Tag: avg

About avg

Subscribe Feeds

Juridisch gezien is een Excelfilter een algoritme en dat is maar goed ook

Geplaatst op in Informatiemaatschappij, 44 reacties

Vier Utrechtse gemeenten, Nieuwegein, IJsselstein, Houten en Lopik, hebben bij de bestrijding van bijstandsfraude gebruikgemaakt van een verboden overheidsalgoritme. Dat meldde Security.nl onlangs. Het betreft hier de “Fraudescorekaart”, een Excelsheet die in 2003 werd ontwikkeld (en nooit werd bijgewerkt, wat op zich ook nog opmerkelijk is). Omdat het ophef in de pers (dank u Argos) besloot men er alsnog mee te stoppen. Dit gaf ophef in de compliance hoek: hoezo is een Excelsheet een “algoritme”?

De Fraudescorekaart is het waanzinnig idee dat je met een serie punten over iemands achtergrond kunt inschatten of diegene een fraudeur is:

De kaart profileerde bijvoorbeeld op beroep, woonsituatie, opleidingsniveau, geslacht en de wijk waarin burgers woonden. Woonwagenbewoners kregen 700 punten, huiseigenaren 0 punten. Bij een score van 950 punten was er volgens het systeem, dat door 158 gemeenten werd gebruikt, sprake van fraude. In 2020 besloten gemeenten met het systeem te stoppen.
Wie zichzelf langs de lat wil leggen (doe me een lol en zet je score bij je reactie) kan dat dankzij Lighthouse Reports doen, en dan zien je meteen hoe raar het werkt. Neem bijvoorbeeld de beroepenlijst: horeca, bouw, taxi of kapper en anders “overig”. Hoe lager je inkomen hoe hoger je fraudekans. En ga zo maar door.

Is dat nu een algoritme? Wie de gebruikelijke definities erbij pakt, komt bij termen als “stappenplan” of “recept om een wiskundig of informaticaprobleem op te lossen”, al dan niet onder verwijzing naar de naam van de Perzische wiskundige Al-Chwarizmi. Die termen zijn zo breed dat dit er zeker ook wel onder valt, “beantwoord de vragen en tel de punten uit de bijlage op conform onderstaand schema” is best wel een stappenplan of recept te noemen, zij het voor het juridisch probleem “hoe rechtvaardig je een vermoeden van fraude zonder een heel dossier door te hoeven”.

In de praktijk wordt de term algoritme vooral gebruikt voor complexe stappenplannen of recepten, zeg maar waar je zonder computer er zeer zeker niet uit komt. Vaak gaat het dan specifiek over machine learning of artificial intelligence, waarbij een wiskundige formule datapunten classificeert of positioneert op basis van patronen die in een enorme bak data zijn aangetroffen. (Terzijde, dat is volgens informatici dan weer géén algoritme omdat het statistiek is en dus geen recept.) Het staat dan wat raar dat je een Excel filter of een formule die twintig cellen optelt en =if(C88>=950;"Fraudeur";"Geen fraudeur") laat zien dan met diezelfde term aanduidt.

Voor juristen zou deze hele definitiekwestie niet aan de orde moeten zijn. Waar het namelijk uiteindelijk om gaat, is of je geautomatiseerd een beslissing neemt (AVG artikel 22) of een hoog-risico AI systeem in gebruik hebt (artikel 6(2) concept AI Act). Dat je met zo’n Excelsheet een beslissing neemt, lijkt me vrij voor de hand liggend. Ik verwacht weinig tot geen nader menselijk onderzoek als je zo’n mooie Excel hebt.

Voor de AI Act is dan de definitie van AI relevant (art. 3 lid 1, concept):

‘artificial intelligence system’ (AI system) means software that is developed with one or more of the techniques and approaches listed in Annex I and can, for a given set of human-defined objectives, generate outputs such as content, predictions, recommendations, or decisions influencing the environments they interact with;
En dan noemt Annex I deze drie elementen:
  1. Machine learning approaches, including supervised, unsupervised and reinforcement learning, using a wide variety of methods including deep learning;
  2. Logic- and knowledge-based approaches, including knowledge representation, inductive (logic) programming, knowledge bases, inference and deductive engines, (symbolic) reasoning and expert systems;
  3. Statistical approaches, Bayesian estimation, search and optimization methods.
Voldoen aan eentje van deze drie is genoeg om je systeem “AI” te mogen noemen. Dus ja, als woning=woonwagen en beroep=autohandelaar dan fraudeur=true anders fraudeur=false is dan een AI. Net zoals die Excel dus. Dat is óók weer raar want dat bedoelen we normaliter niet met “AI”. Maar in de context klopt het, de vraag is niet zozeer “is dit volgens de beroepsbeoefenaars wel of geen AI” maar “levert dit systeem risico’s op voor mensen omdat er met dit soort technieken naar conclusies wordt gesprongen”. En dát is natuurlijk zeker het geval met die ene regel van mij, en met die Excel.

