Dropbox was de eerste mainstream aanbieder van cloudopslag en is nog steeds de grootste speler op de markt, met 700 miljoen gebruikers(nieuw venster) in 2022. We hebben het privacybeleid van Dropbox onder de loep genomen om te zien hoe goed het bedrijf de persoonlijke gegevens van die miljoenen mensen beschermt.
Er blijken enkele ernstige problemen te zijn. Dropbox verzamelt niet alleen veel informatie over u, maar kan deze ook delen met wie het maar wil, inclusief commerciële partners en wetshandhavingsinstanties. Klant zijn bij Dropbox betekent dat u het bedrijf een grote mate van controle over uw gegevens geeft.
In dit artikel wordt het privacybeleid van Dropbox geanalyseerd en wordt uitgelegd hoe ons privéalternatief voor Dropbox, Proton Drive, op fundamentele wijze verschilt.
Een blik op de privacy van Dropbox
Het privacybeleid van Dropbox(nieuw venster) is in feite opgesplitst in twee delen: het eerste deel beschrijft de gegevens die de dienst verzamelt en een volgend deel vermeldt alle entiteiten waarmee Dropbox uw gegevens kan delen. Het moet gezegd dat Dropbox al deze voorwaarden duidelijk uiteenzet op een manier die voor iedereen begrijpelijk is. Er is ook een FAQ-pagina(nieuw venster) die dieper ingaat op bepaalde onderwerpen.
Welke gegevens Dropbox verzamelt
Het eerste wat u opvalt in het privacybeleid is hoeveel informatie Dropbox verzamelt. Naast uw e-mailadres — een essentieel onderdeel van uw online identiteit — verzamelt Dropbox ook uw naam, telefoonnummer, fysieke adres en uw betalingsgegevens.
Dropbox verzamelt en bewaart ook gegevens die gekoppeld zijn aan de bestanden die u uploadt, aangeduid als “Uw spullen”. Dit omvat de grootte van het bestand, wanneer en vanwaar het werd geüpload, met wie het werd gedeeld — Dropbox verzamelt ook gegevens over uw contactenlijst — en elke activiteit in de bestanden.
In feite krijgt bestandsactiviteit een eigen subsectie in het privacybeleid, en het is duidelijk waarom. Dropbox lijkt vrijwel alles vast te leggen wat u met een bestand zou kunnen doen. Aanmaken, bewerken, delen, enz. — het wordt allemaal ergens in een logboek opgeslagen voor gebruik door Dropbox.
Ten slotte verzamelt Dropbox ook veel informatie over de apparaten die u gebruikt om toegang te krijgen tot de dienst, evenals uw IP-adres(nieuw venster), een unieke identificatiecode die kan helpen bij het bepalen van uw fysieke locatie. Hoewel dit een legitiem doel kan hebben, zoals probleemoplossing, lijkt het vreemd dat Dropbox dit preventief verzamelt.
Er is meer, maar dit lijken de belangrijkste gegevenspunten te zijn die Dropbox over zijn klanten verzamelt. Wat doet het bedrijf echter met deze schat aan informatie?
Wat doet Dropbox met al die gegevens?
Dropbox stelt dat het uw gegevens niet verkoopt aan adverteerders of derden.
Dat betekent echter niet dat het deze niet deelt.
Wat het meest verrassend is, is het aantal en de soorten derden die uw gegevens ontvangen. Dit zijn onder andere bedrijven met een uiterst slechte reputatie op het gebied van privacy, waaronder Google, Amazon en OpenAI.
Sommige hiervan zijn logisch in de context die Dropbox biedt, zoals ondersteuningsportaal ZenDesk, of betalingsprovider Stripe, of zelfs Amazon Web Services, dat waarschijnlijk de servers van Dropbox host. Er zijn er echter ook enkele waarbij iedereen zich twee keer zou moeten bedenken, zoals Google, een bedrijf dat gegevens als bedrijfsmodel verkoopt.
Andere minder bekende bedrijven zijn onder meer Kissmetrics, dat gegevens analyseert voor adverteerders, en OpenAI, het bedrijf dat ChatGPT heeft ontwikkeld en erom bekendstaat kantjes eraf te lopen als het gaat om de privacy van de gebruiker.
