Franse privacytoezichthouder biedt oplossing voor gebruik Google Analytics

| AE 13404 | Ondernemingsvrijheid, Privacy | 15 reacties

Websites in Frankrijk kunnen met Google Analytics blijven werken, maar moeten dan wel van een goed geconfigureerde proxy gebruikmaken, zo las ik bij Security.nl. We weten al een tijdje dat Google Analytics best problematisch is onder de AVG, omdat het structureel persoonsgegevens overbrengt naar Amerika. Tijd om ermee te stoppen dus, maar voor wie nog een paar jaar geld wil betalen om zijn hoofd in het zand te steken, is er nu een juridisch-technisch correcte oplossing.

Sinds het Schrems II-arrest weten we dat persoonsgegevens overbrengen naar de VS erg problematisch is, omdat de VS fundamenteel niet dezelfde soort bescherming van persoonsgegevens wil bieden. Het Privacy Shield is daarmee geen goede basis om zomaar aan te mogen nemen dat je een Amerikaanse clouddienst (zoals Google’s Analyticsdienst) mag inzetten.

Ook helpt het niet als je de verschillende pseudonimisering-opties instelt, zoals we in Nederland gewend zijn te doen op advies van onze Autoriteit Persoonsgegevens. Ook dan komen er nog tot personen te herleiden gegevens bij Google, die ze waarschijnlijk combineert met andere gegevens – of in ieder geval ze opslaat in de VS. En alleen dat al is een probleem.

“Hoewel Google verschillende maatregelen heeft opgesteld om dataverzending naar andere landen te reguleren, zijn deze niet voldoende om de toegang door Amerikaanse inlichtingendiensten te beschermen”, schreef de Franse toezichthouder in februari nog. Onze AP meldde toen dat het gebruik van Analytics ‘mogelijk binnenkort niet meer is toegestaan’, hoewel dat binnenkort dus wat rekkelijk moet worden opgevat.

De CNIL is technisch gaan brainstormen en komt nu met de oplossing van een anonimiserende proxy. Kort gezegd, alle Analyticsverkeer wordt geforceerd naar een eigen server gestuurd waar werkelijk álles wordt gestript. En pas daarna gaat het naar Google, zodat je toch mooie statistiekjes en plaatjes kunt krijgen in je dashboard. (De waarde van deze gegevens voor marketing laat ik buiten beschouwing).

Dat álles is echt nogal veel:

  • the absence of transfer of the IP address to the servers of the measurement tool;
  • the replacement of the user identifier by the proxy server;
  • the deletion of the referring site information external to the site;
  • the deletion of any parameter contained in the URLs collected (e.g. UTMs and URL parameters allowing the internal routing of the site);
  • the reprocessing of information that can participate in the generation of a fingerprint , such as ‘user agents’, to remove the rarest configurations that can lead to re-identification;
  • the absence of any collection of cross-site identifiers; and
  • the deletion of any other data that may lead to re-identification.
De proxy die dit doet, moet fysiek in Europa staan en in eigendom én beheer zijn bij een Europese partij. En je moet periodiek controleren dat je écht geen indirect identificerende gegevens doorstuurt. Want de CNIL ziet ook risico’s bij situaties dat je IP-adressen weglaat, getuige de verwijzingen naar user-agent strings en andere parameters waarmee je alsnog server-side fingerprints kunt samenstellen.

Mocht u nu denken, wat een enorm gedoe, wat gaat dat wel niet kosten: ja precies. Dus vraag meteen een offerte aan uw webbouwer voor het integreren van een alternatieve oplossing zoals Piwik of Matomo.

Meelezende marketingmensen en andere Analyticslovers: waarom Google Analytics?

Arnoud

Italiaanse afvalverwerker krijgt boete voor digitale schandpaal op Facebook

| AE 13400 | Privacy | 11 reacties

Een Italiaanse afvalverwerkingsdienst heeft een boete van 200.000 euro gekregen wegens het plaatsen van video’s van afvaldumpers op Facebook. Dat las ik bij Security.nl. De afvalverwerker plaatste verborgen videocamera’s om mensen te betrappen die illegaal afval dumpen. Beelden werden in sommige gevallen op Facebook geplaatst. Dat is in strijd met de AVG, aldus de Italiaanse toezichthouder. Ja, ook als het aan de openbare weg gebeurt dat je filmt.

Het bedrijf Amiu verzorgt de afvalverwerking voor de Italiaanse kuststad Taranto. Deel van die taak is het bewaken van de publieke ruimte tegen zwerfafval en illegale stort, en omdat er te weinig mensen beschikbaar zijn, koos men voor het ophangen van bewakingscamera’s. En omdat desondanks het illegaal storten de spuigaten uitliep, koos men ervoor om via Facebook awareness te creëren door het publiceren van screencaptures. Daarbij werden, volgens de instructie, gezichten van mensen geblurd. (Dat ging wel een keertje mis, wat deel is van de boetemotivatie.)

