Mag een kinderdagverblijf voor hun activiteiten-app eisen dat je Google of Facebook gebruikt?

| AE 11125 | Ondernemingsvrijheid, Privacy | 43 reacties

Een lezer vroeg me:

De kinderopvang waar mijn kinderen naartoe gaan hebben onlangs een contract gesloten met Bitcare voor hun management en registratie van wat er zoal gebeurt gedurende de dag. Echter, registreren kan alleen door je via een ‘identity provider’ aan te melden. Je hebt een Google, Microsoft of Facebook account nodig zodat het bedrijf je kan koppelen aan je kinderen, en zodat ze in contact met je kunnen komen indien nodig. Maar ik wil dat helemaal niet, mijn gegevens hoeven niet naar die Amerikaanse datagraaiers. Kunnen ze dit zomaar doen?

Bitcare is een van diverse dienstaanbieders gericht op communicatie tussen ouders en kinderopvang, bso en dergelijke. Het idee is dat je zo makkelijk allerlei informatie kunt verstrekken op een veilige manier, inclusief foto’s van je kinderen tijdens de dag. De dienst legt uit wat het inhoudt:

Met Bitcare zullen gedurende de dag activiteiten en foto’s online met u gedeeld. Via een app en website kunt u zien hoe laat uw kind heeft geslapen, gegeten en gedronken en welke leuke activiteiten er met de kinderen zijn ondernomen. Ook kunt u de planning bekijken en verzoeken indienen omtrent vakanties, ziekte, extra dagen en ruildagen. Daarnaast kunt u chatten met leidsters op de groep. Met Bitcare blijft u altijd op de hoogte van alle gebeurtenissen en de ontwikkeling van uw kind(eren). Zo kunt u zorgeloos werken en hoeft u niets te missen!

Om dit goed te laten werken, moet de dienst natuurlijk de identiteit van ouders vaststellen alvorens ze een account te geven. Dat kunnen ze natuurlijk zelf doen, maar dat is in dit geval uitbesteed aan Facebook, Google of Microsoft als identity provider. In de kern komt het er dan op neer dat je daar moet inloggen en dat het resultaat wordt teruggemeld aan Bitcare, waarna die weet wat je echte naam is.

Deze insteek zie ik vaker sinds de AVG. Het achterliggende idee is dan dat Facebook, Google of Microsoft beter in staat zijn je gegevens te beschermen dan zo’n kleine club als een kinderopvang. De authenticatie is dan dus veiliger en betrouwbaarder. Daar is weinig tegenin te brengen, dus de zorg gaat dan vooral over wat er nog meer gebeurt met die gegevens.

Bitcare zelf doet eigenlijk niets met Facebook-gegevens, noch andersom:

Bitcare gebruikt na toestemming dan ook alleen uw naam en e-mail adres, zodat mocht het nodig zijn er contact met u opgenomen kan worden. We hanteren strenge privacy regels voor u en uw kind en Bitcare zal nooit deze gegevens misbruiken. Bitcare heeft verder geen toegang tot uw Google, Microsoft of Facebook account en de bovenstaande partijen hebben ook geen toegang tot de Bitcare gegevens.

Eerlijk gezegd zie ik in die situatie weinig reden om hier bang voor te zijn. Een verhoogd risico door gebruik van deze authenticatie bij deze dienst is er volgens mij niet. Als je bang bent voor wat Google, Microsoft of Facebook doen, dan snap ik dat maar deze specifieke toepassing zal de bedreigingen weinig versterken.

Een alternatief bieden in de zin van een eigen authenticatiedienst kan natuurlijk, maar voelt nogal omslachtig en geeft bovendien extra risico’s rond identiteitsfraude, foutjes bij de administratie en ga zo maar door. Ik zou de stelling wel aandurven dat je minder veilig bent met eigen formuliertjes dan met een Microsoft als identity provider.

Wat denken jullie?

Arnoud

Komt een man met een knots geheime documenten bij Facebook halen

| AE 10985 | Regulering | 17 reacties

Dat Engelse recht heeft toch wel zo z’n charme. Het Britse parlement heeft van uitzonderlijke bevoegdheden gebruik gemaakt om interne papieren van Facebook te bemachtigen die info bevatten over de zaak-Cambridge Analytica, las ik bij Tweakers. Eén daarvan was dat de Serjeant at arms van het Parlement fysiek langs ging bij deze meneer, en dat is opmerkelijk want deze is bevoegd met een knots (de Royal Mace) op te treden als dat noodzakelijk is. Gelukkig bleek lijfsdwang genoeg om de documenten te verkrijgen. Maar de juridische vraag blijft, hoezo mag het Britse parlement Amerikaanse geheime documenten ophalen bij een Amerikaan?

