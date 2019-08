De Siri-fragmenten die een bedrijf namens Apple beluisterde om de stemassistent te verbeteren, konden door de analisten aan een specifieke gebruiker gekoppeld worden. Omdat Apple aanvullende gegevens deelde met de analisten, waren de fragmenten niet zo anoniem als het bedrijf suggereert, zeggen deskundigen op het gebied van privacy tegen NU.nl.

De analisten beschikten niet alleen over de audiofragmenten, maar hadden ook inzicht in de locatie van het apparaat op het moment van de opname, een lijst met namen uit het adresboek, de exacte tijd van de opname en een overzicht van alle geïnstalleerde apps. Dat zegt een medewerker die dergelijke werkzaamheden heeft uitgevoerd voor het door Apple ingehuurde bedrijf GlobeTech tegen NU.nl. Ook persoonlijke door gebruikers ingestelde Siri-opdrachten waren inzichtelijk.

De analyse werd uitgevoerd door medewerkers van GlobeTech. Dit gebeurde ook bij Nederlandse opnames, meldde NU.nl afgelopen vrijdag op basis van verklaringen van een klokkenluider. Apple had gebruikers daar niet expliciet van op de hoogte gebracht.

Apple zegt dat de fragmenten met privacy in het achterhoofd naar de servers werden verstuurd: de audio-opnames werden niet gekoppeld aan het Apple ID van de gebruiker. "Het idee hierachter is dat geluidsopnames geanonimiseerd worden doorgegeven", zegt Jaap-Henk Hoepman, privacyonderzoeker aan de Radboud Universiteit Nijmegen. "Maar als Apple een heel gedetailleerde locatie of contactenlijst doorstuurt, is het geluidsfragment eigenlijk niet meer anoniem. Je weet daarmee niet direct om wie het gaat, maar het is relatief makkelijk te achterhalen."

'Je kunt hiermee achter iemands identiteit komen'

Dat onderschrijft ook Aline Klingenberg, universitair hoofddocent IT-recht aan de Rijksuniversiteit Groningen. "Dat Apple zegt dat de audiofragmenten niet aan het Apple ID gekoppeld worden, doet er eigenlijk niet toe. Want de namen (uit de contactenlijst, red.) en locatie zijn volgens de privacywet wel degelijk persoonsgegevens. Je kunt hiermee best achter iemands identiteit komen."

"Als ik het onparlementair mag zeggen: het lijkt me een onzinargument", concludeert privacyonderzoeker Bart van der Sloot van Tilburg University. "Het kan goed zijn dat een deel van de audiofragmenten op deze manier herleidbaar is naar een persoon."

Nodig om stemcommando's te begrijpen

De analisten hadden de locatie en namen uit de contactenlijst nodig om deze aan de audio te koppelen. "Als iemand zegt: 'Hé Siri, wat voor weer wordt het morgen?', moeten we controleren of Siri antwoordt met de weersverwachting voor de juiste plaats", zegt de GlobeTech-medewerker.

Hetzelfde geldt voor het inzicht in de voor- en achternamen uit de contactenlijst van de Siri-gebruiker. De medewerkers zien een lijst van alle namen uit het adresboek. Ze zien bijvoorbeeld 'Jan de Vries' of 'Mama' staan, afhankelijk van hoe de gebruiker zijn contactpersoon in zijn telefoon heeft gezet.

'Je kunt altijd iemand identificeren'

Volgens de GlobeTech-medewerker kwam het in de praktijk niet voor dat de locatie en de contactenlijst uitgebreid geraadpleegd werden, omdat het personeel daar op een werkdag geen tijd voor had. Van werknemers werd verwacht dat zij dagelijkse doelstellingen haalden wat betreft het aantal te verwerken fragmenten.

Maar de situatie in de praktijk speelt hierin geen rol, zegt Klingenberg. "Of het nou wel of niet makkelijk is en er een leidinggevende over je schouder staat mee te kijken of niet, maakt niet heel veel uit. Je kunt altijd toevallig toch iemand identificeren."

"In de audio kunnen dingen gezegd worden waaruit iemand herleidbaar is. Zo kun je toevallig je buurman herkennen of je kind", zegt Van der Sloot. In juli toonde VRT NWS al aan dat Nederlandstalige opnames van de Google Assistent op die manier zijn te herleiden naar personen.

Dat geldt ook voor de namen en locatiegegevens. "Tussen de contacten staan vaak ook namen van ouders en andere familieleden. Stel je komt een bepaalde achternaam vaak tegen", zegt Hoepman. "Dan kun je gokken dat het ook de achternaam van de Siri-gebruiker is. Of je gaat googelen en vindt mensen die collega's van elkaar zijn. Dan zal dat misschien wel iemand zijn die daar ook werkt. Er zijn allerlei variaties mogelijk."

Opnames worden voorlopig niet beluisterd

Apple besloot vrijdag om voorlopig wereldwijd te stoppen met het laten beluisteren van Siri-fragmenten. Google, dat ook Nederlandse fragmenten liet analyseren, kondigde een dag eerder aan er in Europa mee te stoppen.

"Ik denk dat je gevoelsmatig wel het idee kunt hebben dat het niet deugt dat ze die gegevens hebben. Ook juridisch niet. Gebruikers hebben Apple hier niet expliciet toestemming voor gegeven. Je kunt het wel loskoppelen van een Apple ID, maar dat maakt het niet anoniem", zegt Klingenberg.

Apple heeft beloofd dat Siri-gebruikers in de toekomst kunnen laten weten of hun opnames door mensen beluisterd en geanalyseerd mogen worden. NU.nl heeft het bedrijf maandag om commentaar gevraagd, maar nog geen reactie ontvangen.