AFP or licensors

Waarom spionageapparaten als Google Home op het stort horen, en niet in uw slaapkamer

Google luistert met u mee. Medewerkers van Google luisteren naar opnames die gemaakt zijn met de slimme Google Home-luidsprekers en via de Google Assistent-app op smartphones. Is dat een inbreuk op onze privacy? Matthias Dobbelaere-Welvaert is hard voor deze praktijken van het miljardenbedrijf.

opinie
Copyright 2017. All rights reserved.
Matthias Dobbelaere-Welvaert
Matthias Dobbelaere-Welvaert is directeur en privacyactivist bij ‘the Ministry of Privacy’, Chief Creative bij Ethel, verhalenverteller bij DOBBELAERE-WELVAERT en docent ‘Copyright and Mediarights’ aan de Erasmus Hogeschool Brussel

Het gaat traag in dit land, maar "smart speakers" maken ook hier geleidelijk opgang. In menig huishouden is er een Amazon Echo of Dot te vinden (Alexa), of een Google Home. Ook kantoren worden volop versierd met deze apparaatjes waar het nut toch enigszins beperkt blijft tot het inschakelen van verlichting, het opvragen van een weerbericht of het opstarten van een Spotify-playlist. U kunt natuurlijk zoveel praten tegen deze speakers als u wil, het blijft voorlopig toch een vrij onpersoonlijke bedoening. 

De apparaten - of liever de bedrijven erachter - zijn vaak niet onbesproken als het aankomt op uw en mijn privacy. Zo leverde Amazon in Duitsland al eens de opnames af van een andere persoon, toen iemand zijn opnames wou opvragen. Vervelend gevalletje, natuurlijk. 

Dat er een horde fysieke mensen uw opnames van smart speakers dag in dag uit zit te beluisteren, dat is een primeur in de onderzoeksjournalistiek

Dat deze apparaten het niet allemaal alleen kunnen bolwerken, daar zijn we ons wellicht van bewust. Dat er software (‘artificiële intelligentie’) aan te pas komt om de functies te verbeteren ook. Dat er echter een horde fysieke mensen uw opnames dag in dag uit zit te beluisteren, dat is eerder een primeur in de onderzoeksjournalistiek. Blijkt dat we allemaal wel erg eenvoudig te identificeren zijn, aan de hand van onze locatiepunten, gewoontes, of zelfs gewoon… door onze stem. 

Wie luistert mee?

In een ontluisterende reportage van VRT-journalist Tim Verheyden, komt aan het licht dat niet alleen technologie wordt ingeschakeld om de speakers te verbeteren, maar ook gewoon… mensen. En dat is best schokkend, omdat de audio-opnames niet bewerkt zijn, en dus andere fysieke personen gewoon kennis kunnen nemen van tal van audio-opdrachten, maar ook evengoed opnames die helemaal niet voor de speaker zijn bedoeld, en dus gewist hadden moeten worden. 

Het is schokkend omdat de audio-opnames niet bewerkt zijn, en dus andere fysieke personen gewoon kennis kunnen nemen van tal van audio-opdrachten

Dat gebeurt niet, want zoals de moedige klokkenluider in de reportage aangeeft, is data voor Google gewoon heel erg veel waard. Het is een miljardenbedrijf met amper fysieke producten, maar met een businessmodel volledig gestoeld op uw en mijn gegevens. Het is dan ook weinig verwonderlijk dat Google hier volledig de kantjes van de wet afloopt, in de hoop meer te weten te komen over u, uw vrienden, kennissen en partner. Het is een goudmijn, zo’n afluisterapparaat in uw woon-, slaap- of werkkamer.

Nergens communiceert Google dat men - al dan niet via tussenbedrijven - kennis neemt van de audio-opnames en die laat analyseren door fysieke tussenpersonen. Dat op zich is een ongelooflijk grote schending van de GDPR, die strikte privacywetgeving met torenhoge boetes voor bedrijven die onze privacy aan hun laars lappen. 

Wat zegt de privacywet?

