Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google ontkent niet dat ontwikkelaars van Gmail-add-ons e-mails kunnen lezen

Google heeft in een blog over de beveiliging en privacy van Gmail niet ontkend dat externe ontwikkelaars de e-mailberichten van gebruikers kunnen lezen. The Wall Street Journal meldde onlangs dat honderden ontwikkelaars de mails van Gmail-gebruikers kunnen inzien.

Suzanne Frey van Google meldt dat Google ontwikkelaars en hun apps die in Gmail worden geļntegreerd, voortdurend blijft controleren voordat ze voor het grote publiek beschikbaar worden gesteld. Daarbij wordt een handmatige en geautomatiseerde controle van de ontwikkelaar gehanteerd, wordt het privacybeleid van het bedrijf bekeken en wordt de app eerst intern binnen Google getest. Ook moeten de apps volgens haar duidelijk zijn in hoe ze data gebruiken en mogen ze enkel relevante data opvragen.

Frey stelt dat niemand bij Google de e-mails van Gmail-gebruikers leest, behoudens uitzonderlijke gevallen, zoals op verzoek van de gebruiker bij een geval van misbruik. Ze gaat daarbij echter niet in op een recent bericht van The Wall Street Journal dat medewerkers van externe ontwikkelbedrijven nogal eens toegang hebben tot de inhoud van de berichten. Ze zegt niets over de vraag of externe ontwikkelaars het recht hebben om de e-mails te lezen of dat ze dat strikt wordt verboden. VentureBeat merkt op dat in Googles eigen beleidsregels voor ontwikkelaars niets staat over het recht van medewerkers van derde bedrijven om de e-mails van gebruikers te lezen.

Maandag meldde de WSJ op basis van vele gesprekken met betrokkenen dat Google het toelaat dat softwareontwikkelaars van externe bedrijven de inhoud van e-mailberichten van Gmail scannen. Het gaat hierbij om het lezen van de e-mails van gebruikers die zich hebben opgegeven voor in Gmail geļntegreerde diensten, zoals bepaalde clients, managementsystemen of andere add-ons.

Frey gaat niet specifiek in op de informatie van de WSJ waarin bijvoorbeeld specifieke bedrijven worden genoemd waarvan de medewerkers daadwerkelijk toegang hadden tot de e-mails van Gmail-gebruikers, terwijl daar waarschijnlijk geen directe toestemming voor is gegeven.

Door Joris Jansen

Nieuwsredacteur

04-07-2018 • 15:48

66 Linkedin Google+

Reacties (66)

Wijzig sortering
Ergens begrijp ik hier de 'dat is toch logisch' of 'wisten we al' reacties wel, genoeg apps of add-ons die voor hun functioneren je email wel moeten kunnen 'zien/lezen' om te werken, maar hoe zit het met apps/add-ons waar dit geen onderdeel is?

Beetje het scannen van bestanden verhaal, een anti-virus is het niet meer dan logisch dat zo'n programma jouw bestanden 'leest', immers voor het zoeken naar virus/trojans/whatever. Hier en daar soms een lijst of bestand richting een server voor extra controle of algoritme, alles goed want: anti-virus. Maar toen vervolgens bekend werd dat een anti-cheat alle bestanden ging lezen, werd het opeens een groot probleem. Of toen game-platforms (Steam, Arc, Origin, etc) soortgelijk gingen doen, was het ook een probleem. Terwijl die ook in de basis dezelfde 'doelen' hadden, anti-cheat opzoek naar cheatsoftware, game-platformen naar ander geinstalleerde games.

Andersom lijkt me het ook amper hard te maken of een ontwikkelaar 'zelf' toegang heeft tot jouw email, of dat dit uitsluitend een geautomatiseerd systeem is waar niets van wordt opgeslagen (zoals Grammarly en consorten). Hoe werkt een add-on waarbij je snel smilies kan invoegen? Of een verkapte 'reclame add-on' die je email gebruikt voor gerichte reclame?

