Wacht even, nu gaan privacytoezichthouders ook al notice/takedown verzoeken doen?

| AE 12974 | Privacy, Regulering | 15 reacties

De Ierse privacytoezichthouder DPC heeft noyb, de organisatie van privacyactivist Max Schrems, een take down request gestuurd waarin wordt verzocht een document te verwijderen. Dat meldde Security.nl vorige week. Het document is het conceptbesluit op noyb’s handhavingsverzoek tegen Facebook, waarin een opmerkelijke interpretatie van de AVG wordt geïntroduceerd die een joekel van een loophole oplevert. De DPC wil deze publicatie offline omdat ze interfereert met het overlegproces om het besluit te finaliseren.

Er is al jaren kritiek op de Ierse privacytoezichthouder omdat het niet zou optreden tegen techbedrijven, die vaak in Ierland hun Europees hoofdkantoor hebben. Iets wat de DPC ontkent. De nieuwe kritiek gaat over de opmerkelijke draai die Facebook op 25 mei 2018 maakte: vanaf toen hoefde niemand meer toestemming te geven onder de AVG voor wat Facebook deed, dat was sindsdien namelijk allemaal een noodzakelijk deel van de dienstverlening en voor verwerkingen die nodig voor een contractsuitvoering zijn, is geen toestemming nodig.

Ik ken werkelijk niemand behalve Facebook die met een serieus gezicht volhoudt dat “als wij in de voorwaarden zetten dat het nodig is, dan is het nodig” een valide interpretatie van de AVG is. Maar goed, nu dus de Ierse toezichthouder ook. Ik snap dus wel dat iemand als Schrems daar een publicatie over doet.

Dat valt juridisch een beetje slecht, want formeel is deze interpretatie van de DPC (disclaimer: er zijn geen aanwijzingen dat Facebook het conceptbesluit heeft voorgekookt of geschreven) slechts een concept, dat nu gedeeld wordt met belanghebbenden en andere toezichthouders, die dan commentaar mogen leveren, waarna er een definitief, openbaar besluit komt. Het is niet heel gebruikelijk dat conceptbesluiten in de pers komen, want er kunnen immers fouten in staan, slordigheden en ga zo maar door. Precies daarom wil je feedback verwerken voor je het besluit oplegt.

In veel procedures zijn dan ook expliciete geheimhoudingsregels opgenomen. De AVG kent die niet, en ook in de Ierse Uitvoeringswet AVG kan ik zoiets niet vinden. De DPC verwijst naar artikel 26 daarvan, maar zo te lezen gaat dat alleen over medewerkers van de DPC. Desondanks is de takedownbrief heel stellig: weg met die publicatie, en wel meteen. Maar wie als cynische jurist leest, komt tot de conclusie dat er veel bangmakerij staat maar géén “op grond van artikel 26 van de wet beveel ik u”. En reken maar dat een jurist die zin opneemt als hij daar aanleiding toe ziet, weinig dingen zo heerlijk als keihard in je recht te staan en met wapperende toga de wederpartij tot de orde te roepen.

De discussie wordt wat complex omdat noyb in de eerdere onderzoeksfase had toegezegd documenten vrijwillig geheim te houden om het onderzoek niet te schaden. De DPC citeert passages van noyb die zonder voorbehoud lijken te zeggen dat men die documenten gewoon, altijd geheim zal houden. noyb stelt daar tegenover dat de volledige toezeggingsmails duidelijk maken dat het alleen ging om de onderzoeksfase, die ondertussen allang is afgerond.

Ondertussen is het mij een raadsel wat de DPC dacht te bereiken nu hun conceptbesluit al wereldnieuws bleek te zijn geworden toen men de boze brief ging sturen.

Arnoud

Nee, geheimhouding bij ethical bug reporting is niet bindend

| AE 12954 | Security, Uitingsvrijheid | 13 reacties

De researcher die een ernstige bug bij messaging dienst Telegram meldde, heeft afstand gedaan van de $1000 beloning omdat er geheimhouding aan gekoppeld was, las ik bij Ars Technica. Als verantwoordelijk security-onderzoeker had Dmitrii (geen achternaam) deze netjes gemeld. Telegram moedigt dat ook aan, en je kunt zelfs een bug bounty krijgen. Maar het was nog moeilijk genoeg om de aandacht te krijgen, en toen die kwam, zat er een NDA aan vast. Daar hoef je geen genoegen mee te nemen als onderzoeker.

