‘LG Smart TV speelt privacygevoelige data door’

| AE 6150 | Privacy | 30 reacties

optionHet Smart TV-platform op LG-televisies zou onder andere bestandsnamen op usb-opslagmedia en gekozen televisiezenders doorspelen aan servers van LG, zelfs als deze optie is uitgeschakeld. Daarbij wordt de privacygevoelige data bovendien onversleuteld doorgestuurd. Dat meldde Tweakers vorige week op basis van een slimme blog van een Nieuwzeelandse meneer. Zijn data-analyse liet zien dat allerlei privacygevoelige data werd doorgestuurd naar LG, zelfs als deze optie expliciet uitgezet was (zie plaatje). Volgens LG had hij de algemene voorwaarden maar moeten lezen.

Ja, dat was een lompe opmerking maar ze zeiden het echt, en op de lafste manier die ik in tijden heb gezien:

The advice we have been given is that unfortunately as you accepted the Terms and Conditions on your TV, your concerns would be best directed to the retailer.

En, ehm, nee. Gewoon nee. Toestemming voor privacygevoelige dingen kán niet in algemene voorwaarden (en ook niet in een privacyverklaring). En bovendien, als je een optie “doe dit niet” in je tv stopt, dan gaat het aanvinken van die optie bóven whatever je een dure jurist (of goedkope generator) in kleine lettertjes laat opschrijven.

Plus zelfs áls je dit soort ongein in algemene voorwaarden meent te kunnen verkopen dan kun je niet volstaan met “See Terms & Conditions and stores for full details” op je site. Die voorwaarden moeten bij de verkooptransactie worden overhandigd dan, en ik geloof er geen bal van dat LG dat netjes vooraf doorspreekt met die winkel. Want hoe gaat dat gewoonlijk: die winkel verkoopt een dichtgesealede doos zonder ook maar één opmerking over algemene voorwaarden van LG te maken, en hooguit bij het eerste aanzetten van de TV komen er wellicht voorwaarden in beeld. (Wat dus ook niet rechtsgeldig is, je moet ze overhandigen.)

Meer algemeen: wat was u dénkende toen u bedacht, laten we bestandsnamen van de externe usb harddisk en kanaal-informatie van de tv terugsturen naar ons? (Helemaal gezien het feit dat het wordt teruggestuurd naar een server die 404 Not Found terugzegt.) En toen u een optiesveld inbouwde dat gewoon niets doet. Oké ja ik ben alweer rustig.

Even positief kijkend: hoe zou dit wél moeten? Formeel moet de winkel dit dus uitleggen en bij de koop vragen om toestemming. Want toestemming moet ‘vrij’ gegeven worden, en wie de tv gekocht heeft en een popup langs ziet komen, kiest niet vrijelijk voor “ja”. Die wordt gedwongen ja te zeggen of zijn tv terug te brengen naar de winkel, dat is geen keuze. Nou ja, tenzij de popup ook een prominente “maar dat hoeft niet” optie biedt natuurlijk maar dat zal de marketingafdeling niet zo handig vinden. Dus wettelijk verplichten dat Marketing dan maar pech heeft?

Verplicht stellen dat dit op de doos staat, dat zou ook nog kunnen. Dan zeg je dus: je had de doos maar moeten lezen voor je ermee de winkel uit sjouwde. Maar regelmatig krijg je die doos niet te zien, je koopt op basis van het showroommodel en een bezorgbedrijf zet later de doos voor je deur.

Mogen verwijzen naar de website en zeggen, de consument heeft een onderzoeksplicht. Dat voelt ergens wel reëel, alleen je wéét dat geen hond dat gaat doen. En om nou een wet te maken die gegarandeerd compleet genegeerd gaat worden, dat is ook zo wat. Oh sorry, cookiewet.

Maar goed, wat dan? Categorisch verbieden dat televisies persoonsgegevens verzamelen? Iedereen verplicht op een cursus persoonsgegevens doen? De Wbp verplichte lesstof in de brugklas?

