Hoe veel privacy heb je bij reparatie van je computer of smartphone?

Bij het laten repareren van computers en smartphones is geen privacy en lopen mensen het risico dat hun persoonlijke foto’s en andere gegevens worden bekeken en gekopieerd, zo stellen onderzoekers van de University of Guelph in Canada. Dat meldde Security.nl onlangs. Speciaal geprepareerde laptops hielde in detail bij wat reparateurs op de machines allemaal uitvoerden: foto’s kopiëren, browsegeschiedenis bekijken en wachtwoorden noteren. Hoe zou dat bij ons uitpakken?

In theorie is het een strafbaar feit (art. 272/273 Strafrecht) om vertrouwelijke informatie van het werk te onthullen of voor andere doeleinden te gebruiken. Ik ken echter geen situaties waarin reparateurs werden vervolgd voor het soort handelen als in dat onderzoek werd beschreven. De AVG zou wel kunnen helpen, want je verwerkt als reparatiebedrijf dan persoonsgegevens op een manier die niet hoort bij de reparatie-opdracht. En uit je zorgplicht als dienstverlener volgt lijkt me ook wel dat je dit gewoon niet doet.

Het grote probleem is natuurlijk dat je hier moeilijk tot niet achter komt als klant. Heel misschien die wachtwoorden, maar de andere dingen kan een gewone gebruiker echt niet detecteren. En ze vooraf weghalen of afschermen is natuurlijk niet echt mogelijk, tegen de tijd dat je naar een reparatiewinkel gaat is de gemiddelde laptop of smartphone niet meer benaderbaar voor backups en afschermen.

Interessant vond ik nog het nieuwtje van Samsung en haar “Repair Mode“:

De modus geeft voldoende toegang om een reparatie uit te voeren, inclusief data over de apps van een device. Technici krijgen geen toegang tot de gebruikersgegevens van apps. Foto’s, sms’jes en e-mails blijven privé. … Samsung deelde geen details over de onderliggende technologie, maar we hebben een idee. Android-toestellen maken het reeds mogelijk om verschillende accounts voor verschillende gebruikers aan te maken.
Dit werkt bij smartphones denk ik vrij goed, zo’n gastaccount voor reparateurs zal dan geen sleutel bevatten om de user content te unlocken, maar biedt wel toegang tot instellingen van het apparaat zodat diagnostiek en controle uit te voeren is. Bij laptops zou ook zoiets kunnen, maar daar is disk encryptie (zoals Bitlocker) bij consumenten niet standaard. Dan zou je dus ook vanuit een gastenaccount op de harddisk kunnen gaan snuffelen, of gewoon de HD eruit halen en uitlezen.

Arnoud

28 reacties

    1. Ik fungeer als de facto helpdesk/reparatieservice voor de familie.

      Wanneer de hele computer niet meer werkt krijg ik vrijwel altijd het verzoek om zoveel mogelijk bestanden te redden. Ik neem aan dat dat bij veel reparatieservices niet anders zal zijn en dan helpt deze maatregel van Samsung niet. Aan de andere kant verzoekt de klant er dan om en is er natuurlijk ook geen privacy probleem.

      Ik werd overigens ooit gevraagd om de foto’s en het schoolwerk van mijn toen minderjarige nichtje te redden van haar computer. Daar bleken dus naaktfoto’s van haar tussen te zitten; die ik door de foto weergave in Nautilus te zien kreeg. Nog vervelender: dat was het mapje waarin MSN indertijd foto’s uit chats opsloeg!

      Ik heb die bestanden gewist, strict had ik op dat moment illegale foto’s in mijn bezit, inclusief bijbehorende chatlogs. Ik heb ook uitgebreid gesproken met mijn nichtje over veiligheid op het internet en nog overwogen met haar ouders te spreken, maar ze was zo geschrokken dat ik dat niet meer nodig vond. De bewustwording was er al.

      1. Dit is natuurlijk een gevoelig discussiepunt en je maakt jezelf al snel verdacht met dit soort nuancerende opmerkingen, maar ik geloof niet dat naaktfoto’s van kinderen per definitie illegaal zijn. Als jij gewoon die bestanden veilig stelt op verzoek en je kopieert die en zet ze over naar een nieuwe of gerepareerde computer dan help je gewoon je nichtje met een technisch probleem; en het is natuurlijk volkomen legaal om naaktfoto’s van jezelf op je eigen computer te hebben (of het verstandig is is een ander verhaal natuurlijk he, maar daar heb ik het niet over, ik heb het over dat je zegt dat het illegale foto’s zijn. Het is natuurlijk goed dat je haar gewaarschuwd hebt voor de gevaren op het Internet). Wij hebben zelf ook nog ouderwetse ontwikkelde foto’s van de toen heel jonge kinderen die in hun blootje in de branding aan het strand aan het spelen zijn, dat zijn ook geen illegale foto’s maar gewoon familiefoto’s van dingen die destijds in elk geval volkomen geaccepteerd waren.

