Man verliest Microsoft-account (en alle data) vanwege gedoe over onbetamelijke foto

| AE 12267 | Ondernemingsvrijheid | 57 reacties

Je krijgt ongevraagd een onbetamelijke foto toegestuurd, waarna Microsoft je levenslang verbant van al haar diensten. Dat meldde NRC afgelopen zondag. Want dat is terecht, zo vonniste de rechtbank: een man had een kort geding daartegen aangespannen maar krijgt zijn bestanden niet terug en mag ook zijn Microsoft-account nooit meer gebruiken. Althans, voor nu – de bestanden mogen niet weggegooid en er zal dus een bodemprocedure nodig zijn om echt uit te maken of Microsoft terecht handelde. Maar ja, je digitale leven mag dus worden geblokkeerd voor nu.

Het probleem begon in april dit jaar, toen de eisende man merkte dat zijn toegang tot zijn OneDrive account onmogelijk was, en Microsoft desgevraagd meldde dat er een “serious violation” was geweest van de Service Agreement. Doorvragen leverde slechts herhaling op van deze mededeling, waarna de man een advocaat inschakelde. Ook dat mocht niet baten, vandaar de rechtszaak.

Pas daarna kwam aan het licht dat de violation het feit betrof dat de eiser in een groepsapp van WhatsApp een foto gedeeld had gekregen die Microsoft als kinderpornografie aanmerkte. De foto was volgens eiser grappig bedoeld, toont niet werkelijk seks met kinderen maar “door het hele ongelukkige moment van afdrukken bij het maken van deze foto lijkt dat zo.” De rechtbank komt echter tot de conclusie dat de afbeelding ook dan kan kwalificeren als kinderporno, gezien internationale afspraken op dat gebied.

Microsoft heeft software draaien die het opslaan en vooral het delen van dergelijke foto’s detecteert. Een groot deel van het geschil ging over de vraag of de man deze afbeelding nu had gedeeld of niet. Hij zei van niet, Microsoft zegt van wel – en MS krijgt gelijk omdat de servicevoorwaarden zeggen dat je de foto niet mag hebben, ongeacht of je deze deelt. Een overtreding dus.

Dan krijg je de vraag, is de maatregel proportioneel. In juridische termen: de algemene voorwaarde die zegt dat je je gehele (betaalde) account geheel kwijt raakt, is onredelijk bezwarend bij één overtreding. Daarvan zegt de rechter, nee dat is niet zo: dit soort afbeeldingen zijn zeer ernstig en strafbaar, dus is een volledige vernietiging van het gehele account een gepaste reactie.

Uit het vonnis haal ik dat de man van de overige bestanden niets meer had gezegd dan dat ze emotionele waarde hebben. “Indien [eiser] naar voren zou hebben gebracht dat hij een of meer onderdelen van de bestanden dringend nodig had, dan zou de voorzieningenrechter dat belang bij de beoordeling kunnen betrekken maar [eiser] heeft dat niet gedaan.” Oftewel, als je als privépersoon alleen maar persoonlijke bestanden in de cloud hebt staan, dan heeft dat geen waarde en moet je niet klagen als ze worden vernietigd.

Ook een beroep op de AVG mag niet baten: weliswaar staat daar een recht op dataportabiliteit, maar dat geldt niet voor alle bestanden in je account. Je hebt alleen recht op een export van je persoonsgegevens, en een serie door jou gemaakte foto’s zijn op zichzelf geen persoonsgegevens van jou. 

Het is een kort geding, dus voor uitgebreide discussie is geen plaats. Daarom verplicht de rechter Microsoft wel om de bestanden nu veilig te stellen, zodat de principiële discussie gevoerd kan worden bij de bodemrechter. Ik hoop heel erg dat dit ook snel gebeurt.

Arnoud

PS: links naar de betreffende afbeelding of suggesties hoe deze te vinden leiden tot een levenslange ban op deze blog. Geen grap.

 

Hoe ver ben jij al met je migratieplan weg uit de Amerikaanse cloud?

| AE 12195 | Ondernemingsvrijheid | 51 reacties

Zoek alternatieven voor Amerikaanse leveranciers, zo knalde Emerce erin begin deze week. Het Nederlandse en hele Europese bedrijfsleven schendt immers op grote schaal de AVG omdat ze nog steeds met Amerikaanse dienstverleners werkt. Sinds het Schrems II arrest is dat, hoe zeg je dat netjes als jurist, hartstikke illegaal. En ik snap best dat je nog even wil wachten om te zien wat toezichthouders precies gaan zeggen, maar je hebt natuurlijk wel een migratieplan klaar liggen voor zodra ze “U mag nu stoppen” gaan zeggen. Toch? Want dat gaan ze.

