“Apps zijn diep verankerd in ons dagelijks leven: we gebruiken ze voor communicatie, navigatie, bankieren, gezondheid en zelfs voor toegang tot publieke diensten. Zonder apps leven wordt steeds moeilijker,” vertelt Julia Krämer, promovenda aan Erasmus School of Law. Juist omdat apps zo vanzelfsprekend zijn geworden, is het volgens haar belangrijk om stil te staan bij wat er op de achtergrond gebeurt. Veel apps verzamelen en delen persoonsgegevens, soms op grote schaal. De Algemene verordening gegevensbescherming (AVG) moet Europese burgers daartegen beschermen. In haar proefschrift Data protection by platform: The role of private actors in shaping GDPR compliance in the mobile ecosystem onderzoekt Krämer hoe Apple en Google via hun app stores en besturingssystemen invloed uitoefenen op de naleving van de AVG. Op 5 februari 2026 verdedigde zij haar proefschrift onder begeleiding van Pieter Desmet, hoogleraar Quantitative Empirical Legal Studies, en Koen Swinnen, hoogleraar Privaatrecht en Publieke en Private Belangen.
Wie bepaalt hoe de AVG werkt?
Wanneer het gaat over naleving van de AVG, denken we meestal aan toezichthouders, rechters en individuele app-ontwikkelaars. Maar in de praktijk blijkt dat niet helemaal te kloppen. Krämer legt uit: “De toegang tot apps wordt bemiddeld door slechts twee grote spelers: Apple en Google, via hun app stores.” Dat wringt volgens haar. Ondanks het bestaan van een streng Europees gegevensbeschermingskader blijkt uit empirisch onderzoek dat niet-naleving in het mobiele ecosysteem wijdverbreid is. Trackingmechanismen worden op grote schaal ingezet, ook in apps die gevoelige persoonsgegevens verwerken.
Apple en Google bepalen onder welke voorwaarden apps worden toegelaten, welke informatie ontwikkelaars moeten geven en welke technische mogelijkheden beschikbaar zijn. Daarmee oefenen zij invloed uit op de manier waarop AVG-verplichtingen in de praktijk worden ingevuld. Volgens Krämer is dat geen neutrale rol: platforminitiatieven sluiten niet altijd vanzelfsprekend aan bij de kernbeginselen van de AVG, zoals een actor-neutrale benadering van tracking en het beginsel van dataminimalisatie.
Transparantie is niet hetzelfde als bescherming
Een belangrijk onderdeel van Krämer’s onderzoek is de analyse van zogenoemde privacylabels in app stores. Dat zijn korte overzichten waarin ontwikkelaars aangeven welke gegevens hun app verzamelt en met wie die worden gedeeld. Het onderliggende idee is eenvoudig: als gebruikers weten wat er met hun gegevens gebeurt, kunnen zij een weloverwogen keuze maken om een app wel of niet te downloaden. Maar transparantie werkt alleen als de informatie klopt en volledig is. “Hoewel privacylabels verbeterde transparantie en gebruikerscontrole beloven, laat mijn analyse zien dat zij in de praktijk vaak tekortschieten,” zegt Krämer. Privacylabels worden niet systematisch gecontroleerd en de manier waarop ‘tracking’ wordt gedefinieerd kan beperkt zijn. Daardoor kan het lijken alsof een app weinig data verzamelt, terwijl bepaalde vormen van dataverwerking buiten beeld blijven. Transparantie betekent dan ook niet automatisch daadwerkelijke bescherming van persoonsgegevens.
Privacy wordt ook technisch vormgegeven
De kern van het proefschrift is dat privacy niet alleen een juridische kwestie is, maar ook een technische. “Als er één ding is dat ik mensen wil meegeven, dan is het dat privacy en gegevensbescherming niet alleen door wetgeving worden gevormd, maar ook door infrastructuur,” zegt Krämer. Met ‘infrastructuur’ bedoelt Krämer de technische omgeving waarin apps functioneren en worden ontwikkeld: het besturingssysteem, de app store, de standaardinstellingen en de beschikbare tools. Als een platform bepaalde trackingmechanismen toestaat of juist beperkt, heeft dat direct invloed op wat ontwikkelaars kunnen doen. “Mijn onderzoek laat zien dat machtige private actoren, zoals Apple en Google, feitelijk privacystandaarden vaststellen via het ontwerp van app stores en besturingssystemen.” Daarmee vullen zij in zekere zin een reguleringsruimte in die niet volledig door traditionele handhaving wordt gedekt.
