Onderzoeksbureau werkt in Nederland met vpn-app op telefoons voor marktonderzoek

| AE 11113 | Privacy | 13 reacties

Onderzoeksbureau Kantar (voorheen TNS/Nipo) vraagt voor zijn bereiksonderzoek om een vpn-app op Android-tablets en -smartphones te zetten. Dat meldde Tweakers begin deze week. Google en Facebook raakten eerder nog in opspraak vanwege het gebruik van vpn-apps voor onderzoek. De Kantar-app is bedoeld voor consumentenonderzoek naar het bereik van onder meer websites en videoplatforms online. Dat roept de vraag op, mag dat wel op deze manier, je internetverkeer omleiden om daarmee te tellen hoe populair bepaalde websites zijn?

Door internetverkeer vanaf de telefoon (of tablet) om te leiden met vpn-software, krijgt men inzicht in al het internetverkeer op detailniveau. In theorie kun je hiermee elke verzonden mail, elke opgevraagde webpagina en elk ingestuurd formulier mee lezen. Ook al is dat niet de bedoeling; zo werkt vpn als technologie nu eenmaal. Kantar zegt overigens dat het weliswaar alle gegevens verzamelt, maar alleen de voor het onderzoek relevante gegevens gebruikt en de rest weggooit.

De AVG biedt behoorlijk wat ruimte voor wetenschappelijk onderzoek. Artikel 89 AVG stelt vrij expliciet dat er veel mag, mits er passende waarborgen genomen worden waarbij met name het beginsel van minimale gegevensverwerking wordt gegarandeerd. Lidstaten mogen daarbij zelf regels stellen, en Nederland deed dat onder meer in artikel 24 Uitvoeringswet. Zo mag je bijzondere persoonsgegevens verwerken als dat nodig is voor het onderzoek. Ook hoef je (artikel 44) inzage en correctie niet toe te staan.

Wat wel gewoon blijft staan, is dat je een grondslag moet hebben voor je onderzoek. Toestemming dus, of een overeenkomst, of een eigen legitiem belang. Het is niet automatisch zo dat wetenschap of statistiek bedrijven je een grondslag geeft. Maar specifiek bij het soort onderzoek dat Kantar doet, zie ik dat belang wel. Natuurlijk zit je dan nog steeds met een privacy-afweging, waarbij je niet op voorhand weet of jouw belang zwaarder weegt dan de privacy van je onderzoekssubjecten.

Kantar doet het netjes door toestemming te vragen. Niet alleen bij de deelnemer zelf, maar ook bij zijn of haar huisgenoten, want iedereen moet meedoen, aldus de voorlichtingsfolder. Dat is op zich netter en overzichtelijker, maar het vereist wel dat je specifiek en duidelijk die toestemming geeft. En dat is dan dus niet alleen voor deelname aan het onderzoek, maar ook voor de nogal invasieve inzet van een VPN app.

Lastig is natuurlijk dat je dan ook nog eens in duidelijke en eenvoudige taal (artikel 12 AVG) moet aangeven wat je doet. En leg maar eens op dat niveau uit wat een VPN app is. Kantar doet haar best:

Door een link in de mail te activeren geeft u toestemming voor het plaatsen van een cookie of app en wordt het online gedrag bij de aangesloten omroepen en uitgevers vastgelegd. Daarnaast vragen wij u om op elk apparaat software te installeren waarmee wij uw online gedrag kunnen verzamelen. … Via de geinstalleerde software MediaTracker kan Kantar Media voor onderzoeksdoeleinden informatie over het internetgedrag van respondent verzamelen (welke websites zijn bezocht, welke zoekwoorden zijn gebruikt, welke applicaties zijn gebruikt en/of welke advertenties zijn gezien).

Dit komt een heel eind – en sowieso zou je natuurlijk al wel iets kunnen bedenken als je mee gaat doen aan een onderzoekspanel over je internetgedrag. Maar het blijft een ingewikkelde materie om uit te leggen. Helemaal omdat ik zelf ook niet doorhad tot ik er écht in dook dat het niet alleen Kantar is dat die gegevens verkrijgt:

Maar dat de informatie door Kantar wordt gedeeld met een ander bedrijf dat de inhoudelijke analyse doet, namelijk het bedrijf Wakoopa, wordt niet duidelijk.

Wakoopa is een bestaand bedrijf met als core business het tracken van mensen. Ik kan nergens vinden of ze dit voor Kantar doen in de rol van verwerker, maar het zou me ergens verbazen als die gegevens niet ook voor eigen doeleinden worden aangewend. En dát zou een gigantisch probleem zijn, nog los van hoe je de toestemmingsvraag goed krijgt.

