Jonge Skype- en Outlook-gebruikers in de problemen door privacywet

| AE 10569 | Cloud, Privacy | 25 reacties

Kinderen onder de 16 jaar met een Outlook- of Skype-account hebben een probleem: ze kunnen opeens niet meer inloggen. Dat meldde de NOS vorige week op basis van een PR-meelbal van Microsoft die het afsluiten van minderjarigen in het belang van hun veiligheid noemt. De geciteerde reden – dat moet van de AVG – is de grootste onzin die ik over deze wet in tijden heb gelezen. En ik héb wat onzin over de AVG gelezen.

Het klopt dat er voor kinderen (zestienminnners dus) speciale regels in de AVG staan. Wanneer je namelijk een kind onder de zestien rechtstreeks een internetdienst aanbiedt, en je wilt daarbij toestemming voor gebruik van diens persoonsgegevens, dan moet je die bij de ouders gaan halen. Dat staat in artikel 8 lid 1. En in lid 2 staat dat de aanbieder van zo’n dienst een inspanningsplicht heeft om daadwerkelijk te controleren dat die toestemming er is.

Alleen: het moet gaan om een “rechtstreeks aanbod”, staat er letterlijk. Ik kan dat maar op één manier lezen en dat is dat de dienst zich specifiek op kinderen richt. Een dienst die toevallig ook kinderen toelaat, doet die kinderen weliswaar een aanbod maar geen rechtstreeks aanbod. Als je zegt van wel, dan doet iedere internetdienst te allen tijde een “rechtstreeks” aanbod door een signup formulier te bieden, en dan heeft de frase “rechtstreeks aanbod” geen betekenis. En dat is juridisch een gevalletje delen door nul, dat kan niet waar zijn dat een zinsnede niets betekent. Een wetgever schrijft het niet voor niet zo op.

Daarnaast geldt het alleen voor gebruik van persoonsgegevens met als grondslag toestemming. Ik zou denken dat bij Microsoft die persoonsgegevens (je account, de daaraan gekoppelde gegevens die je opslaat et cetera) onder de grondslag overeenkomst verwerkt worden. Ook daarom zou dit dus gewoon niet van toepassing moeten zijn. Je vraagt niet om toestemming om een dienst te mogen leveren, je sluit een online contract waaronder je een dienst gaat leveren. Dat is wezenlijk wat anders.

Ik snap dus werkelijk niet hoe Microsoft hierbij komt. Je zou kunnen denken dat het een voorzichtige interpretatie is, maar als ik dan “We zijn er ons van bewust dat de vereisten die de AVG met zich meebrengt tijdelijk vervelend kunnen zijn.” lees in dat persbericht dan is mijn eerste gedachte, wordt hier subtiel gelobbyd tegen de werkelijke doelen van de AVG? Is er werkelijk geen andere manier dan een creditcardbetaling?

Het grappige vind ik dan nog dat onder de Wbp (en dus in heel Europa) er wel categorisch altijd toestemming nodig was van ouders om zestienminners internetdiensten te laten gebruiken. De huidige wet kent namelijk géén beperking tot “direct aanbod” of zelfs maar tot internetdiensten. Toestemming geven voor een schoolfoto moet nu dus via de ouders, vanaf 25 mei kan een kind die toestemming zelf geven (tenzij volgens de algemene regel van artikel 1:234 BW die toestemming niet gebruikelijk is voor iemand van die leeftijd). Dus eigenlijk erkent Microsoft dat het al die jaren het fout heeft gedaan?

Arnoud

Mag je als kleine vereniging blijven werken met Google Drive onder de GDPR?

| AE 10556 | Cloud | 6 reacties

Een lezer vroeg me:

Wij zijn een kleine vereniging die zich wil voorbereiden op de AVG. Eén zorg is onze ledenadministratie, die we nu beheren in Google Drive. Ik heb begrepen dat dit mag als we een verwerkersovereenkomst met Google sluiten, maar hoe ga ik dat in vredesnaam doen bij zo’n gigant? Plus hoe houd ik toezicht op hun securitymaatregelen, wat ik vereist ben onder de AVG.