Ik vind het dan wel te simpel te zeggen 'maar je gaf toestemming', ik durf rustig te stellen dat 90% nooit voorwaarden of privacy regeltjes heeft gelezen, maar secondair, niet akkoord = kan niet gebruiken.
Het is heel simpel, je hoeft de software van Google niet te gebruiken, je hoeft dan ook de onleesbare bijsluiters niet op privacy regeltjes te scannen.
Is het niet logisch dat een app die je toegang geeft tot je e-mails toegang heeft tot je e-mails?
En dat je daarbij dus moet vertrouwen/privacy policy doornemen van de ontwikkelaar van die App?
Precies. Het lijkt me toch overduidelijk als je JA antwoord op zo'n scherm?, dan zo'n app vervolgens bij je email kan?
Nee, een app die emails leest kan dat nodig hebben om te kunnen werken. Maar een app is geen mens, of een automatisch systeem het leest of een mens... Groot verschil.
Waarom zou een App dat nodig hebben om te kunnen werken?
Het is puur privacy schending en dat moet gestopt worden.

[Reactie gewijzigd door BoringDay op 4 juli 2018 20:18]

Omdat... Lees even hierboven ;)

Kort verhaal: het moet misschien iets doen met je mail: opslaan, tekstkleur aanpassen of whatever.
Het kan dan bij je email, maar dat is bij lange na niet genoeg informatie.

Wie kan er precies bij je email? Een app naam zegt niet zoveel.
Kunnen ze de email ook opslaan buiten gmail, een kopie dus?
Doet men dat?
Zo ja, voor hoelang?
Kunnen menselijke figuren er ook bij?
Kan men uit deze emails een contactenlijst afleiden? Zo ja, alle bovenstaande vragen nogmaals.

En nog een leuke: het is een enorme privacy inbreuk indien jij dit toestaat voor je gmail, en jij en ik hebben allerlei prive gesprekken via gmail. Je geeft hiermee dus niet alleen toegang tot je eigen mail, ook tot allerlei mogelijk zeer private informatie van iedereen waar je mee correspondeerd.
Is het niet logisch dat een app die je toegang geeft tot je e-mails toegang heeft tot je e-mails?
En dat je daarbij dus moet vertrouwen/privacy policy doornemen van de ontwikkelaar van die App?
Het is essentieel hoe duidelijk is het dat je ze toegang geeft tot je e-mail. Er zou een grote rode knop moeten verschijnen met "Ja, ik geef deze app toegang tot de inhoud van mijn e-mail. Ik stem toe dat deze app al mijn e-mails kan lezen"
Zoals de reactie boven je aangeeft, is het toch behoorlijk duidelijk vermeld.
Zie ook deze screenshot
Precies, This will Allow sample application to access...
Nergens staat er: This will allow employees from sample application to access...
Dat de app toegang heeft geef je zelf toestemming voor, waarom anderen dan ook ineens toegang krijgen...
Ze zullen niet de hele dag je mail doorlezen, maar wellicht hier en daar een test van 1 op de 100.000 verzonden mails. De meeste mensen geven standaard akkoord op allerlei machtigingen die ze nodig hebben.

Kijk dat je de voorwaarden van Apple en Google in het geheel niet leest snap ik, dat is nog dikker dan de bijbel. Maar een 5 tal vragen met mogen wij toegang tot je contacten, lezen, schrijven, deleten, locatie, etc. Tja dan heb ik geen medelijden als mensen achteraf huilie huilie gaan doen.
Haha, als je op een vraag nee zegt kun je de applicatie niet gebruiken..
Google kennende kan je om de haverklap akkoordjes uitdelen aan privacy wijzigingen, waardoor het helemaal niet meer doeltreffend is. Net zo irritant als al die advertenties op youtube tegenwoordig.

