Gemeenten blijven nepaccounts gebruiken om burgers online te volgen

| AE 12712 | Regulering | 18 reacties

Verschillende gemeenten die nepaccounts inzetten om online informatie van burgers te verzamelen, stoppen daar niet mee. Dat las ik bij Nu.nl, dat zich baseert op onderzoek door de Volkskrant. Zo noemt de gemeente Tilburg het noodzakelijk om de privacy van ambtenaren te garanderen. Utrecht gebruikt in “uitzonderlijke gevallen” een geanonimiseerd account voor onderzoek naar illegale prostitutie. Dat verbaast gezien de ophef onlangs over het online undercover volgen en monitoren. Kennelijk leeft de gedachte dat het allemaal niet zo erg is, en bovendien toch alleen maar gaat om crimineel of onrechtmatig gedrag.

In mei werd bekend dat gemeenten op grote schaal meekijken met burgers op sociale media, “een methode die alleen politie en inlichtingendiensten onder strikte voorwaarden mogen inzetten”, aldus Nu.nl destijds. En dat terwijl 95 procent van de ondervraagde ambtenaren zegt dat hun gemeente aan online monitoring van burgers doet, en 54% dat er geen beleid op is. Dit mocht niet van de AVG, was toen mijn conclusie. Maar kennelijk zien gemeenten dat nu dus anders.

Inzicht krijgen in mogelijke ongeregeldheden, zoals rellen en demonstraties, en dus ook het monitoren van illegale prostitutie en misschien wel foutparkeren is dan de rechtvaardiging. Maar, zoals Jaap-Henk Hoepman terecht zegt, nog afgezien van de massaliteit en scope:

in plaats van op zoek te gaan naar mogelijk relevante advertenties en vervolgens te kijken door wie ze geplaatst zijn, wordt de volgorde omgekeerd: eerst worden mogelijk relevante, dus op voorhand verdachte, burgers geselecteerd waarvoor vervolgens gecontroleerd wordt of ze relevante advertenties hebben geplaatst (of anderszins ‘kwaad’ in de zin zijn). Dit draait ondermijnt de onschuldpresumptie: in plaats van op zoek te gaan naar een mogelijke dader van een bekend misdrijf, gaat de gemeente op zoek naar een mogelijk misdrijf bij een vooronderstelde dader.
En dan komen we bij een veel fundamenteler probleem: als je even zoekt, vind je al snel wel iets waar een vlekje op zit. Zeker als het gaat om wetgeving in het sociale domein, zoals uitkeringen. Het is algemeen bekend dat de regels ondoorzichtig zijn en dat normaal menselijk gedrag als keiharde criminaliteit wordt gezien – denk aan die wekelijkse tas met boodschappen aan je kind geven, een evidenter geval van fraude heb ik nog nooit gezien. Zei hij sarcastisch.

Ik zie bijvoorbeeld in rechtspraak regelmatig opduiken dat mensen spullen op Marktplaats verkopen. Dat is dus ook fraude: je moet die inkomsten wel opgeven, en als je te veel verkoopt dan ben je ondernemer en kom je dus niet meer in aanmerking voor een uitkering. Dit had je vooraf moeten melden, dus met terugwerkende kracht graag alles terugbetalen. Dat soort dingen.

Daar komt bij dat je door die massaliteit (je kunt automatisch en dus grootschalig scannen) je een heel onmenselijk proces creëert. Waar een ambtenaar nog even moet gaan kijken en zijn eigen juridische onderbuik mee kan laten wegen, kom je nu niet verder dan keyword analyse (pardon “artifical intelligence” als je niet uitkijkt) en daarna kan meneer of mevrouw in het bakje “verdacht van fraude” waarna meneer of mevrouw moet bewijzen daar niet te horen. Buitengewoon ergerlijk dus.

Arnoud

 

Je Amazon Echo en Alexa nodigen straks zelf de buren uit

| AE 12708 | Innovatie | 15 reacties

Amazon start op 8 juni met Amazon Sidewalk, een mesh-dienstverlening die alle apparaten van Amazon in staat stelt ook het netwerk van de buren te gebruiken. Dat las ik bij AG Connect. De nieuwe functie is er vooralsnog alleen in de VS maar staat standaard aan op alle Amazon-apparatuur, hoewel er een opt-out is. Het idee is dat wanneer de internetverbinding bij de een uitvalt, de Amazon-services toch nog gebruikt kunnen worden door de ander en vice versa. Maar er hoeft natuurlijk maar iets mis te zijn in de firmware van die apparaten en alle thuisnetwerken van alle klanten liggen open en bloot voor inbrekers. Mag dat dan zomaar?

