Honderden websites verzamelen data van webforms voordat gebruikers die versturen

| AE 13329 | Ondernemingsvrijheid, Privacy | 1 reactie

Honderden websites verzamelen informatie die gebruikers in webformulieren typen en sturen die door naar trackingbedrijven, ook voordat gebruikers het formulier daadwerkelijk versturen. Dat meldde Tweakers onlangs op gezag van onderzoek uit Leuven getiteld “Leaky forms”. Het alvast verwerven van gegevens die je invult maar nog niet opstuurt zal voor veel mensen verrassend zijn, en is natuurlijk zeer problematisch onder de AVG – juist omdat het niet is wat je verwacht. En nee, dat veel van die sites een hash opsturen van het emailadres is volstrekt irrelevant.

Tweakers legt uit hoe men te werk ging:

[De onderzoekers] bouwden vervolgens een crawler die was gebaseerd op DuckDuckGo’s Tracker Radar Collector. Die zoekt naar velden om e-mailadressen en wachtwoorden in webformulieren in te vullen. In dat geval onderschept de crawler ook het netwerkverkeer van die sites om te kijken welke informatie er op welk moment wordt verzonden.
Men stelde vast dat bij 1844 van de onderzochte 100.000 websites er dus al ingevulde informatie werd verstuurd nog voordat de gebruiker daadwerkelijk op de onderdrukking-knop drukte. Meestal ging het dan om inlog- of nieuwsbriefinschrijfformulieren, en vaak werd dan niet het rauwe mailadres maar een hash daarvan verstuurd.

Technisch niet heel moeilijk, maar waarom doet men dit? Het was even denken, maar een legitieme reden is dat je bij een website-inschrijving bijvoorbeeld kunt zeggen dat een gekozen gebruikersnaam al bezet is. Dat gebeurt ook wel voor mailadressen: “Er is al een account bij dit adres” zie je dan tijdens het invullen. Maar dat vind ik al iets dubieuzer: zo kun je achterhalen of iemand wiens mailadres jij weet, gebruiker of klant is van die site. En dat kan een privacyschending zijn.

De onderzoekers lieten echter zien dat veel van deze informatie door derde partijen wordt uitgelezen, vaak zo te zien invoegtoepassingen die zichzelf nestelen in je formulieren. Dit zie je vaker, mensen installeren een analyticstool voor het een of ander en die blijkt veel dieper informatie op te vragen dan een eerste blik op de handleiding doet vermoeden. Dit verklaart ook waarom bijvoorbeeld de Vogelbescherming direct riep dat zij “geen persoonsgegevens deelt” met derden, zij het met de mysterieuze toevoeging dat “[zij] deze gegevens inzetten om de website gebruikersvriendelijker te maken.” Dan heb ik liever “onze nitwit van een webdesigner had HotJar met alle opties aan geïnstalleerd, dit staat nu uit, sorry” als reactie, maar goed.

Ik heb even snel wat van de genoemde sites bekeken, maar geen van hen noemt dit in de privacyverklaring of heeft op het formulier een “wij/derden lezen mee” verklaring. En omdat het hier gaat om dingen waar de gemiddelde consument door verrast wordt, moet dat echt wel van de AVG.

Arnoud

Ziggo stopt prijsverhogingsrecht in voorwaarden om opzegging te voorkomen, wacht wat?

| AE 13324 | Ondernemingsvrijheid | 27 reacties

Ziggo verhoogt per 1 juli de prijzen van de meeste internetabonnementen, meldde Tweakers onlangs. De algemene voorwaarden zijn ook aangepast: er staat nu een wijzigingsbeding in. “Door de prijswijziging in de voorwaarden op te nemen, zijn klanten met een lopend contract niet meer contractvrij na een prijsverhoging”, zo legt men behulpzaam uit. Maar eh, zo werkt dat niet met consumentenrecht.

De provider zegt dat de prijswijziging nodig is vanwege hogere kosten, zoals duurder wordende netwerkapparatuur en een ‘enorme prijsstijging op het energieverbruik van het netwerk’. Dat kan, en ik geloof het ook onmiddellijk. Het gebeurt natuurlijk vaker dat kostenverhogingen worden doorbelast aan consumenten, maar daar steekt de wet bij telecomdiensten een stokje voor.

