Hoe onveilig is de Facebook-vpn Onavo Protect?

Eerder dit jaar adviseerde de Consumentenbond gebruikers om de app Onavo Protect niet te installeren. Deze door Facebook aangeboden vpn-dienst zou onder het mom van extra privacy en meer veiligheid een breed scala aan persoonlijke gegevens van gebruikers binnenslepen. Klopt dat?

Door Lora Mourcous en Daniela Aben (SOLV Advocaten)

Facebook praat er niet omheen en is in zijn privacystatement transparant en expliciet over de gegevens die het bedrijf verzamelt en wat het met die gegevens doet. De tekst is goed leesbaar voor gebruikers. Dit is mede dankzij de keuze van Facebook om de gebruiker in het privacystatement eerst samenvattingen te geven van alle belangrijke bepalingen.

Wat het bedrijf ook goed doet, is het welkomscherm. Na installatie van Onavo Protect verschijnt er meteen een korte weergave van het privacybeleid op het scherm van de gebruiker. Hiermee wordt de belangrijkste informatie op een duidelijke en gebruiksvriendelijke wijze gepresenteerd. Niet gek als je bedenkt dat Facebook veel kritiek over zich heen krijgt; hiermee probeert het bedrijf open kaart te spelen.

Dataminimalisatie

Facebook krijgt met zijn vpn-dienst toegang tot een gouden berg aan data. In het privacystatement windt Facebook er geen doekjes om: al het dataverkeer van de gebruiker zal worden omgeleid via de servers van Onavo Protect. Hiermee krijgt Facebook toegang tot functionele gegevens (locatiegegevens, ip-adres), informatie over app-gebruik, log-informatie (zoekgeschiedenis en surfgedrag) en zeker niet in de minste plaats toegang tot de volledige communicatie van gebruikers.

Het verzamelen van al deze data wringt met het beginsel van dataminimalisatie. Organisaties mogen niet meer data verwerken dan nodig is voor het doel dat zij willen bereiken. In het privacystatement staat dat Facebook deze gegevens nodig heeft voor het aanbieden van de vpn-dienst en het ontwikkelen en verbeteren van nieuwe en bestaande diensten van Facebook en zijn partners.

Daarnaast komt het bedrijf met het weinig overtuigende argument dat het verwerken van al deze data ook in het voordeel van de klanten is, omdat het hen beschermt tegen potentieel kwaadwillende sites. Je kunt je vraagtekens plaatsen bij de vraag of het verzamelen van al deze data noodzakelijk is voor de gestelde doelen. Het is duidelijk dat data onderdeel is van het businessmodel van Facebook. Door het monitoren van het dataverkeer krijgt het inzicht in praktisch alles wat gebruikers doen.

Onduidelijkheid over de band met Facebook

Facebook geeft aan dat het in principe geen persoonsgegevens deelt met derden, tenzij de gebruiker hiervan op de hoogte is gebracht of daar toestemming voor geeft. Dat is in principe natuurlijk goed nieuws. Wat de situatie hier echter ingewikkeld maakt, is dat de connectie tussen Onavo Protect en Facebook niet altijd even helder is. Hoewel in het privacystatement netjes wordt benoemd dat Onavo gegevens deelt met Facebook, bevindt de applicatie zich volledig in de omgeving van Onavo.

Opt-out-instellingen

Facebook geeft aan dat het gegevens van gebruikers verzamelt voor marketingdoeleinden. Hiermee stelt het profielen van gebruikers op die erg interessant kunnen zijn voor adverteerders. Dit wordt gezien als profilering en dat is alleen toegestaan met voorafgaande toestemming van de gebruiker. Volgens het privacystatement van Onavo kunnen gebruikers pas ná installatie van de app aangeven dat zij niet akkoord gaan met dit marketingbeleid door gebruik te maken van de opt-out-instellingen. En dat is uiteraard geen voorafgaande toestemming.

Bewaartermijn

Facebook bewaart de gegevens van zijn gebruikers zolang een account actief is, tenzij een gebruiker Facebook vraagt om zijn of haar gegevens te verwijderen. Hierdoor kan er met de vpn-dienst van elke gebruiker een behoorlijke berg aan informatie bij elkaar worden geharkt. Zeker als je bedenkt dat op het moment dat Onavo Protect eenmaal geactiveerd is, het op de achtergrond ongemerkt informatie over het dataverkeer van gebruikers zal blijven verzamelen.

Het is niet ondenkbaar dat iemand simpelweg vergeet dat de applicatie draait. In beginsel mag Facebook op basis van privacywetgeving zelf bepalen hoelang het de gegevens bewaart, zolang dit het doel dient waarvoor de gegevens zijn verzameld. Facebook geeft aan dat het voornaamste doel – naast het uitvoeren van de vpn-dienst – het ontwikkelen en verbeteren van andere diensten is. In dat perspectief lijkt een dergelijk lange bewaartermijn onredelijk.

Eindoordeel

Facebook informeert gebruikers met zijn privacystatement op heldere en expliciete wijze over de gegevens die worden verwerkt. Het bedrijf creëert bewustwording door klanten na installatie van de vpn-dienst meteen een korte samenvatting van het privacybeleid te geven. Anderzijds is ook duidelijk dat Facebook erg ver gaat in de omvang en het type data dat wordt verzameld.

Het lijkt onlogisch dat het verzamelen van al deze informatie noodzakelijk is voor het aanbieden van een vpn-dienst of het ontwikkelen en verbeteren van andere diensten. Daarnaast bewaart Facebook de persoonsgegevens onredelijk lang. Hierbij merkt de Consumentenbond terecht op dat de manier waarop Facebook Onavo Protect aanprijst als een aanwinst voor je privacy misleidend is. Het is dan ook niet gek dat het gebruikers simpelweg wordt afgeraden om de app te installeren.

Reactie Erez Naveh, productmanager Onavo

“Onlangs hebben we mensen in de Verenigde Staten vanuit de Facebook-app op hun iOS-apparaten toegang gegeven tot Onavo Protect. Deze snelkoppeling is sinds 2016 al beschikbaar in de Android-app van Facebook. Net als andere vpn’s fungeert deze als een beveiligde verbinding om mensen te beschermen tegen mogelijk schadelijke websites.

De app kan jouw mobiele dataverkeer verzamelen om ons te helpen met het herkennen van de tactieken die kwaadwillenden gebruiken. Dat draagt bij aan het beter werken van de tool voor jou en voor anderen. We informeren mensen over deze activiteit en andere manieren waarop Onavo data gebruikt en analyseert voordat ze de app downloaden.”

Deel dit artikel
Voeg toe aan favorieten
ID.nl logo

ID.nl, onderdeel van Reshift BV, is in 2022 gestart en uitgegroeid tot de meest toonaangevende en complete consumentensite van Nederland. Het doel van ID.nl is om de consument te helpen met alle technologie die hoort bij het dagelijks leven: van smart-health-meters tot e-bikes, van warmtepompen tot zonnepanelen - en alles daar tussenin!

Duidelijk, betrouwbaar en onafhankelijk: ID.nl maakt moeilijke dingen makkelijk.

Contact

ID.nl

Nijverheidsweg 18

2031 CP Haarlem

info@id.nl

Telefoon: 023-5430000