeven aan derde partijen. De device-id vinden ze geen persoonsgegeven (incorrect in NL) en geven ze wel door aan derde partijen.

    Zo kan ik het ook, eerst hard roepen dat persoonsgegevens geen persoonsgegevens zijn en vervolgens roepen dat je geen persoonsgegevens doorgeeft aan derden. Apple & privacy is wat mij betreft een grote farce.

  7. anoniem

    Heeft het Europees Hof onlangs niet verklaard dat alle verzekeringen die Amerikaanse bedrijven je geven over het beschermen van je privacy luchtkastelen zijn?!

  8. Peter Holland

    De Apple geluiden inzake privacy zijn goed. De statements die ze maken kunnen de discussie nuanceren/positief beïnvloeden.

    Zelf zou ik Apple nooit vertrouwen inzake privacy:
    1) Het is een Amerikaans bedrijf wat valt onder de Patriot Act. We weten ondertussen vanuit Snowden / Europese hof dat Amerikaanse privacy garanties gebakken lucht is. Apple was volgens mij één van de PRISM bedrijven die actief meewerkte aan toegang tot servers.
    2) De belangen zijn voor Apple groot. Elk kwartaal moet er (meer) winst getoond worden. Ik ben benieuwd wat de privacy statements van Apple betekenen als bijvoorbeeld Engeland (Cameron) een verkoopverbod aankondigt omdat Apple end-to-end niet wil afschaffen of weigert toegang tot de servers te geven.

    Daarnaast vind ik de vele kunstmatige beperkingen (anti-features!) die Apple gebruikers oplegt niet heel aantrekkelijk. Ik gebruik privé een Ipad2 en zakelijke een Iphone, maar elke keer frustreren deze beperkingen mij meer. Waarom mag ik alleen door Apple goedgekeurde Apps installeren (vanuit App Store)? Waarom mag ik geen bestanden rechtstreeks via Bluetooth naar andere smartphones versturen? Etc. Etc. Etc.

    Mocht Apple de privacy voorwaarden negatief aanpassen, dan heb je door al deze beperkingen bijna geen andere keuze dan je Apple producten bij het oud vuil te zetten, aangezien je anders geen Apps meer kan updaten, etc., etc., etc.

  9. Joep

    Als een bedrijf goed omgaat met met zijn software, is het volgens mij niet noodzakelijk om de privacyvoorwaarden te lezen. Immers, voor de juiste werking van de software (=doelbindingsprincipe) is het niet noodzakelijk om gegevens van een gebruiker te verzamelen.
    Als jarenlang Apple gebruiker valt mij met een netwerkfilter (Little Snitch) op dat Apple sinds de laatste twee upgrades van het besturingssysteem, reeds tijdens het opstartproces veel connecties met servers van Apple legt. Welke informatie ontvangen of verstuurd wordt is onbekend en het doel van betreffende connecties is lang niet altijd te achterhalen. Apple blijkt dan op haar website lang niet altijd openheid van zaken te verschaffen, of drempels op te gooien om de gevraagde antwoorden te mogen ontvangen (bv tegen betaling Apple ontwikkelaar worden).
    Technisch gezien zijn de meeste van die connecties niet noodzakelijk, zo blijkt al ik de meeste blokkeer. En dus geeft dat te denken over het nut voor de gebruiker van dergelijke connecties. Wellicht laat Apple hiermee zelfs het doelbindingsprincipe los?
    Er zijn wel connecties noodzakelijk indien er kwetsbaarheden in bestaande geinstalleerde software verholpen zijn en nieuwe versies beschikbaar zijn. Dan hoeft een softwareupdateproces alleen na te gaan of de betreffende kwetsbare software op een systeem geinstalleerd staat. Maar niet meer dan dat.
    Een veelgehoord argument is dat een bedrijf zijn software wil kunnen ‘verbeteren’. Volgens mij is dat toegeven dat de software onvoldoende functioneerde (bijv. als gevolg van een tekortschietend test- en acceptatieproces – en dat is zeer vaak het geval). Daarvoor hoeft een bedrijf evenmin gebruikersgegevens te verzamelen.
    En als met ‘verbeteren’ bedoeld wordt dat er kan worden geanticipeerd op toekomstig gewenst gebruik van de software, dan is dat een ander doel dan huidig gewenst gebruik. Een doel dat wat mij betreft niet onder het kernbeding van het doelbindingsprincipe kan vallen. Er zou dus -naast goedkeuring in een softwareupdateproces- expliciet een aanvullend akkoord van de gebruiker gevraagd moeten worden om de gegevens voor ‘verbeter’doeleinden te mogen gebruiken.
    Helaas is geen enkel softwarebedrijf hier momenteel toe bereid.

  10. Jaap

    Wie op zijn iPhone eens goed kijkt in Privacy -> locatievoorzieningen
    en bij instellingen Mobiel netwerk (helmaal naar beneden scrollen) zal zich rotschrikken wat apps waar mogen communiceren. De meeste flauwe spelletjes mogen locatiegegevens mobiel doorspelen.

    Respecteren van privacy begint m.i. met een diametraal andere grondhouding: er wordt niets gecommuniceerd totdat ik heb aangegeven dat een app, phone of ander apparaat dat mag.

    Argumentatie is natuurlijk: we moeten nieuwe business-modellen ontwikkelen (in-app ads die locatie-aware zijn zodat als we bij de hema zijn we hema ads gezien krijgen….) en dat lukt nooit als we eerst toestemming aan de gebruiker moeten vragen.

    Ook bij Apple gaat de Business voor de Privacy. Alleen de afdeling communicatie verkoopt ons dat het anders ligt…

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.