De bug betrof de zogenaamd zelfvernietigende afbeeldingen: deze bleven per abuis in de cache op telefoons staan, ook nadat gemeld was dat deze berichten verwijderd waren. Iets om te melden natuurlijk, maar makkelijk ging dat niet:

But for a simple bug like this, it wasn’t easy to get Telegram’s attention, Dmitrii explained. The researcher contacted Telegram in early March. And after a series of emails and text correspondence between the researcher and Telegram spanning months, the company reached out to Dmitrii in September, finally confirming the existence of the bug and collaborating with the researcher during beta testing. For his efforts, Dmitrii was offered a €1,000 ($1,159) bug bounty reward.
Voor die beloning moest Dmitrii wel een contract tekenen (van acht pagina’s), waarin een eeuwigdurende geheimhoudingsclausule opgenomen was. Wie in het goede gelooft, zal denken dat Telegram een foutje maakte: dit contract was namelijk een standaard consultancy agreement, waarmee Dmitrii als zzp’er zou werken aan het melden van de bug zeg maar. Niet raar om daarin geheimhouding op te nemen, maar wél raar om dat contract als basis te gebruiken voor het afhandelen van een melding.

Wie niet in het goede gelooft, zal concluderen dat Telegram Dmitrii de mond wilde snoeren met een wurgcontract. (Excuses, mijn metaforen botsen soms.) Ik geloof zelf altijd meer in incompetentie: de persoon die de tip van Dmitrii kreeg, had geen idee waar het over ging en pakte toen maar het best passende contract, iemand wil wat voor ons doen en mijn baas zegt dat dat mag, dan is deze persoon dus een ingehuurde consultant.

De les voor de meelezende security researchers, ethical hackers en ander goedwillend volk: je hoeft zulke dingen niet te tekenen, ongeacht wat een bedrijf zegt. Als je ongevraagd een fout opspoort, dan is melden je goed recht maar zeker niet je plicht. Meteen naar buiten met de bug mag ook, het is vooral dat het nétjes is om even zestig dagen te wachten voordat je dat doet zodat de impact bij het bedrijf redelijkerwijs wat gedempt wordt. Natuurlijk zijn hier allemaal weer uitzonderingen op, maar geen van die komen neer op “je hebt toestemming van het bedrijf nodig om te publiceren wat er mis ging”.

Een bedrijf kan op zich een beloning koppelen aan een eeuwigdurende geheimhouding, dat dan weer wel. Want omgekeerd zijn zij niet verplicht om mensen te betalen die ongevraagd bugs komen melden. De enige echte uitzondering daarop zou zijn als er een bug bounty programma is gepubliceerd waarin staat dat je na x dagen mag publiceren, en je dan zo’n eeuwige NDA opgelegd krijgt.

Arnoud

Kun je de stagiair aansprakelijk houden voor 600 te vervangen sloten?

| AE 12550 | Informatiemaatschappij, Privacy | 20 reacties

We kennen allemaal het stagiair-excuus: bij de meest uiteenlopende problemen (vaak de beschamende) wordt er dan gauw gezegd dat de stagiair het heeft gedaan. Lekker makkelijk, denk ik dan altijd, het is jóuw stagiair dus daar had je wel even mogen opletten. Maar bij dit Duitse geval weet ik het even niet. Deze stagiair was zo blij met zijn nieuwe werkplek dat hij trots via WhatsApp een foto stuurde naar zijn vrienden. Met de hoofdsleutel (loper) in zijn handen. En is dat een probleem? Eh ja, reageren nu alle securityminded lezers van deze blog: dan kunnen derden die foto gebruiken om de loper na te maken. Eh, echt, reageren nu de overige lezers. Ja, echt. En het ging hier om de hoofdsleutel van de gevangenis van Heidering (Duitsland).

Als je met een beetje recente smartphone een foto maakt, staat die standaard op een enorm aantal megapixels ingesteld. Deel je dat dan via WhatsApp of ander medium, dan gaan al die megapixels mee ook al toont je scherm maar een 13×5 centimeter versie. Maar 8 megapixels is bijvoorbeeld al tot 90×60 centimeter nog perfect op een poster te drukken, en met een béétje pixels dus meer dan een vierkante meter.

Zo’n formaat is méér dan genoeg voor een reproductie in een 3d printer, waar de app KeyMe reclame voor maakt. Of zoals hier met gewoon ouderwets knutselwerk en een blanco sleutel. Menig slotenmaker waarschuwt dan ook tegen het publiceren van zulke foto’s. (Oh ja, ook omdat veel eenvoudige sloten een genummerde sleutel hebben die je gewoon kunt bijbestellen.)

Omdat het hier gaat om de hoofdsleutel van een gevangenis, wil je geen risico lopen. Alle sloten vervangen dus, en dat is een dure grap: volgens experts kost zo’n omvangrijke operatie ongeveer 50.000 euro. Wat ik wel wil geloven, hoewel ik me wel af zit te vragen waarom juist in een gevangenis sleutels worden gebruikt die kennelijk zo makkelijk te kopiëren zijn. Er zijn immers ook beveiligde/gecertificeerde sloten, die bijvoorbeeld een chip van binnen hebben of aan twee kanten aparte patronen hebben. En dan is een foto van één zijde niet genoeg.