De toezichthouder trad op, omdat ook geblurde beelden persoonsgegevens kunnen bevatten. Mensen zijn immers ook herkenbaar aan andere dingen dan hun gezicht, denk aan kleding, houding of iets dergelijks. Daar moet je meer maatregelen tegen nemen – maar het ging hier meteen al mis omdat er niet was onderbouwd met welke grondslag de beelden geblurd en gepubliceerd werden.

Een bijkomend probleem is dat die beelden natuurlijk voor een bepaald doel werden gemaakt – het signaleren van illegale storters zodat je daartegen kunt optreden, bijvoorbeeld via de politie. Die beelden dan op Facebook zetten is daarmee niet verenigbaar, zoals de AVG dat noemt. Dat is een heel ander doel, en vereist een aparte rechtvaardiging. Die was niet vooraf uitgewerkt, en dan ben je eigenlijk automatisch af. Achteraf bedenken waarom het legaal is wat je doet, is gewoon te laat.

De boete van twee ton wordt opgelegd omdat het gaat om persoonsgegevens van potentieel alle burgers van het dorp. Wel krijgen ze 50% korting als ze binnen 30 dagen betalen.

Het bedrijf lijkt niet van plan zich hierbij neer te leggen. Men overweegt hoger beroep en de directeur is erg boos:

I would like to reassure all citizens who ask us for greater control: we will not take a step back on video traps. In the same way, I ask myself what is the objective of those who criticize this surveillance action put in place to promote decorum and hygiene. Arguing about this system is equivalent to not opposing the incivility that damages our Taranto.
Men citeert een afname van illegaal afval van 553 kilo per capita naar 534, en stelt dat afvaltoerisme ook is afgenomen door de “video traps”. Dat zijn mooie cijfers, alleen die term “video trap” haalt dat weer onderuit want ging het nou om bestrijden of mensen eens lekker aan de boom nagelen omdat je boos bent?

Arnoud

“Overheid schaadt burgers met principieel ‘nee’ tegen digitale afpersing”

| AE 13370 | Informatiemaatschappij | 13 reacties

Tumisu / Pixabay

Ransomware, kwaadaardig software waarmee criminelen digitale gegevens gijzelen, is een explosief probleem. Uit principe weigert de overheid afpersers losgeld te betalen. Zo opende een recent Follow The Money-artikel over het lastige dilemma voor slachtoffers van ransomware: als je niet betaalt, worden gestolen gegevens op straat gegooid. Dat kan anderen duperen, denk aan zorgdossiers van patiënten of financiële gegevens van je klanten. Moet je dan maar betalen? Of is dat zelfs verplicht vanuit de AVG?

Het idee achter ransomware was ooit vrij simpel: betaal en je krijgt de sleutel voor je gegevens terug. Dat werkte prima voor consumenten, maar er blijken profijtelijker doelwitten te zijn: bedrijven, grote instellingen en gemeenten. Daar kun je meer halen door niet alleen te dreigen met “anders zijn al je gegevens weg” (want men heeft vast wel iets van backups) maar ook te dreigen met “anders publiceren we je gegevens”. En dat hakt erin: bedrijfsgeheimen op straat, maar ook gevoelige informatie of gegevens waarmee men mensen kan hacken. Dat zet even wat extra druk om te betalen.

Het FTM artikel documenteert het overheidsbeleid: niet betalen, we onderhandelen niet met criminelen. Maar daar is genoeg kritiek op uit te oefenen, getuige twee geciteerde deskundigen:

[Rickey Gevers] De overheid heeft in dit soort gevallen een zorgplicht. Ze moet er gewoon alles aan doen om te voorkomen dat informatie van burgers openbaar wordt.

[Floor Terra] niet betalen ‘een mooi ideaal’. ‘Maar op de lange termijn schrikt die strategie alleen criminelen af als ieder onderdeel van de overheid zich daaraan consequent houdt.

Het is voor mij een heel lastig ethisch dilemma. Vooral omdat voor mij voorop staat dat je slachtoffers van een datalek niet gaat verwijten dat het hun schuld is, en dat ze dan maar moeten betalen. Vaak zit daar de ondertoon in van victim blaming, ja natuurlijk doen die criminelen het maar ja jij deed ook wat fout he. Daar is natuurlijk niemand mee geholpen.

Een zwaarwegend argument is voor mij dat je die criminelen niet kunt vertrouwen, ook niet als je betaalt. Want dan komen ze zes maanden later nog een keer, of je opnieuw wilt betalen anders publiceren ze alsnog. En dan lees ik in het artikel “Als data later uitlekt, of als ze zich niet aan de afspraken houden, betaalt niemand ze meer.” Maar dat geloof ik niet. Er is een sterke druk om te betalen, en maar weinig mensen kunnen écht nagaan hoe betrouwbaar ransomware-groepen nu zijn. Dan kun je geen goede beslissing maken, en “op deze site lazen wij dat deze groep onbetrouwbaar is” is dan niet heel sterk.

