Een vindikleuk is geen steunbetuiging naar Nederlands recht

| AE 13094 | Privacy, Regulering | 3 reacties

Pijnlijk: de massaclaim van The Privacy Collective tegen Oracle en Salesforce is gestrand op een procedurefout, las ik bij VPNgids. Deze werd augustus 2020 gestart als grote poging om de online advertentieveilingen, waarbij grootschalig in profieltoegang wordt gehandeld, aan te pakken door van vele kleintjes één grote claim te maken. Dat kan in Nederland, maar je moet daarbij kunnen aantonen voldoende representatief te zijn voor je achterban. TPC gebruikte daarvoor een simpel en transparant mechanisme, dat nu door de rechtbank wordt afgekeurd: de vindikleuk-knop. (Geen grappen over dat die knoppen zelf ook zouden tracken.)

In de kern komt de achterliggende techniek erop neer dat wanneer je een site met advertenties bezoekt, allerlei bedrijven hun cookies op die pagina uitlezen om zo te achterhalen hoe interessant jij bent. Hoe meer informatie je dan kunt combineren, hoe beter je dat kunt. Vervolgens kun je een bod uitbrengen om een advertentie te mogen tonen, en het hoogste bod wint dan. Maar geen hond wordt daar duidelijk over geïnformeerd, dus de AVG-schending zie ik wel.

Het probleem is natuurlijk de schade: welk geldbedrag kun je zetten op het leed dat ik heb ondervonden door dit proces?Daar kom je niet uit. Vandaar:  claims bundelen om zo massa te creëren waardoor er genoeg geld binnenkomt. Daar hebben we een wettelijke basis voor, de Wet afhandeling massaschade in collectieve actie (Wamca). Maar om te voorkomen dat iedereen een stichting opricht en claimt namens heel Nederland, eist die wet dat je moet aantonen voldoende representatief te zijn.

TPC deed dat zo (afbeelding uit vonnis):

Inderdaad, één klik was genoeg. Weliswaar met serverside ontdubbelen op basis van IP-adres en een onafhankelijke audit, maar geen inschrijfformulier, betaling of andere techniek om officiële NAW gegevens van je achterban te verzamelen.

De rechtbank heeft daar moeite mee, om twee redenen:

  1. De tekst van de knop is te vaag: steunt men concreet de claimrechtszaak of enkel het abstracte idee van grote bedrijven aanpakken wegens inbreuk (“je stem laten horen”)? Die vond ik ook wat gezocht.
  2. De organisatie dient nauwkeurig te omschrijven voor welke groep personen zij opkomt. “Zij die ons liken” is niet nauwkeurig genoeg, bijvoorbeeld omdat we nu niet weten of deze personen in de relevante periode een cookie van Oracle en Salesforce op hun apparatuur hebben gehad.
Deze twee punten zijn fundamenteel en TPC mag terug naar huis om na te denken over een volgende zaak. Dit alsnog herstellen vindt de rechtbank niet de bedoeling. Je moet op dit punt je zaken in één keer op orde hebben.

Voor de volledigheid (en dat is opmerkelijk, want als de zaak afgeschoten is dan hou je normaal op met vonnissen) komt de rechtbank nog met een juridische spitsvondigheid: kún je wel namens een achterban een AVG-claim indienen als stichting? Of moet je per benadeelde een procesvolmacht hebben? Ik dacht nooit dat dat een discussie was: het hele punt van zo’n stichting is immers een collectieve claim te kunnen doen. Als je dan alsnog van iedereen apart een formulier moet hebben, dan schiet dat niet bepaald op. Maar goed, de rechtbank houdt het bij de signalering en trekt geen conclusie.

Arnoud

Hebben universiteiten nu een AVG-probleem met die Proctorio hack?

| AE 13077 | Privacy | 23 reacties

Vele tienduizenden Nederlandse studenten zijn maandenlang gemakkelijk te hacken geweest, omdat hun opleiding hen verplichtte onveilige antispieksoftware te installeren. Dat meldde RTL Nieuws onlangs. Criminelen kunnen de software van Proctorio misbruiken om mee te gluren met de webcam en opnames te maken, of om toegang te krijgen tot online accounts, zoals je e-mail, betaaldiensten of crypto (de zogeheten online wallet). Diverse studerende lezers vroegen me: heeft mijn universiteit of hogeschool nu een AVG probleem, en moeten ze nu stoppen met Proctorio?