Wat zegt de privacywet nu precies? Is het afluisteren helemaal verboden? Wel, neen. In de GDPR zitten maar liefst zes verwerkingsgronden die toelaten persoonsgegevens te verwerken. Eén daarvan - en wellicht de krachtigste - is "toestemming". Toestemming is zowat de heilige graal van de GDPR, want vanaf dan kunnen bedrijven doen wat ze willen.

Het businessmodel van Google is volledig gestoeld op uw en mijn gegevens. Dat het miljardenbedrijf hier volledig de kantjes van de wet afloopt, is niet verwonderlijk

Die toestemming is wel niet vrijblijvend. Het moet gaan om een "vrij gegeven, geïnformeerde, specifieke en ondubbelzinnige toestemming". Dat is een hele boterham, maar het wil eenvoudigweg zeggen dat men de verwerkingsgrond pas kan inroepen als het datasubject (u en ik dus) héél goed weten waar ze net akkoord voor hebben gegeven.

Dat Google hier zo’n strikte toestemming heeft verkregen, is allerminst hard te maken. Uiteraard leest (bijna) niemand van ons voor het plezier privacyverklaringen, maar het afluisteren van gesprekken is zo essentieel bij de productbeleving dat Google hiervoor heel specifiek, geïnformeerd en ondubbelzinnig toestemming had voor moeten vragen. En dat is hier uiteraard niet gebeurd, want, zeg nu zelf: had u toestemming gegeven, als u wist dat uw stemopdrachten - maar evengoed willekeurige gesprekken met uw partner, vrienden of familie - stiekem worden beluisterd door mensen die u niet kent? 

Toestemming is zowat de heilige graal van de GDPR, want vanaf dan kunnen bedrijven doen wat ze willen

Ik dacht het niet. En Google blijkbaar ook niet. Dit levert vast een stevige GDPR-boete op, of dat mogen we toch hopen. Of de Belgische Gegevensbeschermingsautoriteit daar veel zeg in zal hebben, is nog maar de vraag (de GDPR verschoof - op vraag van de techlobby uiteraard - de bevoegdheid naar het land van de zetel van het bedrijf, in het geval van Google, Ierland). 

Hoe wapenen we ons tegen luistervinken?

De harde waarheid? Niet. U heeft als consument en gebruiker geen enkele zekerheid dat uw Google Home of Amazon Echo niet gewoon altijd meeluistert en opneemt. Men krijgt weliswaar een ‘clue’ (een teken) wanneer de speaker wakker wordt, maar niks garandeert dat deze speakers niet volcontinu opnemen.

Google had voor het afluisteren van gesprekken heel specifiek, geïnformeerd en ondubbelzinnig toestemming moeten vragen

Bij Amazon bijvoorbeeld - want het gaat hier de hele tijd over Google - geldt de regel dat elke seconde waar geen opdracht binnenkomt overschreven wordt in het systeem. Dat betekent dat de speaker continu aan het luisteren is, om de opdracht "Alexa" te kunnen oppikken. Dat is logisch, want anders werkt het systeem niet, tenzij met een fysieke knop.

We hebben er als gebruikers het raden naar of dit ook echt zo is, en of opnames niet gewoon willekeurig worden opgenomen om het product te verbeteren. De gebruiker heeft weliswaar een paar mogelijkheden om de gevoeligheid aan te passen bij de roepnaam (bij Amazon kan men bijvoorbeeld ook “Hey Computer” gebruiken), maar veel meer is het niet.

Ik herhaal: er is op dit moment geen enkele garantie of controlemechanisme voorzien om te garanderen dat opnames: 

  1. enkel stemopdrachten bevatten
  2. niet beluisterd worden door fysieke personen
  3. gewist worden na enige tijd
  4. enkel en uitsluitend gebruikt worden voor verbetering van het product

Privacy-paradox

Kortom: u moet wel een beetje gek zijn om zo’n toestel in huis te halen, toch? Ja en neen. Dit is een perfecte illustratie van de privacy-paradox. Over het algemeen vinden we privacy wel belangrijk, maar van zodra er een voordeel aan gekoppeld wordt (denk aan een kortingsbon, een klantenkaart, of in dit geval technologisch comfort) dan geven we al te vaak stukjes van onze privacy in ruil op. 

