Hoe veel privacy heb je bij reparatie van je computer of smartphone?

| AE 13725 | Ondernemingsvrijheid, Privacy | 20 reacties

Bij het laten repareren van computers en smartphones is geen privacy en lopen mensen het risico dat hun persoonlijke foto’s en andere gegevens worden bekeken en gekopieerd, zo stellen onderzoekers van de University of Guelph in Canada. Dat meldde Security.nl onlangs. Speciaal geprepareerde laptops hielde in detail bij wat reparateurs op de machines allemaal uitvoerden: foto’s kopiëren, browsegeschiedenis bekijken en wachtwoorden noteren. Hoe zou dat bij ons uitpakken?

In theorie is het een strafbaar feit (art. 272/273 Strafrecht) om vertrouwelijke informatie van het werk te onthullen of voor andere doeleinden te gebruiken. Ik ken echter geen situaties waarin reparateurs werden vervolgd voor het soort handelen als in dat onderzoek werd beschreven. De AVG zou wel kunnen helpen, want je verwerkt als reparatiebedrijf dan persoonsgegevens op een manier die niet hoort bij de reparatie-opdracht. En uit je zorgplicht als dienstverlener volgt lijkt me ook wel dat je dit gewoon niet doet.

Het grote probleem is natuurlijk dat je hier moeilijk tot niet achter komt als klant. Heel misschien die wachtwoorden, maar de andere dingen kan een gewone gebruiker echt niet detecteren. En ze vooraf weghalen of afschermen is natuurlijk niet echt mogelijk, tegen de tijd dat je naar een reparatiewinkel gaat is de gemiddelde laptop of smartphone niet meer benaderbaar voor backups en afschermen.

Interessant vond ik nog het nieuwtje van Samsung en haar “Repair Mode“:

De modus geeft voldoende toegang om een reparatie uit te voeren, inclusief data over de apps van een device. Technici krijgen geen toegang tot de gebruikersgegevens van apps. Foto’s, sms’jes en e-mails blijven privé. … Samsung deelde geen details over de onderliggende technologie, maar we hebben een idee. Android-toestellen maken het reeds mogelijk om verschillende accounts voor verschillende gebruikers aan te maken.
Dit werkt bij smartphones denk ik vrij goed, zo’n gastaccount voor reparateurs zal dan geen sleutel bevatten om de user content te unlocken, maar biedt wel toegang tot instellingen van het apparaat zodat diagnostiek en controle uit te voeren is. Bij laptops zou ook zoiets kunnen, maar daar is disk encryptie (zoals Bitlocker) bij consumenten niet standaard. Dan zou je dus ook vanuit een gastenaccount op de harddisk kunnen gaan snuffelen, of gewoon de HD eruit halen en uitlezen.

Arnoud

Toezichthouder ziet niets in vergoeding voor internetverkeer door techbedrijven

| AE 13723 | Ondernemingsvrijheid | 8 reacties

geralt / Pixabay

De Europese telecomtoezichthouder BEREC ziet niets in de plannen van internetproviders om techbedrijven als Google en Netflix te laten betalen voor hun internetverkeer. Dat meldde Nu.nl onlangs. Als een techbedrijf weigert een vergoeding te betalen, zou dat kunnen betekenen dat internetproviders de dienst bijvoorbeeld vertragen of zelfs blokkeren. Logisch, maar frustrerend voor internetproviders die de rekening betalen voor de sterk toegenomen hoeveelheid dataverkeer.

Het probleem waar BEREC onderzoek naar deed, is dat techbedrijven zoals Netflix verantwoordelijk zijn voor een enorm deel van alle internetverkeer. Natuurlijk betaalt Netflix wel voor haar toegang tot internet (en dat zal geen malse rekening zijn), maar in Nederland moet bijvoorbeeld VodafoneZiggo maar zorgen dat ze genoeg capaciteit heeft zodat heel Nederland The Crown kan kijken wanneer Netflix seizoen vier dropt.

Normaal zou je zeggen dat als een leverancier je op enorme kosten jaagt, je dan die leverancier een rekening stuurt. Of maatwerkafspraken met ze maakt voor volgende keer. Maar dat ligt op internet lastig, vanwege het fundamentele punt dat alle internetverkeer gelijk moet worden behandeld – netneutraliteit. Als je Netflix meer geld zou vragen voor het doorgeven van haar videostreams, dan overtreed je de Europese regels over gelijke netwerkbehandeling.