We hebben het eerder gehad over proctoring-software, die sinds de coronacrisis breed ingezet werd. Het argument daarbij was klassiek het privacy argument: studenten moeten zichzelf digitaal blootgeven in hun huisomgeving om vermoedens van fraude uit te sluiten. De rechter is daarin niet meegegaan: fraude bij tentamens is ernstig, het gaat maar om enkele uren per tentamen dus hoe erg is dat nou helemaal. (Bovendien, hoe moet het dan bij tentamens van 300 man.)

De onderliggende aanname is dan – zoals wel vaker – dat de software an sich veilig is en doet wat ie belooft. IT’ers beginnen nu te lachen, en die snap ik ook want als er iets is dat we de afgelopen vijf jaar hebben geleerd dan is het wel dat alle software lek is, onbedoelde features heeft en als je niet uitkijkt wordt ingezet om persoonsgegevens te harvesten voor ontwikkeling van diverse AI’s.

Deze hack is in zoverre een AVG probleem dat de inzet van proctoring software onder de AVG gerechtvaardigd moet worden, en bekend onveilige software voldoet natuurlijk niet. Het Proctorio lek is ondertussen alweer gedicht zo lees ik, waardoor er dus eigenlijk geen AVG issue meer zou moeten zijn. Natuurlijk kunnen er meer lekken zijn (alle software is immers lek) maar zonder specifieke aanwijzingen denk ik niet dat je hier wat mee kunt.

Arnoud

IAB Europe heeft wellicht Europese privacywet geschonden met cookiepop-ups

| AE 13028 | Ondernemingsvrijheid, Privacy | 9 reacties

IAB’s raamwerk waarop de cookiepop-ups voor veel websites zijn gebaseerd, is wellicht in strijd met de Europese privacywetgeving.Dat meldde Tweakers onlangs. De Belgische Gegevensbeschermingsautoriteit heeft een concept-uitspraak (die dus het raamwerk in strijd met de AVG verklaart) afgerond en met de collega-toezichthouders gedeeld voor commentaar. Dit is verplicht vanwege het grensoverschrijdend karakter van de inbreuk. De kern is dat het systeem te onduidelijk voor gewone mensen is.

Na invoering van de AVG lanceerde de Interactive Advertising Board een handig framework waarmee adverteerders in heel Europa AVG-compliant marketingcookies zouden kunnen zetten. Met een standaard interface geef (of weiger) je toestemming, of beheer je je legitiem-belang wensen. Deze worden centraal beheerd in een consent string, waarmee adverteerders dus niet bij elke site opnieuw toestemming hoeven te vragen.

Een kernvereiste van de AVG is transparantie en duidelijkheid: wat gebeurt er precies, tot in detail en in gewonemensentaal. Dat gaat al snel mis bij iets complex als online adverteren, helemaal als we het begrip real-time bidding (RTB) erbij halen. De kern daarvan is dat als je een site bezoekt, er een paar honderd (of duizend) robots met elkaar gaan bieden op advertentieruimte gericht op jou, op basis van wat zij van je weten en hoe interessant jij op dat moment bent.

Dit uitleggen is een stuk moeilijker dan de IAB consent teksten doen voorkomen, en dat is dan gelijk het probleem: als je niet duidelijk en in eenvoudige taal uitlegt wat er speelt, dan ga je op dat moment al tegen de AVG in. We komen dan niet eens toe aan de vraag of er op eerlijke manier toestemming is gevraagd, of de legitiem belang afweging klopt of ga zo maar door. U bent af, delete al uw data en doe het niet meer. En dat zou een pijnlijke zijn.

Een bijkomend probleem is dat  hoewel het IAB framework expliciet niet bedoeld is om de zogeheten bijzondere persoonsgegevens te verwerken (zoals seksuele voorkeur of etnische afkomst), dit in de praktijk wel gebeurt. Zo bleek in 2019 mensen uit de LGBTQI+ community getarget te worden voor Poolse wetgevingslobby, en in Ierland 1300 mensen te zijn getarget in de categorieën “Brain Tumor,” “Incontinence” and “Depression”.

