Tag: Cloud

About Cloud

Subscribe Feeds

Is de Amazon cloud nu wel veilig voor Europese persoonsgegevens?

Geplaatst op in Informatiemaatschappij, 13 reacties

simpsons-cloud-diefstal-data-fotoDe Europese privacytoezichthouders hebben Amazon’s clouddienst privacytechnisch goedgekeurd, las ik op diverse media. Daarmee zou Amazon Web Services ineens da juridische bomb (oké, The Register) zijn.

Het ligt iets subtieler: de contracten waaronder Amazon werkt, zijn voorzien van juridische clausules over export en gebruik van persoonsgegevens door Amazon. En die clausules zijn goedgekeurd, zodat Amazon voldoet aan de Europese regels op dat punt.

Wie persoonsgegevens wil laten verwerken door een ander, moet een bewerkersovereenkomst sluiten met die ander. Daarin wordt vastgelegd wat de bewerker (de opdrachtnemer, Amazon dus) mag doen met persoonsgegevens, wat hem verboden is en op welke manier hij de persoonsgegevens moet beveiligen.

Export van persoonsgegevens naar buiten de EU is daarbij een speciaal geval. Dit mag eigenlijk niet, tenzij het ontvangende land een net zo strenge wet heeft over persoonsgegevens als de EU. En geen enkel land buiten de EU heeft dat. Gelukkig zijn daar wat uitzonderingen op. Eén uitzondering ontstaat als je met je bewerker afspraken maakt conform de modelcontracten die de EU ooit heeft opgesteld. En de toezichthouders hebben nu dus bepaald dat Amazon’s contracten conform die modellen zijn.

Het wil echter niet zeggen dat het gebruik van de Amazon cloud zonder meer goed voor de privacy is. Er blijft nog altijd die ene angel bestaan waar Microsoft zich aan gestoken heeft: de Amerikaanse rechter vindt dat zij de macht heeft het Amerikaanse Microsoft te bevelen data af te geven die bij haar Europese dochters opgeslagen staat. Microsoft vecht dit aan, maar er zijn goede redenen waarom die rechter gelijk kan hebben.

Arnoud

Ik wil een kopie van mijn clouddata van de curator!

Geplaatst op in Informatiemaatschappij, 42 reacties

disc-data-weg-bewaren-kruis.jpgEen lezer vroeg me:

Wij nemen een clouddienst af waar onze klantdata (contactgegevens en dergelijke) mee beheerd wordt. Maar nu is de clouddienstverlener failliet en de dienst dus uit de lucht. De hostingpartij heeft nog wel een kopie van de data, maar hij wil deze niet afstaan tenzij we fors gaan betalen. De curator wil ook geen data afgeven. Wat kan ik doen? Die data is toch ons eigendom?

Nee, die data is niet je eigendom. Die data is juridisch helemaal niets en daarom valt er dus niets te eisen omtrent die data.

Het hosten van data is voor de wet een vorm van dienstverlening. Dat daarbij bits worden gemanipuleerd, is leuk maar juridisch niet relevant. Afgezien van specifiek virtuele objecten in digitale werelden is data niet iets dat voor eigendom in aanmerking komt, omdat het daar niet tastbaar genoeg voor is.

Afspraken maken dus. De dienstverlener moet “de zorg van een goed opdrachtnemer in acht nemen”, staat in de wet. Vandaag de dag mag je daar wel uit concluderen dat hij moet zorgen voor toegang tot data, bij voorkeur in een algemeen leesbaar formaat. Zo kun je backups maken van je data voor een eventuele migratie of calamiteit zoals faillissement. (Hoewel dit nog nooit bij de rechter bevestigd is en menig clouddienstverlener data opsluit in een eigen formaat waarna je er alleen via hun tools bij kunt.)

Alleen: bij faillissement houdt alles op wat je contractueel hebt afgesproken. De curator heeft maar één taak en dat is de schuldeisers tevreden stellen. Als hij daarbij wanprestatie moet plegen, dan is dat toegestaan. Een contractuele afspraak dat je bij faillissement gauw een kopie mag downloaden, is dus het papier niet waard waar deze op afgesproken is.

Met de hoster valt wellicht wat af te spreken. Die is niet failliet dus die zou een kopie van de data kunnen geven. Maar omdat je daar niet al een contract mee had, is hij daartoe niet verplicht en zou hij zijn kans schoon kunnen zien even wat verlies goed te maken. Beter is dus dit vooraf af te spreken, bijvoorbeeld via de stichting Continuïteit (waar ik bestuurslid van ben).

