Ik wil niet in Apples adresboekcloud!

| AE 6108 | Privacy, Security | 18 reacties

adresboek-apple-icloudBij ict7 las ik over de nieuwe manier van adresboekbeheer van Apple in hun OS Mavericks:

[Het oude adresboek] was veilig, daar kwam geen ander tussen. Maar het nieuwe OS Mavericks heeft die mogelijkheid geschrapt. Nu kunnen adresgegevens en dergelijke alleen nog via iCloud naar een ander apparaat worden overgezet. Dat is natuurlijk niet zonder reden. Technisch was het geen enkel probleem geweest de ‘kabelmogelijkheid’ te handhaven. Dat Apple nu alleen nog maar de mogelijkheid biedt om dergelijke privédata via de servers van Apple over te zetten geeft te denken.

En dan dus de hamvraag: mag dat?

Een digitaal adresboek is hoe je het wendt of keert een verwerking van persoonsgegevens, en eentje die via de privacyschendende VS loopt ook nog. Dus daar heb je eigenlijk best wel een probleem.

Er is echter in de Wet bescherming persoonsgegevens een uitzondering die ik altijd de adresboekuitzondering noem, om precies deze reden:

Deze wet is niet van toepassing op verwerking van persoonsgegevens… ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden.

Het argument is dan dat een privéadresboek een “uitsluitend persoonlijk of huishoudelijk doel” dient, immers het is voor jou om je adressen bij te houden. Niemand anders leest het (de NSA daargelaten) en dan is het dus alleen voor jezelf. En daarmee ben je van álle regels uit de Wbp af. Je hoeft mensen neit te vertellen dat ze in je adresboek staan, en zelfs het enge exporteren naar de VS is geen probleem.

Bij een zakelijk adresboek gaat dit echter vrijwel meteen mank: ís dat wel “persoonlijk of huishoudelijk”? Een bedrijf is geen persoon en geen huishouden.

Als je dat zegt, dan mag een bedrijf dus niet haar klantenbestand in de iCloud stoppen. Maar óók niet zomaar in een eigenbeheeradresboek. Dat moeten ze dan rechtvaardigen bínnen de kaders van de Wbp. Dus: toestemming, uitvoering overeenkomst of dringende noodzaak als grondslag; informeren via een privacyverklaring of iets dergelijks dat men een adresboek heeft; inzage- en correctierecht op de adresgegevens en niet te vergeten een bewerkersovereenkomst met Apple sluiten zodat juridisch geregeld is dat zij netjes met je gegevens omgaan.

En nee dat werkt voor geen meter maar daarom wordt het dus de hoogste tijd voor een nieuwe privacywet. Helaas is de Privacyverordening een eindje uitgesteld, werking op zijn vroegst in 2016.

Arnoud

Deel dit artikel

  1. Met de hele BYOD-trend is persoonlijk en zakelijk niet altijd meer te scheiden.

    Daarnaast: de NSA zal zeker geïnteresseerd zijn in zakelijke contacten (die informatie kan voordelig zijn voor Amerikaanse concurrenten van jou), maar denk ook eens aan politieke contacten. Ik verwacht zeker dat de NSA aandacht heeft voor elk politiek clubje in de wereld.

    Apple is een gevaarlijk bedrijf, dat je op grote afstand moet zien te houden. Is Google beter? Waarschijnlijk doe je er goed aan om de default software van je telefoon te vervangen door open source, privacy-hardened software. Dat zou bijvoorbeeld een versie van Android kunnen zijn zonder de proprietary meuk van Google.

    Daarnaast: mobiele telefoons zijn qua privacy sowieso ondingen. Maar als ik daarover begin, gaan jullie waarschijnlijk denken dat ik Richard Stallman ben.

    • De economie van de EU landen gezamenlijk is groter dan die van de VS. We kunnen aan Amerikaanse bedrijven vragen of ze zich aan de EUropese regels willen houden en als ze dat niet doen, verbieden om hier zaken te doen. Ja, voor sommige zaken is cloudopslag of SaaS geschikt; maar er zijn aanzienlijke issues wanneer je concurrentie- of privacygevoelige gegevens of bedrijfskritische informatie aan een cloudprovider overdraagt.

    • Maar 99% van de gegevens in jouw adresboek zijn niet jouw gegevens maar die van derden. Ik heb zijn vermoeden dat je aan die mensen geen toestemming hebt gevraagd om hun gegevens te delen met de NSA. Jij ruilt hun persoonsgegevens in voor diensten van Apple/Google/Etc. Ik neem aan dat jij er dan ook geen bezwaar tegen heb als ik bij voorbeeld jouw medische gegevens verkoop aan een verzekeraar.

