Mag Sync.me mijn adresboek gebruiken voor hun omgekeerde telefoonboek?

sync-meEen lezer vroeg me:

Op de website https://sync.me kun je willekeurige telefoonnummers invullen en zien welke naam daarbij hoort. Een omgekeerd telefoonboek dus. Maar wat valt me op: de gegevens zijn niet altijd officieel (zoals je in het telefoonboek staat), zo zijn er nummers die “Werk Papa” of “Oma” als bijbehorende naam geven. Dat komt dus gewoon uit iemands uitgelezen adresboek. Mag het zo dan wel, in hun voorwaarden staat daar vast een zin over.

Omgekeerde telefoonboeken zijn in Nederland eigenlijk altijd illegaal. Voor opname in een officiële telefoongids geldt een wettelijke opt-outregeling, maar voor andere gidsen en ook voor omgekeerd zoeken geldt juist opt-in. Zonder toestemming mag je niet worden gevonden op je nummer.

Update (08:47) op Twitter wijst Gerrit-Jan Zwenne erop dat de OPTA omgekeerd zoeken geen inbreuk op deze opt-in regel vindt omdat het “op zich” niet zou worden ervaren als inbreuk op de persoonlijke levenssfeer, en in het buitenland er meer van zulke diensten zijn. Oké, ik ben alweer rustig.

Wat Sync.me doet, is de oude juridische truc van stal halen dat mensen in de Terms of Use beloven volledig legaal te handelen en te garanderen dat ze alle benodigde toestemmingen hebben geregeld. Ja precies, en ik had ook nog een brug in Rotterdam te koop voor een spotprijsje.

Hier. Lachen (auch auf Deutsch):

If you chose to activate the “Sync.ME search” feature, you would be asked to explicitly warrant that you have all necessary permissions to share your contacts’ information, and that you have no knowledge of any objection, on the behalf of any of your respected contacts, to include their names and phone numbers in the phonebook directory, which is available for other registered users. Please be sure not to share any other person details without his or her prior consent, and that the information you share is accurate and up-to-date.

Geloof je het zelluf. En ik kop hem dan toch maar even in: dit is zinloze prietpraat onder onze privacy- en telecomwetgeving. Toestemming als deze moet expliciet worden gegeven, en het is te enen male onmogelijk dat via Terms of Use of privacyverklaring te doen. Gewoon niet.

Sync.me is onder Europees recht gewoon de ‘verantwoordelijke’ voor dit soort persoonsgegevens, en moet dus zorgen dat dat zorgvuldig gebeurt. Simpelweg achter een juridische schaamlap wegduiken is niet zorgvuldig.

En nee, claimen dat ze slechts een hostingprovider zijn, gaat hem hier niet worden. Ze geven niet 1-op-1 opgeslagen informatie door, zoals een webhoster, forum of chatbox dat doet. Ze compileren de informatie en bouwen daar een eigen zoekdienst bovenop. Dat gaat te ver om immuniteit te claimen en met notice/takedown weg te komen.

Ik wil het niet elke dag zeggen, maar dit is dus een pracht van een datalek waar de Wbp-met-tanden voor bedoeld is. “Firmly committed to ensure that the personal information is safeguarded and protected”, moehaha.

Arnoud

33 reacties

  1. En nu ? Melden (o nee, dat kan niet, het is ’tip geven’) aan het CBP ? Ik heb niet de indruk dat dat gaat werken. Zelfs grote Nederlandse clubs als de Bovag regelen doodleuk in de algemene voorwaarden (zie art 22) dat persoonsgegevens aan derden kunnen worden doorgegeven, en ik weet dat er daar diverse ’tips’ over naar het CBP zijn gegaan. Ik kan me niet voorstellen dat ze zich wel druk gaan maken over een bedrijfje uit Israël.

    1. @Arnoud kan CPB uberhaupt iets doen tegen een bedrijf in een ander land (buiten de EU), als dat bedrijf verder geen zaken met EU doet?