Arnoud (vermogensfraude 458, samenlevingsfraude 229; had ik in een woonwagen gewoond was dit 1526 en 534 geweest dus dikke fraudeur en wekelijks gecontroleerd)

Franse privacytoezichthouder biedt oplossing voor gebruik Google Analytics

Geplaatst op in Ondernemingsvrijheid, Privacy, 16 reacties

Websites in Frankrijk kunnen met Google Analytics blijven werken, maar moeten dan wel van een goed geconfigureerde proxy gebruikmaken, zo las ik bij Security.nl. We weten al een tijdje dat Google Analytics best problematisch is onder de AVG, omdat het structureel persoonsgegevens overbrengt naar Amerika. Tijd om ermee te stoppen dus, maar voor wie nog een paar jaar geld wil betalen om zijn hoofd in het zand te steken, is er nu een juridisch-technisch correcte oplossing.

Sinds het Schrems II-arrest weten we dat persoonsgegevens overbrengen naar de VS erg problematisch is, omdat de VS fundamenteel niet dezelfde soort bescherming van persoonsgegevens wil bieden. Het Privacy Shield is daarmee geen goede basis om zomaar aan te mogen nemen dat je een Amerikaanse clouddienst (zoals Google’s Analyticsdienst) mag inzetten.

Ook helpt het niet als je de verschillende pseudonimisering-opties instelt, zoals we in Nederland gewend zijn te doen op advies van onze Autoriteit Persoonsgegevens. Ook dan komen er nog tot personen te herleiden gegevens bij Google, die ze waarschijnlijk combineert met andere gegevens – of in ieder geval ze opslaat in de VS. En alleen dat al is een probleem.

“Hoewel Google verschillende maatregelen heeft opgesteld om dataverzending naar andere landen te reguleren, zijn deze niet voldoende om de toegang door Amerikaanse inlichtingendiensten te beschermen”, schreef de Franse toezichthouder in februari nog. Onze AP meldde toen dat het gebruik van Analytics ‘mogelijk binnenkort niet meer is toegestaan’, hoewel dat binnenkort dus wat rekkelijk moet worden opgevat.

De CNIL is technisch gaan brainstormen en komt nu met de oplossing van een anonimiserende proxy. Kort gezegd, alle Analyticsverkeer wordt geforceerd naar een eigen server gestuurd waar werkelijk álles wordt gestript. En pas daarna gaat het naar Google, zodat je toch mooie statistiekjes en plaatjes kunt krijgen in je dashboard. (De waarde van deze gegevens voor marketing laat ik buiten beschouwing).

Dat álles is echt nogal veel:

  • the absence of transfer of the IP address to the servers of the measurement tool;
  • the replacement of the user identifier by the proxy server;
  • the deletion of the referring site information external to the site;
  • the deletion of any parameter contained in the URLs collected (e.g. UTMs and URL parameters allowing the internal routing of the site);
  • the reprocessing of information that can participate in the generation of a fingerprint , such as ‘user agents’, to remove the rarest configurations that can lead to re-identification;
  • the absence of any collection of cross-site identifiers; and
  • the deletion of any other data that may lead to re-identification.
De proxy die dit doet, moet fysiek in Europa staan en in eigendom én beheer zijn bij een Europese partij. En je moet periodiek controleren dat je écht geen indirect identificerende gegevens doorstuurt. Want de CNIL ziet ook risico’s bij situaties dat je IP-adressen weglaat, getuige de verwijzingen naar user-agent strings en andere parameters waarmee je alsnog server-side fingerprints kunt samenstellen.

Mocht u nu denken, wat een enorm gedoe, wat gaat dat wel niet kosten: ja precies. Dus vraag meteen een offerte aan uw webbouwer voor het integreren van een alternatieve oplossing zoals Piwik of Matomo.

Meelezende marketingmensen en andere Analyticslovers: waarom Google Analytics?

Arnoud

Italiaanse afvalverwerker krijgt boete voor digitale schandpaal op Facebook

Geplaatst op in Privacy, 12 reacties

Een Italiaanse afvalverwerkingsdienst heeft een boete van 200.000 euro gekregen wegens het plaatsen van video’s van afvaldumpers op Facebook. Dat las ik bij Security.nl. De afvalverwerker plaatste verborgen videocamera’s om mensen te betrappen die illegaal afval dumpen. Beelden werden in sommige gevallen op Facebook geplaatst. Dat is in strijd met de AVG, aldus de Italiaanse toezichthouder. Ja, ook als het aan de openbare weg gebeurt dat je filmt.

