Mag ik de hardcoded sleutel van een app gebruiken voor mijn eigen aanroepen?

| AE 11944 | Ondernemingsvrijheid | 36 reacties

Een lezer vroeg me:

Ik wil gebruik maken van een online tool vanuit mijn eigen software. Helaas is een zakelijke licentie op die tool veel te duur. Nu zat ik in de bijbehorende app voor consumentengebruik te kijken, en die blijkt met een hardcoded key te authenticeren. Ik kan daarmee dus perfect een aanroep simuleren, want het http verkeer is ook nog eens onversleuteld. Is dit toegestaan?

Het is in principe de bedoeling dat je aangeboden tools gebruikt zoals ze je aangereikt worden. Dat staat niet letterlijk in de wet maar volgt volgens mij uit wat juristen de redelijkheid en billijkheid noemen. Maar daar staat tegenover dat het dus niet automatisch strafbaar of onrechtmatig is als je iets anders inzet dan de aangeboden tooling.

In het geval van de vraagsteller kun je die app zien als niet meer dan een schil waarmee een server wordt aangeroepen. Ik zie het onrechtmatige niet in het zelf doen van die aanroep. In dit geval wordt er geen account van een ander gebruikt of een achterdeurtje aangeroepen. Alle apps hebben dezelfde sleutel, dus waartegen die sleutel moet beveiligen is me een raadsel.

Ook vraag je op deze manier geen informatie op waar je geen recht op had. Je had exact deze gegevens gekregen als je via de app de informatie op had gevraagd. Van computervredebreuk – ergens binnengaan waar je weet dat je niet mag zijn – kan ik dus niet spreken hier. Wellicht als je de API gaat manipuleren door extra velden te proberen, of counters gaat veranderen buiten de range die de app zelf gebruikt. Dat zou ik dus afraden.

Een complicatie bij deze vraag is dat de aanbieder zakelijke licenties onderscheidt van consumentengebruik met de app. De werkwijze van deze vraagsteller leidt ertoe dat hij onder een consumentenmantel informatie krijgt die hij zakelijk gaat inzetten. Dat zou je kunnen zien als contractbreuk: er staat vast iets in de app-licentie dat de informatie uitsluitend huishoudelijk of privé gebruikt mag worden.

Daar staat voor mij tegenover dat de vraagsteller ook met de app in de hand de informatie had kunnen verkrijgen en dan zakelijk inzetten. Daar doet die app niets tegen. Ik zie de schade niet voor de aanbieder in dat geval, dus waarom zou het dan wél schadelijk zijn als hij dat met een eigen tool doet?

Arnoud

Wat gaan we doen met die corona-app van de overheid?

| AE 11876 | Privacy, Regulering | 30 reacties

De Nederlandse overheid is van plan om twee apps te gebruiken om besmettingen met het coronavirus te traceren. Dat meldde Tweakers eergisteravond. De eerste app “vertelt je of je in de buurt bent geweest van een andere gebruiker, die besmet blijkt te zijn. Je krijgt dan het advies om binnen te blijven en het verzoek om een tweede app te gebruiken”, aldus de minister. Die tweede app is bedoeld om makkelijk contact te houden met een dokter in de buurt. Het roept natuurlijk de nodige privacyvragen op, inclusief de onvermijdelijke dooddoener dat privacy zou moeten wijken voor volksgezondheid. Helaas is er nog veel onduidelijk hoe het werkt, zodat het lastig is precies te zeggen of dit nu goed gaat of niet.

Een oud gezegde in de IT luidt: ongeacht het probleem is de oplossing een database. Dat zou hier ook vrij voor de hand liggen, zeker als er met haast aan een app wordt gebouwd. De app stuurt door waar je bent geweest, dat wordt centraal opgeslagen en zodra bekend is dat persoon X besmet is, kijk je in die database welke personen bij hemhaar in de buurt waren en stuur je iedereen een quaraintaineverzoek.

Nadeel: dan heb je dus een database waar van iedere Nederlander in staat waar ie is geweest, en dat zal onvermijdelijk leiden tot feature creep en ander ongewenst gebruik. Want niets zo permanent als een noodoplossing (de noodgebouwen van mijn vwo-school stonden al 10 jaar toen ik brugwup was, en werden vijf jaar geleden gesloopt). En ik hoop dat ook de “privacy moet even wijken voor de volksgezondheid/ de economie”-mensen het met me eens zijn dat dit geen handige oplossing is.