“Er is geen uitzicht op een nieuw Privacy Shield. Alle partijen die op Amerikaanse servers data opslaan schenden Europese privacyregels.” Zo citeert men JetStream-directeur Stef van der Ziel, die precies de vinger op de zere plek legt. Het probleem met de Amerikaanse cloud is al zo oud als de cloud; Amerikaanse wetgeving over snuffelen in persoonsgegevens botst op fundamentele manier met de Europese grondrechten. We hadden ooit de pretentie dat het Safe Harbor-arrest dat op zou lossen: Amerikaanse bedrijven beloven dat ze zich aan de Europese regels houden – behalve als ze wat anders moeten van Amerikaanse wetgeving.

En dat moesten ze, zo onthulde Edward Snowden enkele jaren terug. Safe Harbor sneuvelde dan ook, en het Privacy Shield werd ingevoerd met extra waarborgen en een ombudsman om het nu écht te regelen. Maar het uiteindelijke probleem blijft: Amerikaanse diensten mogen bij persoonsgegevens die in de VS zijn opgeslagen, ongeacht de Europese regels daarover. Dat weten we uit het Schrems II-arrest, waarin het Hof van Justitie net als in Schrems I (het Safe Harbor agreement) bepaalde dat het gewoon echt niet kan, zoals het werkt. (En nee, ook niet als je met SCC oftewel modelclausules gaat werken.)

De impact van de Amerikaanse cloud is echter te groot, zodat niemand echt de eerste stap durft te nemen. Want je zet jezelf op achterstand, als je concurrent wél met Google Analytics blijft werken en jij Matomo of Piwik moet gaan opzetten en vervolgens overal compatibiliteitsproblemen tegen gaat komen. Dus overstappen per direct is inderdaad nogal veel gevraagd.

Ik zie echter geen reden om dan maar te blijven zitten en niets te doen. Inventariseer op zijn minst welke alternatieven er zijn en wat je nodig hebt om die werkend te krijgen. Doe eens een pilot met Matomo, zoek een Europees nieuwsbriefbedrijf en kijk of je écht die twintig trackers op je website nodig hebt. Dan heb je dat maar gedaan, weet je wat de impact gaat zijn en kun je dán besluiten wanneer je gaat migreren. Misschien wel sneller dan je denkt, want “wij werken volledig Europees” begint langzaam maar zeker een marketingvoordeel te worden.

Arnoud

Is Office 365 nu echt een AVG probleem of alleen voor Hessense openbare scholen?

| AE 11405 | Ondernemingsvrijheid, Privacy | 14 reacties

De gegevensbeschermingsautoriteit van de Duitse deelstaat Hessen heeft het gebruik van Microsoft Office 365 door scholen verboden omdat dit in strijd met de AVG is. Dat meldde Security.nl op gezag van de toezichthouder zelf. De aanleiding is dat Microsoft eerder de speciale optie van een Duits datacenter voor scholendata had geschrapt, zodat de mogelijkheid ontstond dat persoonsgegevens van leerlingen en personeel in de VS zouden worden opgeslagen. Hetzelfde geldt voor telemetriedata over het gebruik, dat automatisch naar Microsoft wordt gestuurd en niet meer bij de Duitse grens moest stoppen. Waar ging dit nu precies op mis en wat betekent het voor andere cloudafnemers?

De pijn lijkt vooralsnog te liggen bij een specifieke Duitse uitwerking van de AVG, zo lees ik in het persbericht:

Public institutions in Germany have a special responsibility regarding the admissibility and traceability of the processing of personal data. Also the digital sovereignty of state data processing must be guaranteed.

Ik kan alleen zo 1-2-3 in de Duitse Uitvoeringswet niet terugvinden waar dat dan staat. Ik ga er dus maar vanuit dat men bedoelt dat de lat voor noodzaak en proportionaliteit extra hoog ligt, en waarschijnlijk ook dat Microsoft niet bepaald transparant is (aldus de toezichthouder) over wat er precies met die data gebeurt. Daar valt wel wat voor te zeggen.

