Het wilde westen van de privacywereld: videogames


Proloog

Videogames, in het begin kon je met een telraam het aantal pixels op je (veel te grote) scherm tellen. Je kon die pixels dan bewegen met een joystick en dat zorgde voor een wereld aan plezier. Tegenwoordig is er iets meer nodig om mensen aan het beeldscherm gekluisterd te houden. De videogame industrie is dan ook flink gegroeid, zowel in kwaliteit als in omzet. In 2022 was de wereldwijde omzet van de videogame industrie ongeveer 184 miljard Amerikaanse dollar. (Ter vergelijking, de muziek en filmindustrie hadden samen ongeveer 52 miljard dollar omzet). Dat zijn niet te bevatten bedragen, helemaal als je bedenkt dat de afzetmarkt van de industrie beperkt is. Iedereen kijkt films en luistert muziek, van kinderen die Dora volgen op haar avonturen tot mijn oma van 94 die graag luistert naar André Rieu. Echter, ik zie mijn oma nog niet alle vijanden neerschieten in een online schietspel!

Ondanks dat er wel uitzonderingen zijn, richten veel videogames zich toch op jongeren. Je ziet het bijvoorbeeld bij spellen zoals Fortnite en Roblox, vrolijke kleuren en vormgegeven als een cartoon. Het spreekt kinderen aan. Dat brengt ons ook op het probleem wat we in dit artikel gaan bespreken. Videogames bouwen werelden waarin spelers wereldwijd dagelijks uren doorbrengen. Toch brengen videogames niet alleen plezier en competitie, naast alle meer voor de hand liggende problemen (denk aan verslaving etc.), spelen hier ook verschillende privacy problemen. We zien steeds meer verbeteringen online als we het hebben over de AVG en de Telecommunicatiewet (Tw). Zo doen steeds meer eigenaren van websites hun best om op een juiste manier om toestemming te vragen voor online tracking en zie je steeds meer privacyvriendelijke alternatieven voor invasieve tracking-tools. Bij videogames blijft dit nog een beetje achterwege.

In dit artikel bespreken we twee onderdelen die raken aan de privacy van gamers: gebruiksgegevens en anti-cheat software. De eerste omdat dit een punt is waar gemakkelijk veel winst te behalen valt voor game-ontwikkelaars en de tweede omdat dit een ingewikkelder probleem is waar we de discussie wel over moeten aanwakkeren.

Level 1: De jacht op jouw gegevens

De winst die een ontwikkelaar uit een videogame haalt zit niet altijd meer in de aanschafprijs. Wat namelijk ook veel geld kan opleveren: data. Spelers maken accounts aan, loggen in, kopen in-game items en communiceren met anderen. Dit biedt een goudmijn aan informatie voor game-ontwikkelaars, van persoonlijke voorkeuren tot gedetailleerde speelpatronen. Veel van deze gegevens vallen onder artikel 11.7a van de Tw. Als je veel met cookies werkt, ken je dit artikel waarschijnlijk al. Online tracking op websites valt namelijk ook onder dit artikel. Dezelfde regels zijn dan ook van toepassing.

De Tw schrijft voor dat dergelijke informatie alleen verzameld mag worden met toestemming van de gebruiker. En hier begint het interessante deel: hoewel spelers vaak akkoord gaan met de algemene voorwaarden (die we natuurlijk allemaal lezen, toch?), wordt de daadwerkelijke toestemming voor gegevensverzameling niet altijd (volgens de regels) verkregen. Zo wordt de toestemming soms verwerkt in de algemene voorwaarden (niet specifiek genoeg). Of wordt er gebruik gemaakt van een opt-out systeem, waarbij de speler eerst de diepste levels van de instellingen moet trotseren om de gegevensverzameling uit te zetten (geen actieve handeling). En dan zijn er ook nog games die het gewoon helemaal niet vragen.

Natuurlijk zijn er ook situaties waarin je bepaalde gegevens mag verzamelen zonder toestemming. Denk bijvoorbeeld aan anonieme analytische data, hoe doet je game het en waar lopen mensen vast? In veel gevallen gaat het echter veel verder. Een angstaanjagend voorbeeld komt uit een angstaanjagende videogame. De horror game Silent Hill: Shattered Memories maakt een psychologisch profiel van spelers. Zo worden spelers bijvoorbeeld geclassificeerd als ‘apathisch’ en beïnvloed dat het verdere spelverloop. We hebben het dan over medische gegevens, ik hoop dat ze de grondslag en uitzonderingsgrond voor (het verbod op) die verwerking goed rond hebben gekregen…!

Level 2: De jacht op valsspelers

Valsspelen, het is een bekend begrip. Jezelf iets meer geld geven bij monopoly of op het schoolplein tot tien tellen terwijl je door je vingers heen kijkt waar iedereen zich verstopt. In de videogame wereld noemen we dat ‘cheaten’ en mensen die dat doen zijn ‘cheaters’. Videogames hebben vaak bepaalde doelen, bijvoorbeeld duizend goudstukken verzamelen om een nieuw zwaard te kunnen kopen. Niet iedereen heeft zin om uren te zwoegen om dat zwaard te kunnen kopen dus zijn er vaak mensen die direct in de code van een game duiken om te kijken hoe ze bepaalde dingen aan kunnen passen.

