Mag FaceApp echt zomaar je gezicht voor alles gebruiken?

| AE 11401 | Ondernemingsvrijheid, Privacy | 9 reacties

Met het populaire FaceApp kun je er op foto’s ouder uitzien, maar geef je ook je foto’s en persoonsgegevens weg aan een bedrijf dat deze mag verkopen. Dat meldde Nu.nl onlangs. Er is nogal wat ophef over deze voor mij onbegrijpelijk populaire app, omdat in de kleine lettertjes staat dat men alles mag met je foto en dat zou Russische criminelen faciliteren in het plegen van cybercrime. Aldus Rian van Rijbroek denk ik, want ik begrijp er niets van. Ik zie eerlijk gezegd niets dat fundamenteel anders is dan hoe zeg Facebook of Instagram met je foto’s omgaat. Maar dat zijn geen Russen, zoiets?

FaceApp heeft niets met Facebook te maken: het is een app waar je een portretfoto in stopt en die dan een verouderde versie van je gezicht genereert. Leuk, maar de foto’s gaan naar een server van FaceApp en die staat in Rusland ergens. De app bestaat al een paar jaar maar is nu populair vanwege de zogeheten “FaceApp Challenge”, wat geloof ik neerkomt op dat je laat zien wat de app met je gezicht doet. Ja, ik voel me ontzettend oud bij het typen van deze regels.

Een developer veroorzaakte enige ophef toen hij meldde dat foto’s naar servers in Rusland werden geüpload én dat in de voorwaarden van FaceApp staat dat de foto’s commercieel gebruikt mogen worden door het bedrijf en haar zusters/moeders, plus alle “bedrijven die zich later bij deze groep kunnen aansluiten”. Dat laatste suggereerde volledige vrijheid: iedereen kan immers lid worden van zo’n groep. Alleen: een ‘groep’ is juridisch voor “concern”, en zomaar lid worden van iemands bedrijfsconcern komt echt niet voor. Dat noemen we een fusie of overname, en het is vrij ondenkbaar dat je dat doet om toegang tot foto’s te krijgen.

Daarnaast bleek vervolgens dat de foto’s helemaal niet in Rusland terechtkomen maar gewoon gezellig in de VS, en het bedrijf wist foto’s na 48 uur. Ja, zeggen ze en dat kun je lastig controleren. Maar toch. Het voelt behoorlijk als een storm in een glas water, zeker gezien de weinig unieke werkwijze van deze app. Er zijn tientallen apps waar je foto’s uploadt die dan in de cloud terechtkomen, pardon in de VS.

Maar stel nu eens dat de gegevens echt in Rusland komen en dat de voorwaarden wel letterlijk zeggen “wij mogen alles inclusief verkopen voor alle doeleinden”. Mag dat dan? Auteursrechtelijk (je hebt auteursrecht op je selfies) is dat mogelijk, zo’n brede licentie kun je vormvrij geven zoals dat heet. Dus daar kun je als fotograaf weinig meer tegen doen.

Privacytechnisch ligt dit anders: de AVG is van toepassing op FaceApp omdat het gaat om persoonsgegevens die in Europa verzameld worden. FaceApp heeft dan toestemming nodig, en die kun je niet in de voorwaarden opvragen. FaceApp kan natuurlijk zeggen dat het uploaden en analyseren van de foto noodzakelijk is voor de gevraagde dienst – hoe kun je een portret verouderen als je geen kopie van het portret krijgt – maar dat zou met zich meebrengen dat de foto weg moet direct nadat deze is geanalyseerd en verouderd. Immers daarna is de dienst klaar.

Het enige argument voor FaceApp dat ik kan bedenken is dat het bijtrainen van de AI met geuploade foto’s een aanverwant doel is (en dus doelbinding heeft) met het maken van de veroudering. Het leren van een dienst om in de toekomst andere mensen betere dienstverlening te geven, is denk ik wel te rechtvaardigen als zo’n aanverwant doel. Ik mag ook tevredenheidsenquêtes doen onder mijn klanten zonder aparte toestemming. Daarnaast kun je zeggen dat dit bijtrainen een vorm van statistisch onderzoek is, en dan is er per definitie sprake van doelbinding. Hier is vooralsnog nul jurisprudentie over maar ik zie hem wel.