Er zijn veel dingen om je zorgen over te maken bij Google, maar dat je een verwerkersovereenkomst met ze moet sluiten zou er geen moeten zijn. Het bedrijf voorziet in een standaard DPA waar alle gebruikers van haar clouddiensten automatisch onder vallen. Als je met deze overeenkomst kunt leven, dan heb je dus voldaan aan de eis een verwerkersovereenkomst met je verwerker Google te sluiten.

Natuurlijk staan er dingen in die je als verwerkingsverantwoordelijke scherper zou willen hebben. Een verwijderperiode van 180 dagen nadat de instructie is gegeven is bijvoorbeeld vrij ruim, en het kost geld als je Google wilt auditten. Maar alles bij elkaar vind ik hem niet eens zo heel slecht. Zeker niet als je bedenkt dat Google keurig zo ongeveer alle securitycertificeringen heeft die er bestaan.

Voor een mkb organisatie zoals een vereniging zou ik dus geen reden zien om van Google af te stappen als de angst is dat je het qua security of verwerkersovereenkomst niet geregeld krijgt. Het zal in ieder geval veiliger zijn dan je zelf voor elkaar kunt krijgen (of met een eigen verwerkersovereenkomst weet te onderhandelen met een lokale partij).

Wie met Google werkt, zal eerder in het achterhoofd moeten houden dat ze daar op de lange termijn (zeg een jaar of drie tot vijf) weer weg moet. Amerikaanse bedrijven hebben immers met de AVG conflicterende plichten op zich liggen, zoals de plicht lokale law enforcement toegang te geven tot clouddata.

Vooralsnog lijkt die plicht beperkt te zijn tot data in de VS, zodat je je veilig kunt wanen door een Europese dochter te contracteren. De dreiging van die Microsoft-rechtszaak over de cloud is nu even weg, zodat we op korte termijn geen uitspraak krijgen dat de FBI Amerikaanse bedrijven kan bevelen bij Europese dochters data te gaan halen. Echter, de reden daarvoor is zorgwekkend: er komt een nieuwe Amerikaanse wet die dat gewoon toestaat (heel grappig: de Clarifying Lawful Overseas Use of Data, oftewel CLOUD) en daarom is het niet meer relevant nog over de oude wet een uitspraak te doen. De zorg of dat wel compatibel is met de AVG, blijft dus gewoon bestaan.

Arnoud

Mag Destiny achteraf de inhoud van een game aanpassen?

| AE 10007 | Cloud, Software | 6 reacties

Onlinespelaanbieder Bungie heeft bepaalde spelelementen uit Destiny 2 vergrendeld voor bezitters van de game die niet de nieuwe Curse of Osiris downloadable content kopen, zo las ik bij Tweakers vorige week. Deze spelelementen waren origineel wel inbegrepen, maar wie de aanschaf van deze download weigerde, blijkt niet langer in staat om alle inhoud van het spel te kunnen spelen. Zo moeten spelers nu bijvoorbeeld een power level van 330 hebben om toegang te krijgen tot het onderdeel Prestige Nightfall, maar is zonder de aanschaf van Curse of Osiris is een level boven de 305 niet te halen.

Wanneer je iets koopt, heb je recht op conformiteit (“wettelijke garantie”). Het spel moet dus voldoen aan de redelijkerwijs gewekte verwachtingen, en het lijkt me dat daarbij hoort dat de verhaallijnen en onderdelen die er bij aanschaf in zitten, het gewoon blijven doen. Dat je nadien updates of uitbreidingen kunt kopen voor méér dingen staat daar natuurlijk los van.

En ja, deze regel geldt ook bij aangeschafte spellen. Al in 2012 bepaalde de Hoge Raad dat de regels uit het Burgerlijk Wetboek over koop van spullen ook gelden voor gekochte software. Wel moet het dan gaan om standaardsoftware die je tegen een vaste, eenmalige vergoeding krijgt voor onbepaalde tijd. Je hebt voor dergelijke software dus het recht op een goed product, net zoals bij een nieuwe koelkast.

Wanneer functionaliteit wijzigt bij de aanschaf van een uitbreiding, dan is dat ergens nog wel te billijken mits dat duidelijk bij de aanschaf gemeld werd. Je kiest er dan immers voor om die aanschaf te doen en dus ook om die wijziging voor lief te nemen. Bij deze dlc was daar geen sprake van.