Niet eerlijk natuurlijk, maar als het een single-player game is (die je dus alleen speelt en niet met anderen) ‘heb je daar alleen jezelf mee’, want dan ga je snel door het verhaal heen en mis je mogelijk mooie gameplay die onderdeel is van het spel. Je ziet regelmatig dat ontwikkelaars in single-player games cheats inbouwen. Dankzij deze cheats hoef je dan enkel op een paar toetsen te drukken of een code in te voeren en dan heb je opeens die duizend goudstukken. In multi-player games (die je dus met meerderen speelt) is dit wel een probleem. Het is vervelend om de hele tijd neergeschoten te worden door iemand die niet zelf richt, maar het richten van zijn geweer door een geavanceerd AI-systeem laat doen.

In multi-player games zitten dan ook geen cheats ingebouwd door de ontwikkelaars. Dit houdt echter slimme mensen wereldwijd niet tegen. Cheaters maken speciale aanpassingen aan de software om toch hun zin te krijgen. Ontwikkelaars vinden dat niet leuk en doen daarom hun best om dit tegen te gaan. Ze creëren nieuwe systemen om deze cheats op te merken en cheaters te blokkeren. Cheaters maken vervolgens nog weer betere systemen om die maatregelen te omzeilen. Er is dan ook een waar kat en muis spel aan de gang tussen game-ontwikkelaars en cheaters. Tegenwoordig zijn er bedrijven die zich specifiek richten op anti-cheat-software. Zij maken dus geen videogames, maar verkopen hun software aan game-ontwikkelaars.

Deze oplossingen werken vaak op het kernel-level van je computer. Dat is zo diep in je computer dat ze vanuit daar eigenlijk alles kunnen monitoren. Dat is alsof je iemand niet alleen de sleutel van je huis geeft, maar ook de toegangscode van je alarmsysteem en de pincode van je bankpas. Ze kunnen zien welke hardware je gebruikt, welke software je geïnstalleerd hebt en welke bestanden je op je computer hebt staan (en nog veel meer, maar dat zou een hele lange lijst worden).

Op het moment dat je je computer opstart houdt de anti-cheat software bij of je niet ook cheat-applicaties geïnstalleerd hebt. Deze anti-cheat software draait vaak ook als je het spel niet speelt of als je nooit multi-player speelt. Hoewel het doel nobel is – namelijk het bestrijden van valsspelers – zorgen deze methodes voor een inbreuk op de privacy van de speler die veel verder lijkt te gaan dan nodig is.

Juridisch gezien is dit een interessante situatie. De AVG geeft aan dat verwerkingen in het kader van fraudebestrijding een gerechtvaardigd belang kunnen zijn. Het tegengaan van cheaters zou dus, mits voorzien van een goede onderbouwing, gebruik kunnen maken van de grondslag gerechtvaardigd belang. De AVG is echter niet de enige wet die hier iets over te zeggen heeft. De Tw, is hier ook weer van toepassing. Ook hier gaat het om het opslaan op of toegang krijgen tot informatie op het apparaat van de eindgebruiker. Dat de Tw van toepassing is op deze situatie brengt met zich mee dat toestemming eigenlijk de enige mogelijke grondslag is. Toestemming in deze situatie levert een hoop praktische problemen op, want hoe nuttig is een anti-cheat systeem als valsspelers gewoon geen toestemming geven en dan de game kunnen spelen?

Het is goed om te zorgen voor een eerlijk speelveld, maar dit moet wel binnen de regels gebeuren. Game-ontwikkelaars zijn met anti-cheat software druk bezig om te zorgen dat spelers zich aan hun regels houden, dat ze zich niet aan de regels in de wet houden. Ergens zit daar wel een ironisch puntje. De vraag die wij (juristen en game-ontwikkelaars) moeten gaan beantwoorden is: hoe zorgen we voor een eerlijk speelveld, maar doen we dit wel volgens de regels?

Level 3: Waar een wil is, is een weg!

Ik zeg niet dat het makkelijk is. De privacywetgeving implementeren in videogames. Het is namelijk heel ingewikkeld. ICTRecht biedt ook een videogame aan, de Privacy Simulatie. Deze serious game helpt organisaties met het verbeteren van privacy awareness. Medewerkers gaan op een leuke en interactieve manier aan de slag met problemen die ze in het echt tegen kunnen komen. Tijdens het ontwikkelen liepen wij ook vaak tegen dit soort problemen aan. Hoe voorkom je dat mensen valsspelen? (Spoiler: we hebben geen kernel-level anti-cheat). En hoe gaan we opdrachtgevers informatie verschaffen over hoe hun medewerkers het doen? Waar lopen mensen vast? Hoe komen we daarachter zonder persoonsgegevens te verzamelen?

Het is dan ook belangrijk om bij het ontwikkelen al stil te staan bij zaken als ‘privacy by design’ en ‘privacy by default’. Vraag ook op tijd om hulp! Bij ICTRecht kunnen we altijd meedenken tijdens elke stap van het proces, dat is beter dan achteraf tot de conclusie komen dat heel veel zaken anders moeten.

Een paar tips die ik mee kan geven: vraag op een goede manier om toestemming en verzamel niet meer gegevens dan nodig is!

Epiloog

Als we het over privacy hebben staan videogames nog altijd een beetje buiten de spotlights. De videogame industrie wordt nog altijd een beetje over het hoofd gezien, niet alleen door de wetgever en de toezichthouder, maar ook door belangenorganisaties en ouders. Het is tijd om een sheriff aan te stellen die het wilde westen van de privacywereld een beetje onder controle gaat brengen.



https://www.ictrecht.nl/blog/het-wilde-westen-van-de-privacywereld-videogames