Artikel 7.2 Telecommunicatiewet bepaalt dat je bij iedere contractswijziging vier weken van tevoren moet worden geïnformeerd én dat je het recht hebt om dan op te zeggen. Dat is dwingend recht, dus geen algemene voorwaarde (of zelfs een expliciet onderhandeld of kernbeding) die daar verandering in kan brengen. Ook mogen er geen kosten, zoals afkoopsom of boete, worden gerekend voor opzeggen.

Dat is waar die zin over “contractsvrij” over gaat: dergelijke contracten worden vaak gesloten voor één of twee jaar en worden daarna stilzwijgend onbepaalde tijd. Wie dus in die eerste termijn zit, zit daar dan ook echt aan vast, maar kan ineens tóch opzeggen als de provider de voorwaarden (de prijs is een voorwaarde, in juridische taal) aanpast.

Het ingewikkelde is dat het wel moet gaan om een negatieve wijziging in de contractuele relatie. Een prijsverlaging is dus geen reden om op te mogen zeggen, net zo min als een inflatiecorrectie. En laat precies dat nu zijn waar de gewijzigde voorwaarden van Ziggo over gaan. Ziggo mag dus eenzijdig de prijzen aanpassen aan inflatie, en dat geeft dan geen recht om tussentijds weg te gaan.

Specifiek bij deze verhoging geldt wel een recht van tussentijds opzeggen. Ziggo geeft namelijk aan dat de verhoging is vanwege hogere inkoopskosten. Dat is géén inflatiecorrectie maar een zelfgekozen verhoging om die kosten door te berekenen. En dat mag, maar is nadelig voor de consument en daarmee een grond om op te zeggen.

Arnoud

Mijn manager wil de WhatsApp-logs van mijn zakelijke gesprekken, moet ik dat doen?

| AE 13321 | Ondernemingsvrijheid, Privacy | 18 reacties

Een lezer vroeg me:

Op mijn werk (ICT servicebedrijf) gebruiken we WhatsApp om met collega’s te overleggen, en ook wel om met klanten dingen te bespreken. Denk aan foto’s van problemen, overleg over werk bij de klant, afstemmen datums, dat soort dingen. Nu heeft onze manager bedacht dat we de logs van deze gesprekken centraal moeten bewaren “om te bewijzen wat er afgesproken is” en of we dus WhatsApp logging willen instellen op de bedrijfsclouddienst. Is dat legaal?
Mijn eerste vraag zou zijn: gaat het hier om WhatsApp op de eigen (privé) telefoon, of op het gebruik van deze chatdienst op een zakelijke telefoon? Dat maakt nogal uit, omdat de kern van het probleem hem zit in de scheiding tussen werkgesprekken en privéchats.

Ik zie op het eerste gezicht weinig bezwaren tegen het loggen van zakelijke gesprekken met klanten (of overleg tussen collega’s) zodat het later teruggelezen kan worden. Het kan geschillen voorkomen, of ze in ieder geval makkelijker uit te praten maken. Afspraken staan meteen genoteerd en ga zo maar door.

Natuurlijk heb je ook privacy op het werk, maar uitgaande van een werkrelatie met de klant (en met collega’s) lijkt me dat hier geen belang dat zwaar onder druk komt te staan bij zo’n logging. Wel moeten er natuurlijk goede afspraken zijn over wie bij de logs kan en wanneer. Het maakt nogal uit of de collega dat doet als de klant klaagt dat er iets niet conform afspraak is gedaan, of dat de lijnmanager dat samen met HR doet als er een arbeidsconflict gevonden moet worden om van de vraagsteller af te komen.

Om dat goed te regelen, heb je een privacyreglement nodig, of een ICT-reglement. En bij organisaties met een OR moet die het vooraf goedkeuren. Bij een kleinere organisatie is duidelijkheid geven over wat je logt en waarom de sleutel.

Dit gaat allemaal uit van zakelijke telefoons waarbij je WhatsApp moest installeren als deel van het werk. De kans is groot dat we hier te maken hebben met de situatie waarin mensen op hun eigen telefoon chatten met klanten of collega’s, en dat dáár de manager ineens logs van wil hebben.