Het bedrijf Amiu verzorgt de afvalverwerking voor de Italiaanse kuststad Taranto. Deel van die taak is het bewaken van de publieke ruimte tegen zwerfafval en illegale stort, en omdat er te weinig mensen beschikbaar zijn, koos men voor het ophangen van bewakingscamera’s. En omdat desondanks het illegaal storten de spuigaten uitliep, koos men ervoor om via Facebook awareness te creëren door het publiceren van screencaptures. Daarbij werden, volgens de instructie, gezichten van mensen geblurd. (Dat ging wel een keertje mis, wat deel is van de boetemotivatie.)

De toezichthouder trad op, omdat ook geblurde beelden persoonsgegevens kunnen bevatten. Mensen zijn immers ook herkenbaar aan andere dingen dan hun gezicht, denk aan kleding, houding of iets dergelijks. Daar moet je meer maatregelen tegen nemen – maar het ging hier meteen al mis omdat er niet was onderbouwd met welke grondslag de beelden geblurd en gepubliceerd werden.

Een bijkomend probleem is dat die beelden natuurlijk voor een bepaald doel werden gemaakt – het signaleren van illegale storters zodat je daartegen kunt optreden, bijvoorbeeld via de politie. Die beelden dan op Facebook zetten is daarmee niet verenigbaar, zoals de AVG dat noemt. Dat is een heel ander doel, en vereist een aparte rechtvaardiging. Die was niet vooraf uitgewerkt, en dan ben je eigenlijk automatisch af. Achteraf bedenken waarom het legaal is wat je doet, is gewoon te laat.

De boete van twee ton wordt opgelegd omdat het gaat om persoonsgegevens van potentieel alle burgers van het dorp. Wel krijgen ze 50% korting als ze binnen 30 dagen betalen.

Het bedrijf lijkt niet van plan zich hierbij neer te leggen. Men overweegt hoger beroep en de directeur is erg boos:

I would like to reassure all citizens who ask us for greater control: we will not take a step back on video traps. In the same way, I ask myself what is the objective of those who criticize this surveillance action put in place to promote decorum and hygiene. Arguing about this system is equivalent to not opposing the incivility that damages our Taranto.
Men citeert een afname van illegaal afval van 553 kilo per capita naar 534, en stelt dat afvaltoerisme ook is afgenomen door de “video traps”. Dat zijn mooie cijfers, alleen die term “video trap” haalt dat weer onderuit want ging het nou om bestrijden of mensen eens lekker aan de boom nagelen omdat je boos bent?

Arnoud

“Overheid schaadt burgers met principieel ‘nee’ tegen digitale afpersing”

Geplaatst op in Informatiemaatschappij, 13 reacties
Tumisu / Pixabay

Ransomware, kwaadaardig software waarmee criminelen digitale gegevens gijzelen, is een explosief probleem. Uit principe weigert de overheid afpersers losgeld te betalen. Zo opende een recent Follow The Money-artikel over het lastige dilemma voor slachtoffers van ransomware: als je niet betaalt, worden gestolen gegevens op straat gegooid. Dat kan anderen duperen, denk aan zorgdossiers van patiënten of financiële gegevens van je klanten. Moet je dan maar betalen? Of is dat zelfs verplicht vanuit de AVG?

Het idee achter ransomware was ooit vrij simpel: betaal en je krijgt de sleutel voor je gegevens terug. Dat werkte prima voor consumenten, maar er blijken profijtelijker doelwitten te zijn: bedrijven, grote instellingen en gemeenten. Daar kun je meer halen door niet alleen te dreigen met “anders zijn al je gegevens weg” (want men heeft vast wel iets van backups) maar ook te dreigen met “anders publiceren we je gegevens”. En dat hakt erin: bedrijfsgeheimen op straat, maar ook gevoelige informatie of gegevens waarmee men mensen kan hacken. Dat zet even wat extra druk om te betalen.

Het FTM artikel documenteert het overheidsbeleid: niet betalen, we onderhandelen niet met criminelen. Maar daar is genoeg kritiek op uit te oefenen, getuige twee geciteerde deskundigen:

[Rickey Gevers] De overheid heeft in dit soort gevallen een zorgplicht. Ze moet er gewoon alles aan doen om te voorkomen dat informatie van burgers openbaar wordt.

[Floor Terra] niet betalen ‘een mooi ideaal’. ‘Maar op de lange termijn schrikt die strategie alleen criminelen af als ieder onderdeel van de overheid zich daaraan consequent houdt.

Het is voor mij een heel lastig ethisch dilemma. Vooral omdat voor mij voorop staat dat je slachtoffers van een datalek niet gaat verwijten dat het hun schuld is, en dat ze dan maar moeten betalen. Vaak zit daar de ondertoon in van victim blaming, ja natuurlijk doen die criminelen het maar ja jij deed ook wat fout he. Daar is natuurlijk niemand mee geholpen.

