Hoe onderzocht ik deze kinderapps en -websites?
In deze verantwoording geef ik informatie over de methodologie van ons onderzoek naar kinderapps en -websites. Daarnaast geef ik de overige resultaten van het onderzoek.
De onderzoeksvraag was eenvoudig: door wie word ik getrackt als ik kindersites en -apps bezoek?
Online adverteerders, datahandelaren en analytics-bedrijven proberen het surfgedrag van internetgebruikers in kaart te brengen. Bijvoorbeeld door middel van cookies. Daarvoor moeten ze contact maken met mijn laptop en mijn smartphone. Dat wordt inzichtelijk door een analyseprogramma te gebruiken dat populair is bij webontwikkaars: Charles. Dat programma legt bit voor bit vast wat er wordt ontvangen op en verzonden van mijn apparaten. Ik kan de softwarecode zien, alsmede de internetadressen en informatie over eventuele cookies die worden gebruikt.
Om ook beveiligd verkeer te onderscheppen, heb ik een vals beveiligingscertificaat op mijn laptop en smartphone geïnstalleerd. Bij een aantal apps (Snapchat, Facebook en WhatsApp) is dat niet gelukt. Deze apps zijn te goed beveiligd.
Ik ben tegen een aantal beperkingen aangelopen. Ten eerste zijn er ook andere manieren waarop advertentiebedrijven je kunnen volgen, bijvoorbeeld door middel van device fingerprinting, canvas fingerprinting en flash cookies. Ik heb niet de kennis noch de middelen om die vormen van tracken te analyseren.
Een tweede beperking was het platform voor de apps. Ik heb ze alleen getest op een Android-smartphone. iOS (van Apple dus) werkt net weer anders. Op zich kun je daar ook gevolgd worden door advertentiebedrijven, maar Apple legt meer beperkingen aan hen op. Daarnaast raak je niet zomaar locatie- of contactgegevens kwijt. Daar moet je expliciet toestemming voor geven tijdens het gebruik van de app: iets wat Android (van Google) niet biedt. Het werd echter te tijdrovend om beide platforms te testen. Ik heb daarom gekozen om de grootste te nemen, Android is met twee derde van de markt veruit het dominante besturingssysteem voor smartphones en tablets.
Tot slot is er nog een beperking in leeftijd van de doelgroep. Ik heb vooral gekeken naar websites en apps die interessant zijn voor kinderen tot dertien jaar. In Amerika geldt dat vanaf dertien geen ouderlijke toestemming meer nodig is. Voor Nederland is dat vanaf zestien jaar. Aangezien veel apps Amerikaans zijn, leek het mij logisch om apps (en sites) te kiezen die tot ongeveer dertien jaar interessant zijn. Dat komt redelijk overeen met de kleuter- en basisschoolleeftijd.
De websites heb ik met een verse installatie van Mozilla Firefox bezocht. De apps met mijn eigen smartphone, nadat ik op systeemniveau alle caches heb geleegd en overbodige bestandsmappen van apps heb verwijderd.
De populairste spelletjes zijn getest
De lijst met websites en apps is op twee manieren samengesteld. Ten eerste heb ik op een aantal kindersites gekeken wat daar werd aanbevolen voor kinderen. Bij de apps heb ik in Google Play vooral gekeken naar de meest populaire kinderspelletjes in Nederland. Ten tweede heb ik een oproep geplaatst waarin ik lezers vroeg spelletjes en sites voor te dragen. Die heb ik zoveel mogelijk meegenomen in mijn test.
Ik heb alle sites en apps op twee dagen bezocht, namelijk dinsdag 18 en vrijdag 21 november jongstleden. Op iedere site en app heb ik ongeveer vier tot vijf minuten rondgeklikt. Ik heb meerdere subpagina’s bezocht en waar mogelijk een account aangemaakt. Ik heb daarvoor niet mijn eigen mail gebruikt, maar één onder de naam van Linke Loetje. Via Charles heb ik al het verkeer afgetapt en opgeslagen. Via de app XPrivacy heb ik data verzameld over de toestemmingen die apps aan mijn toestel hebben gevraagd.
Deze data heb ik vervolgens in XML-formaat gedownload en later in Excel en Google Refine ingeladen. Ik heb de data van een aantal processen van mijn computer (een MacBook Pro, Yosemite) eruit gefilterd (zoals de data van Google Calendar, Google Drive en Spotify).
Vervolgens heb ik de IP-adressen van de servers waar ik contact mee heb gehad door de geo-IP-database van MaxMind gehaald en zodoende de locatie (geschat) en namen van de eigenaars achterhaald.
In Google Refine en in Excel heb ik vervolgens uit de code en de verzamelde urls de trackers gedestilleerd. Daarna heb ik van de meest voorkomende trackers de privacy policy achterhaald en een samenvatting daarvan opgezocht in de database van Ghostery. Aangezien die database niet altijd actueel is, heb ik, waar mogelijk, een extra controle gedaan bij de privacy policy’s van de betreffende bedrijven.
Mocht je met mijn data aan de slag willen, dan nodig ik je van harte uit. Het Excelbestand met ruwe data is hier beschikbaar en op verzoek kan ik ook het Charlesbestand of een XML-bestand aanleveren.
Resultaten
Hoe vaak werd een tracker aangetroffen op een site of app?
Op hoeveel sites/apps kwam welke tracker voor?