Hoe erg is Office, pardon Microsoft 365 in strijd met de AVG?

| AE 13720 | Ondernemingsvrijheid, Privacy | 3 reacties

Microsoft 365 is volgens het Duitse Datenschutzkonferenz nog steeds in strijd met de Europese GDPR-privacyregelgevingen. Dat meldde Tweakers onlangs. Het gaat om een voorlopige conclusie van een tweejarig onderzoek naar de online services binnen de Office-tool (met nieuwe merknaam) van het bedrijf. Volgens de Dsk zijn er ‘geen substantiële verbeteringen’ doorgevoerd, Microsoft heeft een beter PR bureau want spreekt van “we halen, nee: overstijgen, GDPR-vereisten”. Nou gaat niemand voor z’n lol meer doen dan de AVG eist, dus wat is hier aan de hand?

Het probleem kwam in 2020 aan het licht:

DSK, de Duitse waakhond voor databescherming, heeft onderzocht hoe de Enterprise-editie van Windows 10 omgaat met gebruikersinformatie. Gebruikers kunnen instellen dat Windows helemaal geen gegevens verzendt naar Microsoft. Volgens het onderzoek van DSK blijkt dit niet helemaal vlekkeloos te verlopen. Zelfs wanneer een gebruiker daar geen toestemming voor geeft, verzendt Windows 10 alsnog gegevens naar Microsoft.
Sindsdien is Microsoft al twee jaar aan het onderhandelen en aanpassen om de goedkeuring van het Duitse samenwerkingsverband van privacytoezichthouders te verkrijgen (iedere deelstaat heeft zijn eigen AP). Het bleek niet alleen te gaan om dat stukje telemetrie, maar ook over zaken als de export van die gegevens naar buiten de EU (hoi Schrems II) en de omgang met subverwerkers. Microsoft kwam in september nog met een nieuwe privacyverklaring, waarin zwaarder ingezet werd op legitiem belang als grondslag voor van alles en nog wat.

De DSK mist nog steeds het nodige. Zo maakt die nieuwe privacyverklaring nog steeds niet duidelijk welke gegevens precies worden verstuurd naar de VS en voor welk doel. Lees ‘m hier in al haar juridische glorie, maar concreter dan deze wordt het niet volgens mij (“Microsoft stellt die nötige Transparenz über Verarbeitungstätigkeiten durch umfangreiche Dokumentation her.”):

Klantgegevens, Gegevens van Professionele Diensten en Persoonsgegevens die Microsoft namens de Klant verwerkt, mogen niet worden overgedragen aan, of opgeslagen en verwerkt op een geografische locatie, uitgezonderd in overeenstemming met de Voorwaarden van de [Bijlage Bescherming van persoonsgegevens, BBP] en de waarborgen die hieronder in dit artikel worden beschreven. Rekening houdend met dergelijke waarborgen, machtigt de Klant Microsoft om Klantgegevens, Gegevens van Professionele Diensten en Persoonsgegevens over te dragen naar de Verenigde Staten of enig ander land waarin Microsoft of haar Subverwerkers actief zijn en om Klantgegevens en Persoonsgegevens op te slaan en te verwerken voor het leveren van de Producten, behalve zoals elders in de Voorwaarden van de BBP is beschreven.
Er gaan nog steeds gegevens naar de VS. Volgens Microsoft zou dat mogen vanwege de privacyschaamlap pardon Executive Order die het Privacy Shield zou moeten vervangen. Daar valt het nodige over te zeggen, maar ik volsta met opmerken dat Microsoft vervolgens verwijst naar SCC’s als reden om de gegevens in de VS op te mogen slaan. Ook zou het alleen gaan om geanonimiseerde gegevens waar de AVG niet voor geldt.

Alles bij elkaar: ik krijg niet het gevoel dat Microsoft écht iets veranderd heeft, maar vooral meer argumenten heeft aangedragen waarom alles eigenlijk wel in orde is. Dat riekt naar tijd winnen en hopen dat die executive order door de Europese Commissie wordt geaccepteerd.

Arnoud

 

NVB: digitale euro heeft weinig meerwaarde voor burgers en bedrijven

| AE 13705 | Innovatie, Ondernemingsvrijheid | 19 reacties

angelolucas / Pixabay

De digitale euro heeft in de huidige opzet weinig meerwaarde voor burgers en bedrijven, maar kan een grote impact op de kwaliteit en stabiliteit van het geldstelsel en betalingsverkeer hebben. Dat las ik bij Security.nl. De Nederlandse Vereniging van Banken (NVB), die achter de uitspraak zit, pleit dan ook voor een maatschappelijk debat alvorens we deze nieuwe munt gaan invoeren. Want wat is een digitale euro eigenlijk en waarom zouden we dit willen?

De kern achter een digitale euro is “contant geld maar dan digitaal”. Dat is niet hetzelfde als elektronisch betalen met je bankrekening (iDeal, creditcard, Paypal) want dan betaal je niet met geld maar wordt je tegoed bij die bank verrekend met een opdracht richting een begunstigde. En er is nog een verschil: bij contant geld zie je niet wie aan wie betaalt, dus bij een digitale euro zou dat ook niet moeten.

Oh dat is bitcoin met Europese merknaam, denkt u nu misschien. Nee:

Een digitale euro is centralebankgeld. Dit betekent dat hij door een centrale bank zou worden gegarandeerd en op maat van de burgers zou worden ontworpen: risicovrij, met respect voor de privacy en aandacht voor gegevensbescherming. Centrale banken hebben als taak de waarde van het geld te handhaven, onafhankelijk van de fysieke of digitale vorm ervan. …

Bij crypto’s bestaat er niet iets als een entiteit die aansprakelijk is, wat betekent dat vorderingen niet afdwingbaar zijn.

Een digitale euro heeft met cryptomunten gemeen dat er geen centrale registratie is van eigenaren en hoe veel geld ze hebben. (Dus bij diefstal is het inderdaad weg, terugboeken door de bank is niet mogelijk.) Maar de waarde wordt gegarandeerd door de Europese of nationale centrale bank, waar bij cryptomunten de munt waard is wat de kopers vinden dat deze waard is. (hoi FTX)

Dit lost nog steeds niet de vraag op waarom we een digitale euro zouden willen. RTL Nieuws deed een poging:

Digitaal centralebankgeld is een soort middenweg daartussen. In plaats van een afspraak met de bank dat jij geld tegoed hebt, heb je een directe afspraak met de centrale bank. In theorie hoeft niemand zich dan ooit zorgen te maken over of een bank wel of niet omvalt en wat dat voor gevolgen heeft om de hele economie.
Tussen de regels door lees ik ook een paniekreactie op de inmiddels geflopte Facebookmunt Libra (weet u nog), waarmee het augmentedrealitybedrijf (waar zelfs vluchtende Twitteraars niet heen willen) de wereld wilde veroveren. Zij had een soort decentrale opzet gekozen, en hét voordeel van een centrale bank is dan natuurlijk een centrale, niet aan te tasten waardegarantie.

Een groot discussiepunt blijft nog wel hoe anoniem een digitale euro moet worden. De zorg over witwassen zit diep in de financiële sector, zoals ik terugzie in het paper van de NVB:

Het kabinet zet in op anonimiteit voor kleine transacties zonder inbreuk op wettelijke verplichtingen, in lijn met de motie-Alkaya/Heinen. Mocht de digitale euro vooral eigenschappen hebben van contant geld, dan lijkt een zekere anonimiteit bij kleine bedragen – en vooral bij peer-to-peerbetalingen – voor de hand te liggen. Deze anonimiteit mag evenwel onder geen beding de inspanningen van de bankensector op het vlak van [witwas/terrorisme-bestrijding] in de weg staan. Bij introductie van dergelijke anonimiteit dient de sector te worden gevrijwaard van eventuele aansprakelijkheden.
Ik snap ergens nog het idee van een digitale anonieme munt die waardevast is (gegarandeerd door een centrale bank), commercieel gezien heeft dat een duidelijke usp ten opzichte van de decentrale cryptovaluta van nu. Maar zodra je het koppelt aan een rekening met alle identificatie-eisen en transactielogging die daarbij horen, dan zie ik het verschil niet meer met mijn gewone digitale rekening?

Arnoud

 

Mag je je adresboeken openstellen voor diensten als Meta of WhatsApp?

| AE 13694 | Ondernemingsvrijheid, Privacy | 11 reacties

Vorige week werd in mijn column voor Security.nl een terechte vraag opgeworpen:

Hoe zit het eigenlijk überhaupt met gebruik van whatsapp (en soortgelijke apps) op zakelijke mobiele toestellen? De toestellen bevatten persoonsgegevens van collega’s in je adresboek en veel van die apps hebben de “gewoonte” om je hele adresboek leeg te lepelen en naar de maker van de app te sturen. Naar mijn mening is dat een datalek wat bij het AP gemeld moet worden, klopt dat?
Dit is natuurlijk waar, en niet alleen voor zakelijke toestellen maar ook bij privégebruik van de dienst WhatsApp. En de feature “upload je adresboek en ontdek wie van je contacten ook bij ons zit” is natuurlijk bij vele sociale netwerken bekend, het is een handige en snelle manier om mensen te leren kennen – en om je potentiële klantenbestand te verruimen.

Het is natuurlijk ook problematisch onder de AVG, maar ook onder de oude Wbp overigens. De kern is dat jij geen toestemming kunt geven voor de verstrekking van die gegevens, alle mooie woorden in de terms of service ten spijt. Een dienstverlener mag er dus ook niet vanuit gaan dat jij toestemming hebt gehaald bij alle mensen in je adresboek. Dat is dus een probleem.

Er is ook geen echte noodzaak om die gegevens te verstrekken voor het gebruik van die dienst. Je kunt zelf prima mensen toevoegen of buiten het systeem om ze benaderen en hun contactgegevens bij de dienst verkrijgen (of de jouwe geven). Dan is er voor juristen nog één optie, en dat is het legitiem belang: het is op zich handig om in een keer al je vrienden (contacten) gevonden te hebben. Dat biedt de basis voor een beroep op het gerechtvaardigd belang (artikel 6 lid 1 sub f AVG), maar je moet dan vervolgens een privacy-afweging maken: hoe erg is het voor die mensen om zo in het systeem te komen, en wat kan ik doen om dat nadeel te verminderen tot vrij dicht bij nul?

Voor mensen die ook de dienst gebruiken is dat vrij makkelijk, zij zitten er al en willen dus kennelijk benaderd worden. Maar de mensen die niet op (in dit geval) WhatsApp willen, die willen waarschijnlijk ook niet bij WhatsApp bekend staan als een mogelijk contact. (Ik herinner me menig dienst die je dan ging mailen “Je vrienden missen je op XYZ.example, word je ook lid”, nee dacht het niet.) Alleen weet jij op voorhand niet welke mensen er al op die dienst zitten, dat is immers het hele punt van je adresboek delen.

Gelukkig is er een oplossing, en nog goedgekeurd door onze eigen Autoriteit Persoonsgegevens ook. De app leest je adresboek uit en stuurt een hash van alle contactgegevens naar de dienst. Die kan dat vergelijken met het gebruikersbestand. Wie gebruiker is, geeft een match op de hash. En wie geen gebruiker is, blijft zo anoniem want de hash is dan niet te herleiden tot zijn telefoonnummer (of mailadres, bij andere diensten). Met die constructie is het dus legaal om je adresboek te uploaden. Het enige is: je moet wel vooraf weten dat dit zo werkt, en daar zijn de meeste diensten nogal kortaf over.

In theorie kun je, zeker bij telefoonnummers, een set rainbow tables uitrekenen waarmee de hashes terug te herleiden zijn. Er zijn in Nederland bijvoorbeeld maar zestig miljoen 06-nummers* en dat is een triviale set om alle hashes van uit te rekenen. Maar een bedrijf dat zegt “bij ons kun je veilig je adresboek uploaden want wij matchen alleen gehashed” en dat vervolgens toch de nummers gaat gebruiken, is natuurlijk keihard in overtreding.

Arnoud * Ik weet dat er acht cijfers na 06 komen, dus in theorie 100 miljoen nummers, maar diverse ranges zoals 06-0 en 06-9 en ik meen ook de range 06-11 worden niet uitgegeven. Zie deze bron voor alle beschikbare nummers.

Basisschoolleerling bestelt per ongeluk voor half miljoen euro aan lesmateriaal

| AE 13678 | Ondernemingsvrijheid | 11 reacties

Een basisschoolleerling in Vught heeft per ongeluk voor 500.000 euro aan lesmateriaal besteld op de webshop van uitgever Malmberg, meldde de NOS onlangs. Toen het de jongen niet lukte om in te loggen in het online rekenprogramma, kwam hij (groep 7) via-via op de site van Malmberg, waar het aanmaken van een account voor de… Lees verder

Moet je een klant helpen migreren naar de concurrent?

| AE 13675 | Ondernemingsvrijheid | 2 reacties

Als je een maatwerk-webshop voor een klant bouwt, en je krijgt later ruzie, ben je dan verplicht die klant te helpen migreren naar de concurrent? Oh jee, dat is weer zo’n zorgplicht-vonnis hè? Ja, dat is weer zo’n zorgplicht-vonnis. En zoals bij elk zorgplicht-vonnis komt het aan op hoe je je contract hebt opgesteld en… Lees verder

Oh jee, gaat je TikTok-data nu ineens naar China, dat wist ik niet?

| AE 13666 | Ondernemingsvrijheid, Privacy | 16 reacties

TikTok gaat zijn Europese privacybeleid aanpassen, las ik bij Nu.nl. (Ruud help: zijn of haar beleid?) In de nieuwe versie van het document meldt het sociale netwerk dat data van Europese gebruikers toegankelijk zijn voor TikTok-medewerkers buiten Europa, en noemt Volksrepubliek China expliciet. Dat riep vele vragen op, want echt thee kun je dit niet noemen. Het… Lees verder

Adobe zet je ontwerp op zwart (letterlijk) als je niet bijbetaalt voor kleurinformatie, wacht wat?

| AE 13657 | Ondernemingsvrijheid | 27 reacties

Adobe-programma’s als Photoshop, Illustrator en InDesign hebben geen standaard toegang meer tot de meeste kleuren van Pantone, tenzij gebruikers daarvoor een abonnement afnemen. Dat meldde Tweakers onlangs. Wie dat abonnement niet neemt, krijgt zwarte vlakken waar eerst nog kleuren in de Pantone-kleurcoderingen stonden. Het verraste veel mensen, want hoezo kan Pantone auteursrecht claimen op een… Lees verder

Je mag dus toch wél testen met productiepersoonsgegevens, mits je ze maar daarna weggooit

| AE 13641 | Ondernemingsvrijheid, Privacy | 13 reacties

Goh, die zag ik dus niet helemaal aankomen: het Hof van Justitie oordeelt dat je wél je software mag testen met persoonsgegevens uit de productiedatabase. Mits je alles maar weggooit zodra je tests zijn afgerond. Dat bepaalde men onlangs (arrest C-77/21) in een zaak waarin een Hongaarse ISP (Digi) op de vingers werd getikt door… Lees verder

Hey #Netflix in de EU mogen we gewoon buitenshuis kijken zonder toeslag

| AE 13633 | Ondernemingsvrijheid | 8 reacties

Netflix wil een extra toeslag gaan vragen aan gebruikers die hun account delen met personen die op een ander adres wonen. Dat meldde Tweakers vorige week. De toeslag zou van toepassing zijn wanneer je de app langer dan 14 dagen buitenshuis gebruikt. En dat is natuurlijk juridisch een probleem, zoals de Consumentenbond terecht opmerkt. Want… Lees verder

Mag je werkgever je verplichten je meisjesnaam in je e-mailadres te voeren?

| AE 13637 | Ondernemingsvrijheid | 102 reacties

Via Security.nl: Onlangs ben ik begonnen met werken bij een nieuwe werkgever. Daar is een mailadres gekoppeld aan mijn werkaccount. Dat mailadres bevat mijn geboortenaam. Ik wil die naam echter niet gebruiken voor mijn werk. Ik gebruik op mijn werk, in mijn zakelijk netwerk, en óók bij al mijn eerdere werkgevers namelijk al bijna 20… Lees verder