Een zwaarwegend argument is voor mij dat je die criminelen niet kunt vertrouwen, ook niet als je betaalt. Want dan komen ze zes maanden later nog een keer, of je opnieuw wilt betalen anders publiceren ze alsnog. En dan lees ik in het artikel “Als data later uitlekt, of als ze zich niet aan de afspraken houden, betaalt niemand ze meer.” Maar dat geloof ik niet. Er is een sterke druk om te betalen, en maar weinig mensen kunnen écht nagaan hoe betrouwbaar ransomware-groepen nu zijn. Dan kun je geen goede beslissing maken, en “op deze site lazen wij dat deze groep onbetrouwbaar is” is dan niet heel sterk.

Ook wordt wel gesteld dat uit de AVG volgt dat je moet betalen om een datalek te voorkomen. Dit omdat je een beveiligingsplicht hebt, en als betalen van criminelen het datalek tegengaat dan is dat maar de “beveiligingsmaatregel” die je moet nemen. Ik vind dat te makkelijk, en vooral: dit is heel erg victim blaming, mensen vertellen dat ze verplicht zijn te doen wat een dader tegen ze zegt. Dat kan echt niet.

Ondertussen ligt er natuurlijk wel gevoelige informatie van je bedrijf of persoonlijke informatie van je klanten, cliënten of burgers op straat. Dat is buitengewoon ernstig, en dáár moet wat aan gedaan worden. Maar dat kan denk ik alleen de overheid: investeren in fundamenteel aanpakken van ransomware, maar ook het opbouwen van beveiligingsexpertise, het opstellen van kwaliteitseisen, randvoorwaarden voor verzekeraars (alleen cyberverzekering indien bedrijf XYZ gecertificeerd), zulke dingen. Ik denk dat het productiever is daar over na te denken dan mensen te verwijten dat ze niet betalen.

Arnoud

 

Mijn werkgever laat concullega’s op Linkedin ons in de gaten houden

Geplaatst op in Ondernemingsvrijheid, 12 reacties

Een lezer vroeg me:

De HR afdeling van mijn werkgever heeft een afspraak met een ander bedrijf om elkaars werknemers te scannen op Linkedin op hun beschikbaarheidsstatus. De HR medewerker die het betreft heeft bij een vorige werkgever op zijn/haar kop gekregen, omdat er werknemers vertrokken zonder dat de werkgever actie hadden kunnen ondernemen, om die werknemers te behouden. Is dat wel toegestaan gezien bijvoorbeeld de AVG? En wat kan ik eraan doen?
Linkedin beschikt inderdaad over zo’n status, die in de vrolijke taal van het sociale netwerk de #OpenToWork status heet. Je kunt dit volledig aanzetten, je krijgt dan een groene krans om je foto maar de hele wereld ziet het dan en dus ook je werkgever.

Niet iedereen wil dat, dus is er ook de beperkte variant waarbij alleen mensen die Linkedin Recruiter afnemen (“een platform voor het vinden, contact leggen met en beheren van kandidaten”). Daarbij worden recruiters tegengehouden die voor je huidige werkgever of daarmee verbonden organisaties werken. De truc die deze werkgever dus heeft gevonden, is een recruiter van de concullega laten kijken en dan een seintje te geven “Wim hengelt naar nieuw werk”.

Mijn niet-juridische vraag is dan meteen, wat wil je doen met die informatie? Want iemand er direct op aanspreken lijkt me nogal kansloos, wat verwacht je te halen uit zo’n gesprek? Indirect het gebruiken, bijvoorbeeld “toevallig” een extra leuke klus toeschuiven of de bonus een week eerder, dat kan maar zou dat genoeg zijn? Iemand verbieden weg te gaan, of iemand verplichten dat vinkje weg te halen lijkt me onmogelijk.

Juridisch gezien: ja, natuurlijk valt zulke informatie onder de AVG. Het is immers informatie over een persoon, in dit geval “werknemer Wim wil mogelijk weg bij bedrijf X”. De vraag is dan waarom bedrijf Y (de concullega) deze informatie mag opvragen en doorgeven aan bedrijf X. Het opvragen zie ik nog wel: bij Y werkt een recruiter, die neemt deze tool af en Wim heeft expliciet het vinkje aangezet dat recruiters het mogen weten. Dus dat zit voor Y wel snor qua grondslag van de verwerking.

