EU legt Facebook 110 miljoen euro boete op voor misleiding bij overname WhatsApp

| AE 9438 | Innovatie, Privacy | 6 reacties

De Europese Commissie heeft Facebook een boete van 110 miljoen euro opgelegd voor het geven van misleidende informatie bij de overname van WhatsApp. Dat las ik bij Tweakers. Bij deze overname had Facebook beloofd geen gegevens van hun sociale netwerk te combineren met de dienst van WhatsApp, maar dat gebeurde twee jaar later toch. Vanwege de omvang van de deal was toestemming van de Europese Commissie nodig, en de boete is vanwege het bewust misleiden van de Commissie bij het verstrekken van de gevraagde informatie om de deal in te kunnen schatten. Maar doet 110 miljoen euro eigenlijk wel genoeg pijn?

Het persbericht van de EC legt uit dat de boete niet opgelegd wordt voor het combineren an sich. Dat is wellicht in strijd met privacywetgeving, maar daar moet een lokale privacy-autoriteit (zoals de Ierse Autoriteit Persoonsgegevens) over beslissen. Het gaat om het feit dat Facebook niet duidelijk heeft aangegeven dat ze dit zou gaan doen; sterker nog, ze hebben expliciet gezegd dat dit technisch helemaal niet kón. En twee jaar later kon het toch, iets dat Facebook gewoon wíst toen ze zei van niet. Dat is dus boetewaardig.

De boete van 110 miljoen euro is ongeveer de helft van wat de Commissie op mocht leggen onder de relevante regelgeving. Facebook had meegewerkt en openheid van zaken verschaft, en dat is een grond voor boeteverlaging. Maar wat dan moeilijk te verkroppen is, is dat het verder geen gevolgen lijkt te hebben. De koppeling wordt niet ineens verboden, en de deal wordt al helemaal niet teruggedraaid.

Today’s decision has no impact on the Commission’s October 2014 decision to authorise the transaction under the EU Merger Regulation. Indeed, the clearance decision was based on a number of elements going beyond automated user matching. The Commission at the time also carried out an ‘even if’ assessment that assumed user matching as a possibility. The Commission therefore considers that, albeit relevant, the incorrect or misleading information provided by Facebook did not have an impact on the outcome of the clearance decision.

Oftewel: de beslissing om de overname toe te staan, was niet afhankelijk van een belofte om de gegevens niet te koppelen. Zelfs als Facebook vooraf had gezegd wél te zullen gaan koppelen, dan nog zou het zijn goedgekeurd. Dan kun je achteraf niet meer zeggen als toezichthouder dat de misleidende informatie nu moet leiden tot ongedaanmaking van de deal. Begrijpelijk maar wel frustrerend.

De voornaamste reden om het zelfs dan toe te staan, was overigens dat er genoeg andere partijen zijn die targeted advertenties kunnen faciliteren en profielen opbouwen. Oftewel, uiteindelijk maakte die koppeling toch niets uit qua hoe hard je privacy wordt geschonden.

Arnoud

Gaat nu echt alles verboden worden onder de AVG?

| AE 9433 | Privacy | 10 reacties

Een lezer vroeg me:

Volgend jaar komt de Algemene Verordening Gegevensbescherming (AVG, ook wel GDPR) eraan. Ik lees ondertussen overal de meest verschrikkelijke verhalen over wat een draak van een wet dit gaat worden. Je mag niets meer zonder toestemming, je beveiliging moet gigantisch veel zwaarder, je moet elke scheet met persoonsgegevens registreren en vrijwel geen enkel bedrijfsproces kan nog blijven bestaan. En de boetes zijn enorm. Dit kan toch niet goed gaan, deze wet?

Dat de AVG veel gaat veranderen in de praktijk staat als een paal boven water. Maar veel verhalen die je leest, zijn vooral bedoelt om urgentie (of onaardig gezegd paniek) op te roepen bij de lezer.

De fundamentele principes uit de AVG zijn hetzelfde als uit de Wbp die we nu al een kleine 17 jaar hebben. Er moet een grondslag zijn om met persoonsgegevens te gaan werken, je moet zorgen voor goede beveiliging en mensen moeten hun rechten kunnen halen. Er zit vooral veel, veel meer administratieve rompslomp aan vast. Zo moet je elke verwerking voortaan documenteren, inclusief een inschatting van de risico’s (en een privacy impact assessment als je die risico’s hoog inschat). Ook moeten mensen hun hele dossier kunnen opvragen, in plaats van alleen maar inzien.