[Reactie gewijzigd door BoringDay op 4 juli 2018 20:24]

Ik dacht al dat het aan mij account lag. Ik krijg bijna om de video eerst reclame voorgeschoteld. Youtube gaat ook hard achteruit.
Het is duidelijk, maar gezien het belang vind ik het toch wel ondermaats.
Ik zie nergens staan dat medewerkers de mails doorlezen, jij wel?
Bestaat een togle voor zoiets dan?
Er worden geen concrete voorbeelden van apps genoemd, dus geen idee wat er in de privacyvoorwaarden van die apps staat.
In de screenshot is wel te zien dat er bij het toestemming geven om mails te lezen een verwijzing is naar de privacy-policy van de app.
Ja, de privacy policy doornemen wordt in dezen ineens een stuk relevanter, want uit het artikel blijkt dus dat niet alleen de app zelf je mail kan lezen, wat tot op zekere hoogte inderdaad logisch is, maar ook medewerkers van de ontwikkelaar c.q. derde partijen. Dat is voor veel mensen denk ik andere koek dan een Grammarly die geautomatiseerd je tekst controleert.
Is het niet logisch dat een app die je toegang geeft tot je e-mails toegang heeft tot je e-mails?
Ja, maar het is niet direct logisch dat een app die e-mails kan exporteren / versturen naar de ontwikkelaars.
De app zou in een sandbox moeten draaien..
De app zou in een sandbox moeten draaien..
Dit gaat over een API waarbij je toegang geeft om je emails in te zien. Dit hoort gebruikt te worden voor normale doeleinden. Maar het prima te programmeren dat er iets anders mee gedaan wordt.

Sandbox heeft hier weinig mee te maken. De gmail en Inbox Android apps draaien in een sandbox bijvoorbeeld. Zo'n app kan prima binnen de sandbox alle emails naar een willekeurig internet adres uploaden.
Data is het nieuwe goud.
Ben sinds vorig jaar overgeschakeld naar protonmail, na mezelf de vraag gesteld te hebben " Zou ik mijn persoonlijke berichten op een advertentieplatform willen hebben? " :) met alle bankzaken ? nee!
Staat je uiteraard vrij, maar Google gebruikt je mail niet voor advertentiedoeleinden.. ze lezen je mail niet, zoals boven in het artikel staat.
Een google-account is gratis, dus de data die je als gebruiker genereert is het business-model. Het is goed dat te blijven realiseren. Ik maak veel gebruik van de diensten van Google omdat ik van mening ben dat je van Google, in tegenstelling tot Facebook, met die diensten iets terugkrijgt voor het inleveren van een stukje 'privacy'.
Ik denk dat we hier ons antwoord hebben. Als ze het glashard konden ontkennen zouden ze dat zeker doen. Nu gaan ze er een beetje omheen draaien, want toegeven willen ze niet.

En laten we eerlijk zijn, het is niet de eerste keer dat dit naar boven komt.

Als het zo is word hier ook keihard de AVG overtreden volgens mij.
Het is inherent aan de functie van die add-ons dat ze de emails kunnen lezen dus waaorm zouden ze dat ontkennen?
Het gaat er niet om dat add-ons die e-mails kunnen scannen, maar het gaat er om dat Google nergens expliciet zegt dat medewerkers van het bedrijf wat die add-ons maakt niet de mails mogen lezen.

In principe zou ik dus een add-on kunnen maken die jou mailbox continue naar een externe server exporteert, want dat mag van Google.

Nogal opvallend dat het ontbreekt lijkt mij, terwijl ze wel duidelijk vermelden dat je hun maps api's geen navigatie mag bouwen.
In principe zou ik dus een add-on kunnen maken die jou mailbox continue naar een externe server exporteert, want dat mag van Google.
Dit is dus niet het geval. In de originele tekst staat het duidelijker. Maar een externe partij wordt wel doorgelicht. Dus hoe zijn de privacy voorwaarden, welke informatie vragen ze op en waarom willen ze deze informatie. Een app bouwen die alles doorstuurt zonder reden, mag dus niet van Google.

[Reactie gewijzigd door RebelwaClue op 4 juli 2018 17:19]

zou je dan niet eerder de policy moeten doornemen van het bedrijf waarvan jij de add-on gebruikt? Je geeft er nota bene zelf toelating voor.

