Belgisch techbedrijf krijgt boete voor niet tijdig verwijderen mailbox ex-medewerkster

Geplaatst op in Ondernemingsvrijheid, 5 reacties
Photo by Philippe Murray-Pietsch on Unsplash

Een groot Belgisch techbedrijf heeft een boete van in totaal 176.000 euro gekregen omdat het de mailbox van een ex-medewerkster niet tijdig verwijderde. Dat meldde Security.nl onlangs. Het ging om ruim een jaar na ontslag de mailbox nog aanhouden én niet transparant zijn.

In haar beslissing legt de Belgische Gegevensbeschermingsautoriteit (GBA) uit dat de persoonsgebonden mailbox (voornaam.achternaam apestaartje) weliswaar bij ontslag een out-of-office kreeg, maar een jaar later nog steeds bleek te werken. En die OOO bevatte dit:

“[…] Ik ben momenteel offline met zeer beperkte toegang tot internet. Gelieve wat vertraging in mijn antwoord te accepteren. […]
Ik snap hoe je als ex-werknemer dan geërgerd denkt, die mailbox moest maar eens opgeheven zijn. Helaas bleek het bedrijf weinig geneigd om daar aan mee te werken. Vandaar de stap naar de GBA.

De GBA stelt voorop dat je ook na vertrek een mailbox moet kunnen aanhouden vanuit bedrijfsbelangen, maar dat het na een maand echt wel klaar moet zijn. Dat is bij hen een consequente lijn, en hoewel de AVG zelf geen formele termijnen kent (ik wil niets meer horen over het stokoude vrijstellingsbesluit van de AP), mag je als toezichthouder best zo’n termijn als hoofdregel stellen.

Als partij kun je dan met een uitleg komen waarom het bij jou écht langer moet zijn dan die maand, maar die was er in dit geval niet. En de GBA haalt zwaar geschut van stal: het kan dan het misdrijf aftappen van privécommunicatie opleveren (privémails in de zakelijke mailbox) als je dan alsnog die mailbox in gaat.

Anders gezegd: je hebt een “degelijk gegevensbeschermingsbeleid door ontwerp van professionele mailboxen” nodig waarmee je uitwerkt hoe je in persoonsgebonden mailboxen gaat vissen naar zakelijk relevante mails, en hoe je die er binnen een maand uit krijgt om ze in je administratie, zaaksysteem, CRM of whatever te krijgen.

En dat raakt aan een al wat oudere pet peeve van mij: e-mail is een transportmedium, geen administratie of opslag. Eigenlijk zouden mailservers zo ingesteld moeten worden dat alle mails ouder dan 30 dagen vernietigd worden. Wie wil bewaren, moet ze in een administratie of archief opbergen.

Arnoud

Mag ik als werkgever mensen verplichten tot vingerafdrukken in plaats van wachtwoorden?

Geplaatst op in Ondernemingsvrijheid, Privacy, Security, 25 reacties
Photo by Meg Jenson on Unsplash

Een lezer vroeg me:

Vanwege zorgen over wachtwoord-delen heb ik mijn werknemers nieuwe laptops gegeven, waarbij ze met hun vingerafdruk de laptop kunnen unlocken en alleen toegang krijgen tot die delen van ons systeem die voor hen relevant zijn. Ik krijg nu klachten dat ik hiermee de AVG schend omdat ik met deze nieuwe aanpak ongeoorloofd biometrische gegevens van hen op zou slaan. Hebben ze daar een punt?
Een vingerafdruk is een biometrisch persoonsgegeven volgens de definitie uit de AVG. Artikel 4 lid 14 AVG omschrijft het immers als “fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon”. Of je die kenmerken nou opslaat als een plaatje of als een feature vector, dat maakt niet uit. Het blijven kenmerken van (een vinger van) een persoon.

De AVG zegt dat je geen biometrische persoonsgegevens mag gebruiken behalve in uitzonderlijke gevallen. De relevante uitzondering is in Nederland opgenomen in de Uitvoeringswet AVG, artikel 29:

… het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken [is] niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
Hier is precies sprake van dat geval. Met de vingerafdruk wordt de gebruiker geauthenticeerd. De vingerafdruk gaat nergens naar toe, maar blijft in de laptop. Dat is dus een keurige implementatie die aan de beveiligingseisen van de AVG voldoet.