Arnoud

Is een maximale wachtwoordlengte in strijd met de AVG?

| AE 11378 | Security | 32 reacties

Een lezer vroeg me:

Ik kom nog geregeld bedrijven en verenigingen tegen die wachtwoorden van maximaal 12 karakters accepteren. Als je ze hierop aanspreekt zeggen ze dat dit voldoende is of het later zal worden aangepast. Maar de AVG verplicht dat er “passende technische én organisatorische maatregelen” worden genomen om een adequaat beveiligingsniveau te waarborgen. Twaalf karakters is tegenwoordige echt niet meer adequaat. Handelen de instanties die wachtwoorden van maximaal 12 karakters accepteren in strijd met de AVG?

Daar lijkt het wel op. Een goed wachtwoord is een van de belangrijkste technische beveiligingsmaatregelen die je kunt nemen. In de praktijk wordt vaak binnengedrongen met een geraden wachtwoord, dus hoe sterker je dat wachtwoord tegen gokken kunt maken, hoe beter.

De AVG zegt zelf niet precies aan welke eisen een wachtwoord moet voldoen, alleen dus dat de maatregelen die je neemt “passend” moeten zijn gezien de risico’s, de stand der techniek en andere relevante factoren. Kort gezegd: je moet kunnen verantwoorden waarom je de keuzes maakte die je maakte, en waarom het niet sterker hoefde dan het was.

In mijn ervaring wordt zelden echt nagedacht over wachtwoordbeleid, met name als het gaat om de lengte van wachtwoorden. Er is het nodige onderzoek gedaan naar bijvoorbeeld hoe vaak een wachtwoord gewijzigd moet worden (nooit, als het maar sterk is) of hoe sterk ze moeten zijn (12 karakters is wel het minimum inderdaad) maar je ziet dat niet snel terug in bestaande implementaties van password-based access control. En dat is jammer.

Ik zou dus zelf geneigd zijn om te zeggen, wie een maximale lengte op wachtwoorden afdwingt zit fout onder de AVG, tenzij hij een heel goed verhaal heeft waarom het nódig is dat het wachtwoord niet langer is. Ik kan me dat verhaal niet voorstellen, maar goed, ik probeer een open mind te houden hierbij. “Onze software werkt nu eenmaal zo” of “Wij zijn nog nooit gehackt” is natuurlijk géén goed verhaal.

Arnoud

Heb je als verwerker zelf ook een grondslag nodig?

| AE 11358 | Privacy | 2 reacties

Een lezer vreoeg me:

Een verwerker hoeft geen eigen grondslag te hebben, die werkt onder de grondslag van de verwerkingsverantwoordelijke. Het is ook niet logisch want de grondslagen zouden dan altijd samenvallen; artikel 6 AVG zegt immers “De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan”. Als de vv zich kan beroepen op bijvoorbeeld toestemming, dan is het niet nodig dat de vw nog een andere grondslag aandraagt.

De grondslag uitvoering overeenkomst vereist dat de betrokkene daarbij partij is (zie tekst artikel 6 lid 1 sub b AVG), of in ieder geval vermoedelijk gaat worden (de precontractuele fase). Bij de verwerkersovereenkomst is de betrokkene geen partij dus die kan geen deel uitmaken van de overeenkomst.

Debiteurenbeheer in opdracht van een dienstverlener valt m.i. onder uitvoering overeenkomst, incasso hoort vrij evident bij het nakomen van een contract lijkt me zo. Toestemming van de betrokkene is niet aan de orde. Uw klant heeft een dienstovereenkomst (of bij producten een verkoopovereenkomst). U als verwerker neemt de taak van de incasso op u, en u doet dat onder de grondslag van de uitvoering van die overeenkomst.

