Mensen boos omdat Google Docs hun privédocumenten als abuse aanmerkte

| AE 9788 | Cloud | 18 reacties

Mensen worden buitengesloten van hun Google Docs, en daar zijn ze boos over. Dat meldde Slate vorige maand. Om onduidelijke redenen merkte een grote groep mensen ineens dat de toegang tot bepaalde van hun documenten geblokkeerd was, met als melding dat hier de Terms of Service waren overtreden. Censuur, omdat het ging om privédocumenten?

Uiteindelijk bleek het een typefout in de software:

This morning, we made a code push that incorrectly flagged a small percentage of Google Docs as abusive, which caused those documents to be automatically blocked. A fix is in place and all users should have full access to their docs.

Het laat wel weer mooi de grote zwakte van de cloud zien: er is geen cloud, er is alleen uitbesteden en daarmee een afhankelijkheid van je leverancier. Die kan en mag de dienstverlening veranderen, en als hij door een foutje je gegevens ontoegankelijk maakt dan heb je even pech. Net zoals een butler die de boodschappen vergeten is.

Die vergelijking maak ik niet zomaar, want voor de wet is er geen verschil tussen een butler en een clouddienst. Het is allebei dienstverlening, en de regels zijn simpel: die mag worden aangepast of opgezegd, en dat is het wel zo’n beetje. Dus nee, er is niet veel te doen tegen dit soort grappen.

Tegelijk weet ik ook niet goed hoe dit op te lossen, want het gaat ook weer erg ver om te zeggen, clouddiensten moeten tot jaar en dag ongewijzigd beschikbaar zijn. Dat kun je ook weer niet van mensen vragen.

Arnoud

Mag ik een klant persoonsgegevens over zijn logins verschaffen?

| AE 9761 | Beveiliging, Cloud | 8 reacties

Een lezer vroeg me:

Wij zijn een clouddienstverlener voor bedrijven. Met enige regelmaat krijgen wij vragen van klanten over logingedrag. Wie logde er na 18 uur nog in, vanaf welk IP-adres is gistermiddag toegang tot de database gezocht en ga zo maar door. Omdat dit persoonsgegevens zijn, wil ik graag weten hoe dat zit onder de wet (en natuurlijk de AVG). Mogen wij deze informatie geven?

Logingedrag is inderdaad te classificeren als persoonsgegevens. Het gaat over een persoon – de gebruiker van het account – en zegt iets over zijn gedrag, zoals wanneer hij in- en uitlogde of wat hij deed in de tussentijd. En die data aan anderen geven mag niet zomaar, dus wat dat betreft is de zorg van de vraagsteller terecht.

Het gaat hier alleen om een bijzondere situatie, namelijk de afnemer van de dienst waar de accounts bij horen. In die specifieke situatie vind ik het eerder gerechtvaardigd dat die afnemer informatie krijgt over het daadwerkelijk gebruik. Je mag gevoeglijk aannemen dat de gebruikers van de accounts werknemers of andere hulppersonen van die afnemer zijn, en dat geeft dan een redelijk belang om in beginsel bij die gegevens te kunnen.

Ik zou hooguit twijfelen als de actie specifiek privacygevoelig is, denk aan een online agenda waar iemand een afgeschermde privéafspraak naar de tandarts in noteert. Maar dat zou de uitzondering zijn en niet de regel.

De clouddienstverlener zou natuurlijk kunnen zeggen, het is niet mijn taak hierop te letten, want ik ben slechts bewerker / verwerker in opdracht. Dat klopt natuurlijk, maar een verwerker heeft onder de AVG wel degelijk een zorgplicht om na te gaan of hij wel binnen de wet handelt. Hoewel de verwerkingsverantwoordelijke de doelen en middelen van de verwerking bepaalt en daarbij instructies geeft ontslaat dit de verwerker niet van de plicht het te melden wanneer naar zijn mening de instructie in strijd is met de AVG of andere wetgeving over persoonsgegevens. Hij mag dus weigeren de gegevens te geven als het verzoek daarom duidelijk niet door de beugel kan.

