Mag Clubhouse eisen dat je je adresboek deelt?

| AE 12522 | Ondernemingsvrijheid, Privacy | 20 reacties

Clubhouse, de nieuwe social media app, is echt iets voor dummies, aldus een van de vele blogs over deze nieuwe dienst. Want je hoeft er weinig voor te kunnen: alleen luisteren. De app draait namelijk om live gesprekken, zonder beeld of chatten. De app is nieuw en hip, en je kunt er alleen gebruik van maken als je uitgenodigd wordt (en een iPhone hebt). En daarbij een opmerkelijk detail: “Omdat Clubhouse gebruik maakt van je contactenlijst (in je telefoon) ziet de app direct wie van je bekenden er al gebruik maakt van de app.” Dat is even geleden, dat apps je adresboek standaard leegtrekken om zo andere mensen te kunnen werven. Hoe zit dat ook alweer, mocht dat nou of niet?

Je adresboek moet je delen om anderen te kunnen uitnodigen. Doel hiervan is namelijk dat Clubhouse kan zien wie van deze mensen al een account heeft. Maar indirect natuurlijk ook het opbouwen van een groot informatiebestand van kennelijk kapitaalkrachtige mensen met interesse in high tech en het laatste en hipste, je bent startup of niet natuurlijk. (Tenzij je voor de app betaalt, gaat het om je data en niet om de dienstverlening.)

Dit delen van adresboeken is in Europa problematisch, omdat een vermelding in je adresboek een persoonsgegeven is van die contactpersoon. Die mag jij daar hebben – uitzondering voor persoonlijk gebruik en/of toestemming tot communicatie met die persoon. Maar delen van die vermelding met een ander mag in principe gewoon niet, tenzij het netjes is van wel, en in bulk lijkt me eigenlijk nooit netjes. Dat is niet waarom jij in mijn adresboek zit, juridisch gezegd: de doelbinding ontbreekt, en toestemming is er ook al niet. Dus nee.

Tegelijk zie ik ook wel de legitieme behoefte van alleen uitnodigingen willen sturen aan mensen die de app al hebben. Dus dat Clubhouse wil nagaan of een opgegeven genodigde de app heeft, dat lijkt me legitiem. Precies dat was wat Whatsapp vroeger deed, totdat onze AP ingreep: die gegevens mag je wel verwerken, maar niet zodanig dat je ze óók voor gewone marketingdoeleinden (profielopbouw van niet-klanten) kunt inzetten. De dienst stuurt nu alleen hashes van 06-nummers uit het adresboek, en de server kan daarmee zien of iemand al klant is (men heeft dezelfde hash in het klantenbestand) of niet (hash onbekend). Dit is dus wat Clubhouse ook moet gaan doen.

Arnoud

Facebook moet 3,83 miljoen euro betalen aan ontwikkelaar wegens kopiëren Nearby

| AE 12443 | Intellectuele rechten | 6 reacties

Een Italiaanse rechtbank heeft in hoger beroep bepaald dat Facebook 3,83 miljoen euro moet betalen aan de Italiaanse softwareontwikkelaar Business Competence. Dat las ik bij Tweakers. Een Italiaanse rechtbank vonniste dat de dienst het auteursrecht op een app (genaamd Faround) heeft geschonden door haar eigen concurrerende dienst. Opmerkelijk aspect: dat lijkt met name het geval te zijn geweest omdat BC haar app ter goedkeuring moest voorleggen, en Facebook zo een en ander kon afkijken.

Mijn Italiaans is niet zo sterk, maar het lijkt te zijn gegaan om een combinatie van auteursrechten en oneerlijke concurrentie. En dat laatste is met name waar Facebook vaker commentaar op heeft gekregen (en Amazon ook trouwens): mensen moeten hun app via jou aanbieden, en jij kunt dan kijken wat  er wel en niet werkt – en bij Facebook ook gewoon hoe het werkt. Dat is dan makkelijk scoren, anderen nemen het risico en als het wat oplevert dan maak je het snel na, met inside kennis.

Het is opmerkelijk dat dit Italiaanse bedrijf Facebook aanklaagt, ik ken geen eerdere zaken hierover. Ik vermoed dat veel mensen bang zijn dat Facebook ze dan verbant van hun platform, wat natuurlijk een enorm bedrijfsrisico is.

Uit het vonnis haal ik dat de rechtbank met name het auteursrecht op de databank die achter de app zit, geschonden ziet. Dit gaat om de gegevens over bedrijven en winkels die in de buurt zijn van de Facebook-gebruikers, zodat die snel naar een relevante shop kunnen als ze ergens zijn.