Maar het gaat mis bij het doorgeven aan X, precies omdat Wim bij het aanzetten van dat vinkje heeft gekozen voor die beperkte variant. Wim wil niet dat het bij X terecht komt, en zowel X als Y weten dat. Ze maken immers die afspraak om om deze wens heen te komen. En dan gaat het mis op de rechtmatigheid (art. 5 lid 1 AVG) van de verwerking, of zo je wilt op de doelbinding (art. 6 lid 4 AVG) omdat je heel duidelijk iets voor het verkeerde doel inzet.

Je kunt dus je werkgever verbieden om deze informatie aan te nemen laat staan te gebruiken. Ik weet niet hoe je dat op een handige manier doet, eentje waarbij de werkrelatie nog even overeind blijft. De OR of vakbond vragen hier wat van te vinden is denk ik nog de veiligste manier. Blijft hooguit de vraag hoe deze kan onthullen te weten te zijn gekomen dat het bedrijf zo werkt.

Arnoud

Als ik een app met datagevangenis gebruik, is de leverancier dan verantwoordelijke onder de AVG?

Geplaatst op in Ondernemingsvrijheid, Privacy, 6 reacties
LoboStudioHamburg / Pixabay

Een lezer vroeg me:

Wanneer je data opslaat in een clouddienst, is de exploitant daarvan de verwerkingsverantwoordelijke. Beheer je alles lokaal, dan ben je dat zelf. Tot zo ver duidelijk. Maar wat nu als je de data in een app beheert? De data staat wel lokaal maar zit ‘opgesloten’ in de app, waar de exploitant alle controle over kan uitoefenen. Kun je ze dan onder de AVG sommeren om bijvoorbeeld data-export mogelijk te maken?

Onder de AVG is een verwerkingsverantwoordelijke de partij die beslist voor welke doelen persoonsgegevens worden verwerkt, en met welke middelen. (Een verwerker is een partij die voor een verantwoordelijke een verwerking uitvoert, maar dus niet zelf doel of middelen bepaalt.)

Het klopt dus dat als je data in de cloud opslaat, de partij aan de andere kant (“there is no cloud”) de verantwoordelijke daarvoor is. Soms de verwerker – als jij de uiteindelijke zeggenschap hebt over wat men met die persoonsgegevens mag doen. Dit is minder vaak het geval dan je zou denken.

Omgekeerd, enkel het leveren van middelen maakt je geen verwerkingsverantwoordelijke. Als je dus een lokale applicatie gebruikt en daarin persoonsgegevens verwerkt, heeft de leverancier geen rol onder de AVG. Jij (of je organisatie) bent dan zelf de verwerkingsverantwoordelijke.

De situatie met een app is iets ingewikkelder. De vraagsteller noemt het “opsluiten”, dus de data is niet even uit de app te halen zoals bij desktopapplicaties waar je gewoon databestanden naast het programma hebt staan. En natuurlijk kan een app-leverancier veel makkelijker updates forceren dan een traditionele desktopsoftwareleverancier.

Toch maakt dat hem denk ik niet direct een verwerkingsverantwoordelijke: de appleverancier bepaalt nog steeds niet wat je doet met de app, dat doe jij als gebruiker van de app. Natuurlijk wordt dat anders als er functies ingebouwd zijn die onder controle van de leverancier dingen doen (zoals adresboeken uploaden), maar dan hebben we vaak meteen ook te maken met cloudopslag.

Als verwerkingsverantwoordelijke heb je de plicht te zorgen voor de rechten van de betrokken personen. Dat kan dus betekenen dat je ze een kopie van hun persoonsgegevens moet geven, en correcties moet doorvoeren. Als zo’n app dat niet toestaat, ben jij dus niet AVG compliant. De AVG regelt alleen niet dat jij van je leverancier dan een update kunt eisen waarmee dat wel kan – die zegt, gebruik die app dan maar niet.

Een rondgemaild Excelbestand kan je zomaar 250 euro per persoon kosten van de AVG

Geplaatst op in Privacy, 14 reacties
tomfield / Pixabay

Het standaardvoorbeeld van een “datalek in het klein”: een Excelbestand met een berg mensen hun gegevens, rondgemaild naar die hele berg. Ergerlijk, vervelend maar “in het klein” want het zal zelden meer zijn dan een paar honderd mensen en gaat meestal om basale gegevens. Zoals je naam, 06 en huisadres naar de dertig mede-ouders van de schoolklas. Maar wat nu als het gaat om 1100 mensen en dan ook je jaarinkomen, eigen vermogen en hypotheek van een te kopen huis? Dat kan dus 250 euro kosten, aldus de rechtbank Rotterdam.