Nou, omdat ‘ie in Engeland was, natuurlijk. Rechtsmacht kan soms zo simpel zijn als “je bent hier, dus doe wat ik zeg”. Zeker als je een Royal Mace in je knuist mag houden als je dat zegt. Helaas maken de Engelse publicaties over de zaak niet precies duidelijk op welke wat de bevoegdheid is gebaseerd, maar ik geloof onmiddellijk dat er zo’n bevoegdheid is gezien de brede macht die het Britse parlement onder de wet heeft.

Natuurlijk botst zo’n inbeslagname met het Amerikaans recht waaronder de documenten zijn verkregen. Ze waren in bezit van de Amerikaanse startup Six4Three, dat in een rechtszaak met Facebook gewikkeld is en in het kader van discovery toegang had gekregen tot geheime documenten van Facebook. Zo werkt dat in de VS: bij een rechtszaak moet je alle relevante informatie, bedrijfsgeheim of niet, aan de wederpartij geven. Doe je dat niet, dan ga je de cel in – contempt of court. (De Amerikaanse bailiff heeft dan weer geen ceremoniële knots maar wel een heel dik pistool.)

Als je een geheim document hebt gekregen in discovery, dan moet je het natuurlijk wel geheimhouden en alleen gebruiken voor die rechtszaak. En dat is ook waarom Facebook nu protesteert; het gebruik door het Parlement is natuurlijk een heel ander soort dan waarvoor zij het – in de VS ook nog – hadden verstrekt aan Six4Three. Maar dat is een probleem tussen Facebook en haar wederpartij in die rechtszaak, het Britse parlement is niet gebonden aan Amerikaanse procesrechtelijke voorwaarden.

In Nederland zou in principe zoiets ook kunnen door gebruik te maken van de bevoegdheden van de Autoriteit Persoonsgegevens. Artikel 5:20 Awb bepaalt namelijk:

1. Een ieder is verplicht aan een toezichthouder binnen de door hem gestelde redelijke termijn alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden.
2. Zij die uit hoofde van ambt, beroep of wettelijk voorschrift verplicht zijn tot geheimhouding, kunnen het verlenen van medewerking weigeren, voor zover dit uit hun geheimhoudingsplicht voortvloeit.

Er is dus maar héél weinig ruimte om te weigeren een document af te geven, en het is zeer de vraag of een Amerikaanse geheime discoveryprocedure valt onder dat lid 2. Dus in Nederland had dit ook zo gekund. (Wij hebben niets dat in de buurt komt van de Royal Mace maar twee potige politieagenten in je hotelkamer zal natuurlijk ook erg overtuigend werken.) En in theorie ook wanneer ons Parlement een Parlementaire Enquête had uitgevoerd, want heel simpel staat in artikel 6 lid 1 Wet op de Parlementaire Enquête:

De commissie kan inzage in, afschrift van of kennisneming op andere wijze van documenten vorderen.

En dat geldt nadrukkelijk óók als je daardoor in de knel komt met je wettelijke geheimhouding (artikel 15). Wel kan de enquêtecommissie besluiten om het document vertrouwelijk te behandelen of om de gesprekken erover achter gesloten deuren te voeren.

Puur juridisch gezien is er dus niets opvallends aan. Zo’n hoog instituut als het Parlement behoort vele bevoegdheden te hebben gezien de aard van hun onderzoek en macht. Maar het blijft een smeuïg verhaal natuurlijk.

Arnoud

Beheerders Facebook-pagina zijn medeverantwoordelijk voor dataverwerking

| AE 10651 | Privacy, Uitingsvrijheid | 11 reacties

Het Europese Hof van Justitie heeft in een uitspraak bepaald dat de beheerder van een Facebook-pagina samen met Facebook als gezamenlijk verantwoordelijke moet worden gezien als het gaat om de verwerking van persoonsgegevens. Dat meldde Tweakers vorige week. Deze juridische term houdt in dat beide partijen samen bepalen wat er gebeurt met persoonsgegevens, en elk aansprakelijk zijn voor de gehéle verwerking. Was deze blog kort door de bocht, dan ware de conclusie dat iedere Facebookpaginabeheerder dus aansprakelijk is voor wat Facebook doet met gegevens van groepsgenoten. Auw.

De uitspraak (zaak ECLI:EU:C:2018:388) was onder de Richtlijn (en wat wij de Wbp zouden noemen) maar de begrippen zijn onder de AVG hetzelfde, zodat de uitspraak nog steeds van belang is. En uit de feiten maak ik op dat het om de zogeheten fanpagina’s gaat, waarbij je als beheerder bepaalde statistieken te zien krijgt over je bezoekers, waarbij onder meer cookies worden ingezet die tot personen te herleiden zijn.