Ook wordt wel gesteld dat uit de AVG volgt dat je moet betalen om een datalek te voorkomen. Dit omdat je een beveiligingsplicht hebt, en als betalen van criminelen het datalek tegengaat dan is dat maar de “beveiligingsmaatregel” die je moet nemen. Ik vind dat te makkelijk, en vooral: dit is heel erg victim blaming, mensen vertellen dat ze verplicht zijn te doen wat een dader tegen ze zegt. Dat kan echt niet.

Ondertussen ligt er natuurlijk wel gevoelige informatie van je bedrijf of persoonlijke informatie van je klanten, cliënten of burgers op straat. Dat is buitengewoon ernstig, en dáár moet wat aan gedaan worden. Maar dat kan denk ik alleen de overheid: investeren in fundamenteel aanpakken van ransomware, maar ook het opbouwen van beveiligingsexpertise, het opstellen van kwaliteitseisen, randvoorwaarden voor verzekeraars (alleen cyberverzekering indien bedrijf XYZ gecertificeerd), zulke dingen. Ik denk dat het productiever is daar over na te denken dan mensen te verwijten dat ze niet betalen.

Arnoud

 

Mijn werkgever laat concullega’s op Linkedin ons in de gaten houden

| AE 13347 | Ondernemingsvrijheid | 12 reacties

Een lezer vroeg me: De HR afdeling van mijn werkgever heeft een afspraak met een ander bedrijf om elkaars werknemers te scannen op Linkedin op hun beschikbaarheidsstatus. De HR medewerker die het betreft heeft bij een vorige werkgever op zijn/haar kop gekregen, omdat er werknemers vertrokken zonder dat de werkgever actie hadden kunnen ondernemen, om… Lees verder

Als ik een app met datagevangenis gebruik, is de leverancier dan verantwoordelijke onder de AVG?

| AE 13226 | Ondernemingsvrijheid, Privacy | 6 reacties

Een lezer vroeg me: Wanneer je data opslaat in een clouddienst, is de exploitant daarvan de verwerkingsverantwoordelijke. Beheer je alles lokaal, dan ben je dat zelf. Tot zo ver duidelijk. Maar wat nu als je de data in een app beheert? De data staat wel lokaal maar zit ‘opgesloten’ in de app, waar de exploitant… Lees verder

Een rondgemaild Excelbestand kan je zomaar 250 euro per persoon kosten van de AVG

| AE 13215 | Privacy | 14 reacties

Het standaardvoorbeeld van een “datalek in het klein”: een Excelbestand met een berg mensen hun gegevens, rondgemaild naar die hele berg. Ergerlijk, vervelend maar “in het klein” want het zal zelden meer zijn dan een paar honderd mensen en gaat meestal om basale gegevens. Zoals je naam, 06 en huisadres naar de dertig mede-ouders van… Lees verder

DPG krijgt AVG-boete van 525.000 euro voor onnodig opvragen identiteitsbewijs

| AE 13190 | Privacy | 5 reacties

Mediabedrijf DPG Media heeft van de Autoriteit Persoonsgegevens een boete van 525.000 euro gekregen voor het onnodig opvragen van een identiteitsbewijs van mensen die hun gegevens wilden inzien of laten verwijderen. Dat meldde Security.nl onlangs. Eindelijk eens werk gemaakt dus van de luie en ergerlijke praktijk om altijd maar een ID te vragen in plaats… Lees verder

Kan de AP wat doen tegen een bioscoop die geen contant geld wil?

| AE 13156 | Ondernemingsvrijheid | 38 reacties

Een lezer vroeg me: Ik las dat er een rechtszaak speelt van privacy-activist Michiel Jonker tegen de weigering van de Autoriteit Persoonsgegevens (AP) om handhavend op te treden tegen de weigering van arthouse-bioscoop Focus Filmtheater in Arnhem om contante betaling te accepteren. Hoe kansrijk acht jij deze zaak? Er spelen hier twee dingen. Allereerst gaat… Lees verder

Duitse website veroordeeld voor doorgeven ip-adres bezoeker via Google Fonts

| AE 13140 | Ondernemingsvrijheid, Privacy | 43 reacties

Een Duitse rechtbank heeft een Duitse website veroordeeld voor het zonder toestemming doorgeven van het ip-adres van een bezoeker aan Google door middel van Google Fonts. Dat meldde Security.nl afgelopen maandag. De klagende bezoeker krijgt 100 euro schadevergoeding. Volgens de rechter heeft de website geen gerechtvaardigd belang, aangezien Google Fonts ook lokaal is te gebruiken… Lees verder

Mag mijn private leasebedrijf bijhouden waar mijn auto is?

| AE 13129 | Ondernemingsvrijheid, Privacy | 28 reacties

Een lezer vroeg me: Het (private) leasebedrijf waar ik mijn auto heb geleased registreert alle ritgegevens via de ingebouwde GPS. Dus starttijd en eindtijd, maar ook de bijbehorende locaties. Men bewaart dit (zo kan ik zien in het account) gedurende de hele looptijd van het contract. Mag dat wel van de AVG? Het verzamelen en… Lees verder