Gegevensverwerking in Windows 10 via telemetrie is in strijd met wet

| AE 9745 | Privacy | 38 reacties

De Autoriteit Persoonsgegevens heeft op basis van een eigen onderzoek geconcludeerd dat Microsoft de wet overtreedt door de manier waarop het in Windows 10 gegevens verwerkt. Dat meldde Tweakers vorige week. Uit het onderzoek blijkt dat Microsoft allerlei gegevens van de gebruikers verzamelt, zoals de namen, wachtwoorden, geboortedata, het geslacht, telefoonnummers en e-mailadressen. Dit wordt onder het mom van “telemetrie” doorgestuurd naar Microsoft, maar onduidelijk blijft wat er dan precies mee gebeurt.

Het 241 pagina’s tellende onderzoeksrapport maakt duidelijk dat Microsoft bij gebruikers van Windows 10 voortdurend technische prestatie- en gebruiksgegevens verzamelt van elk apparaat waarop het is geïnstalleerd. Dat heet dan met een mooi neutraal woord “telemetriegegevens”, maar het zijn natuurlijk persoonsgegevens – ze onthullen informatie over de gebruiker, zoals welke apps hij gebruikt of websurfgedrag. Dat is eigenlijk nauwelijks te verantwoorden zonder duidelijke informatie en apart verkregen toestemming.

In de eerste versies van Windows 10 was allesbehalve duidelijk wat er nu precies werd verzameld en voor welk doel. De zogeheten Creators Update veranderde een en ander. Microsoft verduidelijkte dat de telemetriegegevens voor vijf doeleinden gebruikt konden worden:

  1. Fouten oplossen
  2. Apparaten up-to-date en veilig houden
  3. Het verbeteren van Microsoft producten en diensten.
  4. Het tonen van gepersonaliseerde reclame in Windows en Edge, inclusief reclame voor alle apps uit de Windows store
  5. Het tonen van gepersonaliseerde reclame in apps

Die laatste twee waren uit te schakelen, en voor die eerste twee valt wel te verdedigen dat dat misschien wel nodig is in de relatie leverancier-gebruiker. Alleen, bij het onderzoek bleek dat ontwikkelaars nieuwe toepassingen van de data konden implementeren zonder dat daar apart opnieuw melding van (laat staan toestemming voor) gevraagd werd. Een algemene opt-out was er wel, maar dat is niet genoeg (zeker niet omdat ie niet alles outte).

En dat kan gewoon niet, onder de Wbp niet en onder de AVG niet:

Door de combinatie van doeleinden waarvoor de verzamelde gegevens kunnen worden verwerkt en het gebrek aan transparantie, kàn Microsoft geen grondslag verkrijgen voor de gegevensverwerking, zoals toestemming of noodzaak voor de behartiging van haar gerechtvaardigd belang. Daarom kan ook geen sprake zijn van een gerechtvaardigd doeleinde voor de gegevensverwerking bij volledige telemetrie. Daarnaast geldt dat de eerste vier doeleinden zeer algemeen zijn geformuleerd, en daarmee niet voldoen aan het vereiste uit artikel 7 van de Wbp dat doeleinden welbepaald moeten zijn, en uitdrukkelijk omschreven.

Een belangrijk punt waarop Microsoft onderuit gaat, is de informatievoorziening. Nergens is in detail te lezen wat men nu precies verzamelt, laat staan wat daarmee gebeurt. Zelfs systeembeheerders kunnen niet zien wat er allemaal naar Microsoft gaat.

De typische ICT praktijk om in privacyverklaringen “Wij mogen alles doen onder het kader van verbetering van de gebruikservaring” op te nemen en dan te zeggen “dan moet je maar Linux gebruiken” als mensen het niet snappen, is dus eenvoudigweg niet toegestaan onder privacywetgeving. Je moet specifiek en gericht zeggen wat je gaat doen, en als je andere dingen wilt gaan doen dan moet je daar apart op terugkomen. Dat gaat nog een uitdaging worden volgend jaar.

Arnoud

Mag je stiekem de algemene ledenvergadering filmen?

| AE 9736 | Privacy | 10 reacties

Een lezer vroeg me:

Bij de afgelopen algemene ledenvergadering van onze vereniging bleek iemand stiekem beeld- en geluidsopnamen te hebben gemaakt. Toen hij daarop aangesproken werd, verdedigde hij zich met het argument dat hij bewijs wilde verzamelen van wat er werd gezegd, omdat hij de notulen niet vertrouwde. Staat hij in zijn recht?