Arnoud

Worden Europese bedrijven straks verplicht data aan de VS te geven?

| AE 9756 | Cloud | 23 reacties

De Supreme Court gaat uitspraak doen in de Microsoft-cloudzaak waarbij het Amerikaanse bedrijf door de rechter verplicht werd data van haar Europese dochter af te geven aan de FBI. Dat las ik (dank, tipgevers) bij Ars Technica. De zaak loopt al een tijdje en kan enorme gevolgen hebben voor de bruikbaarheid van de cloud voor Europese bedrijven. Want als het precedent wordt “ja dat moet je afgeven” dan wordt je data stallen bij zelfs een Europese dochter van een Amerikaans bedrijf een tikje ingewikkeld.

In 2014 bepaalde een rechter in de VS dat Microsoft Inc. (de Amerikaanse moeder) gehouden kon worden om gegevens van een klant van haar Ierse dochtermaatschappij af te geven als de FBI dat wilde. Kort gezegd was het argument daarvoor dat het geen argument is dat bewijsmiddelen in het buitenland liggen, je gaat ze maar halen. Maar die regel voelt niet echt gepast voor een clouddienst, zeker niet als je bedenkt dat Microsoft die dienst in Europa via een apart, Europees bedrijf levert.

Gelukkig werd in hoger beroep bepaald dat deze redenering van de FBI niet opging. De wet waar men zich op beroep (de Stored Communications Act) was niet bedoeld om de FBI ineens buitenlandse rechtsmacht te geven. En nu ligt de vraag dus bij het Supreme Court, dat erom bekend staat niet alleen juridische maar ook politieke visies mee te laten wegen in hun uitspraken. Het kán dus zomaar gebeuren dat men bepaalt dat het er wél staat, en dat een Europese dochter dus maar moet meewerken aan zo’n bevel.

Dat wordt dan nog knap ingewikkeld, want dat mág helemaal niet. In de AVG is hier namelijk een specifiek artikel over opgenomen, artikel 48:

Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.

Oftewel: wat een buitenlandse wet of rechtbank ook bepaalt, Europese bedrijven mogen alleen meewerken aan zo’n bepaling als dat in een verdrag tussen de EU en dat land is geregeld. De FBI zou dus een rechtshulpverzoek aan Nederland kunnen doen, waarna onze politie de data licht bij het datacentrum hier. Een opdracht van Microsoft Inc aan haar Nederlandse dochter “geef die data want wij moeten dit van de rechtbank afgeven” is dus keihard in strijd met Europees recht.

Arnoud

Mijn hostingprovider weigert de DNS records van mijn domeinen te overhandigen!

| AE 9527 | Cloud, Domeinnamen | 15 reacties

Een lezer vroeg me: Voor een klant moeten we meerdere domeinnamen overnemen van de huidige hoster. Echter wil de hostingpartij huidige ingestelde DNS records niet overhandigen aan zowel de klant als ons, en er is ook geen toegang tot een online omgeving waar ik deze kan downloaden. Mag men dit zo weigeren? Ja, dat mag… Lees verder

Wie is aansprakelijk voor dat #cloudbleed-lek van Cloudflare?

| AE 9280 | Cloud, Privacy | 11 reacties

Door een bug in de html-parser van CloudFlare konden gevoelige gegevens van klanten van het bedrijf lekken en stond data in de cache van zoekmachines. Na een melding van Google heeft de dienst voor optimilisatie van websites het lek in zeven uur gedicht. Dat meldde Tweakers, met meer details in The Register. De clouddienst had… Lees verder

Wetsvoorstel moet digitaal leren met nepnaam veiliger maken

| AE 9265 | Cloud, Privacy | 21 reacties

Kinderen die op school met digitale lesmethoden werken, hoeven niet meer hun eigen naam in te vullen. Dat stond in het papieren AD afgelopen weekend. De ministerraad heeft namelijk ingestemd met een wetsvoorstel van die strekking, hoewel exacte details nog ontbreken. Kort gezegd komt het erop neer dat bij gebruik van clouddiensten door scholen moet… Lees verder