Banken en verzekeraars mogen niet zomaar meewerken aan ransomware-betalingen

| AE 12276 | Ondernemingsvrijheid | 25 reacties

De VS waarschuwen banken en verzekeraars dat ze mogelijk de wet overtreden wanneer ze ransomware-losgeld betalen aan criminelen, las ik bij Trouw onlangs. Allereerst omdat je dan met verdachte transacties te maken hebt (je gaat ineens in bitcoin betalen) en ten tweede omdat je nog wel eens aan partijen in sanctielanden (zoals Noord-Korea, Wannacry) blijkt te betalen, en dat is keihard verboden. Ook in Nederland moeten financiële instellingen betalingen melden die met ransomware te maken hebben. Dat kan nog wel eens knap ingewikkeld worden.

Een tijd geleden schreef ik over wat een instantie moet doen die zijn data of systemen gegijzeld ziet. Als betalen werkelijk de beste optie is (er is geen goede backup, er is urgentie, etc) dan zullen mensen daar toch snel toe geneigd zijn. En ik moet zeggen, ik begrijp dat wel als je slachtoffer bent. Ook al is het zakelijk, het doet echt pijn zo’n datagijzeling.

Daar staat natuurlijk tegenover dat je een crimineel businessmodel in stand houdt, wat maatschappelijk niet wenselijk is. Maar er is geen algemene regel dat je geen losgeld mag betalen, of niet het verdienmodel van criminelen in stand mag houden. Ik zie het echt als een stukje nood, als je dat zelf doet. Doe je het als professioneel ingeschakelde hulppersoon, zoals een cybersecuritybedrijf of verzekeraar, dan wordt dat anders. Dan is het echt een zakelijke keuze dat je criminelen wilt belonen in plaats van strafbare feiten op wilt (laten) sporen, en dan wordt het een heel ander verhaal voor mij.

In Trouw lees ik dat verzekeraars niet direct aan gijzelnemers betalen. Hooguit wordt soms een slachtoffer schadeloos gesteld dat zelf koos voor betaling. Ik denk dat dat nog net door de beugel kan, aangenomen dat er natuurlijk niet aangespoord is om “gewoon te betalen en dan krijg je het van ons vergoed”.

Arnoud

Heeft die consent-balk van Teams bij video-opnames ook maar enige betekenis?

| AE 12255 | Ondernemingsvrijheid, Privacy | 29 reacties

Via Twitter:

als tijdens een videooverleg de organisator ‘opnemen’ aanzet dan lijkt dit me geen AVG-conforme manier om toestemming omdat die ‘vrijelijk’ gegeven moet worden.
Ik verbaas me ook regelmatig over dat balkje bovenin de meeting, met de tekst “This meeting is being recorded. By joining you are giving consent for this meeting to be recorded.” Eh nee, zo werkt het niet. Maar dit is dan weer zo’n ding waar het gewoon zo gaat en we dat met een zucht accepteren. Het lijkt wel het digitale equivalent van dat “de directie stelt zich niet aansprakelijk”-bordje (waar ik nog steeds meer voorbeelden van zoek, trouwens) te worden.

Inderdaad valt het opnemen van zakelijke meetings onder de AVG. In theorie zou het kunnen dat iemand dit voor strikt persoonlijk gebruik opneemt, maar laten we even uitgaan van een zakelijke meeting en een organisator die structureel opneemt en dat in bijvoorbeeld het zaakdossier opneemt.

Met toestemming van je deelnemers mag dat natuurlijk. Alleen: die moet vrijelijk worden gegeven, en bovendien met een actieve handeling. “Door daarnet het gesprek binnen te komen, heeft u toestemming gegeven” is daarbij een tikje laat. Die tekst had vóór het binnenkomen getoond moeten worden om überhaupt in aanmerking te komen voor de kwalificatie van toestemmingsvraag. Maar ik heb nog geen enkele meeting gehad waarbij Teams voorafgaand aan het binnenkomen me meldt dat er opgenomen gaat worden. Raar.

Zonder toestemming een meeting opnemen ligt lastig. Het kan wel: als de opname noodzakelijk is voor het werk, bijvoorbeeld voor collega’s die terug moeten kijken, dan zie ik het wel als legaal. Of als een organisatie een groot belang heeft bij de opname, de videoregistratie van een jaarvergadering wellicht als bewijs van wat er afgesproken is. Hoewel je natuurlijk daar meteen tegenover kunt stellen dat er ook notulen zijn, dus waarom moeten mensen de hele vergadering terugkijken?

(Dat laatste is de innovatieparadox uit de AVG: nieuwe dingen mogen eigenlijk nooit, want er is een bestaand oud ding dat eigenlijk net zo goed is. Dus er is geen noodzaak. En als er geen bestaand ding is dat je vervangt met je nieuwe ding, dan is het hoog risico of geen nut, dus ook geen noodzaak.)

Arnoud

 

Man verliest Microsoft-account (en alle data) vanwege gedoe over onbetamelijke foto

| AE 12267 | Ondernemingsvrijheid | 57 reacties

Je krijgt ongevraagd een onbetamelijke foto toegestuurd, waarna Microsoft je levenslang verbant van al haar diensten. Dat meldde NRC afgelopen zondag. Want dat is terecht, zo vonniste de rechtbank: een man had een kort geding daartegen aangespannen maar krijgt zijn bestanden niet terug en mag ook zijn Microsoft-account nooit meer gebruiken. Althans, voor nu – de bestanden mogen niet weggegooid en er zal dus een bodemprocedure nodig zijn om echt uit te maken of Microsoft terecht handelde. Maar ja, je digitale leven mag dus worden geblokkeerd voor nu.