Het rapport van BEREC wijst nog op een ander punt: inderdaad moet je als provider investeren in het upgraden van je netwerk, maar daar kun je dan ook gewoon duurdere abonnementsprijzen voor vragen. Op die manier verdien je de investering gewoon weer terug. En genoeg mensen willen zo’n duurder abonnement, want die willen immers Netflix kijken terwijl ze Spotify streamen en ondertussen Teamsen met collega’s.

Daar staat natuurlijk tegenover dat die contentproviders dan snel redeneren “oh leuk snel internet, dan kunnen wij nóg meer capaciteit en opties bieden”. Denk aan extra schermen of streamen in 4k. Zeg maar Wirth’s law maar dan voor dataverkeer. Volgens het verband van toezichthouders vallen die effecten min of meer tegen elkaar weg.

BEREC ziet verder in jaarverslagen geen winstwaarschuwingen voor sterk stijgende kosten van netwerkverkeer, iets dat je bij beursgenoteerde ISPs wel zou verwachten als de contentproviders veel harder zouden groeien dan de ISPs aankunnen. En daar komt bij dat steeds meer contentproviders investeren in eigen transitverbindingen en lokale opslag (content delivery networks), zodat de kosten voor ISPs binnen de perken blijven.

Al met al is er dan geen aanleiding om de regels te versoepelen en toe te staan dat ISPs geld vragen van contentproviders om zo de kosten te dekken. Dat zou juist het vervelende effect geven dat ISPs kunnen gaan bepalen wie er gestreamd mogen worden en tegen welke voorwaarden, en dat raakt aan de kern van internet.

Arnoud

Mag je onderzoeken naar een datalek bij een politieke partij?

| AE 13727 | Privacy | 37 reacties

De gegevens van 92.901 leden en oud-leden van de Nederlandse politieke partij Forum voor Democratie zijn gelekt. Dat meldde Tweakers donderdag. De administratieserver had een fout waardoor je zonder controle lidmaatschapsgegevens kon opvragen (namen, e-mailadressen, telefoonnummers en rekeningnummers van leden en oud-leden). Auw. De journalisten van RTL Nieuws kregen 92.901 records te pakken. Wat de vraag opriep: mag dat eigenlijk wel, zo’n lijst downloaden, gaat dat niet te ver?

Het lek is ondertussen gedicht, en afgezien van een melding bij de AP en een dreiging met aangifte tegen iedereen die de gegevens misbruikt lijkt er niets meer van te komen. Maar het punt blijft: had je als journalist zo ver mogen gaan?

Hoofdregel is natuurlijk dat ook journalisten zich aan de wet moeten houden. Maar er is een uitzondering: als het absoluut noodzakelijk is voor het aan de kaak stellen van een ernstige misstand, dan mag je verder gaan. Inclusief dus inbreken in een computersysteem, wanneeer dat dus de enige manier is om vast te stellen dat daar inderdaad een lek zit.

De omvang van het lek vaststellen mag ook, want dat is dan deel van het nieuws. Maar dan krijg je het dilemma: is het nodig om 92.901 records te downloaden om te controleren of je werkelijk álle ledengegevens te pakken kunt krijgen? Kun je niet volstaan met enkele records te zoeken (op je eigen naam, of op de naam van bekende leden, zodat je geen nodeloze schade aanricht) om zo de omvang van het probleem vast te stellen?

In de al wat oudere Nieuwe Revu-zaak werd het hacken van de mailbox van de toenmalige Staatssecretaris van Defensie legaal geacht, maar het vervolgens snuffelen in de mails dan weer niet. Voor het nieuwsfeit “is die mailbox zwak beveiligd” was op zich aanleiding, maar “hij doet mogelijk staatszaken in de privémailbox” was te theoretisch. En Henk Krol kreeg in 2013 ook een boete voor het grasduinen in EPD dossiers na bewezen te hebben dat een arts een zwak wachtwoord had, zij het dat meewoog dat hij dat voor de televisiecamera deed.

Mijn eerste gevoel bij deze zaak is dat omdat het hier gaat om zeer gevoelige gegevens, je in je recht staat om vast te stellen hoe ernstig de zaak precies is. Dan is downloaden van de gehele dataset wel nodig, al is het maar om te kunnen reageren op de onvermijdelijke downplaying die menig organisatie zou doen bij een dergelijk nieuwsbericht. Natuurlijk moet je die dataset vervolgens ergens in een kluis stoppen en verder niet aankomen.