Het probleem is dan of het ‘noodzakelijk’ is in de zin van artikel 29. Hierover staat een passage in de memorie van toelichting bij de invoering van dit wetsartikel, die regelmatig discussie oproept:

Dit zal het geval zijn als de toegang beperkt dient te zijn tot bepaalde personen die daartoe geautoriseerd zijn, zoals bij een kerncentrale. Het verwerken van biometrische gegevens dient ook proportioneel te zijn. Als het om de toegang tot een garage van een reparatiebedrijf gaat, zal de noodzaak van de beveiliging niet zodanig zijn dat werknemers alleen met biometrie toegang kunnen krijgen en daartoe deze gegevens worden vastgelegd om de toegangscontrole uit te oefenen. Aan de andere kant kan biometrie soms juist een belangrijke vorm van beveiliging zijn voor bijvoorbeeld informatiesystemen, die zelf veel persoonsgegevens bevatten, waarbij onrechtmatige toegang, ook van werknemers, moet worden voorkomen.
Uit dat “zoals bij een kerncentrale” wordt vaak afgeleid dat de lat dus heel hoog ligt, want wie is er nou vergelijkbaar met een kerncentrale. De Autoriteit Persoonsgegevens zegt  dat het “moet gaan om een zwaarwegend algemeen belang”, een uitzonderlijke situatie. De gemiddelde mkb-organisatie komt daar niet aan.

In 2019 vond winkelbedrijf Manfield dat vingerafdruksensoren nodig waren voor authenticatie bij de kassasystemen, omdat je daarmee toegang kreeg tot klantgegevens en personeelsgegevens. Dit sluit mooi aan bij die laatste zin: informatiesystemen met veel persoonsgegevens vergen extra beveiliging, ook als het geen kerncentrales zijn.

De rechter oordeelde anders, maar vooral omdat Manfield niet had onderbouwd dat alternatieven zoals pasjes niet goed genoeg zouden zijn. Had men een afweging met voors en tegens van de diverse technologieën overlegd en was daaruit de vingerafdruksensor als meest geëigend gekomen, dan had dit wel eens anders uit kunnen vallen.

Dit probleem zien we vaker bij de AVG: er is weinig jurisprudentie, en de oorspronkelijke kaders (2016-2018) zijn sterk verouderd. De technologie is snel gegroeid maar de “waarom” vraag blijft daar fors bij achter. Dus dan is de vingerafdruksensor nu het meest voor de hand liggend (haha), maar waarom het echt béter is dan de alternatieven, blijft onduidelijk.

Arnoud

Banken eisen meer actie van sociale media tegen internetcriminelen

Geplaatst op in Ondernemingsvrijheid, Regulering, 3 reacties
GDJ / Pixabay

Nederlandse grootbanken eisen actie van Meta, TikTok en Google tegen de explosieve toename van fraude via sociale media. Dat meldde het FD onlangs (€). Meer dan 70% van alle fraudepogingen kent zijn oorsprong op deze kanalen, zo blijkt uit onderzoek. En ik zie inderdaad vrij weinig gebeuren bij de grote sociale media-diensten.

De aanleiding klinkt nogal dringend:

Banken doen de oproep naar aanleiding van de jaarlijkse publicatie van de fraudecijfers, waaruit blijkt dat de schade als gevolg van bankhelpdeskfraude steeg met ruim 3 miljoen euro en in 2025 uitkwam op 25,8 miljoen euro. Ook de schade als gevolg van phishing steeg met 1,8 miljoen euro, naar bijna 2,6 miljoen euro. Ondanks de stijging van de schade nam het aantal slachtoffers van bankhelpdeskfraude wel af: met 14% naar iets minder dan 5.900 personen.
Het onderzoek waarnaar men verwijst is een rapport uit 2025 van UK Finance, de Britse brancheorganisatie voor de financiële sector. Zij onderzochten data van hun leden over gemelde fraudezaken en hun oorzaken, en concluderen daarbij inderdaad dat in 2024 70% van de fraudezaken ‘online sources’ kennen. Het gaat dan meestal om “lower-value scams” zoals aankoopfraude (ik denk dan aan Marktplaatsoplichting-achtige zaken)