Arnoud

Nederlandse politie wil gebruikmaken van particuliere DNA-databank in VS

| AE 11115 | Privacy, Regulering | 11 reacties

De coldcaseteams van de Amsterdamse en Rotterdamse politie willen de Amerikaanse particuliere DNA-databank GEDmatch inzetten om de identiteit van onbekende doden te achterhalen. Dat meldde NRC gisteren. GEDmatch is een openbare, Amerikaanse databank waarin genetische gegevens van allerlei mensen zitten, en daarin kan iedereen zoeken op potentiële matches. Daarmee is in theorie de mogelijkheid voor de politie om ook te zoeken naar bijvoorbeeld een verdachte, of een bloedverwant van een slachtoffer. Maar het roept de nodige vragen op, omdat juridisch niet duidelijk is of men dit überhaupt mag.

Genetische informatie zoals DNA valt onder de AVG onder de strenge regels voor bijzondere persoonsgegevens. Deze mogen niet zomaar worden gebruikt, omdat er zeer gevoelige informatie uit afgeleid kan worden. Je eigen DNA in zo’n databank plaatsen mag in principe wel, wanneer daarbij duidelijk wordt gezegd wat en hoe er gaat gebeuren – je geeft dan uitdrukkelijke toestemming. Maar een complicatie is dat DNA ook informatie over anderen bevat, en dan kun je dus zeggen dat je andermans persoonsgegevens staat te uploaden.

Voor de politie en het OM geldt de AVG niet. Zij moeten zich houden aan de Wet politiegegevens en het Wetboek van Strafvordering. Onder de Wet politiegegevens mag er iets meer; als verwerking “onvermijdelijk is voor het doel van de verwerking” waarvoor andere gegevens worden gebruikt. Ik denk niet dat je daar snel aan komt met genetisch materiaal uit een openbare databank.

In het Wetboek van Strafvordering staan een aantal bevoegdheden over inzet en onderzoek van DNA-materiaal, en er is ook een Besluit DNA-onderzoek in strafzaken met nadere regels. Maar het probleem is eigenlijk vrij simpel: al deze regels gaan uit van matches in individuele zaken. Er is DNA bij het slachtoffer gevonden en dat willen we matchen aan de verdachte, even kort door de bocht. Er is gewoon geen regel die toeziet op het gebruik van grootschalige bronnen van DNA-materiaal. Dat is niet gek, want die regels zijn gemaakt voordat dergelijke databanken bestonden.

Dit maakt de situatie voor de cold case teams erg ingewikkeld, want in principe geldt voor opsporingsdiensten dan de regel dat het niet mag. De politie mag niets tenzij de wet zegt van wel, even weer heel kort door de bocht. Maar dat voelt specifiek bij het oplossen van oude zaken wel heel erg cru. Dit is wellicht de laatste kans om de zaak nog op te lossen, en het gaat om ernstige zaken zoals moord zodat het maatschappelijk belang wel héél zwaarwegend voelt.

Voor het identificeren van slachtoffers ligt dat anders. De AVG geldt niet bij overledenen, en datzelfde geldt op de Wet politiegegevens. Ik denk dus dat DNA materiaal wel mag worden gebruikt om te achterhalen wie een onbekende is, mits dat uitsluitend wordt ingezet voor het doel van informeren van de nabestaanden.

Arnoud

EU-wetsvoorstel geeft consumenten recht op ‘nodige updates’ elektronica

| AE 11109 | Ondernemingsvrijheid | 9 reacties

De EU wil consumenten meer bescherming geven wanneer ze apparaten kopen die afhankelijk zijn van software. Dat meldde Tweakers vorige week. De Belgische Europarlementariër Pascal Arimont heeft het Europese wetsvoorstel gedaan waarmee consumenten recht hebben op de nodige updates gedurende een redelijke periode, een verplichte garantieperiode van één of twee jaar en het recht om defecte producten gratis te repareren of of vervangen. Mooi nieuws, met name natuurlijk het recht op updates zou een verademing zijn in een wereld waar zelfs tandenborstels updates krijgen (en ineens willen weten waar je bent).

Het wetsvoorstel voor een Richtlijn zou vereisen dat alle lidstaten hun wetgeving aanpassen. Het wordt dus geen Verordening zoals de AVG die in één keer Europees van kracht is. Dit is denk ik omdat consumentenrecht sterk hangt aan nationaal recht. Je moet dus straks nog steeds kijken in welk land je iets koopt om de juiste wet te vinden, maar de strekking zal in elk EU-land daarmee hetzelfde zijn. Het voorstel laat de optie open dat lidstaten zelf de wet nog strenger maken, overigens.

Het stuk over updates kan ik niet direct vinden in de laatste gepubliceerde tekst, maar misschien komt er nog een nieuwe publicatie. Uit het persbericht maak ik op dat men updates als een vorm van repareren ziet: je apparaat moet gedurende een zekere periode conform de verwachtingen zijn, en updates zijn een manier om conformiteit terug te brengen. Als mijn televisie geen Youtube meer kan draaien, en daarmee deze nonconform wordt, dan moet de leverancier een update uitgeven zodat Youtube weer werkt. Zoiets.