        1. Het is een fijne lijn. Naaktfoto’s zijn niet strafbaar. Porno met minderjarigen wel. Uiteindelijk moet een rechter afwegen of het een gewone naaktfoto, of een pornografische afbeelding is. Maar het bezit van kinderporno is ook voor minderjarigen, ook van afbeeldingen van henzelf strafbaar. En foto’s die in de context van MSN berichten naar vriendjes zijn verstuurd, zullen snel als porno worden gezien, en niet als normale naaktfoto’s. Gezien de maatschappelijke ophef over pedoseksuelen en wraakporno bij tieners en online afpersingszaken, zou ik ook heel snel de afweging maken om de foto’s weg te gooien.

          1. Seksuele handelingen zijn niet nodig om iets als (kinder) porno te bestempellen. Suggestieve houding met doel op te winden is al voldoende.

            Dus laat ik er even duidelijk over zijn, er is geen enkele twijfel dat die foto’s door ieder normaal denkend mens als (kinder) porno bestempeld zouden worden!

            Dat is één van de problemen ten gevolge dat veel kinderen (altijd al) op jongere leeftijd met seks begonnen dan 18 jaar en dat tegenwoordig ze allemaal een digitale camera hebben.

            Het was voeger in Nederland m.i. een stuk logischer, de grens voor kinderporno lag toen gelijk met de leeftijd waarop men legaal seks mocht hebben: 16 jaar. Dat is alleen in de tijd van het internet internationaal niet houdbaar.

        1. Zoals ik in een andere reply al zeg, ik deed wat mij gevraagd werd.

          Als jij mij kan vertellen hoe ik de corrupte bestanden kan herkennen waar ik recovery pogingen op moet doen en tevens kan vaststellen of een recovery succesvol was, zonder het bestand te bekijken dan hoor ik het graag.

          Of een Word bestand weer leesbaar is zie je wel in één oog opslag zonder te lezen, hoe zie jij dat bij een plaatje voor je?

          1. Doe je dat ook als je gevraagd word een auto te stelen of … erger? Het is altijd een afweging. En met gewoon het normale filesysteem herstel, of systeemherstel zijn in principe alle bestanden hersteld. Mocht dat niet zo zijn kan jij daar ook niets meer aandoen. En ik kan mij ook niet voorstellen dat iemand die twijfelachtige bestanden op zij pc heeft, jouw vraagt om ze één voor één te gaan bekijken. Wat ook commercieel niet uitvoerbaar is. Wat belangrijker is als je iemand helpt is dat je jezelf moet beschermen, en zoals je zelf al zegt heb je dat niet gedaan en heb je bestanden weg moeten gooien, een gesprek aan moeten gaan, en wat meer nodig is, wat niet altijd even gemakkelijk is.

            Ik voetbal zeggen ze dan, jezelf op de penalty stip leggen.

            1. Kom kom, laten we niet Anoniem hier allerlei schuld in de schoenen schuiven. Er is niets vreemds aan dat, als je als niet-professional in de familie-sfeer iemand helpt met issues op een laptop, je dan gewoon een of andere filemanager (verkenner/nautilus/whatever) opent in de standaard view-modus waarin die altijd staat en dat je dan gewoon geheel ter goeder trouw naar de “documents” map op die laptop bladert om daar die folders te kopieeren. En dan kan je gewoon onbedoeld de thumbnails zien. Het is geen professionele reparateur, maar gewoon iemand die familie helpt en wat bestandjes wil kopieeren. Je hoeft onder die omstandigheden niet vooraf eerst een risico-analyse te maken of uitgebreid te gaan bespreken op welke manier je dat gaat doen of jezelf af te vragen of je jezelf moet beschermen ergens tegen. Dat doe je toch ook niet als je aan je familie iets uitleent of zo? Het is toch volkomen normaal om binnen gezins- of familieverband voor elkaar dingen te doen of elkaar te helpen. Als ik het zo hoor heeft Anoniem heel correct gehandeld door die bewuste foto’s weg te gooien en dat nichtje te waarschuwen voor onverstandig bezig zijn op internet, en daarmee is het toch klaar dan? Laten we niet doen alsof het vergelijkbaar is met het stelen van een auto of zo.

              1. Klopt ben ik helemaal met je eens, tot de laptop/pc stukgaat en wel naar een professionele reparateur moet en in de cache of sytembackup o.i.d. toch wat zaken zitten die toch wat lastig te verklaren zijn. Dat bedoel ik met jezelf op de penalty stip leggen. Daar heb je geen controle meer over. En ik geef niemand ergens de schuld van, hooguit iets van: wie de schoen past.