Het rapport spreekt van “online fraud” en denkt daarbij aan zaken als Authorised Push Payment (APP)-fraude, waarbij oplichters via social engineering slachtoffers manipuleren om real-time betalingen te autoriseren. Dit kunnen investeringsscams zijn, malafide advertenties (hoi Jort) of de nog steeds werkende romance scams.

Moeten social media hier wat mee? Zeker. Artikel 34 en 35 Digital Services Act verplichten grote platforms (VLOPs) tot een algemene mitigatie op “systeemrisico’s”, dingen die de maatschappij raken door hun omvang en impact. In september deed de Europese Commissie een informatieverzoek aan platforms zoals Apple, Booking, Bing en Google over hoe zij omgaan met oplichters die hun platform misbruiken. Ik heb nog geen resultaten daarover gelezen.

Vermoedelijk zullen de oplossingen uitkomen bij betere know-your-customer analyse van zakelijke accounts, trusted flaggers uit de financiële sector die direct takedowns kunnen bevelen en het beter publiceren van advertenties in een repository zodat onderzoekers er patronen in kunnen vinden om detectie te automatiseren. Maar ik gok zomaar dat men dit niet vrijwillig gaat doen.

Arnoud

‘Google wil seo-spambeleid aanpassen om DMA-boete te ontlopen’

Geplaatst op in Ondernemingsvrijheid, 9 reacties
Photo by Merakist on Unsplash

Google zou de Europese Commissie een aanbod doen voor vanaanpassingen in zijn beleid tegen seo-spam. Dat meldde Tweakers vorige week. Dit om een boete onder de Digital Markets Act te voorkomen. En nee, ze doen niet te weinig tegen zoekmachineresultatenspam maar juist te veel.

Het voorstel komt in een lopend onderzoek van de Europese Commissie naar de zogeheten site reputation abuse policy van Google Zoeken. Ik citeer het artikel van vorig jaar:

Het sitereputatiemisbruikbeleid gaat over websites die hoog eindigen in resultaten van Google Zoeken en tegen betaling content van derden tonen, waarbij die derde partij zelf niet hoog scoort in Google Zoeken. De Europese Commissie zegt signalen te hebben ontvangen dat dit beleid de websites van nieuwsmedia en andere uitgevers straft als zij ‘content van commerciële partners’ tonen. De websites van uitgevers komen daardoor lager te staan in Google Zoeken.
Wat Google met dat beleid wil voorkomen, is dat partijen met een goede reputatie deze misbruiken om lage kwaliteit teksten  (promotionele teksten van anderen) tegen betaling te vertonen. Iedere website-eigenaar kent het fenomeen van de partij die hengelt naar het publiceren van “partner artikelen” die dan ineens over gokken gaan of een wazig bedrijf moeten promoten.

Probleem: grote nieuwsmedia doen dit ook – dit is de partnercontent, branded content, sponsored content of hoe ze het maar noemen (zolang het maar niet “advertentie” heet). Het ziet er vrijwel uit als redactionele eigen inhoud, maar kleine lettertjes melden ergens dat het van een partner komt en buiten de redactionele verantwoordelijkheid valt.

Mijn vermoeden is dat de Commissie de impact van dat beleid op nieuwsmedia disproportioneel vindt, omdat die toch al zo kwakkelt en een maatschappelijk belangrijke positie heeft. Die zouden dan wél partnercontent moeten kunnen draaien, waarbij we er dan op gaan vertrouwen dat die dat netjes doen en alleen van respectabele partijen.

Arnoud

Product ontvangen na annulering, wat nu?