In een whitepaper beschrijft Amazon hoe de dienst werkt. De kern is dat er een groot mesh network opgebouwd wordt, waarbij alle apparaten verbinding met elkaar leggen en zo ook elkaars internettoegang delen. Als mijn systeem dus even niet internet op kan, dan wordt er desnoods tot in het dorp hiernaast gehopt tot er iemand wél internet heeft. Snel zal het niet zijn, maar voor bijvoorbeeld het synchroniseren van profielgegevens of het downloaden van komt-wel-een-keer updates is dat niet erg.

Dat klinkt leuk en hip maar het betekent wel dat je dus je internetverbinding beschikbaar stelt voor iedereen in het land (in theorie zelfs ter wereld) die ook Amazon-diensten afneemt. Er wordt niet van alles gedownload en getorrend, dus echt bang voor claims van derden hoef je niet te zijn. Gemiste kans in zoverre dat ik Tim Kuik wel wil zien kijken als ik “ja sorry dat moet de koelkast van de buren geweest zijn” zeg.

Verder komt men bij Wired nog met de berekening:

What’s more, Amazon promises never to use more than 500 MB of data in a month, which is the same as streaming about 10 minutes of high definition data.
Nou is 10 minuten HD video niet echt ontzettend veel maar verwaarloosbaar kan ik het ook niet noemen. Plus, er gebeurt niet als die belofte niet wordt gehaald, behalve dat je een meelbal van een marketeer krijgt.

Ik kan er niet direct een juridisch verbod op aanwijzen maar het voelt onprettig, opgedrongen en net te veel gevraagd. Ik weet dat heul heul vroeger de PTT ook ongevraagd stroom afnam om je telefoon te laten rinkelen, maar dit lijkt meer op een cryptominer in je router.

Ik snap denk ik vooral niet waarom Amazon denkt dat ik dit een goed idee zou vinden?

Arnoud

Kan ik de werkgever aansprakelijk houden voor schade door de 2FA-app?

| AE 12706 | Security | 28 reacties

Een lezer vroeg me:

Mijn werkgever heeft het gebruik van tweefactorauthenticatie verplicht gesteld, en gebruikt daarbij de Microsoft Authenticator app. Alleen, wie geen werktelefoon heeft moet deze maar op de privételefoon installeren. Ik maak me zorgen over de rechten die deze app heeft (foto’s, camera, locatie, contactpersonen en ga zo maar door) en bovendien vraag ik me af of ik mijn werkgever aansprakelijk kan stellen als er iets misgaat met die app.
De vraag over het installeren van apps op je privételefoon is natuurlijk al vaker langsgekomen. In 2018 zei ik nog dat dat eigenlijk niet kan, dat de werkgever maar voor een werktelefoon moet zorgen. Maar ik realiseerde me later dat je vanuit goed werknemerschap best verplicht kunt zijn iets kleins zelf te regelen, ook al is dat strikt gesproken met een privételefoon.

Zo’n authenticator app komt over als iets kleins: het ding produceert authenticatiegetallen waarmee je een inlogpoging afmaakt. Er is geen netwerkverbinding nodig, de app is buitengewoon klein en er zit verder weinig bijzonders aan. Vanuit dat perspectief lijkt me deze app prima passen in dat idee van “doe dat gewoon even, kom op nou” oftewel goed werknemerschap.

Ik zie inderdaad dat deze app ontzettend veel permissies vraagt, en ik zou de FAQ moeten lezen om te weten wat die app allemaal van plan is. Wordt er zo veel gelogd? Waarom moet de app weten waar ik ben en mijn foto’s bekijken alvorens een authenticatiecode af te geven? En zijn er dan toch beveiligings-zwakheden die misbruikt kunnen worden om zo mijn telefoon te infecteren? Geen idee, daar kan ik als privépersoon weinig over zeggen.