Natuurlijk zijn er wel verschillen. Zo is het vragen om toestemming moeilijker geworden: dat moet kort gezegd apart van andere vragen en vrijwillig – “geef toestemming of rot op” mag alleen nog als dat vooraf en heel duidelijk gebeurt. De privacyverklaring moet in eenvoudiger taal (taalniveau B2, niet C1 of C2 dat we nu altijd zien). Gegevens zijn nu eerder persoongegeven dan voorheen. En zo kan ik nog wel even doorgaan.

Maar ik zie het vooral als accentuering van het belang van zorgvuldige omgang met persoonsgegevens, iets dat we in het verleden nooit echt hadden omdat er geen boetes op overtreding stonden. Plus: in de VS bestond die zorg om persoonsgegevens nooit, dus de ICT-cultuur heeft nooit zo leren omgaan met persoonsgegevens als ze dat wel heeft met zeg aansprakelijkheid of sluiten van contracten. Het is die cultuuromslag waar nu al deze pas-op-de-wereld-vergaat berichten door komen.

Arnoud

Mag een online spel bezorgd de politie naar je huis sturen?

| AE 9417 | Privacy | 15 reacties

Beetje raar verhaal: een Nederlandse League of Legends-speler kreeg bezoek van de politie na een tip van de maker van dat spel, las ik bij Numrush (dank, tipgever). Nee, geen reverse swatting van het bedrijf maar een stukje bezorgdheid: “Ze hebben ons laten weten dat je suïcidaal bent en daarom komen we een kijkje bij je nemen. Om te checken of alles goed met je gaat”, aldus de aanbellende agenten. En nee, dit waren ook geen medespelers of trollen in politiekostuum. Dus eh, wacht, wat krijgen we nou?

Numrush lijkt de oorzaak te hebben gevonden:

Soms gaat het niet zo lekker in de game, is hij aan het verliezen, en dan wil Xavieros zich nog wel eens uitdrukkingen met termen als “I want to kill myself” of “ow god please kill me”.

Daarnaast had hij mogelijk zich wel eens teneergeslagen geuit in de chat vanwege een hernia en andere frustraties. Dit leidde tot de conclusie dat het bedrijf berichten scant met algoritmes (of keywordscans) en bij bepaalde combinaties dan een suïcide-vermoeden concludeert en dan de autoriteiten inlicht. Wat ergens wel netjes voelt maar ook een tikje raar.

Mag het? Dit raakt aan persoonsgegevens, meer specifiek de zogeheten bijzondere persoonsgegevens van gezondheid en dergelijke. En die mag je als bedrijf eigenlijk helemaal niet verwerken. (Ik moet nu zeggen dat de GDPR of AVG hier streng op gaat zijn want dan verkoop ik meer boeken daarover, maar ook onder de Wbp mag dit eigenlijk al niet.)

Helemaal niet, nou ja er is een uitzondering: het zogeheten “vitaal belang” uit de Wbp en straks de AVG, zeg maar een dringende medische noodzaak. Ik citeer dat boek dan maar even, dan was die link geen reclame:

Een vitaal belang raakt aan het leven van die persoon. Te denken valt aan verwerkingen van medische gegevens bij een ongeval, of meer algemeen humanitaire doeleinden, onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen. Verwerking van persoonsgegevens op grond van het vitale belang voor een andere natuurlijke persoon is in beginsel alleen toegestaan indien de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd (overweging 46).

Een serieuze vrees dat iemand zichzelf om het leven gaat brengen, zou je kunnen zien als het dienen van een vitaal belang. De ultieme zaakwaarneming zeg maar. En het is vrij lastig in die situaties toestemming te vragen, waardoor dus deze route open staat.

Verdedigbaar dus, juridisch gezien. Maar het blijft gek aanvoelen. Ik weet niet hoe dit te zeggen zonder heel cru te klinken, maar is het echt zo’n reëel probleem specifiek bij online games, dat mensen daar een zelfdoding aankondigen en dat vervolgens uitvoeren ook? Is dat probleem zo groot dat het maatschappelijk relevant wordt dat aanbieders daar wat aan gaan doen? Ik heb denk ik iets gemist.