We vinden privacy wel belangrijk, maar van zodra er een voordeel aan gekoppeld wordt dan geven we al te vaak stukjes van onze privacy in ruil op

Dat is menselijk, maar het is ook gevaarlijk. Gevaarlijk omdat kleine data-onderdelen op zich (meta-data zoals uw thuisadres, favoriete voetbalclub, waar u werkt, de naam van uw partner, etc), vaak vrij onschuldig zijn om te delen, maar het is het geheel van al die kleine (en soms grote) data-onderdelen die bedrijven als Google in staat stelt om gigantische profielen op te bouwen van personen. En die profielen, die zijn dan weer ongelofelijk interessant voor adverteerders om relevantere reclames te tonen, maar evengoed voor overheden die er niet voor schuwen om steeds meer en vaker data requests te stellen aan commerciële databedrijven zoals Google, Facebook en Amazon. 

Voor politiediensten zijn deze opnames immers mogelijk erg interessant. Wat met een huiselijke ruzie? Op dit moment geldt de regel binnen commerciële bedrijven dat men met deze opnames niks doet. Want stelt u zich even voor: het gaat er nogal plezierig aan toe in uw slaapkamer, waar "toevallig" de Echo Dot of Google Home nogal wat geluiden opvangt. Vijftien minuten later staat er een combi aan de deur. U doet, volledig verbouwereerd, de voordeur open in - het beste geval - uw kamerjas. Google heeft u zonet verlinkt aan de politie.

Dergelijke spionageproducten zijn een gedroomde tool voor iets dictatoriale regimes

Ik meen te mogen veronderstellen dat die Google Home linea recta naar de stortplaats vliegt. Bye Google. De vraag stelt zich natuurlijk in hoeverre deze regel zal blijven gelden, en hoelang we nog mogen rekenen op democratische waarborgen van een normale regering. Dergelijke spionageproducten zijn natuurlijk een gedroomde tool voor iets dictatoriale regimes. 

Conclusie

Eigenlijk wisten we dit toch al, niet? Het is ontluisterend en spraakmakend reportagewerk, en hard werk vooral van de journalisten in kwestie die door duizenden opnames zijn gegaan, en de tijd hebben genomen om gewone mensen te confronteren met deze opnames.

Onderzoeksjournalistiek zoals het hoort, maar in hoeverre is dit écht verrassend? In hoeverre vallen we nog van onze stoel, wanneer we horen dat databedrijven onze naïviteit misbruiken voor hun eigen commerciële gewin? Wanneer gaan we leren dat we in deze economie altijd dubbel lijken te betalen? Eén keer voor het apparaat, en een tweede keer met het diepste van ons zijn, onze identiteit, onze data? Wanneer is een gebruiker niet langer naïef, maar medeplichtig aan het verlies van zijn of haar privacy?

Mag ik u één goede raad geven? Zet het ding niet in uw slaapkamer, of in uw praktijk waar u gevoelige gegevens hanteert

Heeft u een slimme speaker in huis, en bent u nog steeds fan van de technologie, dan is dat uiteraard uw vrije keuze. U heeft tenminste nu een bewuste keuze kunnen maken, na het bekend raken van de afluisterpraktijken. Maar mag ik u niettemin één goede raad geven? Zet het ding niet in uw slaapkamer, of in uw praktijk waar u gevoelige gegevens hanteert. Dat is niet alleen in uw eigen belang, maar vooral in het belang van al diegenen die deze keuze niet konden maken. 

‘Hey Google, how to remove you from my life?’

usage worldwide

VRT NWS wil op vrtnws.be een bijdrage leveren aan het maatschappelijk debat over actuele thema’s. Omdat we het belangrijk vinden om verschillende stemmen en meningen te horen publiceren we regelmatig opinieteksten. Elke auteur schrijft in eigen naam of in die van zijn vereniging. Zij zijn verantwoordelijk voor de inhoud van de tekst. Wilt u graag zelf een opiniestuk publiceren, contacteer dan VRT NWS via moderator@vrt.be.