Weet er iemand een andere manier om dit lek te valideren op zo’n manier dat de scope vast komt te staan maar zónder dat je alle records downloadt?

Arnoud

Hoe erg is Office, pardon Microsoft 365 in strijd met de AVG?

| AE 13720 | Ondernemingsvrijheid, Privacy | 9 reacties

Microsoft 365 is volgens het Duitse Datenschutzkonferenz nog steeds in strijd met de Europese GDPR-privacyregelgevingen. Dat meldde Tweakers onlangs. Het gaat om een voorlopige conclusie van een tweejarig onderzoek naar de online services binnen de Office-tool (met nieuwe merknaam) van het bedrijf. Volgens de Dsk zijn er ‘geen substantiële verbeteringen’ doorgevoerd, Microsoft heeft een beter PR… Lees verder

Verdachte niet bestraft voor phishingpanel omdat politie werking niet onderzocht

| AE 13718 | Regulering | 2 reacties

Een verdachte die een phishingpanel op zijn telefoon had staan is hiervoor niet veroordeeld omdat de politie de werking ervan niet heeft getest. Dat meldde Security.nl maandag. Een phishingpanel is een tool om phishingwebsites mee op te zetten, maar je moet natuurlijk wel aantonen dat deze werkte. Opstekertje voor mij: het is een feit van… Lees verder

Kantoor van Twitter in Brussel gesloten, is dat een juridisch probleem?

| AE 13716 | Informatiemaatschappij | 5 reacties

Het kleine maar vitale kantoor van Twitter in Brussel is gesloten, meldt de Financial Times donderdag. De laatste medewerkers zijn weg – onduidelijk is of ze zijn ontslagen dan wel ontslag hebben genomen. Het gaat op zich om een handvol mensen, en alle kernactiviteit van Twitter speelt zich in Californië af. Maar toch is dit een stap… Lees verder

Politie ontdekt iSpoof-server in Almere en haalt oplichtingsdienst uit de lucht

| AE 13712 | Regulering | 14 reacties

Het Cybercrimeteam Midden-Nederland heeft in samenwerking met de Londense Metropolitan Police Service iSpoof-servers uit de lucht gehaald. Dat meldde Tweakers donderdag. Met deze servers werden duizenden neptelefoontjes per maand gefaciliteerd, wat vaak gebruikt wordt voor oplichting zoals door alarmerende “wij zijn van de bank en u wordt gehackt” telefoontjes. Wat de vraag oproept, waarom kán… Lees verder

Europees Hof van Justitie: antiwitwasregister UBO is buitenproportioneel

| AE 13709 | Informatiemaatschappij | 16 reacties

Het Europese Hof van Justitie heeft geoordeeld dat het UBO-register ‘in de huidige vorm de grondrechten en privacy van burgers ernstig aantast’. Dat meldde Tweakers vorige week. Het gaat daarbij vooral om de bepaling dat bepaalde gegevens door iedereen mogen worden ingezien. De uitspraak is vooral opmerkelijk omdat ze haaks staat op een oordeel van… Lees verder

NVB: digitale euro heeft weinig meerwaarde voor burgers en bedrijven

| AE 13705 | Innovatie, Ondernemingsvrijheid | 19 reacties

De digitale euro heeft in de huidige opzet weinig meerwaarde voor burgers en bedrijven, maar kan een grote impact op de kwaliteit en stabiliteit van het geldstelsel en betalingsverkeer hebben. Dat las ik bij Security.nl. De Nederlandse Vereniging van Banken (NVB), die achter de uitspraak zit, pleit dan ook voor een maatschappelijk debat alvorens we… Lees verder

Nederlandse overheid overweegt te stoppen met pagina’s op Facebook

| AE 13701 | Privacy, Uitingsvrijheid | 12 reacties

De Nederlandse overheid overweegt zijn pagina’s op Facebook te sluiten, las ik bij Tweakers. In een Kamerbrief meldt staatssecretaris Alexandra van Huffelen dit als conclusie van een dpia van de datapraktijken van moederbedrijf Meta, die zeven grote risico’s liet zien op het gebied van transparantie en controleverlies. Een goede zaak dat dit eindelijk op de… Lees verder