Daarmee is het voor mij niet perse het einde van de cloud, hoewel dat natuurlijk wel in de lucht hangt (haha) met recente ontwikkelingen in de Schrems II-zaak bij het Hof van Justitie: is de optie om met zogeheten model contractual clauses data naar de VS over te dragen dan eigenlijk wél rechtsgeldig? Als dat niet zo is (en daar lijkt alles op te wijzen) dan blijft er vervolgens heel weinig grondslag over om persoonsgegevens in de VS op te mogen slaan. (Privacy Shield staat overeind maar alleen maar omdat het Hof er nog niet aan toegekomen is.)

Wie met een cloudoplossing bezig is die over vijf jaar een afhankelijkheid op Amerikaanse servers heeft, heeft dus nu een goede reden om die oplossing aan te gaan passen.

Arnoud

Minister pakt Russische site met privédocumenten van Nederlanders niet aan

| AE 9801 | Security | 10 reacties

Tegen de Russische website DocPlayer, die automatisch pdf-bestanden van internetgebruikers publiceert, wordt geen actie ondernomen. Dat meldde Nu.nl vorige week. De site publiceert 4,3 miljoen bestanden staan die door een computerprogramma worden verzameld en gepubliceerd. “Echter, het valt niet op voorhand te stellen dat deze gegevens illegaal verkregen zijn.” Want als ze uit openbare bronnen… Lees verder

Mensen boos omdat Google Docs hun privédocumenten als abuse aanmerkte

| AE 9788 | Informatiemaatschappij | 18 reacties

Mensen worden buitengesloten van hun Google Docs, en daar zijn ze boos over. Dat meldde Slate vorige maand. Om onduidelijke redenen merkte een grote groep mensen ineens dat de toegang tot bepaalde van hun documenten geblokkeerd was, met als melding dat hier de Terms of Service waren overtreden. Censuur, omdat het ging om privédocumenten? Uiteindelijk… Lees verder

Worden Europese bedrijven straks verplicht data aan de VS te geven?

| AE 9756 | Informatiemaatschappij | 23 reacties

De Supreme Court gaat uitspraak doen in de Microsoft-cloudzaak waarbij het Amerikaanse bedrijf door de rechter verplicht werd data van haar Europese dochter af te geven aan de FBI. Dat las ik (dank, tipgevers) bij Ars Technica. De zaak loopt al een tijdje en kan enorme gevolgen hebben voor de bruikbaarheid van de cloud voor… Lees verder

Tot eigendom van data geregeld is, kun je maar beter goede backups maken

| AE 9517 | Informatiemaatschappij | 12 reacties

Wie data opslaat bij een online backupdienst, of gebruik maakt van een SaaS-dienst voor bijvoorbeeld boekhouding of klantenadministratie, zal al snel geneigd zijn te spreken van ‘zijn’ data. Logisch: die informatie is essentieel voor die persoon, en als hij het fysiek ergens opgeslagen had, dan waren die mappen of papieren ook gewoon zijn eigendom. Maar… Lees verder

Wetsvoorstel moet digitaal leren met nepnaam veiliger maken

| AE 9265 | Informatiemaatschappij, Privacy | 21 reacties

Kinderen die op school met digitale lesmethoden werken, hoeven niet meer hun eigen naam in te vullen. Dat stond in het papieren AD afgelopen weekend. De ministerraad heeft namelijk ingestemd met een wetsvoorstel van die strekking, hoewel exacte details nog ontbreken. Kort gezegd komt het erop neer dat bij gebruik van clouddiensten door scholen moet… Lees verder

Google moet wél buitenlandse e-mails overdragen aan de FBI

| AE 9261 | Intellectuele rechten, Privacy | 19 reacties

Een Amerikaanse rechter heeft bepaald dat Google ook e-mails die op servers buiten de VS zijn opgeslagen moet overdragen aan de FBI in een zaak over binnenlandse fraude. Dat meldde Nu.nl onlangs. Deze beslissing staat lijnrecht tegenover de hogerberoepszaak van Microsoft dat géén berichten opgeslagen in het buitenland hoefde af te geven aan de Amerikaanse… Lees verder

Moet je echt bij elke internetdienst een bewerkersovereenkomst sluiten?

| AE 9217 | Privacy | 12 reacties

Een lezer vroeg me: Wij maken zakelijk gebruik van applicaties en software in de cloud. Mijn vraag is nu echter of je echt met iedere cloud leverancier een bewerkersovereenkomst moet afsluiten? Iedere applicatie verwerkt namelijk op de een of andere manier wel persoonsgegevens, de ene meer dan de ander. In sommige gevallen gaat het enkel… Lees verder