Update (11:22) ik lees dat LG ontkent dat de data wordt ingezet voor advertentiedoeleinden of dat men dit in het verleden zou hebben gedaan. Cynische ikke mist dan het “en zal dit ook in de toekomst niet doen”. Wel komt er een firmwarefix om het probleem met de genegeerde “doe dit niet”-optie te verhelpen. En men produceert de standaardreutel over privacy in vaandels hebben et cetera.

Arnoud

Deel dit artikel

  1. Ik zie een markt voor uitgaande-privacyfirewalls. Een beetje als het programma LittleSnitch voor OS X, wat netjes aangeeft welke app verbinding mag maken naar buiten toe. Als je dat op je router hebt, dan zul je dus je TV toestemming moeten geven om data naar buiten te sturen. Zo zorg je dat de consument in control is. Je hoeft daarna alleen nog maar de consument voor te lichten over wat grote boze enge multinationals doen met hun persoonsgegevens, en dan hoop je dat mensen er actief iets mee gaan doen. Of niet, maar dan is het een bewuste keuze.

      • Op het moment van updaten zal dat ding vragen ‘mag ik updatexxx.zip downloaden via die poort en dat webadres’? Als je daarvoor toestemming geeft, dan kan dat dus gewoon. Kwestie van slim de regels in je uitgaande firewall instellen en dan kun je prima van de diensten gebruikmaken die je wilt hebben, dus inkomend verkeer op bepaalde poorten voor de programmagids altijd toestaan.

        Juist de verdachte momenten dat die TV data wil verzenden over poorten die je niet kent moet je blokkeren.

        • Het probleem daarmee altijd is dat je niet automatisch kunt bepalen wat een update gaat doen. “This update provides certain critical security updates and improves the user experience”. En dan zit er nu een trackingsysteem in dat elke klik op de afstandsbediening registreert en doorgeeft zodat ze advertenties beter kunnen targeten (dat is dan jouw ‘user experience’).

          Het is hetzelfde als bij app permissies: ik wil niet ‘ja’ zeggen tegen “This app wants to know your location using GPS”, ik wil pas ja zeggen als ik weet waarom hij mijn locatie moet bepalen. Gaat ie mijn posts geotaggen? Benzinestations in de buurt zoeken? Of lokale reclames en aanbiedingen pushen?

          Appstores zouden bij zo’n permissie-dialog een tekstveld moeten inbouwen dat de appmaker verplicht moet vullen met dat waarom. En wie wat anders doet dan daar ingevuld, krijgt een permaban.

    • Oh, en men produceert de standaardreutel over privacy in vaandels hebben et cetera. Ik vind dat journalisten zulke teksten niet moeten overnemen. Het laat het klinken of het genoeg is, zeggen dat je de privacy van je gebruikers waardeert. Het boeit me werkelijk niet wat je vindt van mijn privacy. Wat me boeit is wat je dóet om mijn privacy in dat vaandel te houden. “Wij verkopen uw ziel aan de duivel maar alleen met dubbele opt-in” zie ik liever dan “WIj respecteren uw privacy en zorgen binnen de gebruikelijke branchenormen voor een zorgvuldige omgang met uw gegevens binnen onze partnerconstellatie”.

  2. Als ik software schrijf en ik maak er een achterdeur in om gegevens van de afnemer naar mezelf te sluizen, dan ga ik neem ik aan de gevangenis in zodra men daar achter komt?

    Leg maar niet uit waarom dat met de directie en grootaandeelhouders van LG nooit zal gebeuren, te deprimerend voor een maandagochtend.

  3. Misschien ben ik wel ouderwets, maar mijn tv heeft geen internetverbinding en krijgt er ook geen. Het signaal komt van de satelit, is misschien wel iets ouderwets, maar ja, ik ben ook iets ouder. Hoe kan dan mijn tv gegevens aan LG (of wie dan ook) zenden?