Als jij waze gebruikt, dan hebben zij ook toegang tot de gegevens die je daarin bij elkaar rijd, dat is niet de schuld van Android (nu toevallig ook wel hetzelfde bedrijf, maar je snapt het wel).
zou je dan niet eerder de policy moeten doornemen van het bedrijf waarvan jij de add-on gebruikt?
Als een bedrijf iets anders doet dan je mag verwachten dan is het te makkelijk om dat in een policy om te nemen. Sinds AVG moeten zulk soort dingen gelukkig expliciet gevraagd worden (opt-in).
Er wordt niks overtreden, je zet zelf die add-ons aan. Je geeft zelf toestemming hiervoor. Google zelf leest de mail niet.

Hoe anders kunnen apps zoals Grammarly werken? Het wordt pas problematisch als diezelfde apps jouw mails delen met externe partijen zonder jouw toestemming. Overigens ook niet wenselijk als medewerkers van het bedrijf van de add-on op grote schaal je mails gaan lezen.
Er wordt niks overtreden, je zet zelf die add-ons aan. Je geeft zelf toestemming hiervoor.
Hoe anders kunnen apps zoals Grammarly werken?
WAT een onzin zeg.
Grammarly, bijvoorbeeld, heeft niks te zoeken in ontvangen emails.
En ook niet in reeds verstuurde emails.
Enkel als je een mail aan het schrijven bent is het relevant om jouw data te verwerken.
Het probleem is dus dat sommige apps meer met de mail doen dan wat de gebruikers weten.
Overigens ook niet wenselijk als medewerkers van het bedrijf van de add-on op grote schaal je mails gaan lezen.
Ooh, maar als dat automatisch gebeurt is het weer OK?
:?
Persoonlijk vind ik het net zo erg, zo niet erger.
Het wordt pas problematisch als diezelfde apps jouw mails delen met externe partijen zonder jouw toestemming.
Onzin, aangezien die bedrijven zelf de verkregen informatie gebruiken voor zaken die niks met de functionaliteit van de app te maken hebben. Dit is net zo erg als aan een 3e partij geven die er dan oneigenlijke dingen mee doen.
Je maakt een correlatie die de logica tart.

De mail kan worden gelezen door derden. Het idee dat daar toestemming voor is gegeven lijkt me onwaarschijnlijk.


Zelfs als het in de algemene voorwaarden staat dan zal dat weinig waarde hebben. AV worden in beginsel gebruikt voor algemeen geldende normen, en iemands mail bekijken valt daar niet onder of je moet het expliciet duidelijk hebben gemaakt.
Ik heb het over een helder scherm van Google waar letterlijk de permissies opstaan waarvoor je toestemming geeft dat een derde partij (= bedrijf achter add-on) die mag gebruiken. Dat is wat anders dan weggemoffeld in de AV.

[Reactie gewijzigd door calvinturbo op 4 juli 2018 16:25]

Als in dat heldere scherm zou staan dat er een kans is dat medewerkers van het bedrijf jouw mails doorlezen denk ik dat de hel losbarst. Dat staat er dus ook niet.

Eigenlijk is het al bizar dat google toestaat dat er apps bestaan die toegang krijgen tot die mails.

[Reactie gewijzigd door Vexxon op 4 juli 2018 16:51]

Waarom is dat bizar?
Sommige mensen vinden het fijn dat afspraken per mail gelijk in hun kalender staan. Of boekingen van vliegtickets gelijk in de kalender en vliegticket erbij. Nu zijn dit dingen die Google zelf al kan, maar alleen in de Google kalender.

Zo werkt een vriend bij advocatenkantoor waar bijlagen van mails (over lopende zaken) gelijk op de server gezet worden met de juiste dossier informatie apart vermeld in een programma dat ze daarvoor gebruiken.

Overigens werkt dit niet alleen zo bij Google, maar ook Outlook en Yahoo en elke andere mail dienst die werkt met add-ons/plugins.