Dat is ook nog niet alles. Als een bedrijf met hoofdkantoor in de Verenigde Staten moet Dropbox voldoen aan Amerikaanse huiszoekingsbevelen en andere bevelen, die geheim kunnen zijn(nieuw venster) en vaak gemakkelijk te verkrijgen(nieuw venster) zijn. Dit betekent dat uw gegevens in beslag kunnen worden genomen op basis van zelfs de zwakste voorwendselen. Als gevolg hiervan ontvangt Dropbox veel verzoeken van wetshandhavingsinstanties(nieuw venster).
Het wordt echter nog erger: Dropbox maakt ook expliciet dat het meer dan bereid is om gegevens met de autoriteiten te delen op basis van eigen oordeel. Waar alle clouddiensten gedwongen zijn om met de wetshandhaving samen te werken wanneer er een bevel wordt uitgevaardigd, maakt Dropbox heel duidelijk dat het vrijwillig informatie zal verstrekken. Geen wonder dat Edward Snowden het een “wannabe PRISM-partner(nieuw venster)” noemde.
Wat het betekent voor consumenten
Dropbox adverteert niet als een privacydienst, maar zelfs met dat in het achterhoofd is het schokkend hoeveel gegevens het verzamelt en met wie het deze deelt. Het weet vrijwel alles wat er over u te weten valt en is meer dan bereid om dit te delen met marketeers — zowel de eigen marketeers als die van derden.
Erger nog, het maakt ook duidelijk dat het gegevens zal delen met de politie in het “algemeen belang”, een term die zo vaag is dat hij gebruikt kan worden om elke situatie te rechtvaardigen. Het enige wat we zeker weten is dat privacy volgens Dropbox geen zaak van algemeen belang is.
Wat het nog erger maakt, is dat het zijn gebruikers minder veilig heeft gemaakt om al deze gegevens te kunnen oogsten. Om te zien wat gebruikers op uw platform doen, moet u hun bestanden kunnen ontsleutelen. Met andere woorden, Dropbox gebruikt geen end-to-end versleuteling, de veiligste vorm van gegevensbeveiliging. Deze zwakke focus op beveiliging heeft geleid tot een lange reeks beveiligingsincidenten bij Dropbox.
Zelfs als u er geen probleem mee heeft dat Dropbox op de hoogte is van uw privégegevens (en waarom zou u dat zijn?), zou het feit dat deze praktijk het ook onveilig maakt u moeten doen onderbreken.
Een privé-alternatief voor Dropbox
Wij hebben Proton Drive ontwikkeld om onze community een veilige cloudopslagdienst te bieden die uw privacy serieus neemt. In tegenstelling tot bij Dropbox is uw privacy niet iets dat we in een opwelling kunnen afnemen — het is standaard inbegrepen.
Wij verzamelen bijvoorbeeld niet veel gegevens over onze klanten. We hebben uw e-mailadres, uw betalingsgegevens als u uw abonnement upgradet, en dat is het wel zo’n beetje. (U kunt zien hoe we gegevensverzameling minimaliseren in ons privacybeleid.) We hebben er simpelweg geen belang bij om die gegevens te hebben, omdat ons bedrijfsmodel gebaseerd is op het aanbieden van privé- en veilige diensten aan onze klanten. We worden volledig gefinancierd door onze community en hoeven dus geen gegevens te verkopen aan adverteerders.
We zijn ook minder blootgesteld aan bevelen van wetshandhavingsinstanties omdat we in Zwitserland gevestigd zijn en dus onderworpen zijn aan de Zwitserse privacywetgeving, die tot de strengste ter wereld behoort.
Zelfs als we toegang zouden willen tot uw gegevens of deze zouden willen delen, dan kan dat niet. Proton gebruikt end-to-end versleuteling in al onze apps. Dit betekent dat uw bestanden op uw apparaat worden versleuteld voordat ze naar onze servers worden geüpload. Dit beschermt uw privacy, maar zorgt er ook voor dat er voor hackers niet veel te stelen valt in het geval van een lek.
Dit alles maakt deel uit van onze missie om een beter internet te creëren. Als dat, evenals een veiliger, privé-alternatief voor cloudopslag, klinkt als iets waar u deel van wilt uitmaken, maak dan een gratis Proton Drive-account aan en sluit u bij ons aan.