Ingewikkeld lijkt me nog wel dat deze regels allemaal bindend zijn op de verkoper die het product aan de consument biedt. Logisch, want je wilt als consument gewoon terug naar waar je ‘m gekocht hebt en die zoekt het maar lekker uit met de importeur of ver weg gelegen fabrikant. En voor een herstel voldoet dat ook wel, want dan kan die winkel het product desnoods terugsturen naar de centrale herstelafdeling of omruilen voor een nieuwe die hij dan nabestelt.

Hoe gaat dat werken bij updates? Een nieuw apparaat geven als dozenschuiver heeft geen zin, daar staan de updates ook niet op. Moet je ze dan zelf downloaden van de fabriek en gaan installeren op de klant z’n apparaat? Moet de importeur dat doen? En wat nu als de fabrikant ver weg is en geen zin heeft in updates, dan wil de klant zijn geld terug – en dat mag, van de nieuwe Richtlijn. Dat voelt wel wat onhandiger dan bij ‘gewone’ defecten.

Arnoud

Wanneer is het hebben van een Remote Acces Tool en een Keylogger strafbaar?

| AE 11106 | Regulering, Security | 22 reacties

In december werd een man veroordeeld voor het voorhanden hebben en verspreiden van Blackshades software. De rechtbank merkte dit aan als medeplichtigheid tot computervredebreuk, omdat deze software gebruikt kan worden om een inbraak in andermans computer te vergemakkelijken. Wat diverse lezers ertoe bracht om me te vragen, hoezo is het strafbaar om die software te… Lees verder

Hoe kan ik mijn algoritme zo goed mogelijk anti-patent publiceren?

| AE 11104 | Intellectuele rechten | 29 reacties

Een lezer vroeg me: Ik heb een algoritme ontwikkeld waarvan ik verwacht dat het patenteerbaar is, maar dat ik beschikbaar wil stellen in het publiek domein. Ik wil voorkomen dat iemand anders er patent op aanvraagt. Welke eisen gelden er dan aan de publicatie? Kan ik het gewoon op mijn Linkedin-feed publiceren, is dat publiek… Lees verder

Marechaussee mocht onder dwang vingerafdruk afnemen om telefoon te ontgrendelen

| AE 11100 | Regulering | 26 reacties

De Koninklijke Marechaussee mocht onder dwang de vingerafdruk van een verdachte afnemen om zijn telefoon te ontgrendelen, las ik bij Security.nl. De rechtbank Noord-Holland bepaalde dat dit legitiem was bij een verdachte die vorig jaar augustus was aangehouden op Schiphol aangehouden wegens het invoeren van drugs. De verdachte had betoogd dat dit in strijd was… Lees verder

Zó wil Zalando voorkomen dat kleren na één keer dragen worden teruggestuurd

| AE 11098 | Ondernemingsvrijheid | 99 reacties

Met een opvallend groot label voorzien van de tekst ‘do not remove this tag’ wil Zalando voorkomen dat kleding gedragen en vervolgens toch teruggestuurd wordt. Dat las ik in het Eindhovens Dagblad. Zalando heeft een enorm aantal retourzendingen van kledingstukken en wil dat terugdringen, omdat kennelijk de kosten en het gedoe toch fors in de… Lees verder

Mag een sportschool ’s nachts mensen met gezichtsherkenning binnenlaten?

| AE 11093 | Ondernemingsvrijheid, Privacy | 18 reacties

Het hoeft niet, maar het kán: midden in de nacht fitnessen. Dat meldde BN De Stem onlangs. Een nieuwe fitness-zaak in Etten-Leur gaat gezichtsherkenning inzetten bij klanten, vanwege haar mogelijkheid tot 24 uur toegang. Mensen krijgen een eigen tag waarmee ze binnen kunnen. We werken met camera’s met gezichtsherkenning, die aanslaan wanneer er iemand binnenkomt… Lees verder

OM vervolgt internetoplichters niet als ze slachtoffers terugbetalen

| AE 11091 | Regulering | 13 reacties

Het Openbaar Ministerie is een proef gestart waarbij internetoplichters niet worden vervolgd als ze hun slachtoffers terugbetalen. Dat las ik bij Security.nl Alleen zogeheten “first offenders” die mensen voor maximaal 300 euro hebben opgelicht komen in aanmerking. “Strafvervolging is van secundair belang”, zo wordt de politie geciteerd. Het gaat namelijk vaak om minderjarigen of jongere… Lees verder

Mag een Tesla zichzelf bewaken met camera’s rondom het voertuig?

| AE 11089 | Ondernemingsvrijheid, Privacy | 18 reacties

Elon Musk laat weten dat Tesla binnenkort een zogeheten Sentry Mode uitbrengt voor alle auto’s die beschikken over Autopilot 2.5. Dat meldde Tweakers vorige week. Deze modus zorgt ervoor dat verscheidene camera’s worden gebruikt om een beeld van 360 graden rondom de auto op te nemen. De nieuwere Tesla’s hebben acht camera’s rondom het voertuig… Lees verder