De originaliteit van Faround bestond erin een reeks criteria te hebben opgesteld van selectie, organisatie en presentatie van gegevens die zijn ontworpen om te werken met categorieën gegevens die worden gehost op het sociale netwerk van Facebook. Eerdere programma’s verwerkt door Facebook (Facebook Places) en derden (Foursquare en Yelp) bezitten deze niet.
De kern van het bezwaar is dan ook dat Facebook deze manier van werken heeft afgekeken, en wel door de verplicht te overhandigen broncode van Faround te inspecteren. Dit werd aangetoond door een deskundige die constateerde dat de nieuwe app van Facebook wel heel veel leek – en bovendien geheel anders was dan die eerdere apps van Facebook zelf. Dat is natuurlijk nogal verdacht.

In zo’n situatie mag de rechtbank de bewijslast omkeren: Facebook, laat je broncode zien zodat we kunnen kijken of er daadwerkelijk iets is overgenomen dat auteursrechtelijk beschermd is bij de klager. Alleen wilde Facebook daar niet aan meewerken. En dat wordt ze zeer kwalijk genomen, zo zeer zelfs dat de rechtbank concludeert dat er dan wel inbreuk moet zijn. Dat kan, hoewel het nogal een stevige conclusie is.

De redenering is dan, we zien dat Facebook veel sneller dan normaal een concurrerende app met sterk gelijkende functionaliteit op de markt heeft, nadat ze geprivilegieerde toegang heeft gehad tot de concurrent én terwijl ze weigert in detail aan te tonen dat ze het echt geheel apart heeft gemaakt. Dan ligt het meer voor de hand dat men toch heeft gekopieerd, dan dat men het echt zelf heeft gemaakt.

Arnoud

 

Misschien doet handhaven op informatieplichten wel meer pijn dan op toestemming/belang?

| AE 12135 | Privacy | 32 reacties

Whatsappen met Wopke Hoekstra? Bellen met Kajsa Ollongren of Carola Schouten? Het kan dankzij Lusha, een onlinedienst die mailadressen en telefoonnummers van het internet plukt. Zo opende Trouw onlangs. Met deze vage dienst zijn mobiele telefoonnummers te vinden van vele, vele mensen. En er is een handige browser plugin waarmee je het telefoonnummer meteen ziet als je iemands social media profiel bezoekt. Natuurlijk is er geen toestemming gevraagd want even zo natuurlijk ziet het bedrijf hier een eigen legitiem belang – fraudebestrijding. Ik word zo moe van die discussie, dus laten we het eens over de informatieplichten hebben.

Een van de grondslagen om onder de AVG met persoonsgegevens te kunnen werken is het eigen legitiem belang. Je zegt dan grofweg, ik heb gewoon een eerlijke reden om dit te mogen doen en ik houd rekening met je privacy, maar dit moet gewoon kunnen. Dat “ik houd rekening met je privacy” is belangrijk; je moet wel waarborgen inbouwen en rekening houden met bezwaren.

Wat zijn nou “eerlijke redenen”? Nou ja, fraudebestrijding dus bijvoorbeeld. Net als netwerkbeveiliging of beschermen van eigendom, de reden dus dat je security monitoring of cameratoezicht mag inzetten. In principe, want je moet dus die afweging maken. Honderd camera’s op de werkvloer gaat hem dus niet worden, dat is niet proportioneel in die afweging ook al heb je eigendommen te beschermen.

Ik roep altijd dat je niet om toestemming moet vragen (tenzij je een nieuwsbrief hebt), en dat blijf ik ook nu doen. Lusha kiest volgens mij inderdaad de juiste grondslag. Ik geloof er vervolgens direct geen bal van dat ze die afweging hebben gemaakt, ze citeren een stukje AVG en produceren een leuterverhaal zonder onderbouwing – ik was blij verrast dat de Trouw-journalist dat keurig affakkelt overigens. Maar ik zie wel hoe je een lange discussie kunt krijgen over de inhoud van zo’n afweging.

De insteek van professor Zwenne (geciteerd in Trouw) is een veel simpeler én effectiever: je hebt als betrokkene het recht geïnformeerd te worden voor of bij het eerste gebruik van die gegevens. En dat is dus niet “wanneer je gebeld wordt” maar “wanneer Lusha je nummer in hun database stopt of via de API opvraagt bij vagedatabases.kremvax.ru”. En dat is niet gebeurd, zeker weten. Dus daarmee overtreedt Lusha keihard de AVG, en als ze een jurist hadden ingehuurd (nee, ik had ze lachend naar buiten gewezen) dan hadden ze dat geweten.