Geplaatst op in Ondernemingsvrijheid, 16 reacties
Photo by the blowup on Unsplash

Via Reddit:

Twee maand geleden heb ik een product besteld op een webshop. Dezelfde dag kreeg ik een email dat mijn bestelling helaas is geannuleerd. Binnen 3 dagen heb ik ook mijn geld terug ontvangen. Een dag later ontving ik echter het product alsnog.

Ik heb dit tot op heden aan de kant gezet en heb twee weken geleden een email van het bedrijf ontvangen dat ze per abuis het product hebben geleverd en dat ze binnen een redelijke termijn (14 dagen) de betaling willen ontvangen. Sta ik in mijn recht om te verzoeken dat de website het product bij mij komt afhalen? Het gaat om circa 2000 euro.

Verhalen als deze zie ik vaker, eigenlijk altijd gaat het om foutjes bij de winkel. De annulering ging handmatig en het automatische proces liep gewoon door. Of collega X had de order afgehandeld, niet wetende dat het niet meer mocht. Kan gebeuren.

Als een bestelling wordt geannuleerd door de winkel, is natuurlijk de eerste vraag of dat wel kan. Zomaar is geen reden, ook niet als dat in de voorwaarden staat. Niet meer leverbaar is bespreekbaar, alleen erg raar dat hij dan alsnog opgestuurd wordt. Maar goed, hier zijn beide partijen het er over eens dat sprake is van een annulering.

Ontvang je een product dat niet besteld was (geen geldige overeenkomst), dan moet dat natuurlijk terug. Ik blogde in 2022 over weigeren van een al geannuleerde levering, en daarin gaf ik aan dat je een zekere zorgplicht hebt als het product aanneemt.

In de kern kan echter niet meer verwacht worden dan dat je het product goed bewaart en teruggeeft als de winkel het komt halen. Opsturen kan van je gevraagd worden als de winkel vooraf de kosten betaalt en het voor jou een kleine moeite is. Dat laatste is een tikje subjectief maar volgt uit de redelijkheid. Een schoenendoos naar een PostNL punt brengen is wat mij betreft eigenlijk altijd gewoon wat je hoort te doen.

Hier gaat het om een duur ding, dus je zou verwachten dat de winkel wel iemand langs kan sturen. De soort-van dreigementen over ongerechtvaardigde verrijking vind ik dan ook een tikje misplaatst. Ik zie in ieder geval geen route waarmee de winkel nu betaling kan afdwingen.

Arnoud

Mag de ABN Amro bank klantgegevens analyseren om te kijken hoe vaak mensen over de grens tanken?

Geplaatst op in Ondernemingsvrijheid, Privacy, 13 reacties
Photo by Europeana on Unsplash

Een lezer vroeg me:

In het artikel Tanktoerisme in België neemt toe, maar Nederlanders niet massaal de grens over lees ik dat ABN Amro het transactieverkeer van klanten in de grensstreek (en verder schijnbaar) analyseert om te kijken hoe vaak mensen over de grens tanken en hoe vaak in Nederland. Hoe kan de bank onder de AVG en haar geheimhoudingsplicht rechtvaardigen dat zij deze analyses doet?
Wie in de privacyverklaring van de ABN Amro bank duikt, zal met enig lezen een uitzondering vinden voor macro-economisch onderzoek zoals wat hier speelt:
Het Economisch Bureau van ABN AMRO doet onafhankelijk statistisch onderzoek op basis van geaggregeerde data naar o.a. macro-economische trends zoals groei van de Nederlandse industrie, consumptief gedrag of economische impact op klimaatverandering. Het Economisch Bureau van ABN AMRO werkt soms samen met universiteiten voor het doen van wetenschappelijk onderzoek.
Dit staat onder het kopje “Gerechtvaardigd belang van de bank of van anderen”, wat erop wijst dat de bank dit onder artikel 6 lid 1 sub f AVG rechtvaardigt. Bij inroepen van die grondslag is geen aparte toestemming nodig, dus het is logisch dat die ook niet is gevraagd.

