Mag een browserextensie je waarschuwen voor oplichters?

chrome-zwartelijstAfgelopen maand heb ik in de avonduren een chrome extensie ontwikkeld die op elke webpagina zoekt naar IBAN, telefoonnummer, e-mailadressen, las ik (dank, tipgever) bij Gathering of Tweakers. De poster was slachtoffer van oplichting geworden en ontdekte dat hij dit had kunnen voorkomen door even dergelijke gegevens door Google te halen. Vandaar de extensie: de gegevens worden vergeleken met een blacklist van 10.000+ fraudeurs (die elke nacht wordt bijgewerkt) en je krijgt een waarschuwing. Oké, komt ie: mag dat?

Allereerst de vraag: hoe komt deze extensie aan zijn gegevens? Als ik het goed begrijp, dan scant hij webpagina’s op e-mailadressen, bankrekeningen en adressen en matcht hij die tegen een lijst. Zo’n extensie kan die gegevens makkelijk uitlezen, en een lijst binnenhalen met brongegevens is ook niet heel moeilijk. Ik zie alleen niet wat de beheerders van die lijsten daarvan vinden. Dat zóu een probleem met databankrecht kunnen zijn, want op lijsten met verdachte gegevens als deze kan databankrecht zitten als de beheerder er substantieel in geïnvesteerd heeft. Dus even navragen (en een bronvermelding) lijkt me wel verstandig.

Belangrijker is echter de vraag, mag dat wel van de Wbp? Want hoe logisch het ook klinkt dat je nu gewoon een Google-opdracht in een extensie stopt, de Wbp ziet zulke dingen altijd anders. Als jij zelf gegevens gaat verwerken, dan moet jij dat verantwoorden en “Google doet het ook” is géén verantwoording. Waarom heb jij het recht die gegevens zo te ontsluiten?

Meer specifiek ziet de toezichthouder zwarte lijsten als deze als een soort verwerking waar voorafgaand verlof voor nodig is, vanwege de impact die zulke lijsten kunnen hebben. Je zult eens door een paar boze klanten als oplichter worden aangemerkt en dan levenslang via zulke extensies worden gehinderd.

Oh ja, en ik lees nog dat mensen dan bezwaar kunnen maken bij de extensie-beheerder: haal mij van de lijst. Maar het is zeker geen automatisme dat mensen op grond van de Wbp bezwaar kunnen maken tegen opname op zo’n lijst. Ik zie zo’n openbare lijst als een stukje vrijheid van meningsuiting, mensen willen waarschuwen voor oplichting is een legitiem doel en de Wbp mag daar niet zomaar doorheen fietsen.

Dus nou ja, mag het? In principe niet, want een zwarte lijst vereist toestemming. Maar als je de lijst kunt verantwoorden als aan de kaak stellen van misstanden, dan mag het denk ik wél.

Belangrijkste zal zijn dat je de lijst actueel en juist houdt, want wie achterhaalde gegevens als zwarte lijst inzet, heeft een probleem.

Arnoud

20 reacties

  1. Ik zou het echt de omgekeerde wereld vinden als het niet zou mogen, de oplichters houden zich immers ook niet aan de wet… Maar wel met goed (bij voorkeur onafhankelijk) toezicht op de blacklist, want je wilt als eerlijke ondernemer ook beschermd kunnen worden tegen ontevreden klanten of “creatieve conculegas”…

    1. Tja, omdat iemand zich niet aan de wet houdt, hoeft niemand zich aan de wet te houden… Ik denk niet dat het gaat werken (behalve voor jan de vries..).

      Je laatste opmerking is dan ook precies het probleem, er is geen onafhankelijk toezicht en geen (gegarandeerde) mogelijkheden om een onterechte vermelding te kunnen verwijderen. Daarnaast kan je in de plug-in niet de context zien van de melding, dit in tegenstelling tot als je gaat googlen.

      Tot slot geeft het een schijnveiligheid omdat je denkt dat je beschermt bent terwijl het maar zeer beperkt is.

    2. Als je kijkt hoe “creatieve conculegas” soms misbruik maken van de DMCA, is die bescherming inderdaad verdomd belangrijk. Een onterechte opname in zo’n lijst kan een klein bedrijfje volkomen kapot maken als de extensie viral gaat.

  2. Waarom heb jij het recht die gegevens zo te ontsluiten?

    Misschien omdat het geen openbaarmaking aan een nieuw publiek is? Dezelfde mensen die de extensie gebruiken zouden ook zelf kunnen googelen.

  3. Interessanter voor mij is: wat is de schade / boete als je het toch doet?

    Veel succes aan de AP om een particuliere programmeur aan te pakken, dan wel aan de oplichters om privaat hun schade rond teloorgang business model aan te tonen.

    Er mag zoveel niet. Zakelijk de Wbp handhaven heel belangrijk, maar particulieren mogen wat mij betreft er met een grote boog omheen lopen (moreel gezien dan).

  4. Ook hier geldt: het is triviaal de Nederlandse wet te omzeilen door deze dienst vanuit een jurisdictie aan te bieden waar de Wbp niet afgedwongen kan worden. De gedachte dat je privacy kunt beschermen door het hebben of verwerken van gegevens te verbieden is uiterst naïef. De beste manier om privacy te beschermen is te zorgen dat bepaalde ongewenste gedragingen naar aanleiding van die gegevens aangepakt kunnen worden, zodat het niet meer zinvol is die gegevens te vergaren. Het niet kopen van scammers kan ik echter echt niet ongewenst vinden.