De ‘privacykampioen’ kritisch bekeken
Apple profileert zich nadrukkelijk als privacyvriendelijk bedrijf. Toch waarschuwt Krämer voor een te rooskleurig beeld. “Mijn bevindingen suggereren dat claims van bedrijven zoals Apple om ‘privacykampioen’ te zijn, met voorzichtigheid moeten worden benaderd,” zegt zij. Platformen kunnen privacytools invoeren die gebruikers meer controle geven, maar tegelijkertijd ook eigen belangen dienen. “Daarom betoog ik in mijn proefschrift dat privacy niet langer kan worden behandeld als een designkenmerk of een marketingslogan door Apple en Google.” Als mobiele platformen inmiddels essentiële infrastructuur vormen voor deelname aan de samenleving, dan moet gegevensbescherming volgens haar worden benaderd als een structurele verantwoordelijkheid, niet als een optionele toevoeging.
Recht combineren met data
Wat het proefschrift bijzonder maakt, is de combinatie van juridisch onderzoek en grootschalige data-analyse. Krämer ontwikkelde een eigen webscraper en verzamelde gedurende drie jaar gegevens over ongeveer 2,5 miljoen apps. “Door doctrinale juridische analyse te combineren met grootschalige empirische data wordt het mogelijk om niet alleen te beoordelen wat de wet voorschrijft, maar ook hoe zij in de werkelijkheid functioneert,” legt zij uit. Juist in een digitale omgeving, waar miljoenen apps actief zijn, is zo’n brede blik volgens haar noodzakelijk om structurele patronen zichtbaar te maken.
Wie houdt de poortwachter in toom?
Krämer’s onderzoek laat zien dat effectieve gegevensbescherming vandaag de dag niet alleen vraagt om duidelijke wetgeving, maar ook om aandacht voor de partijen die de digitale infrastructuur controleren. Platformen zijn niet slechts doorgeefluiken tussen ontwikkelaars en gebruikers, maar actieve spelers die via ontwerpkeuzes, formats en technische standaarden de toepassing van de AVG mede vormgeven. Volgens Krämer betekent dit dat toezichthouders en beleidsmakers explicieter moeten erkennen hoe groot die infrastructuurmacht is. Alleen dan kan worden beoordeeld of platformbeleid daadwerkelijk aansluit bij de uitgangspunten van de AVG. Zoals zij het samenvat: “Als we betekenisvolle gegevensbescherming willen, moeten we verder kijken dan formele regels en goed letten op wie de technische architectuur controleert waarbinnen die regels functioneren.”
Terugblik en advies aan nieuwe promovendi
Met het afronden van haar proefschrift sluit Krämer een intensieve, maar waardevolle periode af. Zij kijkt vooral met plezier terug op het internationale karakter van haar vakgebied. “De mooiste momenten van mijn promotietraject waren zonder twijfel de conferentiereizen,” vertelt zij. Het presenteren van haar werk en het in gesprek gaan met andere onderzoekers gaf haar het gevoel onderdeel te zijn van een bredere academische gemeenschap. Het promotietraject leerde haar bovendien hoe belangrijk het is om over de grenzen van disciplines heen te kijken. Het combineren van juridische analyse met programmeerwerk en grootschalige data-analyse vroeg om nieuwe vaardigheden en doorzettingsvermogen, maar maakte het onderzoek volgens haar ook sterker en relevanter.
Aan beginnende promovendi geeft zij drie adviezen mee: zoek vroeg aansluiting bij je academische community, investeer in een goed systeem voor literatuurbeheer en notities, en houd ruimte om het proces ook bewust te beleven. Zoals zij het zelf zegt: “Enjoy the ride.”
- Promovendus
- Meer informatie
Het proefschrift is hier te lezen. Krämer was eerder te gast in de podcast The Digital Period en schreef een blog die werd gepubliceerd op The Digital Constitutionalist.
Dit onderzoek is onderdeel van het Sectorplan SSH-Breed, een uniek landelijk initiatief dat multidisciplinair onderzoek en onderwijs in de sociale- en geesteswetenschappen versterkt. Bij Erasmus Universiteit Rotterdam ligt de focus op enkele van de meest urgente vragen van deze tijd: Wat is de invloed van digitalisering op werk, welvaart en ondernemerschap. Hoe verandert technologie onze banen en kansen? Op welke manieren biedt digitalisering nieuwe mogelijkheden voor ondernemers? En wat betekent dit voor de verdeling van welvaart in een digitale wereld?
Benieuwd naar de antwoorden? Lees meer over het Sectorplan SSH-Breed.
- Gerelateerde content