In principe heb je inderdaad het recht om zelfstandig bewijs te vergaren van wat er op een vergadering wordt gezegd. De klassieke manier was je eigen aantekeningen van het gesprek te maken, maar daarmee sta je natuurlijk niet heel sterk als de officiële notulen iets anders zeggen. Geluidsopnamen zijn sterker, en helemaal als je er beeld bij hebt.

Het opnemen van beeld en geluid in een vergadering is juridisch echter problematisch. Een ALV is meestal een besloten gebeurtenis, en de wet is vrij streng in stiekem maken van opnames in zo’n situatie. Het stiekem maken van afbeeldingen van mensen is bijvoorbeeld strafbaar (art. 139f Strafrecht), net als het stiekem afluisteren van gesprekken (art. 139a Strafrecht), hoewel bij dat laatste je niet strafbaar bent als deelnemer. Kort en goed: de camera moet worden gemeld maar de microfoon mag stiekem aan.

Wel zal zo’n opname vallen onder de Wet bescherming persoonsgegevens, en straks de Algemene Verordening Gegevensbescherming. Beeld en geluid maken waarop mensen herkenbaar te zien/horen zijn, vormt een verwerking van persoonsgegevens. En omdat die meer is dan een zuiver huishoudelijke vastlegging, moet je je daarbij gewoon aan de regels uit de wet houden. (Ja, ook als je zegt dat dit een journalistieke verwerking is.)

Toestemming is niet perse nodig, maar als je zonder toestemming deze opnames maakt dan moet je wel een duidelijke rechtvaardiging hebben én doen wat je kunt om de privacyimpact bij andere mensen te minimaliseren. Publiceren van die beelden zal dus in principe niet kunnen, maar stukjes als bewijs overleggen bij een geschil kan denk ik wel. Daarnaast moet je de beelden natuurlijk veilig opslaan tegen datalekken, en moet je mensen informeren over wat je doet met de beelden.

Alles bij elkaar denk ik dat het nog knap lastig wordt om dit goed te doen als individueel lid. Misschien is het dan ook beter om de ALV te verzoeken standaard geluidsopnames te maken die de secretaris goed bewaart, zodat bij geschillen dingen teruggeluisterd kunnen worden?

Arnoud

Moet alle oude software worden afgeschaft onder de Privacyverordening?

| AE 9721 | Privacy, Software | 16 reacties

Een lezer vroeg me:

De Algemene Verordening Gegevensbescherming (AVG of GDPR) stelt strenge eisen aan ICT-systemen, zoals privacy by design en beveiliging. Hebben wij nu een probleem met al onze legacy software?

Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG of GDPR) van kracht. Deze gaat een grote verandering opleveren bij alle bedrijven die iets doen met persoonlijke gegevens. Eén belangrijk aspect daarbij is de inrichting van ICT-systemen die dergelijke persoonsgegevens opslaan.

Gegevensbescherming door ontwerp, in het Engels privacy by design, houdt in dat de voor verwerking gebruikte mechanismen zo zijn ontworpen dat zij zo veel mogelijk rekening houden met de privacy van betrokkenen en de vereisten uit de AVG. Een systeem dat hieraan voldoet, zou dus bijvoorbeeld knoppen ingebouwd hebben waarmee betrokkenen inzage in hun persoonsgegevens kunnen krijgen. Ook andere maatregelen, gericht op bijvoorbeeld het minimaliseren van de hoeveelheid persoonsgegevens en het zo spoedig mogelijk pseudonimiseren van persoonsgegevens, vallen onder dit beginsel.

Meer algemeen moeten passende technische en organisatorische maatregelen worden genomen om te waarborgen (én te kunnen aantonen) dat verwerkingen in overeenstemming met de AVG worden uitgevoerd. ICT-systemen moeten dus aantoonbaar uitgevoerd zijn met dergelijke waarborgen.

De AVG kent geen uitzondering voor software die reeds in gebruik was voor de inwerkingtreding (25 mei 2016). Dat betekent dat ook bij die systemen moet worden voldaan aan de eisen van passende waarborgen en privacy by design. In zoverre heb je dus een probleem met dergelijke legacy software.

