ActuaApple Pay: privacyvriendelijk, of net niet?

27 februari 2020
https://ministryofprivacy.eu/wp-content/uploads/2020/02/nathan-dumlao-oRKF_ZBJYGM-unsplash-1-1280x1920.jpg

Het nieuws van KBC kon deze week werd op groot gejuich rekenen: de bank zou, na BNP Paribas Fortis, eindelijk Apple Pay implementeren dit jaar. Ook met een Revolut-account is het al langer mogelijk om in België via de iPhone en Apple Watch te betalen.

Apple is een bedrijf dat graag de privacykaart trekt, ten opzichte van databrokers zoals Facebook en Google. Hoeveel is daar echter van aan? Hoe privacyvriendelijk is Apple nu écht, en vooral de dienst Apple Pay?

DAN: Device Account Number

Bij het instellen van je Apple Pay, bewaart Apple niet je kaartnummer van je Mastercard of bankkaart, maar maakt ze een toestelspecifiek nummer aan: de DAN (of apparaataccountnummer). Als een ander toestel zou willen betalen met je DAN, dan gaat dat simpelweg niet werken. Ook als het toestel zou gestolen worden, of je verliest je iPhone, dan moet je dus niet snel Cardstop bellen: enkel het toestelspecifieke nummer zal geblokkeerd worden.

Eén van de meer praktische redenen om Apple Pay te gebruiken dus, want eerlijk gezegd: zoveel tijdswinst is er nu ook weer niet te halen, als je bedenkt dat je je iPhone uit je zak moet halen, Face ID of vingerafdrukverificatie moet voltooien en vervolgens je telefoon moet laten zweven over de NFC-bankterminal. Je zou er bijna je kaart voor uithalen.

Wat privacy betreft, Apple ziet nooit wat je precies hebt gekocht, en de winkelier krijgt nooit je kaartnummer te zien. Je bank daarentegen ontvangt nog steeds evenveel data als je gewoon met een kaart zou betalen. Dus KBC, BNP Paribas of Revolut krijgt nog steeds alle transactiedata, en kan daar – afhankelijk van hun eigen privacybeleid – vrij mee aan de slag. Als tussenprovider brengt Apple (een beetje) meer privacy, maar in het geheel maakt het bitter weinig uit.

Is Apple dé privacyridder?

Apple heeft een ander businessmodel dan Google of Facebook, zoveel is duidelijk. Zolang dure hardware als broodjes blijft verkopen, kan Apple perfect de marketingkaart van ‘privacy’ trekken. De vraag stelt zich pas bij een tegenvallende verkoop, hoe zwaar de principes van het techbedrijf zullen doorwegen op eventueel mindere cijfers. Het is dus vooral afwachten of de billboards van Apple rond privacy ook écht blijven doorspelen in de dagdagelijkse praktijk.

Hoewel heel wat data geanonimiseerd naar de servers van Apple vertrekt (of soms zelfs enkel lokaal worden bewaard en geëncrypteerd), verzamelen iPhones toch heel wat informatie. GPS-data bijvoorbeeld, of opdrachten die je aan Siri geeft. Daarin verschilt ze niet van een ander tech bedrijf. Apple stelt wel dat ze deze data nooit aan adverteerders vrijgeeft.

Ben je nieuwsgierig naar hoeveel data Apple precies over jou heeft, dan kan je een kopie van je gegevens opvragen. Daarvoor dien je in te loggen met je Apple ID op je accountpagina. Als je nog geen 2FA ingesteld hebt, doe dat snel even. Daarna kijk je bij Gegevens en privacy, “Beheer je gegevens en privacy”, waar je uiteindelijk op https://privacy.apple.com/ terechtkomt, waarop je je opnieuw moet inloggen. Je klikt vervolgens op “een kopie van je gegevens ontvangen”. Selecteer alles en klik op ‘Ga door’.

Zet een gewenste grootte (op 10 GB bijvoorbeeld). Je krijgt vervolgens een e-mail(link) met alle data. Toch opvallend: Apple was vrij laat met deze implementatie correct in te voeren, later dan bijvoorbeeld Google en Facebook.


Je hebt ook zélf heel wat in handen. Zo kan je bij je iPhone onder instellingen de tab “Privacy” terugvinden. Onderaan kan je zaken terugvinden zoals “Analyse en verbeteringen” en “Reclame”. Zet daar zeker alles op “Uit”. Bij Reclame kan je “Beperk reclametracking” aanvinken.

 

Winkeliers

Vervelend die Apple Pay, vinden sommige winkeliers. Dus vinden sommigen er niks beter op dan klanten alsnog te verplichten hun klantenkaart ook te scannen, of bijvoorbeeld de eID te vragen voor ‘garantieredenen’ (hallo Mediamarkt & ZEB). Hoe privé is zo’n transactie dan nog?

Vergeet ook niet dat bijna elke handelszaak één of meerdere camera’s in dienst heeft, die al dan niet net boven de kassa hangen. In samenhang met gezichtsherkenningstechnologie, die ook bij private bedrijven steeds meer ingang vindt (zoals bij een supermarkt in Nederland), heeft een handelaar alsnog alles in handen om je wél te gaan identificeren.

Of – iets minder verregaand -, is het perfect mogelijk dat een grote winkelketen samenwerkt met private data brokers, die via andere applicaties op je iPhone heel wat data uitwisselen over je profiel, locatie en aankoopgedrag. Ook geanonimiseerde data is écht niet zo anoniem, wezen meerdere onderzoeken ondertussen uit.

Besluit

Goed en kort: Apple Pay mag dan een laag ‘privacy’ toevoegen, als de klant op zo’n moment eender welke handeling doet (inchecken via Facebook, bijvoorbeeld) die tijd & locatie kan verraden, dan is alle moeite voor niks geweest.

Het idee dat Apple Pay transacties dus ‘privé’ zijn, is – ongeacht de inspanningen langs de kant van Apple – foutief. Cash blijft, tot spijt van wie het benijdt, de enige privacyvriendelijke uitweg. Helaas.

Cash blijft, tot spijt van wie het benijdt, de enige privacyvriendelijke uitweg. Helaas.

Ministry of Privacy

https://ministryofprivacy.eu/wp-content/uploads/2020/01/logo-web.png
Neem je privacy terug in handen
Contact
Private Stichting
Nr. 0716.922.347
+32 9 320 00 34