Mag een kinderdagverblijf voor hun activiteiten-app eisen dat je Google of Facebook gebruikt?

| AE 11125 | Ondernemingsvrijheid, Privacy | 43 reacties

Een lezer vroeg me:

De kinderopvang waar mijn kinderen naartoe gaan hebben onlangs een contract gesloten met Bitcare voor hun management en registratie van wat er zoal gebeurt gedurende de dag. Echter, registreren kan alleen door je via een ‘identity provider’ aan te melden. Je hebt een Google, Microsoft of Facebook account nodig zodat het bedrijf je kan koppelen aan je kinderen, en zodat ze in contact met je kunnen komen indien nodig. Maar ik wil dat helemaal niet, mijn gegevens hoeven niet naar die Amerikaanse datagraaiers. Kunnen ze dit zomaar doen?

Bitcare is een van diverse dienstaanbieders gericht op communicatie tussen ouders en kinderopvang, bso en dergelijke. Het idee is dat je zo makkelijk allerlei informatie kunt verstrekken op een veilige manier, inclusief foto’s van je kinderen tijdens de dag. De dienst legt uit wat het inhoudt:

Met Bitcare zullen gedurende de dag activiteiten en foto’s online met u gedeeld. Via een app en website kunt u zien hoe laat uw kind heeft geslapen, gegeten en gedronken en welke leuke activiteiten er met de kinderen zijn ondernomen. Ook kunt u de planning bekijken en verzoeken indienen omtrent vakanties, ziekte, extra dagen en ruildagen. Daarnaast kunt u chatten met leidsters op de groep. Met Bitcare blijft u altijd op de hoogte van alle gebeurtenissen en de ontwikkeling van uw kind(eren). Zo kunt u zorgeloos werken en hoeft u niets te missen!

Om dit goed te laten werken, moet de dienst natuurlijk de identiteit van ouders vaststellen alvorens ze een account te geven. Dat kunnen ze natuurlijk zelf doen, maar dat is in dit geval uitbesteed aan Facebook, Google of Microsoft als identity provider. In de kern komt het er dan op neer dat je daar moet inloggen en dat het resultaat wordt teruggemeld aan Bitcare, waarna die weet wat je echte naam is.

Deze insteek zie ik vaker sinds de AVG. Het achterliggende idee is dan dat Facebook, Google of Microsoft beter in staat zijn je gegevens te beschermen dan zo’n kleine club als een kinderopvang. De authenticatie is dan dus veiliger en betrouwbaarder. Daar is weinig tegenin te brengen, dus de zorg gaat dan vooral over wat er nog meer gebeurt met die gegevens.

Bitcare zelf doet eigenlijk niets met Facebook-gegevens, noch andersom:

Bitcare gebruikt na toestemming dan ook alleen uw naam en e-mail adres, zodat mocht het nodig zijn er contact met u opgenomen kan worden. We hanteren strenge privacy regels voor u en uw kind en Bitcare zal nooit deze gegevens misbruiken. Bitcare heeft verder geen toegang tot uw Google, Microsoft of Facebook account en de bovenstaande partijen hebben ook geen toegang tot de Bitcare gegevens.

Eerlijk gezegd zie ik in die situatie weinig reden om hier bang voor te zijn. Een verhoogd risico door gebruik van deze authenticatie bij deze dienst is er volgens mij niet. Als je bang bent voor wat Google, Microsoft of Facebook doen, dan snap ik dat maar deze specifieke toepassing zal de bedreigingen weinig versterken.

Een alternatief bieden in de zin van een eigen authenticatiedienst kan natuurlijk, maar voelt nogal omslachtig en geeft bovendien extra risico’s rond identiteitsfraude, foutjes bij de administratie en ga zo maar door. Ik zou de stelling wel aandurven dat je minder veilig bent met eigen formuliertjes dan met een Microsoft als identity provider.

Wat denken jullie?

Arnoud

Google mag recht om vergeten te worden tot EU beperken, aldus advocaat-generaal

| AE 11061 | Privacy | 9 reacties

Google hoeft zoekresultaten die het verwijdert vanwege het Europese recht om vergeten te worden, niet op al zijn domeinen te verwijderen, maar alleen voor bezoekers binnen de EU. Dat las ik bij Tweakers onlangs. De advocaat-generaal aan het Hof van Justitie kwam in een recente analyse tot dit advies in een zaak tussen Google en de Franse Autoriteit Persoonsgegevens. Het advies weegt vaak zwaar bij het Hof van Justitie, maar is formeel niet bindend. Het is wel een mooi compromis tussen het belang te worden vergeten en het informatiebelang van anderen, zeker als je het vanuit wereldwijd perspectief bekijkt.

Sinds 2014 spreken we van een recht te worden vergeten in zoekresultaten bij diensten zoals Google. Wanneer zoekresultaten bij opdrachten rond jouw naam of jouw persoon bepaalde verouderde, irrelevante en gênante resultaten tonen, dan heb je het recht die te laten verbergen. Bij de bronsite blijven ze gewoon staan (het recht op een integer archief weegt zwaarder dan je privacy, tenzij publicaties onrechtmatig waren) maar ze zijn daarmee veel moeilijker te vinden. Met deze uitspraak wilde het Hof een balans zoeken tussen de privacy van mensen die steeds oude zoekresultaten terug zien komen, en de behoefte van anderen om informatie over mensen te vinden.