Wellicht heb je auteursrecht op de data. Ook dat gaat niet helpen: het is geen inbreuk op auteursrecht of databankrecht om te weigeren toegang tot een kopie van het werk te verschaffen. Dat weten we uit een rechtszaak in mei waarbij de toegang tot een databank werd geblokkeerd door de dienstverlener. “Geen toegang tot de gegevens” hebben is niet het soort schade waar deze intellectuele-eigendomswetten voor gemaakt zijn.

Een goede backupstrategie en/of afspraken met hoster en dienstverlener zijn dus de enige middelen om dit probleem op te lossen. En als je dat pas achteraf wilt regelen, dan gaat het een hele dure grap worden.

Arnoud

KPN aansprakelijk voor verloren clouddata, ondanks algemene voorwaarden

Geplaatst op in Informatiemaatschappij, 20 reacties

kpn-online-backupCloudprovider KPN moet een schadevergoeding betalen voor in de cloud (online backup) opgeslagen gegevens die bij een accountmigratie verloren zijn gegaan. Hun algemene voorwaarden die hun aansprakelijkheid beperken, zijn onredelijk bewarend. Dat bepaalde de rechtbank Den Haag in een onlangs gepubliceerd vonnis (via).

De eiser uit deze zaak had een eenmanszaak gericht op fysiotherapie, sportmassage en blessurepreventie. Voor dat werk had zij de nodige documenten, foto’s en video’s ontwikkeld en om die netjes te bewaren had ze bij KPN de dienst Back-up Online afgenomen.

Toen kwam er een harddiskcrash bij haar bedrijf, maar gelukkig had ze de online backup nog. Helaas geen logingegevens meer. KPN heeft dan het beleid dat ze een nieuw account aanmaken en de bestanden overzetten.

Alleen bleken in dit geval de bestanden niet te zijn overgezet. Er “was iets niet goed gegaan”, aldus een KPN-medewerker tijdens de rechtszaak. De rechtbank vindt dat terecht een toerekenbare tekortkoming en volgens de wet moet KPN dan de schade van het benadeelde bedrijf vergoeden.

KPN had -natuurlijk- algemene voorwaarden, die haar aansprakelijkheid beperkten tot dood en letselschade, fysieke schade aan spullen en redelijke kosten ter beperking van verdere schade. (Nee, ik weet ook niet wanneer dat zich kan voordoen bij een online backupdienst.) Voor verlies van gegevens was men dus per definitie nooit aansprakelijk.

Het beperken van je aansprakelijkheid staat op de zogeheten grijze lijst van algemene voorwaarden – je moet als bedrijf kunnen aantonen dat het wél redelijk is je aansprakelijkheid uit te sloten. Dit geldt bij consumenten maar de rechtbank oordeelt dat deze eenmanszaak reflexwerking mag verwachten, omdat online backupdiensten niets te maken hebben met haar eigen kernactiviteiten (fysiotherapie en dergelijke) en het hier gaat om een kleine eenmanszaak tegenover een grote multinational.

Die uitsluiting gaat dus van tafel en KPN moet de schade vergoeden. Maar wat is de schade? De kosten van het opnieuw maken van de betreffende bestanden lijkt het meest logisch aanknopingspunt, waardoor de rechtbank kiest voor uurtarief maal aantal uren voor herstelwerk. Hiervoor krijgen de partijen een gelegenheid om nadere gegevens aan te dragen.

Had mevrouw de schade kunnen voorkomen? Ja, aldus KPN: had die inloggegevens ergens anders bewaard dan had je gewoon bij je backup gekund. Oftewel je had dit kunnen voorkomen. Nee, zegt de rechtbank: de fout van KPN is véél groter en het bedrijf kon gewoon bij de gegevens met die escalatieprocedure voor verloren logins. Dan is het “eigen schuld” noemen net iets te gortig.

Dit vonnis betekent niet dat élke cloudprovider nu automatisch onbeperkt aansprakelijk is voor alle schade. Er moet nog steeds wel een fout zijn gemaakt bij de dienstverlener. En niet elke fout zal zo ernstig zijn als wat KPN hier voor elkaar kreeg. Maar op zich vind ik de uitkomst zeer verteerbaar: bij een online backupdienst is de kern “bewaar de gegevens”. Dus dan mág het niet gebeuren dat gegevens kwijt raken – en in je voorwaarden “verlies van gegevens” uitsluiten van aansprakelijkheid is natuurlijk een tikje zot.

