De Spaanse Liga mag dus niet je microfoon inzetten om illegale voetbaluitzendingen te detecteren

De Spaanse voetbalbond heeft een boete van 250.000 euro gekregen van de toezichthouder vanwege overtreding van de AVG, meldde Tweakers vorige week. De app luistert met de microfoon mee om illegale voetbalstreams op te sporen aan de hand van voor mensen onhoorbare tonen in de sportuitzendingen. Hoewel de app daarmee niet direct mensen afluistert (althans iets doet met wat mensen zeggen) is dat toch een AVG-overtreding: niet privacy by design, want je kunt niet zien dat je microfoon staat op te nemen.

In juni 2018 kwam in het nieuws dat de Liga (de Spaanse voetbalbond) microfoons van telefooneigenaren met hun app erop had ingezet om onhoorbaar geluid op te vangen dat als watermerk in voetbaluitzendingen zit. Hiermee kan men illegale voetbaluitzendingen detecteren en zo een database opbouwen van locaties die wedstrijden uitzenden, zowel thuis als in cafés en andere gelegenheden. Als dan blijkt dat een locatie geen licentie heeft, dan kan daartegen worden opgetreden. Maar ondertussen sta je dus wel tienduizenden (of meer) microfoons van mensen te beluisteren.

De algemene voorwaarden vermelden expliciet dat dit gebeurt:

LaLiga will enable the microphone of your device, solely if you accept by checking the box enabled for htis purpose or the pop-up window emerging in the APP, to find out if you are watching football matches. This information shall be employed to detect fraud in unauthorized public establishments.

Ik zei toen, vanuit AVG- of privacyperspectief zie ik hier weinig mis mee, omdat het hier niet gáát om het vastleggen van persoonlijke informatie zoals wat je zegt of waar je bent terwijl je iets zegt. Maar de Spaanse Autoriteit Persoonsgegevens is toch wat strenger: je bent wél bezig met persoonlijke informatie, ook al is het bijvangst in je jacht naar de verborgen piepjes.

En vooral: dit is niet privacy by design, want mensen hebben niet dóór dat je die informatie aan het verzamelen bent. De AV zijn natuurlijk niet relevant, je moet dit duidelijk melden. En dan dus niet een verplichte popup (de standaardkeuze van een geërgerde developer die iets hoort over “je moet X van de wet”) maar nadenken over design, hoe je dit integreert in je app. Een icoontje dat je microfoon aan staat bijvoorbeeld. En zo moeilijk zou dat ook niet hoeven te zijn.

Arnoud

Mag de Spaanse Liga je microfoon inzette om illegale voetbaluitzendingen te detecteren?

De Spaanse Primera División vraagt gebruikers van zijn Android-app toestemming om de microfoon van smartphones in te mogen zetten. Dat meldde Tweakers vorige week. De microfoons worden ingezet om onhoorbaar geluid op te vangen dat als watermerk in voetbaluitzendingen zet, om zo illegale voetbaluitzendingen te detecteren. Hiermee bouwt men een database op van locaties die wedstrijden uitzenden, zowel thuis als in cafés en andere gelegenheden. Als dan blijkt dat een locatie geen licentie heeft, dan kan daartegen worden opgetreden. Maar mag dat wel, de microfoon even opeisen?

Het is natuurlijk bekend dat apps de raarste toestemmingen eisen wanneer je ze in gebruik neemt, en dat het weigeren daarvan onmogelijk is of de app praktisch onbruikbaar maakt. Het clichévoorbeeld is een zaklamp-app die je adresboek wil kunnen lezen. Meestal gaat het daarbij om gebruik voor advertentiedoeleinden of profileren, en dan is het antwoord vanuit de wet makkelijk: nee, dat mag niet zonder vrijwillige toestemming.

Deze constructie kende ik nog niet, maar het lijkt net iets anders. De app luistert jou niet af, maar speurt specifiek naar een ultrasoon geluidssignaal in de uitzending dat vooraf is toegevoegd met het expliciete doel de bron van illegale uitzendingen te kunnen opsporen. Ieder kanaal (televisie, livestreams etc) krijgt zijn eigen geluid, en volgens mij zelfs elke broadcaster. Hoor je dan in een café het geluid van een uitzending bedoeld voor particuliere betaaltelevisie, dan weet je dat het café geen licentie heeft.

De algemene voorwaarden vermelden expliciet dat dit gebeurt:

LaLiga will enable the microphone of your device, solely if you accept by checking the box enabled for htis purpose or the pop-up window emerging in the APP, to find out if you are watching football matches. This information shall be employed to detect fraud in unauthorized public establishments.

De terechte kritiek is natuurlijk of mensen dit wel lezen. Maar vanuit AVG- of privacyperspectief zie ik hier weinig mis mee, omdat het hier niet gáát om het vastleggen van persoonlijke informatie zoals wat je zegt of waar je bent terwijl je iets zegt. De microfoon luistert alleen naar iets onhoorbaars, de rest moet juist worden weggefilterd. De locatie van de opname wordt natuurlijk wel vastgelegd, maar als dat zonder de persoonlijke informatie van de drager van de telefoon gebeurt, zie ik daar geen probleem mee.

De cookiewet is een interessanter bezwaar. Deze bepaalt namelijk dat

Onverminderd de Wet bescherming persoonsgegevens is het via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker, alleen toegestaan op voorwaarde dat de betrokken gebruiker: [geïnformeerd is en toestemming heeft gegeven]

Het zetten of lezen van een cookie valt hieronder, maar het doorvoeren van een software-update of het uitlezen van je Android-versie ook. Er staat immers niet “alleen als de informatie privacygevoelig is”. Maar het aanzetten van de microfoon dan wel het oppikken van geluid in de buurt van die randapparatuur, is dat het “toegang verkrijgen tot informatie in” die apparatuur? Het voelt wat gezocht, je komt dan bij dingen als de buffer tussen microfoon en app die dan uitgelezen wordt. Maar vanuit dat perspectief is het dus inderdaad verboden om dit zo te doen.

Arnoud