Het is geen geheim dat sommige apps en websites persoonlijke data verzamelen en doorverkopen aan adverteerders. Maar hoe kun je erachter komen welke dit precies zijn? Onderzoekers van onder andere het Zwitserse Ecole Polytechnique Fédérale de Lausanne (EPFL) hebben daar een methode voor ontwikkeld die gebruikmaakt van Artificial Intelligence (AI).
Door de bomen het bos niet meer zien
De meeste mensen lezen de gebruiksvoorwaarden van apps en websites niet, en deze extreem lange teksten staan ook vaak vol ingewikkeld juridisch taalgebruik. Dit heeft als gevolg dat opmerkelijke clausules over persoonsgegevens (zoals je IP-adres, je leeftijd en de websites die je bezoekt) juist niet opgemerkt worden. Oftewel, mensen kunnen door de bomen het bos niet meer zien en daar wordt door sommige commerciële instellingen gretig gebruik van gemaakt.
Verborgen clausules in de gebruiksvoorwaarden
Om mensen te helpen meer inzicht te geven in waar ze nou toestemming voor geven, hebben de onderzoekers van EPFL, de University of Wisconsin-Madison en de University of Michigan een visualisatietool ontwikkeld. Deze tool kan het gegevensbeschermingsbeleid van apps en websites met behulp van AI in een oogwenk ontcijferen.
“Ons programma laat met simpele grafieken en kleuren zien hoe persoonsgegevens gebruikt worden. Sommige websites delen bijvoorbeeld locatiegegevens voor marketingdoeleinden, terwijl andere informatie over kinderen niet volledig beschermen. Dit soort clausules zijn vaak goed verborgen in hun gegevensbeschermingsbeleid,” zegt projectleider Hamza Harkous. Hij werkt als postdoctoraal onderzoeker aan de EPFL.
Persoonlijke data
De onderzoekers gebruikten AI om hun programma te leren hoe ze het gegevensbeschermingsbeleid van websites kunnen scannen. Dit deden ze met een dataset van 130.000 websites. Nadat de gebruiksvoorwaarden in het programma zijn ingevoerd, doorzoekt de software het in enkele seconden. De resultaten worden vervolgens weergegeven in overzichtelijke stroomdiagrammen waarin de gebruiker ziet welke persoonsgegevens er verzameld zijn en wat de reden daarvoor is.
Met deze informatie kunnen gebruikers een weloverwogen keuze maken tussen apps en websites die hun persoonlijke data wel respecteren. Of ze kunnen de mogelijkheden inzien die ze hebben om het delen van bepaalde informatie te weigeren, en wat de gevolgen daarvan zijn.
Internet of Things
In de toekomst kan het programma ook gebruikt worden voor de Internet of Things (IoT). Bij het installeren van objecten en sensoren die in verbinding met elkaar staan, is het natuurlijk enorm belangrijk om te weten welke persoonlijke data er opgeslagen en verwerkt wordt. “We willen consumenten laten zien dat ze een keuze hebben door hen de middelen te geven om een service te evalueren, en zo nodig een alternatief te kiezen,” stelt Harkous.
Zijn volgende doel is het ontwikkelen van een waarschuwingssysteem dat gebruikers op de hoogte kan stellen van onverwachts gebruik van persoonlijke data. En hij is ook van plan om een systeem te maken waarin apps, websites en IoT-diensten worden gerangschikt op hun gegevensbeschermingsbeleid.
De resultaten van de studie zijn gepubliceerd in het onderzoeksrapport Polisis: Automated Analysis and Presentation of Privacy Policies Using Deep Learning.