Arnoud

‘Apple iCloud schendt Noorse en Europese wet’

Geplaatst op in Informatiemaatschappij, 8 reacties

Apple verschaft zichzelf het recht de voorwaarden van clouddienst iCloud te allen tijde aan te passen, in strijd met de Noorse en Europese wet. Dat las ik bij Nu.nl. Waarop ik denk? Welke wet dan? Want een wet op de cloudvoorwaarden lijkt me een goed idee, maar die is er bij mijn weten nog lang niet.

Het blijkt te gaan om een klacht van de Noorse Consumer Council, volgens mij het equivalent van onze Autoriteit Consument en Markt (maar al bestaand sinds 1953). Zij hebben een klacht neergelegd bij Apple omdat deze de Noorse en Europese wet zou schenden door het recht te bedingen in de gebruiksvoorwaarden om eenzijdig het contract aan te mogen passen.

Uit de tekst van de klacht (pdf) blijkt dat het gaat om de algemene Noorse regel dat algemene voorwaarden niet onredelijk bezwarend mogen zijn. Die regel hebben wij ook. Naast de grijze en zwarte lijsten geldt er ook een open norm: als iemand kan hardmaken dat een voorwaarde onredelijk bezwarend is, dan moet deze van tafel. De bewijslast is daarbij niet altijd eenvoudig.

De Noren hebben echter nóg een lijst gevonden, de zogeheten blauwe lijst uit Richtlijn 93/13/EEG met daarop nog een setje oneerlijke bedingen. En wat staat er in artikel 3 van die Richtlijn?

Een beding in een overeenkomst waarover niet afzonderlijk is onderhandeld, wordt als oneerlijk beschouwd indien het, in strijd met de goede trouw, het evenwicht tussen de uit de overeenkomst voortvloeiende rechten en verplichtingen van de partijen ten nadele van de consument aanzienlijk verstoort.

Het lijkt me evident dat een voorwaarde die zegt “wij mogen het contract op ieder moment aanpassen en u moet maar hopen dat dat acceptabel is, anders moet u weg” het evenwicht tussen de partijen nogal verstoort. Sterker nog, wélk evenwicht?

In een bijlage bij dit artikel zijn bedingen opgenomen die als oneerlijk kunnen worden aangemerkt. Een soort grijsblauwe lijst dus: de gebruiker van zo’n voorwaarde zal moeten bewijzen dat deze wél eerlijk is. En lid j van die bijlage noemt bedingen die:

de verkoper te machtigen zonder geldige, in de overeenkomst vermelde reden eenzijdig de voorwaarden van de overeenkomst te wijzigen;

Helaas staat er verderop dan weer wel een uitzondering:

Punt j) staat evenmin in de weg aan bedingen waarbij de verkoper zich het recht voorbehoudt de voorwaarden van een overeenkomst voor onbepaalde tijd eenzijdig te wijzigen, mits hij verplicht is de consument daarvan redelijke tijd vooraf in kennis te stellen en het de laatste vrijstaat de overeenkomst te ontbinden.

Dat was in 1993 wellicht redelijk bij de toen gebruikelijke duurovereenkomsten: levering van kranten, vuilophaaldiensten en dergelijke. Daar wil je vanaf kunnen als ze ineens de voorwaarden aanpassen. Maar bij een clouddienst is het zeer zeker niet redelijk om te zeggen “je mag weg als het je niet bevalt” want dat is al snel zo veel gedoe dat menig consument het niet eens zal proberen. Welke Apple-gebruiker zal overstappen naar Dropbox als er weer 8000 woorden nieuwe voorwaarden langskomen?

En dat is juist wat het zo oneerlijk maakt. Je weet dat mensen dat niet lezen. Je weet dat mensen er noodgedwongen maar op vertrouwen dat er geen gekke dingen in je voorwaarden staan. En dat vertrouwen tast je in de basis aan door zo’n eenzijdig-wijzigingsbeding. De hoogste tijd dus voor een nieuwe cloudblauwe lijst.