Bij hergebruik voor wetenschappelijke of statistische doeleinden moet je (artikel 89 AVG) wel de nodige waarborgen geven, zoals gegevensminimalisatie. In de praktijk komt dat neer op “maak ze zo snel mogelijk écht anoniem, het liefst door te aggregeren naar groepjes van 10 of meer mensen”. Het onderliggende rapport van dat Economisch Bureau geeft expliciet dat aan: “bekijken wij met behulp van geanonimiseerde en geaggregeerde transactiedata de brandstof-uitgaven van huishoudens in de grensregio.”

Mijn reconstructie is dus: eerst werd een grens getrokken van wat “grensregio” is. Alle transacties van rekeninghouders wonend in die regio worden gefilterd op de categorie ‘brandstof’. Daarbij is gegroepeerd op wegafstand van de grens, zo te lezen per 5 kilometer. Daarbij kun je eigenlijk direct de identificerende gegevens zoals naam of IBAN weggooien, en dan kan daarna van profileren of iets dergelijks geen sprake meer zijn. Die reconstructie lijkt mij volledig in lijn met de AVG.

Arnoud

Heb ik recht op geld terug bij retour sturen van een hoofdtelefoon? Winkel weigert vanwege hygiëne.

Geplaatst op in Ondernemingsvrijheid, 34 reacties
Photo by Zoshua Colah on Unsplash

Via Reddit:

Twee weken terug kocht ik online bij een webshop over-ear headphones, deze kwam in verzegelde verpakking. Deze bevielen mij niet, ik heb na 3,5 uur het weer heel netjes ingepakt en een retour aangemeld en de volgende dag verzonden. Onderaan de productspecificaties op de website staat het volgende: ‘Dit is een verzegeld hygiëneproduct en kan alleen worden geretourneerd onder retourrecht indien de verzegeling nog intact is.’ Is dat rechtsgeldig?
Er bestaat inderdaad geen retourrecht wanneer sprake is van “zaken die niet geschikt zijn om te worden teruggezonden om redenen van gezondheidsbescherming of hygiëne en waarvan de verzegeling na de levering is verbroken” (art. 6:230p lid 3 onder f BW). In de praktijk wordt dit vaak de hygiëne-uitzondering genoemd.

Het is echter niet zo dat alles dat vies of onsmakelijk voelt om nogmaals te verkopen, geweigerd kan worden met een beroep op deze uitzondering. Het wetsartikel stelt duidelijk: niet geschikt zijn om te worden teruggezonden. Het Hof van Justitie heeft dat in de Slewo-zaak (over een matras) uitgewerkt tot het criterium dat het product

definitief niet meer kan worden verkocht om redenen van gezondheidsbescherming of hygiëne, omdat de aard zelf van dit goed het voor de handelaar onmogelijk of uiterst moeilijk maakt om maatregelen te treffen waarmee hij het opnieuw kan aanbieden zonder af te doen aan een van beide eisen.
Een matras is eenvoudig genoeg te reinigen en opnieuw in te pakken. Eerder bepaalde een Duitse rechter hetzelfde voor een wc-bril.

In Nederland is er geen jurisprudentie over deze grond, behalve een nog lopende zaak over een bikini. In het tussenvonnis ging het vooral over de vraag of de verzegeling überhaupt was verbroken, niet of zwemkleding onmogelijk te reinigen is.

Bij de geschillencommissie vond ik drie uitspraken:

  1. Een krultang is een hygiëneproduct, omdat “de ondernemer niet staat is om het product door reiniging of ontsmetting geschikt te maken voor een nieuwe verkoop.” De uitleg waarom dan ontbreekt: “evident”.
  2. Een scheerapparaat is een hygiëneproduct, ook dit is “evident” anders dan een matras.
  3. Een haartrimmer is een hygiëneproduct, omdat het gebruik daarvan door derden “gevolgen kan hebben voor hun gezondheid en dat een gebruikt product als onhygiënisch wordt ervaren”. Ook kan van de ondernemer niet worden verwacht dat deze maar liefst twaalf onderdelen reinigt na retour nemen.
Ik wil even kwijt dat ik dit buitengewoon oppervlakkig gemotiveerd vind. Met name het argument dat het “als onhygiënisch wordt ervaren” is juridisch niet relevant, en de winkel moet volgens mij echt uitleggen waarom ze het niet kunnen reinigen of wat er dan mis kan gaan.