      Wellicht mag dit in land van vestiging wel. Volgens mij kun je dit soort gevallen op internet alleen effectief voorkomen als dit in alle landen van betekenis verboden is. Zo niet, lijkt de zwakste schakel bepalend. Ik vraag me dan ook af of we zo’n dienst zouden moeten verbieden. Als die dienst er toch komt zou je m.i. beter ook Nederlandse bedrijven een kans kunnen geven. dat is beter voor de Economie en dan heb je er ook nog enige grip op.

  2. Duidelijk gevalletje van ‘persoonlijke zwarte lijst” Niet dat ik sync-me al gebruikte, maar ik weet zeker dat deze app er nooit op komt. Ik vind sowieso dat het delen van contacten not-done is. Het zijn jouw contacten, niet die van een ander. In een uiterst geval wil ik nog wel eens intermediairen om 2 contacten 1:1 bij elkaar te brengen, maar ik doe gewoon niet aan het delen van lijsten. (punt)

    1. Ik vind sowieso dat het delen van contacten not-done is.

      Voor een app als sync.me ben ik het met je eens, maar bijvoorbeeld in linked-in deel ik mijn contactenlijst met mijn contacten. Dat is heel gebruikelijk en dat vind ik ook een grote kracht van linkedin. Ik vind het dan zelfs irritant dat sommigen hun contactenlijst niet delen.

      Ik zie geen bezwaren, maar hoor ook hier weer graag voorbeelden van zaken die hierdoor mis kunnen gaan.

  3. Via “https://sync.me/phones/?country=NL&prefix=62&page=1” kan je trouwens elk nummer openen en de naam erbij inzien. Klein scriptje ertegen aan en je hebt alle nummers en namen. (er zijn nog een paar url’s welke op deze manier gemakkelijk te gebruiken zijn)

    1. Na op een paar nummers te klikken krijg ik de melding “You have exceeded your daily search limit” en moet ik de applicatie (die vervolgens mijn contact list datamined) installeren. Het is ook de vraag of en zo ja hoe snel ze zo’n scriptje/bot detecteren.

  4. Dat er in het buitenland wordt gesjoemeld met persoonsgegevens mag geen doorslag geven.

    Bij Linkedin gebeurd dit ook: Sommige mensen geven hun hele addressenboek ter inzage, zodat LinkedIN met jouw e-mail address bekend is, nog voor je zelf lid wordt. Andere mensen mogen toch helemaal niet beslissen over jouw privé?

    When a sufficient number of users report a phone number as SPAM, it will be listed in our searchable public directory, which will be periodically updated.

    Zo kun je dus als spammer te boek komen te staan. Waar is de mogelijkheid om je telefoonnummer van deze site te halen? Lijkt goed verborgen.

    Ze zien verder technische informatie van je telefoon, zoals IP, niet als persoonsgegeven, omdat ze zelf niet kunnen herleiden (maar de politie wel, want:)

    This Agreement is governed by and construed in accordance with the laws of the State of Israel

    We share your information, including Personal Information, with our affiliated companies and our third party professional service providers

    We may share Information, including Personal Information, with our parent company, any subsidiaries, joint ventures, or other companies under a common control

    We may share your information, including Personal Information, in the event that we are required by law enforcement or other governmental agency; in response to a subpoena, warrant or an investigative demand, or a court order, or with respect to any legal process; in order to enforce intellectual property rights or to exercise other legal rights;

    Dus eigenlijk is het geen probleem dat mijn vader met telefoonnummer, naam, en toenaam in de archiefbak van de Mossad verdwijnt, omdat een neefje een app installeert en z’n addressenboek upload. Mja…

    Edit: Ik sta er ook in… Leuk begin van de dag.

    Edit: Ik heb dit telefoonnummer sinds een paar maanden, en niet veel mensen weten dit telefoonnummer. Ik ga dus even uitzoeken of ik kan uitsluiten waar dit door is gekomen.