Arnoud

Amerikaanse rechter claimt rechtsmacht over data op Europese Microsoft-servers

Geplaatst op in Privacy, Regulering, 41 reacties

cloud-flag-usaEen Amerikaanse rechter heeft bepaald dat Microsoft data moet afgeven aan Justitie, ondanks het feit dat die data op een server in Ierland staat en onder beheer is van Microsofts Ierse dochter. Dat meldde Slashdot gisteren. Microsoft had de search warrant aangevochten met de stelling dat de Ierse dochter buiten Amerikaanse jurisdictie valt, maar de rechter bepaalt nu dat dit geen relevant argument is bij clouddatavorderingen.

Het gelinkte Reuters-artikel legt uit dat het ging om e-maildata van een klant die op servers in Ierland stond. Deze servers worden beheerd door Microsofts Ierse dochter. Toen het moederbedrijf het bevel kreeg deze data af te geven, stapte men naar de rechter – zoals het bedrijf al meerdere malen had gemeld te zullen doen, in een poging angst over wereldwijd Patriotactdatagraaien bij Europese bedrijven en instellingen weg te nemen.

Het argument van Microsoft was gestoeld in twee eeuwen jurisprudentie: de Amerikaanse Justitie kan geen bevel geven om een buitenlands huis (of kantoorgebouw) te doorzoeken, ook niet als dat huis van een Amerikaan is. Daar mag men simpelweg niet in zoeken. En wat is nu het verschil tussen een server en een kantoorgebouw?

De rechter ziet het echter anders: het gaat hier niet om fysiek bezoeken van een locatie maar om het opvragen van data. En het is óók twee eeuwen jurisprudentie dat een Amerikaan die iets heeft dat moet komen brengen als de rechter daarom vraagt. Ook al ligt het iets in kwestie in een ander land. En als je die doctrine loslaat op e-mail dan moet Microsoft Inc de data dus maar gaan halen in Ierland. Of haar dochter bevelen dit te doen, wat ze juridisch kan aangezien dochterbedrijven moeten doen wat hun moederbedrijven zeggen.

Microsoft gaat bezwaar maken tegen deze beslissing. Een goede zaak, want dan krijgen we eindelijk eens écht duidelijkheid over hoe ver Amerikaans clouddatagraaien nu mag gaan. (Overigens gaat het hier niet om de Patriot Act maar de Stored Communications Act, qua concept vergelijkbaar met ons Wetboek van Strafvordering. En nu vraag ik me dus af of onze wet ook zo te lezen zou zijn als toepasselijk op data op een in het buitenland gehoste server van een Nederlands bedrijf. Ik kan er alleen niets over vinden…

Arnoud

Vijf cloudzaken die belangrijker zijn dan de Patriot Act

Geplaatst op in Ondernemingsvrijheid, 24 reacties

cloud.pngWe gaan naar de cloud maar oh jee dat mag niet want de Patriot Act. Het meest gehoorde bezwaar tegen dienstverlening uitbesteden aan een cloudprovider. Met de Patriot Act in de hand kan de FBI ongegeneerd snuffelen in clouddata, ook als het gaat om Europese persoonsgegevens. En daarmee handel je in strijd met onze Wbp. Oh jee. Ja, toegegeven dat is een probleem. Maar in de praktijk heb ik dit nog nooit tot een écht conflict of overheidsoptreden zien leiden. Maar wat er wél in de praktijk misgaat, zijn deze vijf dingen.