Blijft natuurlijk het probleem van handhaving: het is een Amerikaans-Israelisch bedrijf, dus een boete opleggen en incasseren is een lastig traject. Ik kon zo gauw geen Nederlandse bv ontdekken waar royalties (de Dutch/Irish sandwich) doorheen gaan of iets dergelijks, in ieder geval.

Wel is het natuurlijk zo dat iedereen die Lusha zakelijk gebruikt, automatisch de AVG overtreedt. Ja, ook als jij zelf wél een duidelijk onderbouwd gerechtvaardigd belang hebt én mensen meteen informeert dat je nummers bij Lusha inkoopt. Want naast die specifieke regels is er ook artikel 5, de basisprincipes. En eentje daarvan is “rechtmatig, behoorlijk en transparant”. Het is natuurlijk niet rechtmatig of behoorlijk dat je gegevens inkoopt bij een bedrijf dat zo duidelijk de AVG overtreedt. Ook niet als je een vrijwaring hebt opgenomen bij een garantie van Lusha dat ze de AVG wél naleven.

Arnoud

Is het een datalek als een app het bsn van je clipboard uitleest?

| AE 12040 | Privacy | 16 reacties

Via Twitter: Zeg @albertheijn, @Marktplaats en @NUnl. Waarom willen jullie zo graag alles wat ik gekopieerd heb lezen? Inclusief dingen als IBAN nummers, wachtwoorden of persoonsgegevens. Klinkt als iets voor de autoriteit persoonsgegevens. Er blijken nog veel meer apps te zijn die het clipboard uitlezen als je ze activeert. De vraagsteller kwam erachter omdat zijn… Lees verder

Mag ik de hardcoded sleutel van een app gebruiken voor mijn eigen aanroepen?

| AE 11944 | Ondernemingsvrijheid | 36 reacties

Een lezer vroeg me: Ik wil gebruik maken van een online tool vanuit mijn eigen software. Helaas is een zakelijke licentie op die tool veel te duur. Nu zat ik in de bijbehorende app voor consumentengebruik te kijken, en die blijkt met een hardcoded key te authenticeren. Ik kan daarmee dus perfect een aanroep simuleren,… Lees verder

Wat gaan we doen met die corona-app van de overheid?

| AE 11876 | Privacy, Regulering | 30 reacties

De Nederlandse overheid is van plan om twee apps te gebruiken om besmettingen met het coronavirus te traceren. Dat meldde Tweakers eergisteravond. De eerste app “vertelt je of je in de buurt bent geweest van een andere gebruiker, die besmet blijkt te zijn. Je krijgt dan het advies om binnen te blijven en het verzoek… Lees verder

Mag ik mijn werknemers echt niet verplichten een tweefactorauthenticatieapp te installeren?

| AE 11630 | Ondernemingsvrijheid, Privacy | 31 reacties

Een lezer vroeg me: Als werkgever in een gebied waar met gevoelige persoonsgegevens wordt gewerkt, zie ik mezelf verplicht om 2factor authenticatie in te voeren. Wij hebben hiervoor een breed bekende leverancier gevonden, die ons een simpele en privacyvriendelijke app beschikbaar stelt voor op de telefoons van medewerkers. Alleen: ik begrijp uit eerdere blogs dat… Lees verder

Moet ik nog zeggen dat die ondergoedfotoapp van Albert Heijn van de AVG niet mag?

| AE 11634 | Ondernemingsvrijheid, Privacy | 28 reacties

Winkelpersoneel van Albert Heijn is binnenkort in nieuwe bedrijfskleding te zien. De maat zou worden bepaald door foto’s in ondergoed. Dat las ik bij NRC (dank, vele tipgevers, ook voor dit gedicht). De foto’s worden – als ik het goed begrijp – door een AI geanalyseerd om zo de best passende maat te weten te… Lees verder

Overheid lanceert nieuwe versie van KopieID-app

| AE 11383 | Privacy, Security | 15 reacties

De Rijksdienst voor Identiteitsgegevens heeft een nieuwe versie van de KopieID-app gelanceerd die het eenvoudiger voor gebruikers moet maken om een kopie van hun identiteitsdocument te maken. Dat meldde Security.nl vorige week. Er zijn de nodige verbeteringen doorgevoerd; zo is het et doorstrepen nu eenvoudiger gemaakt en is het watermerk beter leesbaar. Ook kan de… Lees verder