    Om uit te schrijven moet je een email adres en je naam opgeven. Je moet dus persoonlijke informatie delen met ze, om je van de site te halen, maar ondertussen weten ze dat het een telefoonnummer was dat belangrijk geacht werd. Niets anders dan mobiel nummers minen dit, om zo een (door overheden doorzoekbaar) netwerk op te bouwen voor elk nummer. Alsof Facebook niet erg genoeg was.

    1. Ik snap waarom ze om een e-mailadres vragen. Maar volgens mij mag uitschrijven niet meer moeite kosten dan het aanmelden. Nou wordt dat hier sowieso al niet gehaald, want je bent er tegen je wil in gezet door iemand anders. Extra persoonsgegevens geven vind ik daar ook onder vallen (maar of dat ook zo is…).

      Om misbruik te voorkomen kunnen ze toch een gratis SMS-dienst inrichten waar je “REMOVE” heen kunt sturen? Met een antwoord “You have been removed.”. Mocht je de dienst gaan spammen, dan zou ik een melding teruggeven dat voor verdere misbruik kosten in rekening worden gebracht.

  5. Andere mensen mogen toch helemaal niet beslissen over jouw privé?

    Afgaand op mijn digibete kennissenkring vermoed ik dat die andere mensen denken: Wat maakt dat nou uit? Het is toch handig? Je hebt toch niks te verbergen? Vroeger stonden we toch ook allemaal in het telefoonboek?

    En dat ook zeggen als je er over begint. Enals je uitlegt dat vroeger anders is omdat je tegen zo’n site een automatisch scriptje kunt laten draaien wat tegen een papieren telefoonboek niet kan, snappen ze het niet. Of willen ze het niet snappen. En vinden ze je maar raar. Helaas. Ze kunnen allemaal facebooken maar weten te weinig van de techniek (willen te weinig weten??) om een beeld te hebben van de mogelijkheden die je aan de achterkant hebt.

    1. En als je uitlegt dat vroeger anders is omdat je tegen zo’n site een automatisch scriptje kunt laten draaien wat tegen een papieren telefoonboek niet kan, snappen ze het niet. Of willen ze het niet snappen.

      Hoewel ik privacy erg waardeer, vind ik het (ook) lastig uit te leggen wat in dit geval precies het probleem is. Kun jij (of iemand anders) wat concrete voorbeelden geven van ongewenste gevolgen van deze dienst? Ik kan zelf niet so snel een aansprekend reëel voorbeeld vinden, en zonder angstaanjagende voorbeelden denk ik dat meeste mensen toch zullen denken: wat een zwartkijkers die privacy-freaks …

      1. Het heeft onder andere bijvoorbeeld tot gevolg dat je – helemaal als je geen witte hetero middelbareleeftijd man bent – op het internet zoveel mogelijk je mond moet houden over welk onrecht je bezighoudt. Doxxen is Een Ding tegenwoordig, en die ****** van 8chan ook.

      2. een aansprekend reëel voorbeeld vinden

        Janne Doe komt, zonder het te weten, met telefoonnummer, en adres in een publiek systeem te staan met als naam “Dronken Wijf van de Bar-Laatst”.

        Zie ook: https://en.wikipedia.org/wiki/Download_Valley

        Appje begonnen als photo-sharing app voor Facebook. Afgegleden naar dit niveau.

        Je telefoonnummer+naam+adres+marketing profiel kan overal eindigen, het is publiek opvraagbaar, en privaat verkoopbaar. En dan volgt de SMS-maffia, drones en de overheid van Guatemala.

