Curatoren verkopen geregeld klantgegevens zonder toestemming na faillissement

| AE 11241 | Privacy | 19 reacties

Curatoren verkopen na bedrijfsfaillissementen geregeld klantgegevens door, waaronder die van failliete webwinkels. Dat meldde Tweakers woensdag. Zij baseren zich op onderzoek van De Groene Amsterdammer en onderzoeksplatform Investico. Zij bekeken verschillende faillissementen en de dataverkoop die daarmee gemoeid ging. Zo’n dataverkoop mag niet, en wie zegt van wel -of dat het ingewikkeld is- die heeft het keihard fout. Ik ergerde me dan ook rot aan het bericht. Ik wil best geloven dat niet iedere curator even diep in de AVG zit, maar de partijen die die data kopen die moeten gewoon weten dat ze privacyheling plegen.

Curatoren moeten natuurlijk de failliete boedel te gelde maken, en ik zie heus wel dat er geld te verdienen is met een lijst klantgegevens of relaties. Er zijn altijd partijen die daar geld voor geven. Deze praktijk speelt dan ook al vele jaren. Het belang van zo’n bestand was tien jaar terug niet zo heel erg groot, en je merkte er niet altijd wat van als je gegevens werden doorverkocht. Maar vandaag de dag is dat wel anders.

Onder de AVG zijn de regels vrij simpel: zowel de kopende als de verkopende partij moet een eigen grondslag hebben om dit te mogen doen. Dat je iets van een curator koopt, betekent nog niet dat je er wat mee mag doen. En als je er niks mee mag doen, dan mag je die gegevens niet hebben. Dataminimalisatie, verwijderplicht.

“Het belang van de boedel gaat gewoon voor”, zegt een curator dan. Zou hij dat ook zeggen bij een partij asbest of Viagra-pillen die hij in de boedel aantreft? Ik kan me het niet voorstellen. Ja, ik weet dat de AVG erg ingewikkeld kan zijn, maar denk dan cynisch wel altijd “vooral voor mensen die er baat bij hebben dat ze het niet begrijpen”. Want je voelt op je klompen aan dat databestanden met klantgegevens niet bedoeld zijn voor derden om reclame op te doen. Dus dan mag het niet.

Oké, het hielp niet dat de AP eind 2017 op haar website expliciet vermeldde dat curatoren wel die gegevens mogen verkopen. Maar die zin is snel weer weggehaald, en terecht. Ik blijf cynisch: tot 2017 was het dus heel onduidelijk hoe de wet werkte, ondanks dat de AP op diverse manieren aangaf dat het niet mocht. En in 2017 was het dan ineens wél duidelijk dat het mocht omdat de AP het zei, en nu de AP weer zegt dat het niet mag is het heel onduidelijk en dus blijven we het maar doen. Ik kan daar met mijn eenvoudige juristenpet niet bij.

Arnoud

Veel Nederlanders sturen werkbestanden naar privémailadres, mag dat?

| AE 10898 | Informatiemaatschappij | 16 reacties

Veel Nederlandse werknemers versturen weleens werkbestanden vanuit hun zakelijke mailbox door naar hun privémailadres, las ik bij Security.nl. Dat baseert zich op het recent verschenen Cybersecurity bewustzijnsonderzoek van Alert Online dat onder meer dan duizend Nederlanders werd uitgevoerd. Volgens het onderzoek zegt 15 procent van de respondenten dat ze dit “altijd of meestal” wel doen. 29 procent zegt soms wel, soms niet of meestal niet. Het onderzoek werd uitgevoerd door Motivaction in opdracht van Omnicom Public Relations Group (OPRG), dat de NCTV-campagne Alert Online organiseert. Ik kreeg van diverse mensen de vraag, kun je dit niet beter gewoon verbieden als werkgever?

Het kan natuurlijk een risico zijn om werkbestanden naar jezelf te mailen. Ik vermoed dat in de enquête vooral werd gedacht aan risico’s rondom de slechter beveiligde thuiscomputer, waardoor virussen er met de data vandoor kunnen gaan of deze door een foutje gemaild of geupload wordt naar een plek waar hij niet hoort. Idem voor privémailboxen die minder goed beveiligd zijn. Daarnaast zit je als bedrijf nog met AVG issues, een bestand met persoonsgegevens dat op deze manier mee naar huis gaat, kan best een datalek opleveren.

Vanwege deze risico’s kan ik me goed voorstellen dat een bedrijf haar medewerkers verbiedt om bestanden naar privéadressen te mailen en/of op sticks en dergelijke mee naar huis te nemen. Wel moet je als bedrijf dan goed hebben nagedacht hoe je het wil doen met thuiswerken, iets dat vaak de facto zeer zeker verwacht wordt van medewerkers. (Ze nemen die informatie immers niet voor niets mee naar huis.) Je kunt als goed werkgever niet enerzijds thuiswerken verlangen en anderzijds geen middel bieden om de benodigde data thuis te hebben.

In de comments zag ik nog de suggestie om werknemers aansprakelijk te stellen als ze zo’n verbod overtreden of een datalek veroorzaken door slechte beveiliging thuis. Dat gaat ‘m niet worden: juridisch gezien kun je werknemers gewoon niet privé aansprakelijk houden voor fouten die ze op het werk maken. En data meenemen naar huis om daar onveilig te werken, is gewoon een werkgerelateerde fout. Ook als het expliciet verboden is. Het arbeidsrecht is hier zeer op de hand van het personeel.

Ik ken werkgevers die om deze reden USB-poorten fysiek onbruikbaar maken en Gmail en consorten blokkeren. Dat is wat radicaal maar voorkomt een hoop ongewenste datatransporten. Je maakt het mensen dan weer wel moeilijker om hun werk te doen, dus daar moet je dan wat anders op verzinnen.