  1. Data-export: ben je in staat je data te exporteren in een formaat waar je ook werkelijk mee kunt werken? Of zit alles ‘opgesloten’ in het formaat van de cloudleverancier en moet je met copypaste vanaf het scherm alles over zien te zetten naar je nieuwe leverancier?
  2. Continuïteit: wat ga je doen als de dienst niet meer beschikbaar is? Is er een lokale backup of een alternatief waarmee je tijdelijk door kunt? En vooral: wat ga je doen als de dienst ermee stopt, bv. vanwege faillissement of overname+stekkeruitname. Menig clouddienst(je) blijkt ineens verdwenen omdat de achterliggende startup er geen geld meer voor heeft.
  3. Beschikbaarheid: flauw maar wél belangrijk. Als een dienst er niet is terwijl je daar wel op rekent, dan gaat het mis. Heb je een Service Level Agreement afgesloten? Staan daarin de kerncijfers en prestatie-indicatoren die je echt nodig hebt? 99% uptime betekent 3,5 dag downtime per jaar. Dat klinkt misschien als te overleven, maar wat als dat elke week 2x een half uur storing midden op de dag is? En staat er echt een boete in het contract, of krijg je 1/30e van de maandelijkse vergoeding terug? En wat héb je daaraan?
  4. Datalekveiligheid: een species van beveiliging in het algemeen natuurlijk. Maar wel een belangrijke, want een datalek levert je een forse hoeveelheid slechte publiciteit op. En wanneer de Europese Privacyverordening van kracht wordt, komen er boetes op het laten lekken van persoonsgegevens. (Ook andere data wil je natuurlijk niet laten lekken, maar dan moet je de boete zelf contractueel afspreken.)
  5. Voorwaarden-billijkheid: de algemene voorwaarden van veel cloud- of SaaS-diensten zijn erg eenzijdig of bevatten opmerkelijke clausules. Zo wordt vaak tussen neus en lippen door een onbeperkt gebruiksrecht op de klantdata opgevraagd (nog net niet “Wij mogen uw foto’s op t-shirts verkopen” maar het scheelt niet veel) en

Missen jullie nog dingen? Wat zijn jullie problemen met clouddienstverleners, of juist met hun klanten?

Arnoud<br/> PS: meer weten over cloud, security & continuïteit? Kom naar onze training op 11 februari!

Ik wil niet in Apples adresboekcloud!

Geplaatst op in Privacy, Security, 18 reacties

adresboek-apple-icloudBij ict7 las ik over de nieuwe manier van adresboekbeheer van Apple in hun OS Mavericks:

[Het oude adresboek] was veilig, daar kwam geen ander tussen. Maar het nieuwe OS Mavericks heeft die mogelijkheid geschrapt. Nu kunnen adresgegevens en dergelijke alleen nog via iCloud naar een ander apparaat worden overgezet. Dat is natuurlijk niet zonder reden. Technisch was het geen enkel probleem geweest de ‘kabelmogelijkheid’ te handhaven. Dat Apple nu alleen nog maar de mogelijkheid biedt om dergelijke privédata via de servers van Apple over te zetten geeft te denken.

En dan dus de hamvraag: mag dat?

Een digitaal adresboek is hoe je het wendt of keert een verwerking van persoonsgegevens, en eentje die via de privacyschendende VS loopt ook nog. Dus daar heb je eigenlijk best wel een probleem.

Er is echter in de Wet bescherming persoonsgegevens een uitzondering die ik altijd de adresboekuitzondering noem, om precies deze reden:

Deze wet is niet van toepassing op verwerking van persoonsgegevens… ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden.

Het argument is dan dat een privéadresboek een “uitsluitend persoonlijk of huishoudelijk doel” dient, immers het is voor jou om je adressen bij te houden. Niemand anders leest het (de NSA daargelaten) en dan is het dus alleen voor jezelf. En daarmee ben je van álle regels uit de Wbp af. Je hoeft mensen neit te vertellen dat ze in je adresboek staan, en zelfs het enge exporteren naar de VS is geen probleem.

Bij een zakelijk adresboek gaat dit echter vrijwel meteen mank: ís dat wel “persoonlijk of huishoudelijk”? Een bedrijf is geen persoon en geen huishouden.

Als je dat zegt, dan mag een bedrijf dus niet haar klantenbestand in de iCloud stoppen. Maar óók niet zomaar in een eigenbeheeradresboek. Dat moeten ze dan rechtvaardigen bínnen de kaders van de Wbp. Dus: toestemming, uitvoering overeenkomst of dringende noodzaak als grondslag; informeren via een privacyverklaring of iets dergelijks dat men een adresboek heeft; inzage- en correctierecht op de adresgegevens en niet te vergeten een bewerkersovereenkomst met Apple sluiten zodat juridisch geregeld is dat zij netjes met je gegevens omgaan.

En nee dat werkt voor geen meter maar daarom wordt het dus de hoogste tijd voor een nieuwe privacywet. Helaas is de Privacyverordening een eindje uitgesteld, werking op zijn vroegst in 2016.

Arnoud

Mijn hoster heeft mijn data kwijtgemaakt, wat nu?