Die vind ik spannender, met name omdat je bij WhatsApp logs aan of uit kunt zetten maar niet per gesprekspartner instelbaar. Dan zouden dus álle logs, ook die met je partner of met de tandarts, centraal opgeslagen worden. En dat is natuurlijk een onoplosbaar probleem.

Arnoud

Belgische boete voor nieuwsbrief die dacht een servicebericht te zijn

| AE 13316 | Ondernemingsvrijheid, Privacy | 12 reacties

De Belgische Gegevensbeschermingsautoriteit heeft een boete van 10.000 euro uitgedeeld aan de spoorwegmaatschappij NMBS. Dat meldde Tweakers donderdag. De NMBS had zonder aanleiding een nieuwsbrief verstuurd, en roepen dat “dat de nieuwsbrief noodzakelijk was voor het waarborgen voor de ‘sanitaire veiligheid’ van treinreizigers” was daarbij geen argument. De toezichthouder was een onderzoek gestart naar aanleiding… Lees verder

Hoe krijg je effectief een vonnis tegen een Amerikaans blogplatform?

| AE 13313 | Ondernemingsvrijheid | 21 reacties

Wat moet je doen als een raar figuur je belastert op WordPress, en na diens arrestatie een ander de blog overneemt? Een recent vonnis (dank, tipgever) laat zien hoe ingewikkeld dit kan zijn. De eiser in de zaak is een Nederlander die werkt als sales director in de visbranche, en al jaren te kampen heeft met bedreigingen…. Lees verder

Nee, je kunt geen geld vragen voor het overnemen van populaire tweets

| AE 13310 | Ondernemingsvrijheid, Uitingsvrijheid | 11 reacties

Elon Musk heeft zijn banken beloofd Twitter winstgevend te maken, onder meer door geld te vragen voor overname van populaire tweets. Dat meldde Reuters onlangs. Voor de overname en beursverwijdering heeft Musk 44 miljard dollar nodig, waarbij een aantal banken voor de financiering zorgt. Deze eisen dan een businessplan, en deel van de visie daarover van… Lees verder

Ik moet mijn paspoort uploaden en voor de camera dansen om mijn game-account op te heffen

| AE 13302 | Ondernemingsvrijheid, Privacy | 18 reacties

Een lezer vroeg me: Een jaar geleden meldde ik me aan bij een game site. Nu wil ik mijn account verwijderen. De helpdesk zegt dat ik dan via een externe partij een foto van mijn ID en een filmpje van mezelf moet aanleveren ter bevestiging van mijn nationaliteit. Dit omdat ze alleen accounts verwijderen in… Lees verder

Verkopers IoT-apparaten vanaf 27 april wettelijk verplicht updates te leveren

| AE 13305 | Informatiemaatschappij, Ondernemingsvrijheid | 14 reacties

Verkopers van Internet of Things (IoT)-apparaten, zoals smart tv’s en horloges, printers, camera’s en babyfoons, zijn vanaf 27 april wettelijk verplicht om software- en beveiligingsupdates te leveren. Dat las ik bij Security.nl vorige week. Nadat in februari de Tweede Kamer akkoord was met een updateplicht, stemt nu ook de Eerste Kamer in. En ja, 27 april… Lees verder

Tot wanneer kan ik mijn zonnepanelen op afstand annuleren?

| AE 13296 | Ondernemingsvrijheid | 19 reacties

Een lezer vroeg me: Recent heb ik via een internetbedrijf een offerte voor zonnepanelen aangevraagd. Zelf de maten opgegeven met hun handige tool, via de mail installatiedatum afgesproken, 25% aanbetaald maar nu voel ik me er toch minder happy bij. Kan ik dit nog annuleren met de Wet koop op afstand? Hoofdregel is dat je… Lees verder

Met historisch akkoord herschrijft Brussel de regels voor het internet, nou nou nou

| AE 13299 | Ondernemingsvrijheid, Regulering | 4 reacties

De Europese Unie laat een tijdperk van zelfregulatie achter zich met de invoering van ingrijpende nieuwe regels voor internetbedrijven, zo noemt NRC het. Nu.nl is iets feitelijker: De EU-lidstaten, de Europese Commissie en het Europees Parlement zijn het in de nacht van vrijdag op zaterdag eens geworden over definitieve, strengere wetgeving die de macht van… Lees verder