        1. Het gaat mij specifiek om een vervelend scenario bij een nette implementatie van een dienst om bij een telefoonnummer de houder van dat nummer te vinden. Als je mensen met een geheim nummer zou uitsluiten, net als bij een regulier digitaal telefoonboek, zie ik geen probleem. Als we dat gewoon toegestaan hadden, hadden we nu waarschijnlijk een Nederlandse service gehad waar we nog controle op kunnen uitoefenen. Overigens is me nog niet duidelijk of/hoe slecht sync.me is: met de link van Ray vind ik alleen een lijst van telefoonnummers, maar geen namen erbij. Met grep kom je dan ook niet ver, want je moet telkens eerst een captcha door om een naam te vinden; en het eerste nummer (uit die lijst) dat ik probeerde gaf geeneens een resultaat. Waakzaamheid bij privacy-zaken is goed, maar als we bij iedere innovatie direct automatisch gaan roepen en onze bezwaren niet goed onderbouwen, zal men volgende keer, als er wel een serieus bezwaar is, ook niet naar ons willen luisteren…

          1. Deze dienst is ook niet helemaal kosher in Israel zelf:

            http://www.loc.gov/law/help/online-privacy-law/israel.php

            The collection, storage, and use of certain types of personal data by online media or services, including smartphones, are prohibited unless such activities are based on the informed consent of the data subject and under conditions enumerated by law.

            Based on the PPL general part contained in Chapter A, the infringement of a person’s privacy without his informed consent is prohibited whether or not it results in the collection of personal information.

            Ik heb geen informed consent gegeven. Gebruikers van sync.me hadden bovendien vaak niet door dat ze hun adressenboek publiek gemaakt hadden.

            The following is a summary of actions listed in the PPL general part that may constitute an infringement of privacy:

            Using a person’s name, title, picture, or voice for profit

            Hierbij worden gegevens, zoals het koppelen van naam en telefoonnummer gebruikt voor commerciele doeleinden. Bijvoorbeeld doorverkocht aan marketingbedrijven, of als inzet bij een overname (wij hebben de gegevens van 5 miljoen mensen in onze database)

            Using or passing on information about a person’s private affairs for a purpose other than that for which it was given

            Ik beschouw mijn telefoonnumer gekoppeld aan naam en adres als privé data. Mensen gebruiken sync.me met als doel te kijken wie er belt. Ze hebben niet als doel bij te dragen aan een publiek opvraagbaar systeem.

            the term “private affairs” “should be interpreted in a dynamic way, according to what is acceptable at a specific time, place and society, in a way that will reflect the reasonable expectations of the public concerned.”

            Ik had werkelijk niet verwacht dat men een publieke database met naam+telefoonnumer+adres aan zou leggen.

            Het gaat mij niet eens zozeer om registratie in dat systeem. Het gaat erom dat ze het telefoonnummer koppelen aan sociale media accounts, advertenties, systeeminformatie, je laptop etc. Het is mijn inziens een grove schending van de cookiewet, of in ieder geval, precies dat wat de OPTA aan banden moet leggen: Het spioneren van mensen, zonder dat ze daar toestemming voor geven.

            Sync.me’s excuus komt niet veel verder dan: “Ja maar… andere bedrijven, zoals truecaller, gaan veel slechter om met uw gegevens, waarom richt je de pijlen op ons? Dat kan geen toeval zijn.”. Ik vertrouw dat bedrijf niet met mijn gegevens. Punt. Je kan het innovatie noemen, net zoals je flash cookies innovatie kan noemen. Handel in persoonsgegevens staat nu eenmaal niet stil.

            Die Captcha zat er oorspronkelijk niet op (geplaatst nadat de crawlbots kwamen). De partijen waar data aan is doorverkocht hebben misschien hele zwakke beveiliging, nieuwsgierige medewerkers, of geen toestemming tot verwerking. Je nummer was bovendien eerst via Google te vinden.

            Het is een bait-en-switch scam. Als we hier nu niet strak op reageren, dan glijden we af en moeten we komen met: “ja, het zijn handige jongens, en in het buitenland zijn er wel meer van dit soort diensten. Blijkbaar is het normaal geworden”. Terwijl iedereen met zijn naam en nummer in het systeem het niet wil, en het tegen onze wetten is.

            Als ik een film download uit Amerika krijg ik ook bonje. Dus bij een handelsverdrag moeten we dit eens omkeren: Buitenlandse bedrijven krijgen bonje als ze een dienst leveren aan Nederlandse gebruikers, en daarbij onze privacy wetten schenden.