Arnoud

Het gaat bij AI niet om algoritmes, het gaat om de data die je erin stopt

| AE 10622 | Innovatie | 15 reacties

Steeds vaker lees ik over aandacht voor AI en algoritmes bij de politiek. Een goeie ontwikkeling, zeker omdat AI software steeds vaker ingezet wordt om bestuur te ondersteunen. Bijvoorbeeld het selecteren van cold cases waar potentie in zit of herkennen van potentiële onrust zodat je de geweldprotesten voor kunt zijn. Steeds vaker lees ik daarbij ook dat men inzicht wil in de algoritmes, en dát voelt voor mij als de verkeerde insteek. It’s the data, stupid.

Om een of andere reden is het woord ‘algoritme’ recent populair geworden als korte omschrijving voor computeranalyses waarmee dit soort zaken worden geregeld. Van het customizen van een newsfeed tot het detecteren van criminaliteit in historische politiegegevens, het heet allemaal “algoritme”. Ergens klopt dat ook wel: een algoritme is “een eindige reeks instructies die vanuit een gegeven begintoestand naar een beoogd doel leidt” (Wikipedia), en al die systemen gebruiken een serie instructies om gegeven een bak met data te komen tot het beoogde doel van een voorspelling.

Alleen: die stappenplannen of reeksen instructies zijn op zichzelf helemaal niet zo spannend of bijzonder. Meestal gaat het om machine learning algoritmes, die op zoek gaan naar samenhang tussen factoren in een groot databestand om zo tot voorspellingen te komen. We zien dat terechte klachten over partnermishandeling samengaan met het wonen in een rijtjeshuis, deze klacht komt uit een rijtjeshuis dus grote kans dat ie terecht is, ga er maar heen. (De achterliggende factor is dan dat buren het horen en bellen, wat meer zekerheid geeft.)

Het algoritme dat dit doet, is echter volstrekt niet ontworpen of aangepast om specifiek die samenhang te zoeken. Gooi je er honderdduizend telecomcontracten in inclusief opzegdatum, dan kan hij met dezelfde instructies uitrekenen welke klanten waarschijnlijk gaan verlengen en welke niet. Het algoritme hoef je daarvoor niet aan te passen, meer dan aangeven wat de uitvoervariabele moet zijn is het in de praktijk eigenlijk niet.

Het gaat om de data. Wat erin gaat, bepaalt wat eruit komt. Daar hebben we het al vaker over gehad: foute data erin is natuurlijk foute data eruit, of dat nu vooringenomenheid is, kortzichtige selectiviteit of typefouten doet er dan verder niet toe. Maar als je als politiek wat wilt doen aan de betrouwbaarheid en vooral de eerlijkheid van AI, dan moet je het niet hebben over de algoritmes maar over de data. De data bepaalt voor 100% wat het systeem gaat zeggen. Je wilt dus inzicht in de data, en regels over de data.

Arnoud

Univé verzekert gehackte pc consument

| AE 9764 | Security | 11 reacties

Verzekeraar Univé introduceert een verzekeringspakket waarmee consumenten hun pc of smartphone kunnen beschermen tegen hackers, las ik bij AMweb. Een speciaal kastje en een hulplijn moeten voorkomen dat het misgaat. Weten cybercriminelen je pc toch te vernielen dan vergoedt de coöperatieve verzekeraar de schade. En dat voor twaalf euro per maand. Ik kreeg er veel… Lees verder

Mijn hostingprovider weigert de DNS records van mijn domeinen te overhandigen!

| AE 9527 | Informatiemaatschappij, Intellectuele rechten | 15 reacties

Een lezer vroeg me: Voor een klant moeten we meerdere domeinnamen overnemen van de huidige hoster. Echter wil de hostingpartij huidige ingestelde DNS records niet overhandigen aan zowel de klant als ons, en er is ook geen toegang tot een online omgeving waar ik deze kan downloaden. Mag men dit zo weigeren? Ja, dat mag… Lees verder

Tot eigendom van data geregeld is, kun je maar beter goede backups maken

| AE 9517 | Informatiemaatschappij | 12 reacties

Wie data opslaat bij een online backupdienst, of gebruik maakt van een SaaS-dienst voor bijvoorbeeld boekhouding of klantenadministratie, zal al snel geneigd zijn te spreken van ‘zijn’ data. Logisch: die informatie is essentieel voor die persoon, en als hij het fysiek ergens opgeslagen had, dan waren die mappen of papieren ook gewoon zijn eigendom. Maar… Lees verder

Wat is het verschil tussen data delen en data verkopen?

| AE 9412 | Security | 10 reacties

Audiobedrijf Bose werd vorige maand aangeklaagd wegens het bespioneren van zijn gebruikers, las ik bij Nu.nl. De Bose Connect-app zou bijhouden naar welke muziek en podcasts gebruikers luisteren. Het bedrijf heeft de app aangepast, maar ontkent dat die data wordt verkocht aan derden. En dan lees ik “Het bedrijf ontkent echter niet dat de gegevens… Lees verder

Wordt het niet eens tijd om data-eigendom wettelijk te gaan regelen? #dimorefi

| AE 9167 | Informatiemaatschappij | 15 reacties

Langsgekomen bij de voorspellingen 2017: wordt het niet eens tijd om data-eigendom te gaan regelen? Data is de grondstof van de informatiesamenleving, maar juridisch gezien bestaat data niet bij diensten van diezelfde informatiemaatschappij. Dat is buitengewoon raar en leidt tot zeer onbillijke situaties. Tijd om er wat aan te gaan doen. Alleen: wát dan? Je… Lees verder