                En wat is anoniem? Wil je dat ik een naam erbij zet?

                Ik denk dat ik hier maar een ander mail adres ga gebruiken met de naam anarchist. Heeft daar iemand problemen mee of is er tegen dan hoor ik dat graag. want dat is wel iets waar ik sinds de laatste jaren achter sta, en steeds meer gezien de ontwikkelingen.

                1. In dat geval gaat een PC van een meisje naar een reparateur, en staan daar foto’s van haarzelf op. Los daarvan zal geen rechter hem veroordelen omdat hij toevallig een paar foto’s gezien heeft. Hij kwam ze bij toeval tegen tijdens een poging tot reparatie (dat kunnen de ouders en nichtje bevestigen) heeft de foto’s verwijderd en is er vervolgens op een correcte manier mee omgegaan door een gesprek met zijn nichtje te hebben, wat ze ook kan bevestigen. Heel simpel gezegd, ook bij een kopie-actie naar een USB-stick zónder thumbnails te kunnen zien had hij die foto’s mee gekopieerd, maar dan had hij het überhaupt niet geweten.

                  Anoniem is overigens degene op wie je reageerde 🙂

    2. Het hangt van het soort informatie af. Hoofdregel is dat je aangifte mág doen maar dat niet hoeft, behalve in de gevallen genoemd in artikel 160 Strafvordering:

      Ieder die kennis draagt van een der misdrijven omschreven in de artikelen 92-110 van het Wetboek van Strafrecht, in Titel VII van het Tweede Boek van dat Wetboek, voor zoover daardoor levensgevaar is veroorzaakt, of in de artikelen 287 tot en met 294 en 296 van dat wetboek, van menschenroof of van verkrachting, is verplicht daarvan onverwijld aangifte te doen bij een opsporingsambtenaar. Gelijke verplichting geldt ten aanzien van een ieder die kennis draagt van een terroristisch misdrijf.

      Bewijs van zakelijke fraude levert dus geen aangifteplicht op. Kinderporno gewoonlijk wel, maar ook het vinden van het dagboek van een pyromaan met hard bewijs (art 157 Strafrecht, staat in titel VII van Boek 2 Sr) zou in theorie je verplichten tot aangifte. Je bent zelf niet strafbaar als je geschrokken die laptop dichtdoet en alles wist op je eigen media. Alleen hoe je dan de klant aankijkt als die ‘m terug wil?

      1. “” Je bent zelf niet strafbaar als je geschrokken die laptop dichtdoet en alles wist op je eigen media”” Leg die eens uit, want je hebt een strafbaar feit weggemoffelt.

        Analoog: ik heb iets gestolen en daarna teruggebracht. De diefstal blijft. Een andere, meer heftig: Ik heb een pistool en onder bedreiging moet jij je auto afgeven. Achteraf is er geen geweld gepleegd,en is de auto teruggegeven.

    3. Niet zo heel moeilijk, mocht je e.a. tegenkomen en het is een particulier ben je wettelijk verplicht aangifte te doen. Doe je e.a. zakelijk dan moet je de opdrachtgever inlichten. Wel zo dat hij achteraf niet kan ontkennen die melding gehad te hebben. Je mag alleen komen aan data relevant voor reparatie voor het desbetreffende. Zit je aantoonbaar aan zaken die niet nodig waren voor reparatie kan de eventuele verdachte nietig geding aanvoeren.

        1. Gewoon Nederlandse praktijk, niets Belgies aan, waarom klinkt het Belgies? vertel eens.

          Als je onrechtmatige zaken gezien hebt moet je actie ondernemen. Verschil zit hem in particulier of zakelijk. Als jij aantoonbaar hebt lopen grasduinen, is dat reden voor nietig geding. Want niet elke rechter accepteert onrechtmatig verkregen bewijs. Het woord, onrechtmatig, zegt het al. Laat anders het wetsartikel zien waar onrechtmatig bewijs altijd geaccepteerd word door een rechter, want dat is wat je nu beweert.

          Als helpdesk/servicedesk medewerker meld je dat aan je leidinggevende., en als particulier moet je zelf beslissen. Het is in de praktijk niet doenlijk om iedere medewerker zelf te laten oordelen en aangifte te laten doen. Ik weet uit ervaring dat je dan de helft van de medewerkers dagelijks kwijt bent, want dat moet wel op het bureau. En de politie is daar ook niet zo blij mee, met vaak veel onzin zaken die vaak veel tijd kosten. Staan ze snel bij de werkgever.

          Ik houd niet voor niets een slag om de arm, met “eventuele verdachte”. Jij maakt er een feit van.