Een Duitse toezichthouder had een beheerder van zo’n pagina aangesproken op haar plicht bepaalde gegevens te verwijderen, maar die weigerde dat omdat niet zij maar Facebook verantwoordelijk zou zijn hiervoor. Dat leidde tot een rechtszaak die nu bij het Hof van Justitie uitkwam. En die concludeert niet verrassend dat primair Facebook de verantwoordelijke is, omdat Facebook bepaalt hoe haar platform werkt en wat er mogelijk is.

Wél verrassend is dat zij ook de beheerder van zo’n pagina aanmerkt als (mede-)verantwoordelijke. Die besluit immers zo’n pagina op te zetten, waar mensen lid van kunnen worden en zo gegevens achterlaten. Zonder die ingreep waren die persoonsgegevens rondom interesses over die pagina (zeg maar) er niet gekomen, dus daarvoor ligt de verantwoordelijkheid bij deze beheerder. Dat je als beheerder alleen anonieme gegevens krijgt van Facebook, maakt niet uit – in de definitie van gezamenlijk verantwoordelijke staat niet dat je beiden bij alle persoonsgegevens moet kunnen.

De belangrijkste implicatie van het arrest is dat je als persoon kunt eisen dat gegevens van jou worden verwijderd bij zo’n fanpagina, en dat de beheerder zich niet mag verschuilen achter Facebook. Je moet dus echt zelf aan de bak en ook zelf aangeven welke gegevens je verzamelt en wat je daarmee doet.

Maar pijnlijke bijkomstigheid is dat je dus óók (mede-) aansprakelijk bent voor datalekken, slechte beveiliging en andere fouten die je zakenpartner Facebook vergaart. Oké, dat mag je wettelijk gezien op haar verhalen maar dat is natuurlijk niet helemaal realistisch.

Arnoud

Natuurlijk is die Facebook tracking pixel hartstikke illegaal onder de AVG (tenzij je toestemming vraagt)

| AE 10531 | Privacy | 22 reacties

Zorgverzekeraars die gegevens van hun websitebezoekers met behulp van een tracking-pixel naar Facebook verstuurden, overtraden mogelijk de wet. Dat zegt de Autoriteit Persoonsgegevens tegenover Nu.nl. Met deze pixel houdt het bedrijf bij welke pagina’s je zoal leest, om je dan op Facebook gerichte reclame te kunnen tonen. Dat ligt dan gevoelig als die pagina’s medische… Lees verder

Hoe kan Facebook legaal gezichten gaan scannen onder de AVG?

| AE 10513 | Privacy | 10 reacties

Als voorbereiding op de AVG gaat Facebook gezichtsherkenning aanzetten voor Europese gebruikers die dat willen, las ik bij de socialenetwerksite. Dat is verrassend, omdat ze het in 2011 uitgezet hadden na klachten dat de (Duitse) Wbp werd overtreden met deze feature. Doel van de nieuwe feature is te zorgen dat mensen in kunnen grijpen als… Lees verder

Facebook overtreedt Belgische privacywet door volgen niet-gebruikers

| AE 10406 | Privacy | 22 reacties

Facebook overtreedt de Belgische privacywet door het internetgedrag te volgen van mensen die geen account bij het sociale netwerk hebben. Dat meldde Nu.nl zaterdag. De vind-ik-leuk knopjes die alomtegenwoordig zijn, zetten cookies en gebruiken andere trackingtechnieken om internetgedrag op te slaan. Ook bij mensen die geen klant (product?) zijn van het sociaal netwerk, en dat… Lees verder

‘Overheid kan nepnieuws op digitale platformen aanpakken’

| AE 10074 | Ondernemingsvrijheid, Uitingsvrijheid | 37 reacties

De overheid kan verschillende maatregelen nemen om te voorkomen dat digitale platforms als Facebook, Google en Amazon misleidende informatie doorgeven. Dat meldde Nu.nl op gezag van een CPB-rapport dat waarschuwt tegen de snelle groei en steeds kleiner wordende transparantie van deze platformaanbieders. Met name de aanbeveling voor een vergunningenstelsel springt in het oog. Digitale platforms… Lees verder

Van wie is de Facebookpagina van een bekende Nederlander?

| AE 9738 | Ondernemingsvrijheid | 59 reacties

“Mijn vorige werkgever zegt: die heb je onderhouden tijdens werktijd, dus die is van ons.” Aldus DJ Giel Beelen in het AD vorige week. De ex-werkgever van de DJ claimt eigenaar te zijn van de Facebookpagina, omdat deze onder werktijd werd onderhouden. Mogelijk een reactie op dat akkefietje vorige week met de ‘gehackte’ muziek. Maar… Lees verder