Geplaatst op in Security, 23 reacties

disc-data-weg-bewaren-kruis.jpgEen lezer vroeg me:

Ik host mijn website en de nodige bedrijfskritische data op een virtuele server beheerd door een Nederlands hostingbedrijf. Gisteren kreeg ik bericht dat de server offline is, omdat de leverancier van die hoster zijn dienstverlening heeft gestaakt (waarom is me onduidelijk). Nu ben ik dus mijn data kwijt! Kan ik mijn hoster daarvoor aansprakelijk stellen?

In principe ja. De hoster heeft contractueel beloofd de dienst van webhosting/datahosting te leveren, en hij doet dat niet. Dat is een contractuele wanprestatie en dan is hij aansprakelijk voor de schade die daaruit voortvloeit.

Natuurlijk wordt dat wel genuanceerd door de precieze afspraken. De algemene voorwaarden van de hoster kunnen bepalen wat er wel en niet hoeft te worden geleverd en met welke kwaliteit. Plus ze kunnen natuurlijk aansprakelijkheid beperken tot bv. een aantal maanden aan facturen of een vast maar laag bedrag. En dat is in principe bindend tegenover de klant.

Het feit dat de leverancier van de hoster niet meer levert, is niet het probleem van de eindklant, de vraagsteller dus. DIe heeft geen contract met die leverancier, dus de hoster lost het maar op. Downtime van zijn leverancier is gewoon zijn wanprestatie. Behoudens overmacht of expliciete algemene voorwaarden (“De backupdienst is mede afhankelijk van de beschikbaarheid van de Dropbox-service van het Amerikaanse bedrijf Dropbox Inc”) valt er dus wel wat te claimen bij dataverlies.

Daar staat wel tegenover dat je anno 2013 moet weten dat data kwijt kan raken. Het maken van backups lijkt me dan ook een volstrekt normale en te verwachten handeling voor ieder bedrijf dat bedrijfskritische data heeft. En dan kom je juridisch bij het begrijp ‘eigen schuld’ (art. 6:101 BW): dan wordt de schade verdeeld tussen de beide partijen. Wie zelf ook schuld heeft, moet zelf ook een stuk schade dragen.

Stelling: wie geen eigen backups maakt, verdient het gewoon 100% zelf de schade te moeten dragen van dataverlies.

Arnoud

Gebruikers Google Analytics schenden Nederlandse privacywet

Geplaatst op in Informatiemaatschappij, 23 reacties

analytics-cookie.pngGebruikers van Google Analytics hebben volgens de wet een aparte bewerkersovereenkomst nodig, maar Google weigert dit, zo las ik bij Webwereld. In een onderzoek van de privacytoezichthouder naar persoonsgegevensverwerkende smart TV’s kwam ook voorbij dat je zo’n overeenkomst moet afsluiten als je met Google Analytics werkt. Niemand doet dat, sterker nog niemand kán dat doen want Google vindt dat er geen sprake is van een privacyschending.

Wanneer je het verwerken van persoonsgegevens uitbesteedt, heet die andere partij een bewerker. De verantwoordelijke bepaalt wat er gaat gebeuren en hoe (doel en middelen), en de bewerker voert dat uit. Dit is geschreven voor situaties waarin je bv. een bedrijf inhuurt om een papieren mailing uit te doen naar je relaties of om een stukje van je dienstverlening uit te kunnen besteden. Maar de definitie past ook prima bij een clouddienst: de cloudgebruiker bepaalt wat er moet gebeuren en kiest de middelen – de clouddienst – en de dienstverlener voert dat simpelweg uit.

De wet schrijft voor dat je verplicht een bewerkersovereenkomst moet sluiten tussen verantwoordelijke en bewerker. Hierin komt te staan wat de bewerker mag doen (en wat vooral niet), welke beveiligingsmaatregelen hij moet nemen en hoe de verantwoordelijke op een en ander toezicht houdt. Dat moet dus ook in de cloud, en daar gaat het al snel mis want geen hond (cloudhond?) die zich daaraan houdt.

Nu zou je zeggen dat een partij als Google dat eenvoudig kan fixen. Maak een standaard bewerkersovereenkomst, zet die naast de gebruikersvoorwaarden (hij mag er niet ín, het moet een aparte overeenkomst zijn) en klaar is Sergey. Maar nee, Googles bedrijfsbeleid is dat Google Analytics geen persoonsgegevens verwerkt en men herkent zich niet in de mening van het Cbp.