Aanleiding was het nieuwbouwproject ‘Koningskwartier’ in Zevenhuizen in 2021. Ongeveer 1100 mensen hadden zich met interesse gemeld, en daarbij allerlei financiële gegevens verstrekt zoals gewenste koopsom, maximaal te lenen bedrag en jaarinkomen, naast natuurlijk naam en contactgegevens. En toen kwam een dikke vinger:

Op 12 april 2021 heeft [gedaagde] een e-mail verzonden aan alle personen die zich hebben ingeschreven voor het project Koningskwartier. Bij deze e-mail heeft [gedaagde] een onbeveiligd Excelbestand gevoegd met daarin de gegevens van alle ongeveer1100 personen die zich hebben ingeschreven voor het nieuwbouwproject.
Auw. Ja, een minuut later probeerde men dit in te trekken maar dat werkt eigenlijk nooit buiten de eigen organisatie. Datalek dus. Diezelfde avond is iedereen nagemaild met de vraag het bestand te wissen, maar dan is het kwaad natuurlijk al geschied.

Een van de getroffenen ondervoer naar eigen zeggen zo veel overlast dat hij een nieuwe mobiele telefoon moest aanschaffen. De kosten daarvan (750 euro) claimde hij als schade bij de organisatie. Die wilde dat niet betalen, waarop een rechtszaak ontstond. Kern van die zaak was natuurlijk hoe je de schade nu precies onderbouwt. Die 750 euro wordt bijvoorbeeld afgewezen, omdat een nieuwe telefoon het probleem niet oplost (immers met nummerbehoud overgestapt) en het nummer van de man bovendien op onder meer zijn Linkedin vermeld stond.

Eerder hadden we een duidelijke afwijzing, geen 500 euro schadeclaim enkel omdat de AVG is geschonden. Je moet nog steeds aantonen dat er schade is. Dat lukte in één zaak, omdat het daar ging om medische gegevens en het dan “voor de hand lag” dat dit tot schade zou lijden. De rechtbank hier noemt deze zaken niet, maar lijkt wel hetzelfde te redeneren: omdat het gaat om gevoelige financiële gegevens die ook nog eens bij (waarschijnlijk) toekomstige buren terechtgekomen zijn. Dan is schade (reputatieschade, lastig gevallen worden met verzoeken om geld, kwetsbaarheid) wel te voorzien. Daarom kent de rechtbank hier 250 euro schadevergoeding toe.

Een kleine opsteker dus weer voor al die mensen die dachten dat schadevergoeding er onder de AVG niet in zit. Het kan wel, maar het moet wel echt om een pijnlijk datalek gaan. En hoe je dat precies onderbouwt, dat blijft nog onduidelijk.

Arnoud

DPG krijgt AVG-boete van 525.000 euro voor onnodig opvragen identiteitsbewijs

Geplaatst op in Privacy, 5 reacties

Mediabedrijf DPG Media heeft van de Autoriteit Persoonsgegevens een boete van 525.000 euro gekregen voor het onnodig opvragen van een identiteitsbewijs van mensen die hun gegevens wilden inzien of laten verwijderen. Dat meldde Security.nl onlangs. Eindelijk eens werk gemaakt dus van de luie en ergerlijke praktijk om altijd maar een ID te vragen in plaats van na te denken hoe je betrokkenen identificeert.

De boete is voor DPG Media, maar de overtreding komt van mediabedrijf Sanoma voordat dit door DPG werd overgenomen. De AP legt uit:

Wie wilde weten welke persoonsgegevens Sanoma en DPG Media bijhielden, of gegevens wilde laten wissen, moest eerst een identiteitsbewijs uploaden of opsturen. Deze mensen werden er bovendien bij het digitaal versturen van het identiteitsbewijs niet door Sanoma en DPG Media op gewezen dat zij gegevens daarvan mochten afschermen. Het ging om klanten van DPG Media die geen online account hadden aangemaakt bij DPG Media.
Het komt heel, heel vaak voor dat organisaties vragen om een kopie identiteitsbewijs als je je rechten onder de AVG wilt uitoefenen. Dat is een luie reflex van sommige juristen (of een vertragingstactiek, als u echt cynisch bent), je moet van de AVG nagaan dat je geen inzage aan de verkeerde geeft, een ID-bewijs stelt identiteit vast, dus vraag maar een kopie ID.

Onzin natuurlijk, er zijn heel veel betere manieren om na te gaan wie je tegenover je hebt. Zeker als dat op afstand is. Sterker nog, een kopie identiteitsbewijs via de mail krijgen bewijst helemaal niets over wie je tegenover je hebt, hooguit dat deze persoon toegang had tot die kopie ID. Een verificatiemail sturen naar het bekende, geregistreerde adres (of een code per sms naar het bekende nummer) van de klant is bijvoorbeeld al veel slimmer als we het hebben over online klanten.

