Konrad Kollnig onderzoekt problemen met gegevensbescherming in apps in bekroonde thesis
Er is geen betere dag om een prijs te ontvangen voor je proefschrift over gegevensbescherming dan op Data Protection Day. Op 28 januari ontving Konrad Kollnig, assistent-professor in het Law & Tech Lab van de rechtenfaculteit, de Stefano Rodotà Award van dit jaar. In zijn thesis ('Regulatory technologies for the study of data and platform power in the app economy') deed hij een technologisch en juridisch onderzoek naar mobiele apps om de gegevensbescherming in de praktijk te verbeteren.
Wat ooit begon in een kelder…
Kollnig is al van kinds af aan geboeid door problemen rondom gegevensbescherming. In zijn tienerjaren probeerde hij zijn Dropxbox (een online opslagplek voor bestanden) te vervangen met een zelfgebouwde variant. Dat deed hij in de kelder van zijn ouders’ huis. “Als individu is het erg moeilijk om zinvolle actie te ondernemen met betrekking tot privacykwesties”, begint Kollnig te vertellen. “Mijn motivatie om mijn PhD-onderwerp voort te zetten, werd weer aangewakkerd toen ik mijn masterscriptie in 2019 moest schrijven voor mijn studie aan de Universiteit van Oxford. Dit was kort na de invoering van de Algemene Verordening Gegevensbescherming (AVG), de beruchte gegevensbeschermingswet van de EU, in mei 2018. Ik raakte geïnteresseerd in de werking van deze wet in de praktijk en zodoende schreef ik ook mijn PhD thesis over dit onderwerp.”
Over de Stefano Rodotà Award
Deze prijs wordt uitgereikt ter ere en in nagedachtenis van Stefano Rodotà. Hij was een toonaangevende Italiaanse hoogleraar in rechten en politicus, die zich zijn hele leven heeft ingezet voor de grondrechten, in het bijzonder voor de ontwikkeling en implementatie van het recht op gegevensbescherming in Europa.
Nog steeds aan het worstelen
In de hedendaagse digitale economie neigt er een ernstige disbalans in macht te ontstaan tussen degenen die onze dagelijkse technologieën ontwikkelen en degenen die deze gebruiken. Een paar grote technologiebedrijven in Silicon Valley, met ijzersterke juridische teams, ontwikkelen een groot deel van de digitale infrastructuur die wij gebruiken. Dit maakt het mogelijk om veel van de geldende wettelijke regels in Europa te omzeilen. En dat is precies waar Kollnigs proefschrift over gaat.
“Mijn proefschrift bekijkt deze machtsongelijkheid vanuit een interdisciplinaire benadering. Door technische en juridische methoden te combineren, begrijpen we vragen met betrekking tot privacy en macht in de app-economie”, zegt Kollnig. “Een van de belangrijkste uitkomsten van mijn proefschrift is dat we nog steeds enorm worstelen met het vertalen van onze wetten naar de digitale economie.” Kollnig legt uit dat uit zijn onderzoek is gebleken dat ongeveer 70% van de Android-apps gegevens deelt met externe bedrijven, zoals Google en Facebook, zodra de gebruikers die app openden. Minder dan 3,5% van de apps voldeed aan de basisvereisten voor gebruikerstoestemming bij gegevensverwerking volgens de EU-wetgeving. “Wanneer gebruikers om toestemming wordt gevraagd, is dit vaak niet in overeenstemming met de wettelijke eisen. In plaats daarvan proberen ze je te chanteren om de voorwaarden te accepteren”, legt Kollnig uit. De AVG moet gegevensbescherming ‘by design’ en ‘by default’ bieden. Maar Kollnig stelt dat dit in de praktijk meestal niet het geval is.
Op het randje van legaliteit
Tracking is het verzamelen en analyseren van gegevens over het gebruikersgedrag in een mobiele app of website. Het wordt gebruikt om apps te verbeteren of om bijvoorbeeld relevante advertenties te tonen wanneer je je smartphone gebruikt. Niets schadelijks, zou je denken. Maar sommige wetten worden overtreden met tracking. Veel apps voldoen niet aan de strenge eisen van de AVG, zoals het vragen om toestemming. Bovendien schendt tracking vaak de transparantiebeginselen van de AVG. “Met slechts het bekijken van één advertentie, worden je persoonlijke gegevens vaak aan honderden – zo niet duizenden – verschillende advertentiebedrijven blootgesteld, die vervolgens een bod uitbrengen om een advertentie op je telefoon weer te geven”, zegt Kollnig. “Dit is waarschijnlijk illegaal.”
“Tracking is een technologie die op grote schaal is ontwikkeld zonder dat individuen zich ervan bewust zijn, zonder te voldoen aan de toepasselijke wetten en zonder enig zinvol debat over de vraag of deze aanpak maatschappelijk aanvaardbaar is”, legt Kollnig uit. “Het risico bestaat dat data op grote schaal wordt verhandeld, zonder dat iemand controle heeft hierover – wat momenteel gebeurt. Met andere woorden: hoewel tracking legaal kan zijn, komt deze legitimiteit neer op een belangenafweging. Dit gebeurt doorgaans op zo’n manier dat dit in strijd is met het EU-recht. Toch blijft de handhaving van de wet, vanwege de beperkte middelen van de autoriteiten, moeilijk.”
Lees ook
-
Een team van onderzoekers van het Law and Tech Lab onderzoekt een AI gedreven oplossing die juridisch advies voor iedereen toegankelijk maakt. Denk aan ingewikkelde contracten met juridische taal, uitgelegd in duidelijke taal of samengevat om het makkelijker te begrijpen. Het ontwikkelen en...
-
Lilian Tsourdi, universitair hoofddocent Internationaal en Europees Recht, onderzoekt hoe zowel de opzet als de uitvoering van de EU-immigratie- en asielwetgeving kan worden verbeterd. Hoe zijn we tot deze disfunctionele status quo gekomen?
-
Professor Bruno de Witte neemt afscheid van Maastricht University, maar niet van het Europees recht. Hij gaat aan het Europese Universiteitsinstituut (EUI) in Florence door met zijn messcherpe juridische analyses.