Echter, de AVG eist ook weer niet dat je hele infrastructuur volledig opnieuw moet worden opgebouwd. Randvoorwaarde is namelijk dat je rekening houdt met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen.

Je moet dus een afweging maken welke problemen of beperkingen er zitten in je huidige infrastructuur, en hoe je daar een kosteneffectieve oplossing kunt treffen waarmee mensen hun rechten kunnen halen. Dat kan zijn een vervanging, maar een extra systeem er naast zou ook een legitieme oplossing kunnen zijn. Zolang je maar kunt aantonen dat je erover nagedacht hebt en dat deze oplossing uiteindelijk goed genoeg is.

Arnoud

Mag direct marketing per post straks ook niet meer van de AVG?

| AE 9691 | Privacy, Webwinkels | 26 reacties

Een lezer vroeg me: Recent kreeg ik geadresseerde reclame per post van een webshop waar ik vorig jaar wat had gekocht. Dat is dus een verwerking van mijn persoonsgegevens! Kan ik daar straks onder de Privacyverordening wat tegen doen? Er is nooit om toestemming gevraagd voor reclamepost namelijk. Het klopt dat het toesturen van geadresseerde… Lees verder

Oh, je baas mag toch niet meegluren in je privéberichten op je werk?

| AE 9661 | Arbeidsrecht, Privacy | 2 reacties

Het Europese Hof voor de Rechten van de Mens heeft in een uitspraak bepaald dat bedrijven hun werknemers moeten inlichten op het moment dat hun digitale communicatie vanaf de werkplek in de gaten wordt gehouden. Dat meldde Tweakers vorige week. Een werknemer had een zakelijk Yahoo Messenger account aangemaakt om daarmee met klanten te kunnen… Lees verder

Mag een appartementencomplex werken met kentekenherkenning?

| AE 9659 | Privacy | 35 reacties

Een lezer vroeg me: De vereniging van eigenaren van mijn appartementencomplex wil gaan werken met kentekenherkennning bij de poort. Alleen bewoners en vooraf aangemelde bezoekers kunnen dan nog automatisch naar binnen, de rest moet aanbellen. En van iedere bezoeker worden naam, kenteken en in- en uitrijtijden vastgelegd. Hoe zit dat juridisch? Het is natuurlijk toegestaan… Lees verder

Je hebt nog 256 dagen om de AVG te implementeren #256totAVG

| AE 9606 | Privacy | 32 reacties

Vandaag zijn er nog precies 256 dagen te gaan tot de nieuwe Europese privacywet in werking treedt. Op 25 mei 2018 zal namelijk de Algemene Verordening Gegevensbescherming (AVG, ook wel General Data Protection Regulation oftewel GDPR) van kracht worden. En dan wordt de wereld weer een stukje interessanter, want het is me een partij regelgeving… Lees verder

Mag de politie particuliere beveiligingscamera’s in een database stoppen?

| AE 9651 | Privacy | 11 reacties

Particulieren en bedrijven hebben al 160.000 beveiligingscamera’s aangemeld bij de politie, las ik bij Nu.nl. Via de database kunnen camerabeelden sneller worden opgevraagd na misdaden. De politie kan (uiteraard) niet live meekijken in al die databases, maar wel sneller een relevante camera vinden die mogelijk beelden van een ongeval of strafbaar feit heeft vastgelegd. Wat… Lees verder

AP gaat vragen stellen over reclameschermen met camera’s op stations

| AE 9656 | Privacy | 36 reacties

De Autoriteit Persoonsgegevens gaat vragen stellen aan de NS over reclameschermen van ExterionMedia die camera’s bevatten, meldde Tweakers eergisteren. Digitale reclameschermen van het bedrijf op stations bevatten camera’s waarmee wordt waargenomen of passanten naar de advertentie kijken. Daarover is veel discussie ontstaan: valt dat nu onder de privacywet of zijn het “alleen maar enen en… Lees verder

Valt iedere bit straks onder de Privacyverordening?

| AE 9642 | Privacy | 27 reacties

Naar aanleiding van de recente vraag of een klassenfoto privacygevoelig is, kreeg ik diverse opmerkingen onder meer via Twitter: Net als het getal 098773557 . Want misschien een bsn. Het AVG virus noem ik dat, elk stukje data wordt er uiteindelijk door besmet. De Privacyverordening als virus, het moet niet gekker worden. Maar ik snap… Lees verder