            1. https://iapp.org/news/a/cookies-are-so-yesterday-cross-device-tracking-is-insome-tips/

              solving the primary riddle facing digital marketers today: How do you pitch your advertisements to the same consumer across multiple devices? But just as the privacy concerns relating to cookies were being resolved via solutions such as notice/consent requirements and do-not-track, cross-device tracking is raising a raft of new privacy issues that pose novel challenges.

              Pre-employment screening / https://en.wikipedia.org/wiki/Background_check

              A background check or background investigation is the process of looking up and compiling criminal records, commercial records and financial records of an individual or an organization.

              Sorry, maar u krijgt geen baan. U bent niet geschikt voor deze functie/ past niet bij de cultuur. (Wat er werkelijk gebeurde: Gebruiker A heeft gebruiker B en gebruiker C in haar adressenboek staan. Gebruiker A deelt per ongelijk haar adressenboek met Sync.me. Sync.me verkoopt de netwerkstructuur door aan marketingbedrijf Onbekend. Deze proberen marketingprofielen te koppelen aan apparaten, server logs, en IPs, en slagen daarin bij gebruiker B. Gebruiker B bezoekt vreemde website’s, heeft wel eens een dronken foto geupload op Facebook, of zijn generieke naam komt voor op een terroristenlijst. Dit verzamelprofiel wordt doorverkocht aan pre-screeningbedrijf Stasi BV. Zij verkopen pre-screening diensten aan de toekomstige werkgever van Gebruiker C. In haar rapport staat dat gebruiker C een eerste-graads connectie heeft met gebruiker B, en dat, aan het gedrag van B, het risico bestaat dat gebruiker C net zo is (de appel rolt niet ver van je sociale netwerk). Gebruiker C beland onderop de stapel en heeft werkelijk geen idee waarom.)

              Welkom in de nieuwe wereld van big data…

  6. Interessante casus en zinnige discussie. Mijn nr. zit er ook ongevraagd in, en verwijst naar mijn voornaam. Terwijl ik zelf geen info-delende-app op dit oude toestel heb staan; ik heb zelfs geen WhatsApp. Dit moet m.i. inderdaad uit andermans adresboek komen.

    Ja, wat Werkbij en De Andere Alex ook zeggen, digibete (en overigens ook niet-digibete ;-}) kennissen zien vaak het bezwaar van zoiets niet…

    Als ik zo even snel kijk, lijkt het of er 5.720.260 telefoonnummers in zitten. Daar zitten er vast mensen bij die ’t ècht niet willen of kunnen-maken dat hun 06-nr op straat ligt. Daar kun je zoveel scenario’s bij bedenken, een gek die lang genoeg zoekt naar het privénr van Rutte of de Zussen Holleeder. Ik hoop dat de (wel/niet-)digibete kennissen aan zo’n voorbeeld genoeg hebben.

    1. Voor personen als Rutte lijkt me dit potentieel wel een klein probleempje. Maar met zo’n trial en error strategie ben je wel even bezig om zijn telefoonnummer te achterhalen (zal je gemiddeld snel een paar jaar kosten). En dan moet je nog maar hopen dat hij erin staat, zich niet afgemeld heeft en geen slimme doorschakel-service gebruikt, die alleen gevalideerde telefoonnummers uit zijn eigen adresboek accepteert. Voor 99% van de Nederlanders lijkt me dit geen reeel probleem.

      Een reguliere digitale telefoonboek service met geheime nummers lijkt me in dit verband veel vervelender. Wat Ray hierboven aangeeft begint daar overigens al akelig dicht bij te komen. En dan is de vraag, zoals ik me hierboven in reactie op Eric al afvroeg: wat kun je juridisch doen tegen zo’n service, als dit in het land van de service verlener verboden is. Ik ben bang dat het antwoord kort is: niets. Wellicht moet dit uiteindelijk technisch opgelost worden met een systeem waarbij je alleen gebeld kunt worden door mensen die je eerst geautoriseerd hebt (zoals voornoemde doorschakelservice / zoals in veel chat-systemen gebruikelijk is.