DPG hield het makkelijk voor zichzelf:

De AP heeft in hoofdstuk 2 vastgesteld dat DPG buiten de inlogomgeving van accounts altijd om een kopie van een identiteitsbewijs verzocht. DPG deed dit verzoek ongeacht welke (contact)informatie bij DPG beschikbaar was over de betrokkene en zonder rekening te houden met de aard en hoeveelheid persoonsgegevens waarvan inzage of wissing werd gevraagd. De werkwijze van DPG was voorts zo ingericht dat als een kopie van het identiteitsbewijs door de betrokkene niet werd verstrekt, het verzoek om inzage of wissing om die reden niet (verder) in behandeling werd genomen. Indien de betrokkene wel een kopie van het identiteitsbewijs verstrekte, dan had dat tot gevolg dat DPG onnodig veel gevoelige gegevens aan het verwerken was (zoals het Burgerservicenummer).
Dit maakt het voor mensen niet makkelijk en eenvoudig, wat een eis is uit de AVG. Dit zorgde er dan ook voor dat een onnodige drempel werd opgeworpen voor mensen om hun rechten uit te oefenen.

Natuurlijk, sóms kan het nodig zijn om extra informatie op te vragen om iemands identiteit te verifiëren. En een kopie identiteitsbewijs kan daar bij passen. Maar niet als standaard eerste stap. Dus ik hoop dat dit een mooie wake-up call is voor andere bedrijven die standaard om een identiteitsbewijs vragen.

Arnoud

Kan de AP wat doen tegen een bioscoop die geen contant geld wil?

Geplaatst op in Ondernemingsvrijheid, 38 reacties

Een lezer vroeg me:

Ik las dat er een rechtszaak speelt van privacy-activist Michiel Jonker tegen de weigering van de Autoriteit Persoonsgegevens (AP) om handhavend op te treden tegen de weigering van arthouse-bioscoop Focus Filmtheater in Arnhem om contante betaling te accepteren. Hoe kansrijk acht jij deze zaak?
Er spelen hier twee dingen. Allereerst gaat het hier om een zaak tegen de Autoriteit Persoonsgegevens, die dit niet belangrijk genoeg vindt (of niet genoeg redenen ziet) om handhavend tegen op te treden. En ten tweede is het zeer de vraag of die weigering inderdaad in strijd met de AVG is.

Deze rechtszaak gaat dus niet direct om de vraag “mag een bioscoop contant geld weigeren vanwege de AVG”. Die vraag is aan de AP voorgelegd: wilt u de AVG handhaven tegen een bioscoop die dit doet. De AP wilde dat niet, en dan kun je de rechter vragen te verklaren dat de AP dat wel moet doen. (Een beetje zoals je het OM iemand kunt laten vervolgen via de artikel 12-route bij het Gerechtshof Arnhem.)

De rechter beantwoordt dan niet de juridische vraag, maar kijkt of het AP met een goede analyse tot haar besluit (om er niets aan te doen) is gekomen. Dat kan zijn omdat de AP een goed antwoord op de vraag heeft, maar ook omdat ze bijvoorbeeld een goede motivatie hebben gegeven waarom dit geen prioriteit moet krijgen. En in dat geval kom je niet eens meer toe aan de juridische vraag. Een bestuursorgaan als de AP heeft veel ruimte om daarin zelf te beslissen, dus de kans is gewoonlijk groot dat de rechter de AP gelijk geeft in haar weigering tot handhaven.

Uit het nieuwsbericht haal ik dat de AP hier echter inhoudelijke redenen heeft aangevoerd:

Volgens de AP is niemand verplicht om contant geld als wettig betaalmiddel te accepteren. Tevens stelt de toezichthouder dat de bioscoop via haar algemene voorwaarden een “contract” met de bioscoopbezoekers tot stand brengt, waaruit een noodzaak zou voortvloeien om persoonsgegevens van de bioscoopbezoekers te verwerken.
Hier zitten twee juridische argumenten in. Allereerst dus het punt dat er geen wettelijke plicht is om wettige betaalmiddelen te aanvaarden. Dat klopt. De wet zegt alleen dat wie een geldschuld hééft bij iemand, deze heeft voldaan door met een wettig betaalmiddel het bedrag te voldoen.

Achteraf pas zeggen “ik wil die lening giraal terug” is niet mogelijk (voorbeeld). Maar zeg je het bij het aangaan van de afspraak (juridisch: je neemt een betalingsvoorwaarde op in je aanbod) dan is dat prima. Dit is bijvoorbeeld waarom je bij sommige winkels zo’n sticker “Hier alleen pinnen” ziet: dat is een algemene voorwaarde, een betalingsvoorwaarde die voor het sluiten van de koop wordt getoond. Dat is dus bindend. Als je het vooraf zegt, mag je wettige betaalmiddelen geheel weigeren.