Je kunt je afvragen óf er wel persoonsgegevens worden verwerkt met deze dienst. Zoals Webwereld schrijft,

TP Vision gebruikt first party cookies in plaats van third party tracking cookies, verwijdert het laatste octet van alle IP-adressen voordat ze worden opgeslagen, heeft de optie ‘gegevens delen’ in Google Analytics uitstaan en maakt geen gebruik van Google AdWords en AdSense.

Dit is de best practice van hoe je zo privacyvriendelijk mogelijk Google Analytics inzet. Maar nee, aldus het Cbp:

Voor Google zijn deze gegevens op zichzelf persoonsgegevens. De toegepaste maskering van het laatste octet van het IP-adres leidt weliswaar tot verminderde herleidbaarheid (een groep van maximaal 254 verschillende gebruikers), maar er is, door de aanwezigheid van bijkomende gegevens als tijdstip en URL-referrers, gedurende de verzameling van de gegevens door Google, geen onevenredige inspanning nodig om het surfgedrag en appgebruik tot een individuele betrokkene te herleiden.

Het feit dat Google het kán herleiden maakt Analyticsdata dus persoonsgegevens, ook als Google via de uitstaande optie ‘gegevens delen’ belóóft het niet te doen. Tsja. Dan houdt het wel een beetje op inderdaad met dit soort diensten, want herleiden kán vrijwel altijd.

Exit Google Analytics? Nou, dat denk ik niet. Net als met de cookiewet gaat dit massaal genegeerd worden. Het Cbp kan het wel een “waarschuwing aan de hele branche” noemen maar zonder boetes en handhavend optreden is dat geen echt compliance-afdwingende waarschuwing.

Arnoud

National Security Letters zijn tegen Amerikaanse grondwet, is de Amerikaanse cloud nu veilig tegen datagraaien?

Geplaatst op in Privacy, 22 reacties

cloud-flag-usaEen federale rechter heeft de beruchte national security letter ongrondwettig verklaard, meldde Wired vorige week. Het stukje dat bepaalde dat je niet mag melden dat je een datagraaibevel hebt gekregen, is tegen de grondwet – je moet elke overheidshandeling kunnen aanvechten bij de rechter, en bovendien is het sowieso tegen de vrijheid van meningsuiting als de overheid een wet met “je mag niet praten over” erin maakt. En vanwege een wetstechnisch probleempje is daarmee de gehele NSL-constructie van tafel, en niet alleen de gag order daaruit.

De NSL is het grote pijnpunt in de Patriot Act: de FBI mag met zo’n ding zonder gerechtelijk bevel datagraaien én kan de hostingprovider nog verbieden te melden dat er gegraaid is (“gag order”). Hoewel de scherpste kantjes er al enige tijd geleden vanaf gehaald waren, bleef het ding eng voor ons Europeanen. Zeker omdat er steeds meer geluiden kwamen dat de datagraaibevoegdheden uit de Patriot Act ook zouden gelden voor data opgeslagen in Europese datacenters en/of van Europese klanten.

Het ongrondwettig verklaren betreft echter alleen dat stukje van het FBI-graaien. De wet als geheel blijft overeind, en dus ook het stuk waarin men met gerechtelijk bevel data mag opvragen. Wat dat betreft verandert er dus maar weinig. Een gerechtelijk bevel is vrij eenvoudig te krijgen in de VS. En ook bij ons trouwens. Meer dan een machtiging van de rechter-commissaris is niet nodig, een provider die rekent op een rechtszaak om zijn standpunt te mogen verdedigen zal dus van een koude kermis thuiskomen.

Het grote bezwaar tegen de Amerikaanse cloud was echter met name dat FBI-graaien. Graaien met gerechtelijk bevel (= zo’n machtiging dus) mag ook bij ons, en is dus geen principe-bezwaar tegen hosten in de Amerikaanse cloud. Dus wat dat betreft

En ja, ik gebruik hier het hypewoord datagraaien en niet een neutrale term als “bevragingen bij dienstverleners van de informatiemaatschappij” of zo. Dat is natuurlijk vooral om mijn zoekmachinepositie te handhaven, want juridisch is het weinig bijzonders. Dat Justitie kan graaien in opgeslagen data is niets nieuws, hooguit de schaal waarop het gebeurt (van mega naar giga) is anders in de cloud. Maar we zijn kampioen aftappen van telefoongesprekken (in absolute aantallen) dus waarom zou het nu ineens wél gek zijn dat we ook veel dataopslag gaan tappen of doorzoeken?

Arnoud