Misschien dat het probleem bij zulke apparaten is dat er kleine haartjes achterblijven die je ook met grondig spoelen er niet uit krijgt. (Ik weet niet wat het met je gezondheid doet om andermans scheerhaartjes in je baard te krijgen, en  nogmaals het gevoel van ieuw is juridisch niet relevant.)

Bij een in-ear koptelefoon zou ik nog net analoog kunnen denken: oorwax, misschien wel bloed of huidschilfers. Nou vooruit, dat steriliseren vereist apparatuur die een elektronicawinkel niet zou hoeven hebben. Maar bij een over-ear koptelefoon zoals in de vraag zie ik dat niet. Jullie wel?

Arnoud

Netbeheerder is niet in staat een factuur af te leveren (door DMARC/SPF fouten)

Geplaatst op in Ondernemingsvrijheid, 9 reacties
Photo by talhakhalil007 on Pixabay

Via Reddit, samengevat:

Na werkzaamheden aan de meterkast van onze stichting kregen wij een aanmaning, maar nooit een factuur. Die blijkt per post verstuurd, waarop ik vroeg om een kopie per mail om direct te kunnen betalen. Ook die kwam niet aan. Na onderzoek zag ik dat de SPF configuratie en daarmee de DMARC policy van de netbeheerder stelt dat mijn mailserver de berichten (waarschijnlijk van hun kantoorautomatisering) niet mag behandelen. Ik zie waarschijnlijk een auto-responder direct na mijn e-mail, en een poging eerder die ochtend. Dus ik neem nogmaals telefonisch contact op met de netbeheerder. Uiteindelijk bij de debiteuren afdeling uitgekomen met het verzoek: stuur het bericht dan maar naar mijn zakelijke e-mail (gehost op GSuite). Ook daar komt de mail niet aan.
Mijn vermoeden is dat de gemailde kopie van de factuur niet is verstuurd vanaf een in de SPF configuratie vermelde mailserver. Vaak komt dat omdat die systemen clouddiensten zijn, dus de mailserver is feitelijk in beheer bij een derde. Maar dat maakt de mail verdacht.

DMARC (Domain-based Message Authentication, Reporting & Conformance) is het beleidsrecord dat de ontvangende server  (dus onze vereniging) instrueert wat te doen bij zo’n verdacht. Hier zal er dan (conform best practice) in staan dat de mail moet worden verwijderd.

Dit verklaart ook waarom het bij Gmail ook niet aankomt: Google is zeer streng op correcte SPF/DMARC instellingen en gooit de mail dus ook gewoon weg.

De klassieke opvatting over e-mail is dat het jouw risico als ontvanger is. “Spamfilters zijn jouw keuze”, heet dat dan. En dat was in 2004 ook zo. Maar hier ligt het toch even anders: de afzender heeft zélf die SPF/DMARC configuratie zo ingesteld en zélf de facturen laten versturen vanaf een mailsysteem dat niet in hun configuratie staat als authentiek.

Wat mij betreft mag die mail met factuur dus als niet-verstuurd beschouwd worden.

Opmerkelijk is dan natuurlijk dat de factuur kennelijk ook per post verstuurd was (net als de aanmaning) en ook kwijtgeraakt is. Dat kan gebeuren, maar betekent dat de factuur nooit aangekomen is. Een herinnering is dan prima, maar voor incassokosten is dan vooralsnog geen plek.

Gebruikelijk bij mij is dat je een kopie van de factuur bij de aanmaning krijgt, zodat je alsnog direct kunt betalen.

Arnoud

 

Sneller groen licht voor fietsers met nieuwe app, sorry wat?

Geplaatst op in Informatiemaatschappij, 24 reacties
Photo by Martín Castañeda on Unsplash

Fietsers krijgen de komende jaren op sommige plekken sneller groen licht als ze een speciale app op hun telefoon hebben staan. Dat las ik bij RTL. ‘Slimme’ verkeerslichten, die reageren op het aanbod van verkeer, ontvangen via die app een seintje. Op die manier hoef je steeds minder vaak van je fiets af. Huh.