Het tweede punt is of je door contant geld te weigeren en pinbetaling te eisen, de AVG overtreedt. Het argument is dan dat je die pinbetaling vraagt om de overeenkomst uit te voeren (art. 6 lid 1 sub b AVG), maar dat de daarmee verwerkte persoonsgegevens boventallig oftewel niet noodzakelijk zijn om die overeenkomst uit te voeren. Er is immers een alternatief, namelijk contant betalen, dat net zo goed mogelijk is. (Het bewijs: je kon al die jaren aan de kassa contant betalen.)

Ik noem dit wel de innovatieparadox: er is nooit een noodzaak om iets nieuws te doen, want het bestaande werkt prima en heeft eigenlijk altijd minder persoonsgegevens nodig. Dat kan in het algemeen niet waar zijn. Je moet dus kijken naar specifiek de situatie rond pinbetaling: waarom wil een bioscoop met alleen pinbetaling werken, en wat doen ze met de gegevens?

Als de reden bijvoorbeeld is (zoals deze bioscoop aangeeft) de zorg om berovingen, en de pingegevens worden direct na de transactie weggegooid, dan zou ik het wel redelijk vinden. Men biedt ook een alternatief, namelijk de bioscoopbon. Ik moet zeggen dat ik dan alleen nog héél algemene tegenargumenten kan bedenken (“het gaat om het principe”) en dat vind ik in concrete situaties nooit erg sterk. Ik denk dus dat ook inhoudelijk de bioscoop erg sterk staat en de zaak dus weinig kansrijk is.

Arnoud

Duitse website veroordeeld voor doorgeven ip-adres bezoeker via Google Fonts

Geplaatst op in Ondernemingsvrijheid, Privacy, 43 reacties

Een Duitse rechtbank heeft een Duitse website veroordeeld voor het zonder toestemming doorgeven van het ip-adres van een bezoeker aan Google door middel van Google Fonts. Dat meldde Security.nl afgelopen maandag. De klagende bezoeker krijgt 100 euro schadevergoeding. Volgens de rechter heeft de website geen gerechtvaardigd belang, aangezien Google Fonts ook lokaal is te gebruiken waarbij er geen ip-adres van bezoekers naar Google wordt gestuurd. Exit Google Fonts?

De dienst Google Fonts is bedoeld om website-eigenaren makkelijker mooie lettertypes te kunnen laten serveren. Natuurlijk kan iedereen eigen fonts op de eigen site zetten, maar dan blijf je downloaden. Google zet ze centraal neer (fonts.googlea.com), en dan onthoudt je browser welke fonts al gedownload. Dat scheelt, en als er updates zijn (een ontbrekend karakter, een nieuwe emoji, noem maar op) kan dat op één plek doorgevoerd.

Nadeel: je browser maakt dan verbinding met een site van Google, waardoor die je IP-adres te pakken krijgt. En -als ik even snel in mijn eigen cookiejar kijk- ook analyticscookies en andere gezellige trackers, die ongetwijfeld gecombineerd zijn met mijn Google-profiel en ander online gedrag. Dit ter verbetering van de gebruikerservaring, veronderstel ik.

Dit is dus een probleem, om dezelfde reden als waarom Google Analytics een probleem is. Als website forceer je zo dat mensen hun persoonsgegevens (IP-adres en/of cookie) naar Amerika gaan. En hier is er ook een eenvoudig alternatief, aldus de rechtbank: je mag die fonts gewoon lokaal hosten. Je hebt dan wel een beetje overhead en extra downloads, maar toen ik dat schreef twee alinea’s terug zat ik ondertussen te Netflixen met Spotify aan én een AI model te renderen dus ik twijfelde al of ik dat nog wel een serieus argument vind in 2022.

De rechtbank bevestigt nog eens dat een IP-adres een persoonsgegeven is, ook als het “maar” dynamisch is. Gecombineeerd met datum en tijd is het gewoon het adres van een persoon – de netsurfer – en zeker voor Google, die het zo kan koppelen aan nog veel meer gegevens. En dat alles dus zonder toestemming en zonder goede reden (gerechtvaardigd belang).

In de comments bij Security.nl wordt gewezen op moderne beveiligingsmaatregelen in Firefox, waarmee je sowieso al niet meer profiteert van centrale opslag: fonts worden opnieuw opgehaald vanaf de Google-site bij iedere nieuwe site, zodat er niet één centraal overzicht komt voor de beheerder van de Google Fonts site. Wat dus specifiek bij Google niet werkt, maar bij andere meegluurders wel.

De 100 euro is een interessante opsteker voor de vele AVG-schadeclaimverzoekers. Heel hard wordt het niet onderbouwd:

The amount of the claimed damages is appropriate in view of the seriousness and duration of the infringement and is not challenged by the defendant.
Oftewel, “mja dat klinkt niet onredelijk en ik hoor ook geen serieus bezwaar van de website-eigenaar”.

Arnoud