De Spaanse Primera División vraagt gebruikers van zijn Android-app toestemming om de microfoon van smartphones in te mogen zetten. Dat meldde Tweakers vorige week. De microfoons worden ingezet om onhoorbaar geluid op te vangen dat als watermerk in voetbaluitzendingen zet, om zo illegale voetbaluitzendingen te detecteren. Hiermee bouwt men een database op van locaties die wedstrijden uitzenden, zowel thuis als in cafés en andere gelegenheden. Als dan blijkt dat een locatie geen licentie heeft, dan kan daartegen worden opgetreden. Maar mag dat wel, de microfoon even opeisen?
Het is natuurlijk bekend dat apps de raarste toestemmingen eisen wanneer je ze in gebruik neemt, en dat het weigeren daarvan onmogelijk is of de app praktisch onbruikbaar maakt. Het clichévoorbeeld is een zaklamp-app die je adresboek wil kunnen lezen. Meestal gaat het daarbij om gebruik voor advertentiedoeleinden of profileren, en dan is het antwoord vanuit de wet makkelijk: nee, dat mag niet zonder vrijwillige toestemming.
Deze constructie kende ik nog niet, maar het lijkt net iets anders. De app luistert jou niet af, maar speurt specifiek naar een ultrasoon geluidssignaal in de uitzending dat vooraf is toegevoegd met het expliciete doel de bron van illegale uitzendingen te kunnen opsporen. Ieder kanaal (televisie, livestreams etc) krijgt zijn eigen geluid, en volgens mij zelfs elke broadcaster. Hoor je dan in een café het geluid van een uitzending bedoeld voor particuliere betaaltelevisie, dan weet je dat het café geen licentie heeft.
De algemene voorwaarden vermelden expliciet dat dit gebeurt:
LaLiga will enable the microphone of your device, solely if you accept by checking the box enabled for htis purpose or the pop-up window emerging in the APP, to find out if you are watching football matches. This information shall be employed to detect fraud in unauthorized public establishments.
De terechte kritiek is natuurlijk of mensen dit wel lezen. Maar vanuit AVG- of privacyperspectief zie ik hier weinig mis mee, omdat het hier niet gáát om het vastleggen van persoonlijke informatie zoals wat je zegt of waar je bent terwijl je iets zegt. De microfoon luistert alleen naar iets onhoorbaars, de rest moet juist worden weggefilterd. De locatie van de opname wordt natuurlijk wel vastgelegd, maar als dat zonder de persoonlijke informatie van de drager van de telefoon gebeurt, zie ik daar geen probleem mee.
De cookiewet is een interessanter bezwaar. Deze bepaalt namelijk dat
Onverminderd de Wet bescherming persoonsgegevens is het via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker, alleen toegestaan op voorwaarde dat de betrokken gebruiker: [geïnformeerd is en toestemming heeft gegeven]
Het zetten of lezen van een cookie valt hieronder, maar het doorvoeren van een software-update of het uitlezen van je Android-versie ook. Er staat immers niet “alleen als de informatie privacygevoelig is”. Maar het aanzetten van de microfoon dan wel het oppikken van geluid in de buurt van die randapparatuur, is dat het “toegang verkrijgen tot informatie in” die apparatuur? Het voelt wat gezocht, je komt dan bij dingen als de buffer tussen microfoon en app die dan uitgelezen wordt. Maar vanuit dat perspectief is het dus inderdaad verboden om dit zo te doen.
Arnoud
Ik vind dat je dit toch wel heel makkelijk neemt en vraag me af of dat wel een excuus is. Privacy gaat toch verder dan alleen wat zichtbaar en hoorbaar is.
Heel misschien is de Spaanse Liga nu nog de enige die dit soort signalen mee stuurt maar het zal geen maanden duren voordat ook commercials en andere partijen dit mee sturen. Dan kom je ‘opeens ‘ op een punt waarbij de microfoon een veel groter beeld van je kan krijgen namelijk óók andere uitzendingen die je bekijkt. Ik zie er dan ook juist wél grote problemen mee.
De laatste zin van het artikel. Het mag dus volgens Arnoud niet. Ik vind ook dat het vanuit privacy-overwegingen niet mag, maar dat mag het dus ook niet. Wat mij betreft lijkt het nog teveel in grijs gebied te zitten, maar toch.
Die conclusie snap ik werkelijk niet. De gebruiker hééft toch juist expliciet en geïnformeerd toestemming gegeven?
Oh, dat schrijft Kees hieronder ook.
De vraag is of het om vrijwillige toestemming gaat: Doet de app het nog als je dit aanzet. Bovendien is “toestemming de microfoon te gebruiken” niet per se hetzelfde als “toestemming om te luisteren of ik in de buurt ben van een illegale uitzending”, met name als de app de microfoon ook gebruikt voor, bijvoorbeeld, fan-interactie. Bovendien kun je stellen dat algemene voorwaarden niet gelezen worden. Daarbij zit ook in welke omgeving je zoiets installeert. Er zijn vast genoeg uitzonderingen, maar het lijkt me dat veel mensen deze app tijdens of vlak voor een wedstrijd installeren, of als iemand zegt “check die app eens, is leuk”. Je hebt dan geen zin/tijd om zo’n lap tekst te lezen én te begrijpen. Het is als geïsoleerde regel duidelijk dat men gaat luisteren, maar is dat ook duidelijk als het staat begraven in de tekst van één van vele artikelen? Ik vind het wel goed als de verantwoordelijkheid voor het informeren over de belangrijkste consequenties van het toestemming geven meer bij de bedrijven liggen, en minder “je had het eventueel kunnen weten, dus je moest het weten”.
Maar waarom is het dan niet toegestaan? Er word toch netjes toestemming gevraagt en het staat niet onduidelijk in de algemene voorwaarden. Hoe zou je het wel legaal kunnen doen dan?