          La

          1. Oh, omdat je dingen zegt die niet stroken met Nederlands recht en op het eind “nietig geding” vermeldt. Dat is geen Nederlandse juridische term dus toen dacht ik aan België.

            Allereerst is er géén algemene plicht tot aangifte (wel een recht, geen plicht) van strafbare zaken. Zie artikel 161 Strafvordering.

            Ten tweede is er geen rechtsregel dat als een burger bewijs aanlevert in een strafzaak, de politie dat bewijs niet mag gebruiken. Alleen wanneer Justitie zélf het wetboek van Strafvordering schendt, kan bewijs worden uitgesloten. Begin eens bij HR 30 maart 2004, NJ 2004/376 (Afvoerpijp).

            En ah je bedoelt dat werknemers zelf aangifte gaan doen? Dat is inderdaad ongewenst, dat moet het bedrijf beslissen en mij dunkt een leidinggevende of hoge bedrijfsjurist dan gaan doen.

                1. Nee hoor gewoon iemand met veel ervaring in het leven, en veel verschillende beroepen, en hier is om mij deel ervaring te delen zoals ik die in de praktijk mee heb gemaakt. En uiteraard ook nog wat te leren. Maar mensen zijn tegenwoordig zo snel op de teentjes getrapt.

  1. Ik maak altijd backups met behulp van rsync op de commandline. Zo zie je nooit iemands documenten in. Alles op een (nieuw!) stickje en de computer opnieuw installeren. Dat is hoe het hoort en niet anders.

    “per ongeluk” bestanden inzien geloof ik echt helemaal niets van. Dat is gewoon grasduinen.

    1. Ik heb geen professionele tools daarvoor, ik kopieer met de ‘verkenner’/Nautilus de betreffende bestanden naar een USB schijf.

      Nautilus laat standaard van foto’s miniaturen zien. Dan zijn sommige zaken heel snel duidelijk. Tekst documenten is een ander verhaal, dan ben je inderdaad bewust bestanden aan het openen.

      1. Daar zijn geen professionele tools voor nodig. rsync is 1 manier, powershell een tweede: Copy-Item -Path "C:\users\username\*" -Destination "X:\backup\username\" -Recurse

        Grafische tools zullen (mede door het genereren van thumbnails) meer resources vereisen en trager zijn. Die thumbnails heb je helemaal niet nodig om die data te kopieren en is dus overkill ;).

        1. Ik doe normaal een recursieve kopieeropdracht (kopieer de ‘user’/Documents directory in nautilus), maar dat gaat dfout wanneer de harddisk vol corrupte files staat (de reden dat ik gevraagd was bestanden te redden). Dan stopt de kopieëeropdracht bij elk onleesbaar bestand. Als je dan een directory opent met preview, zie je in één oogopslag welke bestanden te corrupt zijn om te openen.

          Rsync gebruik ik voor backups van mijn NAS. Rsync kopieert doodleuk elk corrupt bestand over en dan weet je nog niet welke bestanden gerecovered zijn en op welke je een repairtool moet gebruiken.

      2. Zelfs al zou je nautilus willen gebruiken, dan kan je toch thumbnails uitzetten als je met andermans data aan de slag gaat. Ook hoef je niet te blijven zitten kijken naar die data. Het is puur een kwestie van ethiek en integriteit.

        Dat rsync ook corrupte bestanden overzet, is alleen maar goed. Laat de eigenaar achteraf (op een werkende pc) maar uitzoeken wat wel en niet bewaard moet worden.

        1. Dat was nu juist de vraag die haar ouders mij gesteld hadden, omdat zij dat zelf niet konden.

          Uitzoeken wat corrupt en niet corrupt was en ook kijken of er van de corrupte bestanden nog iets te redden viel. Een corrupt Word en Excel bestand is vaak nog wel te redden. En zelfs een foto (jpg) bestand met beperkt aantal fouten kan je soms nog redden, maar daar hebben zij de kennis niet voor. Ik deed niet meer of minder dan mij gevraagd werd.

          Ik heb – helaas – ook genoeg herinstallaties van Windows gedaan waarbij ik de oude documenten in een mapje ‘oude’ bestanden heb geplaatst met als enige actie een goede virusscanner erop los laten en zoek het verder maar uit.

      3. Dat mag je als particulier, zakelijk is dat niet toegestaan. Slaat ook nergens op want op die manier kopieren is veel te langzaam, van elk plaatje een thumbnail maken en dus ook een .db waarin je kan grasduinen op Windows, (Hence verkenner) en dan kopieren cq verplaatsen. BTW in Nautilus kan je ook gewoon kiezen voor details of thumbnails. Dus kijken naar thumbnails is dan opzet.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.