Waarom men ze intelligente verkeersregelinstallaties (IVRI) noemt, weet ik niet, maar hier kun je zien waar ze staan. Wie dan de de app Da’s zo gefietst gebruikt, geeft als het ware automatisch en op afstand al hetzelfde seintje als je doet bij het drukken op de knop bij het verkeerslicht zelf. (Boze reacties over de naam van die app mogen naar de provincies Limburg, Noord-Brabant, Overijssel, Utrecht en Zuid-Holland.)

Het stelt zo te lezen dus weinig voor: het is geen automatische override om lekker door te scheuren, maar een tikje meer gemak en iets meer tijdswinst dan voorheen. En je hoeft er dus geen telefoon voor vast te houden, wat mijn eerste zorg was toen ik het artikel las.

In Amsterdam staan geen IVRI’s, en dat heeft met privacy te maken: die app moet iets van een identifier meesturen om de fietsen van elkaar te kunnen onderscheiden. En dat mag niet van de AVG meneertje. Maar dat is hier nu opgelost, zo lees ik bij Tweakers:

[De functie] SnellerGroen maakt bij elk slim verkeerslicht een tijdelijk, willekeurig ID aan. Dit zou niet te herleiden zijn naar een persoon of toestel. Het ID wordt automatisch verwijderd zodra de gebruiker het verkeerslicht voorbij is. De app slaat ritgegevens lokaal op en deelt ze niet met externe partijen.
Met die maatregelen zie ik het AVG-probleem ook niet meer.

Wel blijft mijn verwondering: is dit nou echt zó nuttig, dat we hier een app(functie) voor moeten bouwen die fietsers dan massaal moeten gebruiken? Maar dat heb ik bij zo ongeveer alles waar het woord “smart” voor staat.

Arnoud

Mobiele KPN-klanten krijgen malwarefilter en prijsverhoging van 1 euro per maand

Geplaatst op in Security, 17 reacties
Photo by David Trinks on Unsplash

KPN heeft een malware- en phishingfilter toegevoegd aan de mobiele abonnementen en verhoogt de prijzen van huidige abonnees met 1 euro per maand. Dat meldde Tweakers vorige week. En een paar lezers vroegen me: mag je dan opzeggen, want dit is alleen maar in je voordeel als consument, toch?

De telecomprovider legt uit:

Met Extra Veilig Mobiel heb je een slimme beschermlaag op het mobiele netwerk van KPN. Het werkt op alle telefoons en blokkeert automatisch gevaarlijke websites. Alsof er een stevig digitaal hek om je verbinding staat. Zo voorkom je dat je op gevaarlijke websites komt en blijf je uit handen van cybercriminelen.
In technische termen: een DNS-blokkade en malware scanner. Verstandig idee, maar vrij lang dus een aparte dienst gebleven die je voor 1,99 per maand moest afnemen. Dat wordt dus nu geïntegreerd, en de kosten worden doorberekend in de abonnementsprijs.

Nu hadden we het laatst ook over opzeggen bij gewijzigde voorwaarden. Dat recht heb je dus

tenzij de voorgestelde wijzigingen uitsluitend in het voordeel zijn van de eindgebruiker, van strikt administratieve aard zijn en geen negatieve gevolgen hebben voor de eindgebruiker, of rechtstreeks worden opgelegd door het Unie- of het nationale recht.
Het klinkt natuurlijk heel goed, extra bescherming tegen malware en phishing. Dat komt vaak voor en security had eigenlijk altijd al in het netwerk ingebakken moeten zijn. Maar goed.

Maar of “iets dat goed voor je is” hetzelfde is als “in jouw voordeel”, betwijfel ik. De richtsnoeren van de ACM hebben als enige voordeel hiervan een tariefsverlaging. Een hogere snelheid tegen dezelfde prijs lijkt me ook nog wel in je voordeel, maar staat extra beveiliging in diezelfde lijn?

Arnoud