Toestemming moet specifiek zijn. Enkel in AV of privacyverklaring zeggen wat er specifiek gebeurt, is dan ook niet rechtsgeldig. Het moet in de toestemmingszin zelf letterlijk staan.
Het is inderdaad een wat grijs gebied. Maar als de telefoon zelf het filteren en de analyse doet zie ik er weinig verkeerd mee. Zodra er ook maar iets van opgenomen geluidsdata naar een server gestuurd wordt om de analyse te kunnen doen (wat vast niet het geval is, maar hoe kan ik dat waten?) dan is het natuurlijk niet toegestaan. Je verstuurt daarmee mogelijk gesprekken van derden en die hebben daar nooit toestemming voor kunnen geven.
Er staat iets over het opnemen. Maar hier wordt die opname gecombineerd met een locatie lijkt mij. En werkt de app verder volledig als je het niet toe staat? Geven ze de garantie dat andere geluiden of geluiden met mogelijk een andere bron niet verstuurd worden?
Ik vraag me af of dit in dezelfde categorie valt als de detectiebusjes van de BBC. De app neemt helemaal niets op, stuurt niets op (of stuur alleen wat random bits naar een server die dat opslaat in het ronde archief. Maar als de kroegeigenaren hierdoor gaan denken dat de pakkans omhoog gaat zullen ze misschien toch maar zo’n licentie nemen. Hoe zit dat juridisch gezien: waarschuwen dat je zoiets gaat doen, maar het vervolgens niet doen.
Het mag wel. De toestemming wordt expliciet en afzonderlijk gevraagd; het is mogelijk de app te gebruiken zonder deze functionaliteit. Zie het screenshot hier.
Als ik ergens afluisterapparatuur neerzet, en justitie komt daar achter, ga ik de gevangenis in. Artikel 139a WvS. Waarom is het toch altijd anders als een groot bedrijf een misdrijf begaat? Dan geldt de wet opeens niet meer, lijkt het wel.
Jouw afluisterapparatuur is bestemd om gesprekken af te luisteren, deze app niet. De app luistert alleen naar dat hoogfrequent geluid en filtert al het overige weg.
Ja, maar Branko’s afluisterapparatuur luistert ook alleen maar naar hoogfrequent geluid en filtert al het overige weg (zegt Branko.)
Antwoord is natuurlijk, “Ja, dan mag die afluisterapparatuur wel.” of “Ja, dat mag, maar je moet nog even omstanders informeren, want structureel afluisteren, versus een app die af en toe aanstaat.”
Maar die microfoon verwerkt toch veel meer dan alleen onhoorbaar geluid. Volgens mij wordt al het geluid opgenomen, ook mijn stem, mijn gesprek over mijn salaris, etc etc. Vervolgens, hoop je, wordt er een filter toegepast om boven de x Hz te kijken wat zich daar bevind of niet om zo conclusies te kunnen trekken of we voetbal wedstrijd x hebben gezien van aanbieder x. En dat x uur lang rondom wedstrijden (waarschijnlijk 24 uur per dag).
Ik vind het om een andere reden onwenselijk. Je maakt een onschuldige burger (wetend of onwetend) tot een opsporingsorgaan, en dat kan vervelende consequenties hebben, met name doordat mensen die de wet breken het wel eens niet zo leuk kunnen vinden dat jij je telefoon bovenhaalt, al is het maar om te kijken hoe laat het is.
Het verhoogt het wantrouwen in de maatschappij. DDR toestanden. Niemand houdt van een verrader.
@cg, dat lijkt me zeker een goed punt. Voor de strikt juridische vraag of het nu, met de huidige wetten, mag of niet maakt dit echter niet uit. Dan zouden we de (Spaanse) Tweede Kamer moeten vragen om daar iets mee te doen.
Het microfoonsignaal is informatie, en deze informatie bevindt zich in de randapparatuur. De geciteerde formulering uit de cookiewet beperkt zich niet tot het uitlezen van opgeslagen informatie. Daarmee lijkt de cookiewet van toepassing, buffer of geen buffer.
Oplossing: App niet installeren maar een PWA maken van een website die de uitslagen bevat.
“Verder stelt La Liga dat de microfoon alleen wordt ingeschakeld als er voetbalwedstrijden plaatsvinden. De audio-opnames worden op het toestel eerst naar een “binaire code” omgezet.” Oplossing: Niet live kijken en je wordt al niet gepakt.
“Verder worden gebruikers geregeld gewaarschuwd dat La Liga de microfoon kan activeren en kan de toestemming op elk moment worden ingetrokken, aldus de organisatie.” Oplossing: LineageOS Privacy Guard gebruiken en geen toestemming voor microfoongebruik geven.
Lijkt me wel geestig als je via de radio het TV commentaar hoort. Dan ben je ook het haasje? Of iemand zit in de bus te kijken met geluid aan?
Of oplossing: bareigenaren zetten gewoon het geluid van de TV uit, dan valt er door de app ook niks op te nemen. Toch (Arnoud)?
Wat volgens mij nog ontbreekt is dat toestemming niet alleen nodig is van de eigenaar van de telefoon waarop het is geinstalleerd, maar ook van de andere personen die het aangaat: de eigenaar van de TV die speelt, en de bewoner / beheerder van de ruimte waarin dit gebeurt.
Daarnaast: dit soort gedrag zou voor mij het vertrouwen in de betrokken organistatie dusdanig schaden dat ik nooit meer iets van ze zou willen hebben — in lijn met mijn prive “geen DRM, tenzij onherroepelijk gebroken” policy.
Juridisch lijkt me er inderdaad weinig mis mee, maar moreel gezien ben ik hier op tegen.