      1. De schade wordt in Nederland geleden, Nederlandse rechter is bevoegd, stuur dagvaarding, krijg verstekvonnis en ga dat gebruiken om de blacklist site uit de lucht te halen, domeinregistraties te claimen, etc. Kijk maar eens hoe Brein en haar buitenlandse colelga’s de zaken aanpakken. :-/

        1. Ik kijk, ik zie en ik verwacht dat de aanpak net zo effectief wordt als elke andere poging om in de VS tekst te laten verwijderen met een Nederlands gerechtelijk bevel terwijl het aldaar onde Freedom of Speech valt. M.a.w. je wordt heel hard weggelachen, zolang je maar je domein registreerd en host in de VS en een amerikaan de website laat beheren.

          Dit soort systeemen moet je in de VS opzetten, niet in Nederland. App / add-in ook verspreiden vanuit de VS en vooral zorgen dat jij geen zeggenschap hebt over het verwijderen!

          1. Je kunt ook in de VS een zaak wegens smaad aanspannen…. moet je wel aantonen dat de claims onwaar zijn. Echter, allerlei censuur grapjes die hier onder de noemer smaad of laster worden doorgedrukt kun je daar vergeten. De SPEECH Act is daar doelbewust voor opgezet. Wat mij betreft komt er een uitbreiding op die wet om ook het onzalige EU “recht om vergeten te worden” te blokkeren.

      2. Dat wordt lastig en daarom moeten we zorgen dat zulke diensten van buiten onze jurisdictie niet populair worden, want in dat geval zouden we weinig kunnen doen tegen bijvoorbeeld vage lijsten waar je alleen tegen betaling vanaf komt.

        Dus moeten we zulke diensten binnen onze jurisdictie juist niet te kritisch benaderen (dat geldt ook voor de makers van de lijsten) en het ze niet bij voorbaat te moeilijk maken met strenge interpretaties van wetgeving (toestemming, WPB, zwarte lijsten). Wel goed dat je het noemt natuurlijk, en als duidelijk wordt dat er fouten in de lijsten zitten moet je daar natuurlijk ook iets mee. (Ik neem aan dat developer dan ook een overrule lijst mag implementeren, om niet aan te slaan op mensen die onterecht op de lijst staan.)

        Ik zou dus graag zien dat zolang je ter goeder trouw zulke diensten aanbiedt, dat dat geen probleem is.

        Misschien is het voor de plugin-developer ook nog een mogelijkheid om zelf geen lijst te configureren, maar dit aan de gebruikers zelf over te laten. Zou dat voldoende zijn om gedoe te voorkomen? Mag hij dan nog wel een of meer linkjes naar zulke lijsten aanbieden? Wellicht kan hij ook (betrouwbare) lijst-providers verzoeken om hun data in het gewenste formaat aan te leveren.

  5. Ik lig onder tafel vanwege de vraag: “mag dat?” Of het mij ook maar iets uitmaakt of “dat mag”. Dikke vinger! Als ik een dergelijke extensie wil gebruiken, dan doe ik dat. Daarnaast: Wie houdt me tegen? Je kan nu wel alles gaan afdoen met privacy schending, maar laten we wel wezen, oplichters moeten niet de gelegenheid krijgen om nog meer schade aan te richten. Ik ben verder niet geinteresseerd in de lijst waartegen gematcht wordt. Als ik een grote rode rechthoek te zien krijg is dat voor mij voldoende reden om niet te kopen of verkopen. Simpel zat. Ik ben zeer voor privacy en het behoud daar van. Het grote data graaien van profilerings bedrijven is me dan ook een doorn in het oog. Echter, je zal toch flink je best moeten doen om op een dergelijke zwarte lijst te komen. Wat mij betreft is dit een gevalletje “eigen schuld dikke bult”

  6. Wat nu als je een extensie schrijft die alle mailadressen / telefoonnummers / ibans op een pagina, op dat moment door Google haalt en kijkt of er een verband is tussen oplichting en deze zoekterm, en vervolgens het adres als zodanig markeert? Dan voert de computer van de eindgebruiker feitelijk zelf de zoekopdracht uit, en hoeft de maker van de extensie geen zwarte lijsten bij te houden of te scrapen. Technisch misschien geen ideale oplossing, en vast ook niet 100% waterdicht, maar je zult je handen niet branden aan de WBP op het moment dat je alleen de gebruiker helpt om geautomatiseerd zelf een zoekopdracht te doen. Het is dan immers de eindgebruiker die de verwerker is van de persoonsgegevens, toch?

    Of zie ik nu wat over het hoofd?

  7. ” Ik zie zo’n openbare lijst als een stukje vrijheid van meningsuiting, mensen willen waarschuwen voor oplichting is een legitiem doel en de Wbp mag daar niet zomaar doorheen fietsen. “

    Gaat dat niet wat ver? Vrije mening is 1 ding. Iemand te pas of te onpas voor oplichter uitmaken een 2e. Daarbij als ik de wet goed begrijp ben je ook pas oplichter als je de intentie hebt en niet bv als iets net even te lang blijft liggen naar iemands mening. Hoe gaan we daar dan mee om? Ik kan mij namelijk niet indenken dat je iemand op een zwarte lijst kunt zetten op basis van wat aannames, suggestieve zaken of andere niet concrete feiten.

  8. De titel en toelichting sluiten niet goed op elkaar aan.

    Er zijn hier verschillende dingen waarvan je je kunt afvragen of ze mogen:

    Zo’n browserextensie maken en bijhouden? Lijkt me wel.

    Zo’n zwarte lijst maken en bijhouden? Lijkt me de vraag.

    De browserextensie, die een naam opzoekt in de zwarte lijst, gebruiken? Lijkt me wal. Als dat al niet mag, mag je op dezelfde gronden geen enkele Google-query op een persoonsnaam meer doen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.