    En was het niet Ralph Ingbar die ooit mensen probeerde duidelijk te maken, dat hij bij hun in de huiskamer keek via hun eigen tv. En gelachen dat we hebben…

  4. (Helemaal gezien het feit dat het wordt teruggestuurd naar een server die 404 Not Found terugzegt.)

    al die request worden wel opgeslagen in de log van de server, dus de conclusie dat ze de gegevens niet opslaan klopt niet. als ze willen weten wat iemand bekijkt op z’n tv hoeven ze alleen maar de log te filteren op zijn IP adres..

  5. Het verhaal achter de filenaam versturen was om “handige” zaken bij midget porn.avi te zoeken (de filenaam die de tester gebruikte 😉 Wat betreft “we loggen niets” (behalve het ip adres in de logfiles van de server) Een simpele log(request); throw(404); en je hebt alle data en plausable deniability 🙂

    Voor mij geen LG

  6. Toevallig kreeg ik maandag een softwareupdate voor m’n LG TV. En gisteren (na de restart) zag ik dat ik opeens (nieuwe?) voorwaarden moest accepteren om de smart apps (uitzending gemist) te kunnen gebuiken. Niet accepteren betekent niet meer die apps gebruiken.

    Uiteraard werden de voorwaarden verkeerd aangeboden (niet downloadbar/printbaar, eigenlijk niet eens goed leesbaar, en inmiddels ook niet meer opvraagbaar).

    ’t Is dat m’n dochtertje het sinterklaasjournaal wilde zien en ik min of meer geforceerd werd te accepteren, eigenlijk had ik de leverancier er op aan moeten spreken.

  7. Ik vraag me af in hoeverre LG wellicht onrechtmatig handelt met de recente firmware-update.

    Ik kreeg gisteren de firmware-update binnen en ben direct naar het gewraakte vinkje gegaan. Daar werd mij gevraagd om de nieuwe voorwaarden te accepteren. Ik wilde echter eerst controleren wat er precies anders was aan de werking van mijn tv als ik ze (nog) niet zou accepteren. Belangrijkste punt is het niet meer kunnen gebruiken van de SMART-tv functionaliteit, hoewel ook de werking van Teletext (jaja, het bestaat nog) nu ineens heel anders is.

    Nu vraag ik me af: in eerste instantie heb ik een SMART-tv gekocht waarbij ik de optie om gegevens naar LG te versturen kon uitschakelen (althans: het vinkje werd geboden, dus ik mocht erop vertrouwen dat dat kon, ondanks dat het vinkje blijkbaar niet werkte). Door deze nieuwe firmware verandert LG in mijn optiek echter eenzijdig de overeenkomst: ik kan nu alleen nog kiezen voor SMART-functie + gegevens doorsturen, of geen SMART-functionaliteit.

    Ik vraag me af in hoeverre dit onrechtmatig is vanuit LG, aangezien ze nu eigenlijk van afstand een belangrijke functionaliteit onbruikbaar hebben gemaakt, na de totstandkoming van de overeenkomst. Er is immers geen enkel beletsel voor LG om die SMART-functie toegankelijk te houden, zonder data-verzameling (dat ze daar geen zin in hebben, is iets anders)

  8. Juist, de smartfunctie op mijn LG houdt ook in: het kunnen afspelen van een bestand van een usb stick. Daarom heb ik de tv gekocht, zonder dat er voor de koop werd gerept over acceptatie van hun voorwaarden. Daarover ben ik heel boos, moest eerst die rare voorwaarden accepteren voor de usb stick werd afgespeeld. En wat gebeurt er als ik mijn smart tv omtover in een wifipunt? Dat kan namelijk: kabel erin, wifi aanzetten. Worden dan ook al die data doorgegeven naar LG? Daarover is geen enkele informatie te vinden.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS