Hoe datarommel van mobieledataharkbedrijf App Annie tot een boete van de beurstoezichthouder leidde

| AE 12918 | Regulering | Er zijn nog geen reacties

geralt / Pixabay

Mobieledataverzamelbedrijf App Annie heeft voor 10 miljoen met de Amerikaanse beurswaakhond SEC geschikt, las ik bij The Verge. Ik kende ze ook niet, maar App Annie “produceert business intelligence tools en markt rapportages voornamelijk voor de app industrie”. Ze verzamelt data zoals Google Analytics bij aangesloten bedrijven, inclusief data over gebruik van de mobiele apps van die bedrijven, zodat die meer inzicht in hun appgebruik kregen. Tevens kon App Annie die data aggregeren en zo doorverkopen aan bijvoorbeeld beleggers die willen weten hoe een bepaalde branch ervoor staat. En daar ging het mis: men verkocht niet keurig enkel de geaggregeerde data.

De schikking legt uit waar het precies misging:

The order finds that App Annie and Schmitt understood that companies would only share their confidential app performance data with App Annie if it promised not to disclose their data to third parties, and as a result App Annie and Schmitt assured companies that their data would be aggregated and anonymized before being used by a statistical model to generate estimates of app performance. Contrary to these representations, the order finds that from late 2014 through mid-2018, App Annie used non-aggregated and non-anonymized data to alter its model-generated estimates to make them more valuable to sell to trading firms.
App Annie kreeg dus individuele data van bedrijven, maakte daar een statistisch model van voor sectoren en corrigeerde dat met de originele, individuele data. Vervolgens had ze heel goed passende modellen, waar beleggers gretig voor betaalden. Maar dát is natuurlijk niet de afspraak.
“App Annie sought to distinguish itself in the alternative data space by providing securities market participants with valuable information in a new and innovative way,” said Erin E. Schneider, Director of the SEC’s San Francisco Regional Office. “It went to great lengths to assure its customers that the financial and app-related data it sold was the product of a sophisticated statistical model and that it had controls to ensure compliance with the federal securities laws. These representations were materially false and misleading.”
Het bedrijf moet stoppen, en de CEO mag drie jaar lang niet in een dergelijke functie bij een beursgenoteerd bedrijf werken.

Het laat voor mij zien hoe lastig is het is om goede grip op data-hergebruik door derden (verwerker of niet, in de zin van de AVG) te krijgen. Want je kunt afspreken wat je wilt, maar als die data elders is dan heb je er vervolgens geen zicht meer op. Dit is ook waarom ik altijd zeg dat je onder de AVG niet kunt vertrouwen op welke contractuele afspraak, garantie of vrijwaring dan ook. Ga het na, en lever bij voorkeur gewoon géén individuele data.

Arnoud

 

Politie Los Angeles gevraagd om socialmedia-accounts burgers te noteren

| AE 12906 | Regulering | 23 reacties

Agenten van het politiekorps van de Amerikaanse stad Los Angeles hebben instructies gekregen om van elke burger die ze spreken de socialmedia-accounts en e-mailadressen te noteren, ook als er geen verdenking van een misdrijf is. Dat meldde Security.nl vorige week. Diverse lezers vroegen me of de Nederlandse politie dat ook zou mogen, en zo ja wanneer dan.

Wanneer agenten uit LA een burger spreken en de gegevens op een “field interview” kaarten noteren zouden ze ook om socialmedia-accounts en e-mailadres moeten vragen, zo blijkt uit instructies van het politiekorps. De via de kaarten verkregen informatie gaat in een systeem van het bedrijf Palantir, dat informatie uit allerlei bronnen samenvoegt voor analyses. Dat is natuurlijk saillant, Palantir is een dubieus bedrijf en ligt ook in Nederland onder vuur.

Maar laten we even een stapje terug doen. Stel de data gaat alleen politiesystemen in, en wordt niet gedeeld met vage particuliere clubs van derden. Zou het dan wel mogen? Het doel van field interviews in LA is gestructureerd noteren wat een getuige verklaarde, inclusief data zodat je die getuige kunt terugvinden voor bijvoorbeeld vervolgvragen. De social media gegevens kun je gebruiken voor dergelijk contact, en je kunt ook dingen correleren: tegen mij zegt hij A, op Twitter roept hij net B, dat is raar. Of: hij zegt de verdachte niet te kennen maar is op Instagram vriendjes met haar, daar ga ik eens nader achteraan.

In Nederland ken ik zulke formulieren niet. In de meeste gevallen is het ook niet relevant wat je op social media doet, tenzij hetgeen waar je over getuigt natuurlijk direct daarmee te maken heeft. En dan is het weer niet gek dat de agent vraagt onder welk account je online bent, zodat men zelf kan zien wat er gezegd of gedaan is of verder kan rechercheren.

Een stap verder gaat het inzien van een account. Dat kun je in Nederland niet eisen van een getuige, dat deze privéberichten of toegang tot het account verschaft. Daarvoor zal een bevel van de rechter-commissaris nodig zijn. Maar ik kan me dan ook weer niet veel situaties voorstellen waarin je die informatie vraagt bij een getuige, in plaats van vordert bij de informatiedienstverlener als deel van een lopend onderzoek.

Arnoud

Niet-loggend Protonmail blijkt op bevel toch te loggen, hoe raar is dat?

| AE 12898 | Regulering, Security | 20 reacties

mohamedhassan / Pixabay

Het Zwitserse Protonmail, een bekende voorvechter van privacyvriendelijk mailen, blijkt op bevel van de Zwitserse autoriteiten IP-adressen te loggen. Dit terwijl ze zeggen dat niet te doen. Dat meldde TechCrunch onlangs, op gezag van Etienne – Tek op Twitter. Het bevel is gegeven op gezag van Europol, naar aanleiding van een Frans onderzoek naar klimaatactivisten die in Parijs ophef creëren rond gentrificatie. Oei, wat nu?

Het mailadres van Protonmail werd gebruikt door de activisten om met elkaar te communiceren. Een niet onbekende truc: log allemaal in en typ drafts die de rest dan kan lezen, dat is effectiever dan mails naar elkaar sturen. Maar het staat of valt natuurlijk met de toegang tot die ene mailprovider.

Protonmail zegt “Standaard houden wij geen IP-logboeken bij die gekoppeld kunnen worden aan uw anonieme e-mailaccount. Uw privacy staat voorop.” Dus dat klinkt goed. Alleen, dan zegt de CEO naar aanleiding van deze zaak:

“Proton must comply with Swiss law. As soon as a crime is committed, privacy protections can be suspended and we’re required by Swiss law to answer requests from Swiss authorities.”
Dit gaf veel ophef, want hoezo kan Proton ineens IP-adressen geven aan de autoriteiten als ze die niet loggen? Wordt er stiekem dan toch gelogd? Dat zou in strijd zijn met het privacybeleid dat men hanteert. Daarin staat namelijk niet “wij houden wel IP-adressen bij voor het geval Justitie langskomt”.

Als ik het goed lees, dan gaat het echter niet om afgeven van reeds gelogde IP-adressen, maar om het actief loggen op bevel. Uit het transparency report:

In addition to the items listed in our privacy policy, in extreme criminal cases, ProtonMail may also be obligated to monitor the IP addresses which are being used to access the ProtonMail accounts which are engaged in criminal activities.
Dit lijkt de motivatie te zijn geweest voor deze keuze, maar ik zie dan gelijk een hoop vraagtekens bij “extreme criminal case”. Wat wordt daaronder verstaan? Proton vult die term niet zelf in, dus ik zie dan twee mogelijkheden: 1) het is PR-taal voor “heel uitzonderlijke gevallen” om te verhullen hoe vaak dit speelt of 2) het is half-begrepen juridisch jargon uit het Zwitsers strafrecht.

Vrijwel elk land kent namelijk categorieën van strafrechtelijke overtredingen. Niet alleen overtredingen en misdrijven, maar ook subcategorieën. Bijvoorbeeld bij ons misdrijven waar vier jaar of meer op staat – art. 67 Strafvordering. En dat lijstje noemt er nog veel meer, waaronder het kraakverbod (art. 138a Strafrecht). Dit terwijl daar maar één jaar cel op staat, maar toch is het “ernstig” onder Nederlands recht.

En dat is opmerkelijk, want die Franse zaak gaat dus over kraken en gezien de vele berichten over de nieuwe strenge Franse anti-kraakwetgeving zou het me dus niets verbazen als er in de Franse strafwet ook een wat hogere categorie aan dit delict is gegeven. Dat zou dan het internationale bevel verklaren en de reden dat de Zwitsers er aan meewerken. Dat is dan juridisch gezien volkomen logisch en in het geheel niet opmerkelijk.

Arnoud

Politie wil bij ernstige verdenkingen foto’s van kentekencamera’s gebruiken

| AE 12885 | Regulering | 8 reacties

De Nederlandse politie wil foto’s van kentekencamera’s, waar bestuurders zichtbaar op zijn, gebruiken als er ernstige verdenkingen zijn, las ik bij Tweakers. Men hoopt op méér ruimte van de wetgever, want juist door de strenge wet wordt meer privacy geschonden dan nodig is. Denk aan een gewapende overval, moord of doodslag, of een dodelijke aanrijding waarbij… Lees verder

Vrouw loopt blijvend oogletsel op door ongeluk met drone in Katwijk

| AE 12877 | Regulering | 25 reacties

Een 42-jarige man uit het Valkenburg heeft op 4 mei vorig jaar met zijn drone blijvend oogletsel veroorzaakt bij een fietsster in Katwijk, die in haar gezicht werd geraakt door het apparaat. Dat meldde het Leidsch Dagblad vorige week. De kantonrechter verklaarde de man schuldig, maar legde hem geen straf op. Bovendien bleek dat de… Lees verder

DNB: cryptobeurs Binance biedt illegaal diensten aan in Nederland

| AE 12859 | Regulering | 20 reacties

Binance, de grootste cryptobeurs ter wereld, is illegaal in Nederland actief, zo waarschuwt De Nederlandsche Bank (DNB) volgens Security.nl. Volgens de toezichthouder biedt de cryptobeurs zonder wettelijk verplichte registratie cryptodiensten in Nederland aan. Het gaat om de diensten voor wisselen tussen virtuele valuta en fiduciaire valuta en het aanbieden van wallets voor het bewaren van cryptovaluta. Binance… Lees verder

Lotto moet 10.000 euro boete betalen voor gokreclame op tienersite Girlscene

| AE 12850 | Ondernemingsvrijheid, Regulering | 18 reacties

Lotto moet 10.000 euro boete betalen voor advertenties op tienerwebsite Girlscene, maakt de Kansspelautoriteit (Ksa) vrijdag bekend. Dat las ik bij Nu.nl. Logisch, adverteren in media gericht op minderjarigen is gewoon keihard verboden. Het was ook geen eerste keer, al in 2017 is men hiervoor op de vingers getikt en toen werd een last onder… Lees verder

Het op schoot of op het been hebben van een mobiele telefoon, ook al internetrecht

| AE 12842 | Regulering | 27 reacties

Een automobilist die vorig jaar een bekeuring kreeg omdat hij een telefoon op zijn schoot had tijdens het rijden hoeft de bekeuring niet te betalen, las ik bij Tweakers. Het Gerechtshof Arnhem-Leeuwarden oordeelde namelijk dat dit geen “vasthouden” in de zin van de wet is, hoewel je natuurlijk nog steeds het verkeer behoorlijk in gevaar… Lees verder

Moet de overheid zerodays wel of niet gebruiken in de handhavings- en inlichtingendiensten?

| AE 12832 | Regulering | 7 reacties

Op Twitter las ik deze inhaker op een NRC-column van jurist Vincent de Haan over gebruik van zero-days. “Zonder 0days wordt onze overheid nog machtelozer online dan ze nu al zijn en dat kunnen we ons niet veroorloven. Als de overheid niet digitaal kan optreden loopt onze privacy en veiligheid een groot gevaar”, aldus Ronald Prins… Lees verder

Zijn de Encrochat-berichten bruikbaar als bewijs?

| AE 12799 | Regulering, Security | 5 reacties

Europese speurders hebben de berichtendienst EncroChat gekraakt en zo ongeveer 1.800 vermoedelijke misdadigers kunnen arresteren. Dat meldde HLN een tijdje geleden. In het rechercheonderzoek 26Lemont kon de politie maanden live meekijken met bij criminelen razend populaire, versleutelde communicatie. Dit dankzij Nederlands/Franse samenwerking waarbij men een backdoor via de server van Encrochat ongezien op telefoons van alle… Lees verder