Het probleem begon in april dit jaar, toen de eisende man merkte dat zijn toegang tot zijn OneDrive account onmogelijk was, en Microsoft desgevraagd meldde dat er een “serious violation” was geweest van de Service Agreement. Doorvragen leverde slechts herhaling op van deze mededeling, waarna de man een advocaat inschakelde. Ook dat mocht niet baten, vandaar de rechtszaak.

Pas daarna kwam aan het licht dat de violation het feit betrof dat de eiser in een groepsapp van WhatsApp een foto gedeeld had gekregen die Microsoft als kinderpornografie aanmerkte. De foto was volgens eiser grappig bedoeld, toont niet werkelijk seks met kinderen maar “door het hele ongelukkige moment van afdrukken bij het maken van deze foto lijkt dat zo.” De rechtbank komt echter tot de conclusie dat de afbeelding ook dan kan kwalificeren als kinderporno, gezien internationale afspraken op dat gebied.

Microsoft heeft software draaien die het opslaan en vooral het delen van dergelijke foto’s detecteert. Een groot deel van het geschil ging over de vraag of de man deze afbeelding nu had gedeeld of niet. Hij zei van niet, Microsoft zegt van wel – en MS krijgt gelijk omdat de servicevoorwaarden zeggen dat je de foto niet mag hebben, ongeacht of je deze deelt. Een overtreding dus.

Dan krijg je de vraag, is de maatregel proportioneel. In juridische termen: de algemene voorwaarde die zegt dat je je gehele (betaalde) account geheel kwijt raakt, is onredelijk bezwarend bij één overtreding. Daarvan zegt de rechter, nee dat is niet zo: dit soort afbeeldingen zijn zeer ernstig en strafbaar, dus is een volledige vernietiging van het gehele account een gepaste reactie.

Uit het vonnis haal ik dat de man van de overige bestanden niets meer had gezegd dan dat ze emotionele waarde hebben. “Indien [eiser] naar voren zou hebben gebracht dat hij een of meer onderdelen van de bestanden dringend nodig had, dan zou de voorzieningenrechter dat belang bij de beoordeling kunnen betrekken maar [eiser] heeft dat niet gedaan.” Oftewel, als je als privépersoon alleen maar persoonlijke bestanden in de cloud hebt staan, dan heeft dat geen waarde en moet je niet klagen als ze worden vernietigd.

Ook een beroep op de AVG mag niet baten: weliswaar staat daar een recht op dataportabiliteit, maar dat geldt niet voor alle bestanden in je account. Je hebt alleen recht op een export van je persoonsgegevens, en een serie door jou gemaakte foto’s zijn op zichzelf geen persoonsgegevens van jou. 

Het is een kort geding, dus voor uitgebreide discussie is geen plaats. Daarom verplicht de rechter Microsoft wel om de bestanden nu veilig te stellen, zodat de principiële discussie gevoerd kan worden bij de bodemrechter. Ik hoop heel erg dat dit ook snel gebeurt.

Arnoud

PS: links naar de betreffende afbeelding of suggesties hoe deze te vinden leiden tot een levenslange ban op deze blog. Geen grap.

 

Franse politie arresteert café-uitbaters die wifidata niet bewaarden

| AE 12244 | Ondernemingsvrijheid | 6 reacties

In de Franse stad Grenoble zijn ten minste vijf uitbaters van cafés en restaurants opgepakt omdat ze een wifinetwerk in hun etablissement aanboden maar de logs niet minstens een jaar bewaarden. Dat meldde Tweakers maandag. Die bewaartermijn staat in de Franse wet, en is opmerkelijk gezien we in Europees verband dit juist hadden verboden. De… Lees verder

RTL: bsn’s van miljoenen Nederlanders online te zien door verlopen domeinnaam

| AE 12240 | Ondernemingsvrijheid | 21 reacties

De zorgverzekeringsgegevens en burgerservicenummers van miljoenen Nederlanders waren online in te zien doordat een zorginstelling een domein liet verlopen, zo las ik bij Tweakers. Nieuwsorganisatie RTL had een verlopen domein van een zorginstelling overnemen en daarmee ook e-mails naar dat domein onderscheppen. De inloggegevens voor de Vecozo-database (een bedrijf dat digitale ondersteuning biedt aan zorginstellingen) werden in… Lees verder

Mag je iemand zijn ontslag laten nemen als je zijn laptop onbeheerd aantreft?

| AE 12212 | Ondernemingsvrijheid | 58 reacties

Een lezer vroeg me: Bij ons (redelijk groot) bedrijf gelden harde securityregels, waaronder de simpele eis je laptop te locken als je er van wegloopt. Als security officer zeg ik dan altijd, als ik een open laptop zie dan stuur ik vanuit jouw mailadres een ontslagmail naar je manager. Maar nu vroeg ik me af… Lees verder

YouTube gaat gebruikers om ID-kaart vragen om leeftijd te controleren, mag dat?

| AE 12225 | Ondernemingsvrijheid | 33 reacties

YouTube gaat gebruikers om een ID-kaart of creditcard vragen als het niet kan vaststellen of een gebruiker achttien jaar of ouder is en video’s voor volwassenen wil bekijken. Dat meldde Nu.nl gisteren. De maatregel volgt uit de Audiovisual Media Services Directive (AVMSD) die in 2018 werd aangenomen en ongeveer nu van kracht is. Deze vereist… Lees verder

Studenten raken diploma kwijt na haperend online tentamentoezicht

| AE 12214 | Ondernemingsvrijheid | 35 reacties

Denk je jouw tentamen met een mooi cijfer gehaald te hebben, krijg je twee maanden later een mailtje van de universiteit dat het tentamen toch ongeldig is, omdat het online toezicht haperde. Zo opende de NOS vorige week over een incident bij de Erasmus Universiteit School of Law. Deze had proctoring ingezet bij een aantal… Lees verder