      • Mijn adresboek zie ik als mijn gegevens en die bestaan uit de adressen van anderen. Juist als ik mijn adresboek voor mijzelf houd is er geen probleem. Zodra ik mijn adresboek ga delen met anderen wordt het feit dat het om adressen van personen gaat het meest belangrijk. Voor een opsporingsinstantie is een adresboek leuk, maar gebruikte contacten veel waardevoller …

  2. Mijns inziens is dit niet noodzakelijkerwijs een verwerking van persoonsgegeven binnen de persoonlijke sfeer. Dat hangt denk ik ook af van de vraag of Apple zelf eigen doeleinden nastreeft met de gegevens die jij in de Cloud zet, en in hoeverre je dat weet . Als Apple eigen doeleinden nastreeft, en je weet dat (uit de Privacy Policy bijvoorbeeld), dan zou ik denken dat jou upload een verstrekking van persoonsgegevens aan een derde, nieuwe verantwoordelijke, is. Die specifieke verwerking valt denk ik niet meer onder de exceptie voor prive gebruik.

  3. Het is om deze reden dat ik aliasen gebruik voor al mijn email correspondentie, waarbij ik weet welke alias aan welk bedrijf wordt gegeven. Ik ben altijd wel bezorgd om mijn privacy en als ik b.v. spam ontvang op zo’n alias dan weet ik ook direct wie er gelekt heeft. Tot nog toe heb ik alleen LinkedIn hierop betrapt, nadat hun database was gehackt, een jaar of twee geleden. Oh, facebook geeft mijn email adres ook door aan derden, maar tot nog toe is die account spamvrij gebleven.

    Maar die iCloud van Apple? Ik heb ook al Google Apps en Microsoft Outlook als cloud-oplossingen en ik vind het best vervelend als ik mijn contacten tussen deze drie moet synchroniseren. Vooral als je een contact verwijderd, die na synchronisatie weer doodleuk wordt toegevoegd. Vergelijkbaar probleem heb ik met mijn agenda’s gehad, waarbij synchronisatie juist agenda-items had verwijderd in plaats van samengevoegd. En dan mis je een afspraak of twee… (En een agenda is ook een persoonsgegeven.)

    Maar het grootste gebrek is eigenlijk dat er binnen Europa geen Europees besturings-systeem bestaat met bijbehorende cloud. Android, Windows en IOS zijn alle drie producten van Amerikaanse bedrijven en dus hebben we die privacy schendingen maar te slikken als we die producten willen gebruiken. Ik vraag mij ook af waarom er geen alternatief, Europees alternatief ontstaat maar dan kijk ik weer naar de Europese wetgeving en besef dan dat dit soort producten veel makkelijker in de USA te produceren zijn… Misschien draaien we te ver door met onze regelgeving?

        • Die snap ik niet.

          Een goed besturingssysteem laat de eigenaar volledige controle houden over zijn/haar apparaat en data. Een goed besturingssysteem met cloud-service slaat alle cloud-data encrypted op, en geeft alleen de eigenaar toegang tot de encryptie-sleutel (en niet de softwarebouwer of cloudprovider). Natuurlijk gebeurt dat “onder de motorkap”, want een goed besturingssysteem is ook gebruiksvriendelijk.

          Is het echt zo lastig om zo’n systeem te laten voldoen aan de Europese privacy-regels, vergeleken met de regels in de VS?

          • Ik denk dat het niet zo moeilijk is om een systeem te bedenken dat aftap-veilig is, maar het is heel lastig om dat te implementeren als een paar NSA agenten jouw manager in de nek hijgen en zeggen dat het systeem vooral aftapbaar (voor de NSA) moet zijn. En de NSA wil best meebetalen aan het “bespioneerbaar maken” van de gebruikers van de dienst. Lees maar hoe Skype onder druk van de NSA aangepast is (The Guardian).

          • Tja, een goed systeem wel. Maar zowel Android, IOS en Windows gaan steeds sterker richting cloud-opslag, waarbij je gegevens in de cloud terecht komen. Alle drie de systemen doen aan automatische updates en hebben een App Store. ook komen ze standaard met Apps waarvoor je een internet-account nodig hebt. Nu kun je er natuurlijk voor kiezen om die dingen niet te gebruiken, maar dat vereist wel enige ervaring. En toekomstige versies van deze systemen krijgen een steeds sterkere band met de Cloud, waar de gemiddelde gebruiker zich niet van bewust is. Een out-of-the-box systeem is echter al redelijk cloud-enabled en kan eigenlijk niet meer zonder Internet gebruikt worden. Je privacy (IP adres) ben je dan al kwijt zodra je deze aanzet. Maar sowieso is de USA enorm aan het overheersen op het gebied van Internet. Er is niet echt een Europees of Asiatische variant van omdat alles eigenlijk is gebouwd bovenop de infrastructuur van de Amerikanen. Toch is b.v. Iran wel bezig met een alternatief Internet dat afgesloten is van de rest van de wereld. Zo hebben enkele landen al een Nationaal Internet in gebruik genomen. Het is best goed mogelijk, maar de rest van de wereld gaat dan wel vragen: Waarom?

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS