Vijf vragen TECH

Google wordt in verdediging gedrongen: Externe app-makers kunnen privémails lezen in Gmail

Na Facebook wordt nu ook Google in de verdediging gedwongen. Makers van externe apps blijken te kunnen meelezen in privémails die met Gmail worden verstuurd. Een ‘dirty secret’ volgens The Wall Street Journal.

Gmail Beeld Google

 Wat is er aan de hand?

In een groot verhaal pakt the Wall Street Journal uit met wat de krant de duistere kanten van Gmail noemt. Dat externe ontwikkelaars van apps toegang kunnen krijgen tot ieders privé-Gmail is geen geheim. Het gaat dan bijvoorbeeld om apps waarmee verschillende mail-programma’s tegelijk kunnen worden beheerd of reisplanners als Tripit. Wél nieuw is dat niet alleen machines toegang hebben tot Gmail, maar ook gewone mensen van vlees en bloed. Dat maakt het ineens een stuk enger. En in zijn algemeenheid doet de rel natuurlijk denken aan het Cambridge Analytica-schandaal waarin Facebook werd ondergedompeld. Ook daar ging het in de basis om de toegang tot gegevens door derde partijen.

Hoe groot is het probleem?

Dat is niet helemaal duidelijk. De Amerikaanse zakenkrant citeert een aantal ontwikkelaars van apps die het inzien van mails door mensen toegeven. Een van die bedrijven is Return Path, dat gratis apps aanbiedt en op die manier toegang krijgt tot de Gmail-boxen van mensen die die apps hebben geïnstalleerd. Die data worden weer gedeeld met marketingbedrijven. Per dag worden zo 100 miljoen mails (niet alleen van Gmail, maar ook van Microsoft en Yahoo) per dag gescand. Door computers. Maar twee jaar geleden lazen personeelsleden van Return Path in totaal achtduizend Gmail-mailtjes om zo de software beter te trainen. Een vergelijkbaar verhaal komt van een andere ontwikkelaar: Edison Software. Deze maakt een mobiele app voor het beheren en organiseren van mailtjes. Een concurrent van Return Path noemt de praktijk tegenover de krant in ieder geval zeer gangbaar.

Maar Google zou toch helemaal niet meer meelezen in Gmail?

Klopt. En strikt genomen is dat ook nu niet het geval: het is niet Google zelf die toegang krijgt tot Gmail, maar de partijen met wie Google samenwerkt. Google zelf kwam jaren geleden al in opspraak, nadat duidelijk werd dat het bedrijf advertenties plaatste op basis van de inhoud van mailtjes. Dat voelde bijzonder ongemakkelijk. Vandaar dat Google vorig jaar nog expliciet verklaarde dat Gmail niet langer werd gescand om zo gepersonaliseerde advertenties te kunnen aanbieden. De consumenten-Gmail volgde hiermee het voorbeeld van de betaalde, zakelijke variant G Suite.

Hoe reageert Google op de commotie?

Google haastte zich om in een blog uitleg te geven over de ophef die ontstond na de publicatie in The Wall Street Journal. De maker van ’s werelds meestgebruikte maildienst – Gmail heeft maar liefst 1,4 miljard gebruikers – benadrukt dat zijn gebruikers profiteren van een ‘levendig ecosysteem van non-Google apps’ die het dagelijks gebruik van Gmail vergemakkelijkt. Maar, zegt Google ook, die ontwikkelaars moeten voldoen aan de voorwaarden van Google om toegang te verkrijgen. Apps mogen bijvoorbeeld alleen data vragen die voor een specifiek doel nodig zijn. Overigens zegt The Wall Street Journal geen aanwijzingen te hebben dat de ontwikkelaars daadwerkelijk misbruik van de gegevens hebben gemaakt. Google gaat in zijn blogpost echter niet in op de berichten dat ook mensen (en niet alleen machines) privémails hebben ingezien. Frans Feldberg, hoogleraar Data Driven Business Innovation aan de Vrije Universiteit Amsterdam, snapt wel dat mensen meelezen: ‘Wil je je slimme algoritmes goed trainen, dan heb je vaak nog steeds mensen nodig om te kunnen beoordelen of de aannames kloppen of niet.’ Maar, zegt Feldberg, dit staat los van de vraag of het ook wenselijk is dat mensen meelezen. ‘Op zijn minst zou Google duidelijk kunnen aangeven dat dit kan gebeuren en ook inzichtelijk maken wanneer het is gebeurd.’

Kan ik zelf nog wat doen?

Allereerst altijd goed opletten als nieuwe apps toestemming vragen voor toegang tot, in dit geval, Gmail. Dat gebeurt altijd expliciet. Wat de consument echter niet weet, of die toegang aan machines of aan mensen verleend wordt. Verder wijst Google op zijn zogenoemde ‘Security Checkup’, die iedereen op zijn persoonlijke Google-pagina kan benaderen. Hier is in één oogopslag te zien welke apps toegang hebben tot Gmail. De toestemming kan op deze plek ook weer worden ingetrokken. Voor de zakelijke variant G Suite geldt dat de systeembeheerders toegang regelen. 

Zo ziet een toestemmingsvraag van een externe app eruit Beeld Google
Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.