[Reactie gewijzigd door RebelwaClue op 4 juli 2018 17:30]

Waarom zouden ze het ontkennen? met de add-ons kies je er zelf voor derden toe te laten tot je e-mail, Google heeft daar verder helemaal niets mee te maken.
Als het zo is word hier ook keihard de AVG overtreden volgens mij.
God ik kan niet wachten tot binnen een klein jaartje. Dan weet niemand meer wat de GDPR/AVG is en kunnen we er eindelijk over ophouden.

Elk nieuwsberichtje over 'data' is meteen "AVG is overtreden!!! Aan de schandpaal ermee!"
Ben zelf nog steeds heel hard van mening dat je zelf maar voor je privacy moet instaan, niet de regering. Dat terzijde: Als zo'n add-on als functie heeft om vervolgacties te kunnen uitvoeren gebaseerd op inhoud van een email, dan is dat lezen van emails primaire functionaliteit en is er dus een reden om die data te vergaren. Als daarbij in de voorwaarden ook staat dat je 'gebruikersdata' wordt doorgestuurd teneinde een betere service te kunnen aanbieden (met wat woord-gegoochel lukt je dat wel om GDPR-compliant te maken), en je hebt die addon toch ECHT zelf geinstalleerd dan heb je er mooi zelf voorgekozen.
Als je zelf voor je privacy moet in staan, moet de regering een raamwerk opzetten waarin dat mogelijk is. Het is met de AVG nog prima mogelijk je privacy te grabbel te gooien, maar het is nu wel het geval dat je dat zelf moet doen in plaats van dat bedrijven dat ongevraagd voor je doen. Daarvoor was het nagenoeg onmogelijk om een computer met internet aan te schaffen zonder geregistreerd te worden bij het opstarten van de computer, en daarna bij het opstarten van de eerste webpagina.
Ik zie de AVG enkel maar als een nog irritantere vorm van de cookiewet :')
Dat is voornamelijk de ervaring nu omdat de AVG niet 100% correct wordt geļmplementeerd. In principe moeten alle vinkjes namelijk standaard uit staan, en zou je dus maar 1x op OK moeten drukken bij elke website.
met wat woord-gegoochel lukt je dat wel om GDPR-compliant te maken
AVG/GPDR is opt-in. Je kan zoiets niet verborgen in wat voorwaarden stoppen. Verder zal de wet gewoon blijven gelden, kop in het zand stoppen helpt niet echt. Verder zullen de verschillende toezichthouders steeds strenger zijn dat de AVG wordt nageleefd, dit is al gecommuniceerd door de Nederlandse toezichthouder.
Goh ja... Het staat al best lang in de internationale rechten van de mens opgetekend dat we recht hebben op privacy. Moet je dan nog een 'raamwerk' hebben? Klaag ze gewoon meteen aan voor schending van de rechten van de mens.
wat denk je van systeembeheerders dan van die mailservers. die mails worden gewoon op de harde schijf opgeslagen (by default) elke systeembeheerder kan er dus bij...
Ik begrijp niet zo goed waarom dit soort dingen worden gevraagd aan Google, terwijl je ook gewoon naar de API kan kijken, eventueel een klein testje draaien en dan een keihard antwoord hebt.
Gezond verstand lijkt niet aanwezig te zijn. Zowel niet bij gebruikers die klakkeloos gegevens overal invullen en openbaar zetten als mensen die hun gegevens behandelen alsof hun leven ervan af hangt als onderzoekers die niet uitzoeken hoe dit soort 'schandalen' daadwerkelijk in elkaar zitten.
Er hoeft natuurlijk ook niets ontkend te worden. Zelf maakte ik in het verleden gebruik van meerdere Gmail addons, waarbij het scannen van de e-mails noodzakelijk was om eventuele vervolgacties te kunnen uit laten voeren door de app. Ik gebruik nu nog uitsluitend Grammarly en alhoewel dit niet helemaal hetzelfde is, scant / leest ook Grammarly datgene wat ik typ. Ik kan niet uitsluiten dat de ingevoerde tekst niet uiteindelijk gelezen wordt door iemand bij Grammarly zelf. Maar dit valt Google niet te verwijten.
Ik ben recent mijn mail over gaan zetten van @gmail.com naar @protonmail.com, precies uit 'angst' voor bovenstaande. Het was even een klus, maar heb nu in ieder geval bereikt dat mijn mail niet meer vrij doorzoekbaar is door Alphabet Inc. Helaas heb ik voor m'n android toestel nog wel een Google account nodig.
Heeft protonmail ook van die handige functies als b.v. het kunnen zien dat iets een verzendbevestiging is en dat hij dan automatisch updates van de verzending toont in je (Google Now) feed? Het analyseren van je mailbox kan ook voor praktische doeleinden gebruikt worden.
Nee, dat soort 'handige' opties kent protonmail niet. Protonmail gebruikt Zero-access encryption. Dus alleen de gebruiker kan bij de data, niemand anders.