Formeel is het nog geen besluit, want in theorie kunnen de collega-toezichthouders de boel afkeuren of een geheel andere insteek presenteren. Maar het voorspelt weinig goeds.

Arnoud

Mag de vereniging van eigenaren stemmen over inzet van camera’s van bewoners?

| AE 13010 | Privacy | 25 reacties

Maandag op de Rijdende Rechter: De familie Schreurs ontdekt vlak na hun verhuizing een lekkage in hun gang. Ze willen dat de VVE onderzoek laat doen naar de oorzaak. Maar meerdere onderzoeken en twee en een half jaar verder is de oplossing nog niet gevonden. Intussen loopt de spanning op. De familie Schreurs voelt zich… Lees verder

Wacht even, nu gaan privacytoezichthouders ook al notice/takedown verzoeken doen?

| AE 12974 | Privacy, Regulering | 15 reacties

De Ierse privacytoezichthouder DPC heeft noyb, de organisatie van privacyactivist Max Schrems, een take down request gestuurd waarin wordt verzocht een document te verwijderen. Dat meldde Security.nl vorige week. Het document is het conceptbesluit op noyb’s handhavingsverzoek tegen Facebook, waarin een opmerkelijke interpretatie van de AVG wordt geïntroduceerd die een joekel van een loophole oplevert…. Lees verder

Mijn zorgverlener heeft ons gesprek opgenomen zonder toestemming, mag dat?

| AE 12939 | Privacy | 30 reacties

Via Reddit: Laatst heb ik een gesprek met een zorgverlener gehad en hierbij uitte ik dat ik teleurgesteld was in de manier van handelen tijdens het eerste gesprek tussen ons. De zorgverlener gaf toen aan dat zij het gesprek toen der tijd heeft opgenomen. Dit heeft zij gedaan zonder mijn toestemming. Ik vroeg of we… Lees verder

Oostenrijks hof vraagt EU-hof of Facebook met gebruikersdata GDPR ‘ondermijnt’

| AE 12801 | Ondernemingsvrijheid, Privacy | 9 reacties

Het Oostenrijkse Hooggerechtshof heeft het Hof van Justitie van de Europese Unie gevraagd of Facebook juridisch gezien wel gebruikersdata mag verwerken. Dat las ik bij Tweakers. De vraag draait om het verschil tussen toestemming en een contract als grondslag om persoonsgegevens te mogen verwerken. Sinds de AVG van kracht is, houdt Facebook namelijk vol dat… Lees verder

Wat moet je met privacygevoelige informatie bij een bedrijfsovername?

| AE 12735 | Ondernemingsvrijheid | 12 reacties

Een lezer vroeg me: Als een bedrijf een afdeling/onderdeel verkoopt, hoe moet er dan worden omgegaan met privacygevoelige informatie? Ik denk dan aan niet alleen de personeelsadministratie maar ook bijvoorbeeld backups van oude klantgegevens. De eerste vraag is altijd op wat voor manier zo’n verkoop juridisch vormgegeven wordt. Er zijn grofweg twee vormen: de betreffende… Lees verder

Zijn hashes van vingerafdrukken anoniem of mogen ze toch niet van de AVG?

| AE 12721 | Privacy, Security | 27 reacties

Een lezer vroeg me: Ik weet dat onder de AVG het gebruik van biometrie strikt beperkt is tot hele specifieke toepassingen. Ik wil als security officer biometrie inzetten en heb daarvoor een oplossing die met templates en hashes werkt, zodat er geen vingerafdrukken hoeven te worden opgeslagen. Een nieuw genomen vingerafdruk wordt tot een hash… Lees verder

FBI deelt voortaan uitgelekte wachtwoorden met Have I Been Pwned, mag dat van de AVG?

| AE 12693 | Innovatie, Security | 13 reacties

De FBI gaat uitgelekte wachtwoorden die het tijdens onderzoeken tegen gekomen is, in het vervolg delen met de website Have I Been Pwned. Dat meldde Tweakers onlangs. De wachtwoorden die de FBI met Have I Been Pwned deelt, zullen worden voorzien van een SHA-I en NTLM-hashparen, zodat ook HIBP-eigenaar Troy Hunt de wachtwoorden niet in… Lees verder