Afijn, de juridische vraag was dus of de kosten verhaald kunnen worden. Dat lijkt me sterk. Werknemers – en stagiairs rekenen we voor het gemak daaronder als dat zo uitkomt – zijn in principe namelijk gewoon niet aansprakelijk voor hun fouten, dat is de werkgever. Slechts bij opzet of bewuste roekeloosheid is verhalen mogelijk, en dat is een héle hoge lat. Bewust roekeloos is het juridisch gezien pas als je wist van het risico maar dacht dat de kans aanzienlijk groter was dat er niets zou gebeuren (Pollemans/Hoondert, voor de juristen). De werkgever moet minimaal kunnen aantonen dat objectief gezien de werknemer zich daadwerkelijk bewust moest zijn van het roekeloze karakter (Dieteren/Express).

Dat argument zie ik hier niet opgaan. Weliswaar wordt er dus op allerlei plekken gewaarschuwd voor dit risico, maar ik heb desondanks niet het idee dat ‘men’ in het algemeen dit weet, en dat is zo ongeveer wel wat je nodig hebt. Ik ken iemand die een tijdje de gewoonte had om bij Instagramfoto’s van sleutels bij nieuwe woningen (“Yesss op mezellef”) daar een 3d printje van op te sturen als waarschuwing. Maar dat werd nooit ontvangen als “oh ja da’s waar ook, slordig van me”.

Dit nog even los van het idiote idee dat een stagiair 50.000 euro heeft of dat iemand ermee geholpen is dat een stagiair jarenlang gaat betalen om dit goed te maken.

Arnoud

Onder afwitvlakjes spieken in een PDF bestand kan juridisch problematisch zijn

| AE 11269 | Regulering | 11 reacties

De gemeente Barneveld mag ‘onzichtbaar’ gemaakte informatie van een grondverwerkingsbedrijf niet gebruiken, las ik bij Security.nl. De rechtbank bepaalde dat hoewel de witte vlakjes in de aangeleverde PDF bestanden met de informatie weg te halen waren, de intentie van het bedrijf was om die informatie niet te geven. Daarom mag de gemeente dat dan ook… Lees verder

Verklap je iets over Koningsdag in Amersfoort? 25.000 euro boete

| AE 11213 | Informatiemaatschappij | 16 reacties

Mensen die op wat voor manier dan ook betrokken zijn bij de voorbereiding van Koningsdag hebben van de gemeente moeten tekenen voor geheimhouding. Als ze toch iets vertellen over de voorbereidingen, kan dat een boete opleveren van 25.000 euro. Dat las ik en als contractsjurist viel ik van mijn stoel. Zo’n dwangsom mag helemaal niet,… Lees verder

Hoe een Tweet een voorgenomen overname ongeldig maakte

| AE 9443 | Informatiemaatschappij | 6 reacties

Een deal van energiebedrijf Eneco met Nigeria ketste af vanwege een tweet, las ik in het Financieele Dagblad. De onderhandelingen over de verkoop mislukten doordat het kopende bedrijf, 3D Hi Tech Systems, een tweet stuurde over de deal voordat deze was beklonken. Eneco wilde haar Enecogen-energiecentrale verkopen. Uit het vonnis blijkt dat 3D Hi Tech… Lees verder

Californië neemt antikritiekvoorwaardenwet aan, moeten wij dat ook?

| AE 6967 | Uitingsvrijheid | 17 reacties

De staat Californië heeft een wet aangenomen die antikritiekbedingen in algemene voorwaarden verbiedt, las ik in de Washington Post. Met zo’n voorwaarde proberen bedrijven te voorkomen dat men negatieve recensies krijgt, die de reputatie en inkomsten van bedrijven behoorlijk kunnen aantasten. Zou zoiets ook in Nederland nodig zijn? De populariteit van recensiesites is zodanig groot… Lees verder

Mag een reparateur zomaar rondkijken in de bestanden op je pc?

| AE 6260 | Ondernemingsvrijheid, Security | 9 reacties

Een lezer vroeg me: Is het een reparateur van een pc toegestaan om in de bestanden op de pc rond te snuffelen? Er kan vertrouwelijke of zelfs beursgevoelige informatie op staan. Maar reparateurs vinden af en toe ook ranzige inhoud die aan de politie wordt gerapporteerd. Dat is dus kennelijk wel toegestaan. Waar liggen de… Lees verder

Als werknemer op persoonlijke titel een geheimhoudingsovereenkomst tekenen, kan dat?

| AE 6200 | Ondernemingsvrijheid | 21 reacties

Een lezer vroeg me: Ik ben gedetacheerd bij een opdrachtgever (A) die me een geheimhoudingsverklaring liet tekenen. Mijn formele werkgever (B) heeft sinds kort een algemene back-upoplossing, waarmee ook data van opdrachtgever A wordt geback-upt omdat die nu eenmaal op mijn laptop staat. Ben ik nu in overtreding van die geheimhoudingsverklaring? Het gebeurt vaak dat… Lees verder