Gelukkig voor de werknemer is de werkgever aansprakelijk voor schade die men tijdens het werk lijdt (art. 7:658 lid 2 BW), behalve bij opzet of bewuste roekeloosheid door de werknemer. Dat is vrijwel nooit het geval (en nee, je updates vergeten te bijwerken zie ik niet als bewuste roekeloosheid) dus als de authenticator app die de werkgever voorschrijft schade bij jou veroorzaakt, dan kun je verlangen dat de werkgever die vergoedt.

Arnoud

Rechtspraak wil in de toekomst drie kwart van uitspraken online publiceren

| AE 12704 | Innovatie | 18 reacties

In de komende tien jaar zal de overgrote meerderheid van de circa anderhalf miljoen vonnissen die jaarlijks door Nederlandse rechters worden uitgesproken online beschikbaar moeten komen. Dat las ik bij NRC onlangs. Al decennia wordt er geklaagd dat de slechts 5% van de vonnissen die men nu online zet, veel te weinig is. Dat gaat… Lees verder

Ook als budgethoster heb je een zorgplicht dat de website het doet (en waarschijnlijk zijn je AV niet van toepassing)

| AE 12700 | Ondernemingsvrijheid | 28 reacties

Ook als je een website maakt voor €199 en die host voor €60 per jaar, dan nog ben je aansprakelijk voor de gevolgen van downtime (in de zin van: de website is geheel down). Dat maak ik op uit een recent vonnis uit Rotterdam. Het optionele servicepakket van €10 per maand en de AV (te… Lees verder

Telecomprovider Voys hoeft geen boete te betalen wegens weigering datadelen CIOT

| AE 12696 | Privacy, Regulering | 7 reacties

Telecombedrijf Voys hoeft van het Nederlandse gerecht geen boete of dwangsom betalen omdat het weigerde klantendata te delen met de overheid wegens privacyoverwegingen. Dat meldde Tweakers dit weekend. De rechtbank vonnist dat Voys (dat tegenwoordig VoIPGRID heet) geen afdoende antwoorden kreeg op vragen en daarom niets verweten kan worden bij haar weigering sinds 2010. Die… Lees verder

FBI deelt voortaan uitgelekte wachtwoorden met Have I Been Pwned, mag dat van de AVG?

| AE 12693 | Innovatie, Security | 13 reacties

De FBI gaat uitgelekte wachtwoorden die het tijdens onderzoeken tegen gekomen is, in het vervolg delen met de website Have I Been Pwned. Dat meldde Tweakers onlangs. De wachtwoorden die de FBI met Have I Been Pwned deelt, zullen worden voorzien van een SHA-I en NTLM-hashparen, zodat ook HIBP-eigenaar Troy Hunt de wachtwoorden niet in… Lees verder

Kan iemand mij uitleggen waarom ik het gerechtvaardigd belang van anderen aan en uit kan zetten?

| AE 12691 | Ondernemingsvrijheid | 10 reacties

Via Reddit: Al een tijdje krijgen we in de koekjesschermen een andere keuze. Het gaat niet alleen meer om waar ik toestemming voor geef, maar ook om gerechtvaardigd belang. … Wat ik niet snap, is waarom ik dan in de cookiebanner naast de toestemmingsvraag ook een vraag krijg over legitiem belang. Er staat legitiem belang en… Lees verder

Kan een ICT-leverancier bij contractuele ruzie weigeren de wachtwoorden te geven?

| AE 12687 | Ondernemingsvrijheid | 13 reacties

Een lezer vroeg me: Als opdrachtgever zijn we erg ontevreden met een ICT-leverancier. We zeggen op (conform contract), en verzoeken ze de wachtwoorden van alle diensten over te dragen zodat we alles in eigen beheer kunnen nemen. Dit wordt geweigerd omdat er volgens hen nog facturen open staan en een afkoopsom betaald zou moeten worden…. Lees verder

DNB: cryptohandelaren hoeven toch niet steeds identiteit van klanten te bewijzen

| AE 12679 | Ondernemingsvrijheid | 5 reacties

De Nederlandsche Bank stopt met het verplicht identificeren van klanten bij elke transactie voor cryptohandelaren. Dat las ik bij Tweakers. Bedrijven moeten transacties wel screenen, maar verplicht identificeren vervalt. DNB had eerder de wet zo geïnterpreteerd dat die identificatie wel zou moeten, waardoor cryptobedrijven als Bitonic zich ernstig bedreigd voelen in hun dienstverlening. Met deze… Lees verder