Hoe moet het dan wel? Nou ja, uit gaan van het minimale, beginnen met privacy en dan kijken waar je aan moet knabbelen. Bijvoorbeeld heel simpel, de app houdt lokaal bij wie hij heeft gezien, en pas bij een besmetting wordt er -op peertopeer wijze- informatie uitgewisseld tussen telefoons. Ik hoef niet te weten wie er in Groningen besmet is als ik in Amsterdam thuis blijf, dus er hoeft geen database te zijn waarin mijn locatie en die van die Groningse opgeslagen is.

Is er een besmetting, dan wordt een unieke code voor het slachtoffer verspreid onder appgebruikers (zeg maar een pushbericht) en je telefoon kan dan nagaan of je die persoon in de buurt hebt gehad. Hier gaan techneuten dan los met hashing en zero knowledge proofs; ik vat dat even samen met dat je dan niet meer weet dan “je was in de buurt van een besmet iemand” en dat kan zodanig dat je niet eens een persoonsgegeven hebt in de vorm van iemands serienummer. Een uitwerking hiervan is al beschikbaar ook: Pan-European Privacy-Preserving Proximity Tracing.

Op Twitter las ik het voorstel voor, ahem, ‘Covimon Go‘ van André Koot. Die zet de toegang tot informatie voorop, wie mag erbij en waarom. Dergelijke systemen zijn bekend bij onder meer Pokemon Go, vandaar de naam. Je hebt dan niet meer nodig dan “Op deze geo heeft het afgelopen uur iemand met de status ‘besmet’ rondgehangen.” in de centrale database, en die informatie kan dan worden ontvangen door iedereen die daar ook recent geweest is. Je hebt dan niet eens een login of zelfs maar een identifier nodig.

Probleem blijft natuurlijk: hoe weten we dat iemand de status ‘besmet’ heeft? Met weinig testen is dat heel ingewikkeld, en dan heb je ook nog eens de vals positieven zoals de automobilist die naast een besmette fietser stond bij het stoplicht of bij de buren in de flat met dikke muur er tussen.

Verder werkt dit natuurlijk alleen als genoeg mensen (ik zou zeggen 80% van de bevolking) meedoen met deze app. Dat zal een heel eind lukken op vrijwillige basis, genoeg mensen willen immers weten of ze op een onveilige plek zijn geweest – en misschien kan de app zelfs zeggen, blijf even weg van locatie X want daar is net een besmetting gemeld.

Het verplicht stellen vanuit de overheid lijkt me een heel ander verhaal. Dat kan onder de AVG alleen onder de voorwaarde van artikel 6 lid 1 sub e AVG:

De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

Onder “algemeen belang” kun je ook de volksgezondheid rekenen, dus dat gaat op papier goed. Vervolgens krijg je de eis (lid 3) dat een en ander in een wet moet zijn uitgewerkt die ook nog eens de nodige waarborgen kent en de vereiste details uit de AVG (zoals bewaartermijn) uitwerkt. Vereist is ook dat de maatregel (dus het verplichte karakter) evenredig is met het belang dat de wet wil dienen.

Het komt dus neer op de vraag: moet je dit echt van iedereen eisen (de mensen zonder smartphone even uitgezonderd natuurlijk). Wat levert het op dat we niet op andere wijze kunnen bereiken, bijvoorbeeld door te zeggen: blijf gewoon binnen, zoals we nu al doen. Ik moet zeggen dat ik dat echt niet weet.

Arnoud

Mag ik mijn werknemers echt niet verplichten een tweefactorauthenticatieapp te installeren?

| AE 11630 | Ondernemingsvrijheid, Privacy | 30 reacties

Een lezer vroeg me:

Als werkgever in een gebied waar met gevoelige persoonsgegevens wordt gewerkt, zie ik mezelf verplicht om 2factor authenticatie in te voeren. Wij hebben hiervoor een breed bekende leverancier gevonden, die ons een simpele en privacyvriendelijke app beschikbaar stelt voor op de telefoons van medewerkers. Alleen: ik begrijp uit eerdere blogs dat ik dit niet op privetelefoons mag zetten, maar het hele kantoor zakelijke telefoons moet geven enkel voor deze apps. Dat vind ik nogal wat qua kosten en beheer (een bedrijf met 80 man, iedereen heeft een eigen mobiel en men werkt op kantoor dus geen mobiele bereikbaarheid nodig). Is de wet werkelijk zo streng?

Ik heb inderdaad in het verleden altijd gesteld dat een werkgever niet mensen kan verplichten op hun privételefoon een app te installeren die voor het werk nodig is. De werkgever moet de gereedschappen leveren waarmee het werk wordt gedaan.

Uitzondering op deze wettelijke regel is als het normaal is dat de werknemer zulk gereedschap zelf meeneemt. Het clichevoorbeeld is de kapper met eigen scharen of de chefkok met eigen messen. Maar daar zit eigenlijk altijd achter dat die werknemer dat prettiger vindt dan wat de werkgever heeft liggen. Niet dat de werkgever dan goedkoper uit is.