Sterker nog, het probleem hier is niet dat mensen die de dlc kochten ineens minder kunnen, het treft juist mensen die de extra content niet hebben gekocht. Want met de release van deze extra content werden ook de algemene spelregels aangepast, waarmee dus die verhoogde power levels overal ingevoerd werden en je dus niet meer in staat bent het gehele spel te spelen. Dat zou in strijd zijn met die conformiteitseis.

Dit verhaal laat weer een zwakte zien van de recente ontwikkeling om van software een dienst te maken of deze te koppelen aan een online dienst. De koper van een product is stevig beschermd, maar wie een dienst afneemt staat eigenlijk heel erg zwak. Want dienstverleners mogen hun voorwaarden aanpassen, de inhoud van de dienst veranderen en de prijs verhogen als ze daar zin in hebben. En als afnemer kun je eigenlijk alleen opzeggen als je dat niet bevalt. Eisen dat de dienst blijft zoals je was beloofd, is niet juridisch mogelijk.

Arnoud

Is het valsheid in geschrifte om andermans TTL aan te passen?

| AE 9960 | Cloud, Domeinnamen | 10 reacties

Sorry, beetje nerdtitel. Via Twitter de vraag: DNS TTL violations is a controversial topic. It basically means a resolver overrides a TTL value provided by an authoritative server, and then serving its clients with this value. In this post, we analyse if this is happening in the wild. … is ttl violation geen valsheid in… Lees verder

Mensen boos omdat Google Docs hun privédocumenten als abuse aanmerkte

| AE 9788 | Cloud | 18 reacties

Mensen worden buitengesloten van hun Google Docs, en daar zijn ze boos over. Dat meldde Slate vorige maand. Om onduidelijke redenen merkte een grote groep mensen ineens dat de toegang tot bepaalde van hun documenten geblokkeerd was, met als melding dat hier de Terms of Service waren overtreden. Censuur, omdat het ging om privédocumenten? Uiteindelijk… Lees verder

Mag ik een klant persoonsgegevens over zijn logins verschaffen?

| AE 9761 | Beveiliging, Cloud | 8 reacties

Een lezer vroeg me: Wij zijn een clouddienstverlener voor bedrijven. Met enige regelmaat krijgen wij vragen van klanten over logingedrag. Wie logde er na 18 uur nog in, vanaf welk IP-adres is gistermiddag toegang tot de database gezocht en ga zo maar door. Omdat dit persoonsgegevens zijn, wil ik graag weten hoe dat zit onder… Lees verder

Worden Europese bedrijven straks verplicht data aan de VS te geven?

| AE 9756 | Cloud | 23 reacties

De Supreme Court gaat uitspraak doen in de Microsoft-cloudzaak waarbij het Amerikaanse bedrijf door de rechter verplicht werd data van haar Europese dochter af te geven aan de FBI. Dat las ik (dank, tipgevers) bij Ars Technica. De zaak loopt al een tijdje en kan enorme gevolgen hebben voor de bruikbaarheid van de cloud voor… Lees verder

Mijn hostingprovider weigert de DNS records van mijn domeinen te overhandigen!

| AE 9527 | Cloud, Domeinnamen | 15 reacties

Een lezer vroeg me: Voor een klant moeten we meerdere domeinnamen overnemen van de huidige hoster. Echter wil de hostingpartij huidige ingestelde DNS records niet overhandigen aan zowel de klant als ons, en er is ook geen toegang tot een online omgeving waar ik deze kan downloaden. Mag men dit zo weigeren? Ja, dat mag… Lees verder

Wie is aansprakelijk voor dat #cloudbleed-lek van Cloudflare?

| AE 9280 | Cloud, Privacy | 11 reacties

Door een bug in de html-parser van CloudFlare konden gevoelige gegevens van klanten van het bedrijf lekken en stond data in de cache van zoekmachines. Na een melding van Google heeft de dienst voor optimilisatie van websites het lek in zeven uur gedicht. Dat meldde Tweakers, met meer details in The Register. De clouddienst had… Lees verder