      1. Een paar jaar lijkt me heel sterk, @daA, alleen al met ‘grep’ kun je veel sneller zoeken op allerlei ‘mogelijk interessante trefwoorden’ 😉 zodra je de site uitleest met een scriptje. Het zal inderdaad voor 99% van de Nederlanders geen probleem zijn, maar daarmee sluit je je dan weer aan bij de ‘kennissen die geen bezwaar zien’ ;-}

        Zelf gebruik ik gewoonlijk al een tweede mobiel, (inplaats van de oude met het in ‘sync.me’ bekende nr,) een nieuwer model met een alleen-internet-kaart, die dus gewoon helemaal geen telefoonnummer (en geen whatsapp, FB etc etc etc) heeft. Het is rigoureus, maar wat je niet gebruikt, kan ook niet op de verkeerde plek terechtkomen.

        Een goed idee, dat ‘eerst-autoriseren’! Zou zo’n app niet al bestaan…? kHeb er eigenlijk nooit naar gezocht..

  7. Het grootste probleem met sync.me is volgens mij dat je je naam en email adres moet doorgeven als je wilt dat zij je telefoonnummer verwijderen! En dat lijkt mij al helemaal fout omdat ze dan een legitieme reden krijgen om jouw gegevens te bewaren, simpelweg omdat je die zelf hebt doorgegeven. Maar daarnaast, als sync.me mijn telefoonnummer zou bevatten dan zou ik graag willen weten wie deze heeft ge-upload. Want met die persoon ga ik dan vervolgens een stevige babbel houden over mijn privacy! Maar goed, ik sta er niet in. Aan de andere kant, het lijkt mij wel interessant om gewoon een Google-account aan te maken met daarbij een contactenlijst vol foutieve gegevens. En die dan vervolgens doorsturen naar sync.me zodat hun database eigenlijk waardeloos wordt. Ik vraag mij eigenlijk af of dat wel mag. Lijkt mij niets mis mee.

    1. Ja, helemaal mee eens Wim, ik ben niet van plan al mijn overige gegevens ook aan sync.me te geven. Lijkt me een geinig idee, een bogus-google-account met een contactenlijst vol foutieve gegevens.

      Ik vraag me af hoe het zit met gegevens van minderjarigen. Mijn dochtertjes hebben ook telefoontjes, en vriendinnetjes met telefoontjes, en die zullen dus ook wel in sync.me opgeslagen zijn. kHeb er nog niet naar gekeken. En je hoeft ook geen groot scenario-schrijver te zijn om je voor te stellen wat een kwaadwillende kan doen vanaf een gespoofed telefoonnummer. ‘Mama hier, kom je naar… Dan haal ik je daar op…’ (Niet dat ik me over mijn eigen kinderen zorgen zou maken, maar het gaat om het principe.)

    2. Dan zetten ze in de voorwaarden (of misschien staat het er al) dat dit niet mag. Als dan nog iemand dat doet, gaan ze hem/haar aanklagen in Nederland en vervolgens is de rechter gepikeerd omdat die persoon met eigenrichting bezig is en verliest hij/zij …

  8. Als sync.me meent getrapt toestemming te hebben (de gebruiker geeft sync.me toestemming zijn contactenlijstgegevens te verwerken, en de gebruiker heeft daarvoor al de juiste toestemming van de personen over wie die gegegens gaan) dan moeten ze op aanvraag kunnen laten weten van wie de gegevens afkomstig zijn. Als mijn nummer voorkwam, zou ik dat willen weten om diegene indringend te onderrichten op het vlak van privacy.

    Netter zou misschien zelfs zijn als sync.me bij iedere vermelding ook de aandrager zou noemen. Dat zou dan evengoed in de AV geregeld kunnen worden. Om begrijpelijke reden doen ze dat natuurlijk niet. Privacy van een ander is toch nog steeds iets anders dan privacy van jezelf…

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.