Arnoud

Mag een bedrijf toestemming afleiden uit het feit dat je ze mailt?

| AE 9406 | Privacy | 8 reacties

Een lezer vroeg me: In het privacystatement van Vereniging Eigen Huis staat: “Het anderszins verwerken van uw persoonsgegevens geschiedt alleen voor zover u Vereniging Eigen Huis daarvoor ondubbelzinnig toestemming heeft verleend. Die toestemming kan blijken uit het enkele feit dat u per e-mail of anderszins een vraag aan Vereniging Eigen Huis stelt.” Is dat laatste… Lees verder

Politie mag smartphones van verdachten niet zomaar meer doorzoeken

| AE 9370 | Privacy | 25 reacties

De Hoge Raad heeft grenzen gesteld aan het politieonderzoek naar smartphones van verdachten. Dat meldde Nu.nl vorige week. De politie mag een smartphone doorzoeken als dit niet verder gaat dan een beperkte inbreuk op de privacy. De huidige praktijk van iemands telefoon compleet leegtrekken en doorzoeken staat daar op gespannen voet mee, eigenlijk moet daar… Lees verder

Slimme vibrator met camera gekraakt door beveiligingsbedrijf

| AE 9362 | Beveiliging, Privacy | 29 reacties

De Svakom Siime Eye, een slimme vibrator met aan het uiteinde een camera, blijkt relatief eenvoudig te kunnen worden gemanipuleerd. Hierdoor zijn de gemaakte beelden ook op afstand door vreemden te bekijken, zo las ik bij Nu.nl na diverse tips (dank, iedereen). En ergens hoop ik dat dit faalproduct ten voorbeeld wordt gesteld aan alle… Lees verder

Te koop bij uw ISP: uw browsergeschiedenis

| AE 9355 | Privacy | 16 reacties

Amerikaanse internetproviders mogen binnenkort de internetgeschiedenis van hun klanten verkopen aan derden, meldde Ars Technica vorige week. Een besluit van die strekking is door zowel Congres als Huis van Afgevaardigden aangenomen. Het besluit verklaart een eerdere regel van de toezichthouder FCC ongeldig, waarin werd bepaald dat alleen met aparte opt-in dergelijke gegevens mochten worden verzameld… Lees verder

Nee, werknemers kunnen geen toestemming geven voor privacyzaken

| AE 9313 | Arbeidsrecht, Privacy | 33 reacties

Energiebedrijf Uniper (tot 1 januari 2016 E.ON) heeft na onderzoek van de Autoriteit Persoonsgegevens (AP) zijn alcohol- en drugscontrolebeleid voor medewerkers ingetrokken, las ik een tikje vertraagd bij de toezichthouder. Dit beleid kwam erop neer dat het bedrijf alcohol- en drugstesten wilde inzetten om onveilige situaties te voorkomen, maar dat mag niet van de AP:… Lees verder

Geldt de meldplicht datalekken ook voor defaced websites?

| AE 9315 | Aansprakelijkheid, Privacy | 7 reacties

Tweakersgebruikers melden maandag defacement van verschillende websites, waarbij de site zelf is vervangen door een boodschap die afkomstig lijkt te zijn van een Turkse groepering. Dat las ik op Tweakers gisteren. Of er een link is met de gebeurtenissen rond de Turkse minister van Familiezaken Kaya, is onduidelijk. Maar diverse lezers vroegen me wel: moet… Lees verder

Belastingdienst mag camerabeelden met nummerplaatherkenning niet gebruiken

| AE 9286 | Privacy, Strafrecht | 8 reacties

De Belastingdienst mag de foto’s die langs de snelweg zijn genomen met camera’s die zijn voorzien van automatische nummerplaatherkenning niet gebruiken, oordeelt de Hoge Raad. Dat meldde Tweakers afgelopen vrijdag. Door te datagraaien in de nummerplaatinfo vastgelegd door deze zogeheten ANPR-camera’s kon de Belastingdienst achterhalen dat een aantal zakelijke rijders een onjuiste ritregistratie had opgevoerd…. Lees verder