[Reactie gewijzigd door ZeroDarkThirty op 4 juli 2018 17:46]

Ah, dan blijf ik toch bij Gmail :)
En dat is samen met mij dan ook gelijk het probleem van de samenleving :D
Ik vind dit een genante vertoning dat er zo omgesprongen wordt met een email dienst. Je zou toch denken, je gaat niet neuzen waarin je niets hebt te zoeken. En Google is niet het enige bedrijf wat dat flikt, het neuzen en gebruiken van data die gebruikers achterlaten. Dat hele internet is een grote datahamster machine geworden. Je zou toch denken dat de toekomst is aan toepassingen die garanties bieden aan gebruikers over het gebruik van data. En dan niet in ellenlange juridische documenten die je nooit zal lezen maar gewoon in A4-tje, dit doen we wel en dat doen we niet en dat gebruiken we daarvoor. Dan liever betalen voor een dienst dan dit.
Google leest niks, als je het artikel hierboven gelezen had wist je dat het om derde partijen gaat die toegang hebben gekregen tot e-mails en waar gebruikers zelf toestemming voor hebben gegeven.
Maar Google doet dat toch, dat is toch de partij die zo met de email dienst omgaat? Zeker, als gebruiker geef je daar toestemming voor. Maar ik ben nog zelden tegengekomen dat dat gedeelte waar je akkoord tegen zet leesbaar is.
Als ik zo alle voorbeelden bekijk in de reacties, maar ook uit persoonlijke ervaring, moet je echt wel een demente amoebe zijn om niet te snappen waar je rechten toegeeft. En demente amoebes installeren in het algemeen geen add-ins
Zo heeft ook elke praktisch elke Chrome extensie toegang tot je mail als Gmail opent. Ik snap het probleem niet zozeer. Je installeert software waarmee je toegang geeft tot iets. Dan is het logisch dat die dat kunnen lezen toch?

[Reactie gewijzigd door Bosmonster op 4 juli 2018 16:10]

Dat een extensie toegang heeft is niets nieuws, en is minder problematisch omdat het redelijk abstract is en blijft. Een ontwikkelaar (m/v) die dus kennelijk ook toegang heeft tot de inhoud van je mail is toch wel een stuk zorgelijker.
Nieuws: "Als je code van een derde partij toestaat in je email client, dan kunnen ze bij je email!" 8)7
Inderdaad, wat een kul artikelen. Wanneer je inlogt met google in zo'n app wordt expliciet gevraagd voor toegang tot je email berichten in apps die dat willen gebruiken.
Dat er nu zo'n onrust over is komt alleen door dat schandaal van facebook, wat wel degelijk een andere situatie is.

Wat me wel redlijk lijkt is dat Google standaard toegang tot emails verbiedt tijdens het inloggen via google. Wanneer je dan een extra feature aan wil zetten kan je dmv een knop in de app alsnog deze toegang geven. Iets soortgelijks doet Swiftkey bijvoorbeeld. Die biedt je aan om te leren van je emails, maar deze optie staat standaard uit wanneer je de app installeerd.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True