Je ex-werknemer mag zo snel mogelijk van de bedrijfsbus af

| AE 11347 | Ondernemingsvrijheid | 12 reacties

Tot hoe lang na uitdiensttreding mag je als werknemer worden ingezet als ‘gezicht’ van het bedrijf? Die vraag stond centraal in een conflict tussen een oud-werknemer van een pakketbezorger en de werkgever. Deze foto werd gebruikt bij persberichten over de dienst, maar op zeker moment ook aangebracht als foto op bezorgbussen en vrachtwagens. Daar maakte… Lees verder

Natuurlijk is het lezen van 150 privacy policies een totale ramp. Laten we ermee ophouden

| AE 11334 | Privacy | 13 reacties

Wij lazen 150 privacy policies en ze waren echt een totale onbegrijpelijke brij, aldus de NY Times vorige week. Het ging uiteraard om Amerikaanse sites; de policies stonden vol met juridisch jargon en braaftaal, met alles drie slagen om de arm en het taalgebruik zo moeilijk dat alleen Emmanuel Kant’s “Critique of Pure Reason” pittiger… Lees verder

De Spaanse Liga mag dus niet je microfoon inzetten om illegale voetbaluitzendingen te detecteren

| AE 11332 | Intellectuele rechten, Privacy | 3 reacties

De Spaanse voetbalbond heeft een boete van 250.000 euro gekregen van de toezichthouder vanwege overtreding van de AVG, meldde Tweakers vorige week. De app luistert met de microfoon mee om illegale voetbalstreams op te sporen aan de hand van voor mensen onhoorbare tonen in de sportuitzendingen. Hoewel de app daarmee niet direct mensen afluistert (althans… Lees verder

De eerste schadeclaim onder de AVG is binnen, maar het is wel een rare zaak

| AE 11321 | Privacy | 16 reacties

Het is waarschijnlijk een juridische primeur: een rechter heeft een schadevergoeding toegekend op grond van de Algemene verordening gegevensbescherming (AVG). Dat meldde RTL Z afgelopen vrijdag. De gemeente Deventer moet van de rechter 500 euro betalen aan een man van wie de gemeente de naam en woonplaats doorspeelde naar tientallen andere gemeenten. Ik ken ook… Lees verder

Facebook overtreedt mogelijk AVG door medewerkers posts te laten labelen

| AE 11265 | Ondernemingsvrijheid | 13 reacties

Facebook overtreedt mogelijk de Europese privacyverordening AVG door medewerkers van daarvoor aangestelde bedrijven te laten kijken naar posts om ze te labelen. Dat las ik bij Tweakers maandag. Een team van 260 mensen uit India leest al jaren alle berichten (inclusief foto’s) om die van labels te voorzien, zo ontdekte Reuters namelijk. Die labels classificeren… Lees verder

Nee, ik blijf liever moddervet – Hoe illegaal is confirmshaming onder de AVG?

| AE 11243 | Ondernemingsvrijheid, Privacy | 6 reacties

Kent u dat? Dat je gevraagd wordt je in te schrijven voor het een of ander, en dat de “nee” optie wordt voorzien van een beschamende kwalificatie. “Ja, ik wil de slankwordennieuwsbrief / Nee, ik blijf liever moddervet”. Of “Ik wil een groentetuin starten / Nee, ik weet alles al”. Of “Ja, houd me op… Lees verder

Gelden de strenge Ierse regels over dashcams ook bij ons?

| AE 11235 | Ondernemingsvrijheid, Privacy | 11 reacties

Steeds meer mensen nemen een dashcam, en daarom leek het ons goed de regels daarover eens netjes uit te leggen. Aldus mijn parafrase van de nieuwe dashcamregels van de Ierse Autoriteit Persoonsgegevens. Of nou ja, nieuw: het is een invulling van de AVG die in Ierland natuurlijk net zo goed geldt als bij ons. Maar… Lees verder