Dat gezegd hebbende zie ik het dilemma wel bij een organisatie als deze. Je wilt het goed doen maar ook geen enorme kosten maken. En als er dan een app is die je één keer per werkdag nodig hebt (bij het inloggen voor de dag) en die verder geen rare dingen doet, wat is dan het probleem?

Je komt dan in het gebied van goed werknemerschap. Een goed werknemer doet dingen voor het werk, ook als dat niet letterlijk op papier staat of zelfs hem in geringe mate op kosten of moeite jaagt. Ik zou dat bij een simpele app als deze wel zien, als je als werkgever zegt, gebruik die alsjeblieft.

Daar staat tegenover dat een goed werkgéver ook weer rekening houdt met de belangen van werknemers. Als iemand echt bezwaar maakt (of geen mobiel heeft, om welke reden dan ook) dan zoek je een andere oplossing.

Wel zou je als werkgever iets moeten bedenken voor het geval de werknemer z’n telefoon gestolen wordt, of gewoon kapot is. Want je kunt niet verwachten dat hij binnen een dag een nieuwe telefoon heeft, en hij zal in de tussentijd toch moeten werken?

Arnoud

Moet ik nog zeggen dat die ondergoedfotoapp van Albert Heijn van de AVG niet mag?

| AE 11634 | Ondernemingsvrijheid, Privacy | 28 reacties

Winkelpersoneel van Albert Heijn is binnenkort in nieuwe bedrijfskleding te zien. De maat zou worden bepaald door foto’s in ondergoed. Dat las ik bij NRC (dank, vele tipgevers, ook voor dit gedicht). De foto’s worden – als ik het goed begrijp – door een AI geanalyseerd om zo de best passende maat te weten te… Lees verder

Overheid lanceert nieuwe versie van KopieID-app

| AE 11383 | Privacy, Security | 15 reacties

De Rijksdienst voor Identiteitsgegevens heeft een nieuwe versie van de KopieID-app gelanceerd die het eenvoudiger voor gebruikers moet maken om een kopie van hun identiteitsdocument te maken. Dat meldde Security.nl vorige week. Er zijn de nodige verbeteringen doorgevoerd; zo is het et doorstrepen nu eenvoudiger gemaakt en is het watermerk beter leesbaar. Ook kan de… Lees verder

De Spaanse Liga mag dus niet je microfoon inzetten om illegale voetbaluitzendingen te detecteren

| AE 11332 | Intellectuele rechten, Privacy | 3 reacties

De Spaanse voetbalbond heeft een boete van 250.000 euro gekregen van de toezichthouder vanwege overtreding van de AVG, meldde Tweakers vorige week. De app luistert met de microfoon mee om illegale voetbalstreams op te sporen aan de hand van voor mensen onhoorbare tonen in de sportuitzendingen. Hoewel de app daarmee niet direct mensen afluistert (althans… Lees verder

Politie brengt app uit waarmee slachtoffer onderzoek kan doen naar misdrijf

| AE 11299 | Regulering | 14 reacties

De Nederlandse politie en het openbaar ministerie brengen op 1 juni een app uit waarmee burgers zelf onderzoek kunnen doen naar het misdrijf waar ze slachtoffer van zijn geworden. Dat meldde Tweakers maandag. Mensen kunnen onder andere getuigeninterviews afnemen en foto’s als bewijs uploaden. Het gaat om een kleinschalige proef in zes basisteams in vier… Lees verder

Hoe maak je sms-berichten en appjes van ambtenaren Wob-baar?

| AE 11257 | Regulering, Uitingsvrijheid | 23 reacties

Alweer wat ouder nieuws, maar toch: sms-berichten en appjes van ambtenaren vallen onder de Wet openbaarheid van bestuur. Dat besliste de Raad van State enige tijd terug. Iets formeler gezegd: het medium waarin informatie wordt opgeslagen of verstuurd, is niet relevant. Of iets nu in een sms bericht staat of in een papieren brief: als… Lees verder

Groeiende ergernis over niet bijgewerkte apps op Smart TV’s

| AE 9754 | Ondernemingsvrijheid | 50 reacties

Uit een zaterdag gepresenteerde enquête van het tv-programma Kassa blijkt dat meerdere apps het niet meer doen op oudere Smart TVs. Dat meldde Emerce vorige week. Zo werkt bij zo’n 40 procent van de mensen de Youtube-app niet meer, terwijl die televisies pas enkele jaren oud zijn. Samsung meldt desgevraagd niet te gaan over apps… Lees verder