Google gaf op zich gehoor aan de uitspraak, maar kwam wel meteen met een restrictie: alleen bij zoekopdrachten vanuit de EU. Wie bijvoorbeeld met een vpn naar google.com gaat, kan gewoon ‘verboden’ zoekresultaten opvragen. De CNIL (de Franse Autoriteit Persoonsgegevens, zeg maar) vond dat ook dit in strijd was met de privacy: vergeten is vergeten, ongeacht IP-adres. De zaak kwam daarmee bij het Hof van Justitie, en haar onafhankelijk juridisch adviseur doet nu dus suggestie om het vergeetrecht Europees te beperken.

De belangrijkste reden lijkt te zijn dat de wetgeving (de oude Richtlijn, en nog niet de AVG) niet duidelijk maakt wanneer deze territoriaal van toepassing is bij internetdiensten als deze. Het gaat dan nogal ver om een wereldwijde verplichting af te leiden uit zo’n wet. Bij de AVG zou dat anders kunnen zijn, omdat de regels daar (artikel 3) veel breder te lezen zijn. Maar daar gaat deze zaak niet over.

Ook is de advocaat-generaal bezorgd over escalatie: als de EU buitenlandse dienstverleners gaat vertellen wat ze moeten blokkeren, gaan andere landen misschien Europese dienstverleners ook dergelijke dingen opleggen, of hun eigen dienstverleners opdragen om Europese bezoekers minder informatie te geven. Een informatieoorlog is wel het laatste waar je op zit te wachten.

Alles bij elkaar lijkt het dan ook het beste om te gaan voor een Europees vergeetrecht. Ik ben het daar wel mee eens: voor Europeanen is er zo een redelijke balans tussen privacy en informatievrijheid. Wie de informatie écht nodig heeft, kan met extra moeite deze wel vinden. Desnoods door bij de individuele bronnen zelf te gaan zoeken, of dus met een VPN bij een buitenlandse zoekmachine. Dan is er dus een stevig informatiebelang (waarom anders die moeite doen) en dat rechtvaardigt dan het kunnen vinden.

Arnoud

Mag Google Spotify (en alleen Spotify) in haar Android Klok stoppen?

| AE 10755 | Informatiemaatschappij | 11 reacties

De Klok-applicatie van Android, die gebruikt kan worden om wekkers te zetten, krijgt Spotify-integratie. Dat meldde Tweakers vorige week. De integratie maakt het mogelijk om muzieknummers of afspeellijsten van de streamingdienst als wekker te gebruiken. Andere diensten (zoals Deezer) komen er niet in, wat in de comments de vraag opriep of dat wel mag van het mededingingsrecht. Immers, Google mocht ook niet haar eigen apps naar voren schuiven bij Android-licenties.

Het bundelen van twee zaken kan bij een grote machtige marktpartij inderdaad al snel tegen het mededingingsrecht aanlopen. De kans is dan immers aanwezig dat het publiek dat tweede ding eigenlijk niet wil hebben, maar vanwege de machtspositie rondom het eerste ding zich gedwongen voelt de bundel toch maar te kopen. Dit was de reden voor die boete: Google eiste dat alle Google-apps op een smartphone kwamen als je Android met Play Store erop wilde zetten. Smartphonefabrikanten wilden dat laatste graag, maar zagen zich zo gedwongen om dan ook maar de Google apps mee te leveren.

Hier gaat het dus om de integratie van Spotify in een standaardapp van Google, de klok/wekker. Dat is niet helemaal hetzelfde, het gaat er hier niet omdat je verplicht Spotify moet afnemen als je de klok wil (of andersom). Het is hier meer dat je als concurrerende streamer op achterstand komt omdat jouw streamingmuziekdienst niet in die klok kan, zodat mensen niet wakker kunnen worden met jouw muziek.

Je zou dat kunnen zien als een oneerlijk speelveld gecreëerd door Google. Of misschien wel door Spotify, die heeft immers ook een machtspositie op de streamingmarkt en zou wellicht exclusiviteit bij Google hebben geëist: als je wilt dat wij naar je klok streamen, dan geen optie om concurrenten ook te laten streamen.

Toch kun je je afvragen of dit mededingingsrechtelijk een probleem is. Een streamingdienst kan immers eenvoudig een klok/wekkerfunctie toevoegen aan hun eigen app, of een third-party klok zoeken en daarmee integreren. Dat lijkt me een reëel alternatief.

Het enige nadeel is natuurlijk dat mensen vaak de standaard app gebruiken omdat die nu eenmaal Klok heet en er vanaf het begin op staat, maar of dat genoeg moet zijn om het machtsmisbruik te noemen?

Arnoud

Google gaat telefoonmakers verplichten beveiligingsupdates aan te bieden

| AE 10581 | Security | 20 reacties

Google gaat telefoonmakers contractueel verplichten om smartphones van software-updates te voorzien. Dat meldde Nu.nl vorige week. Een onderwerp waar al veel over te doen is, onder meer vanuit onze Consumentenbond met haar actie die onder meer leidde tot een rechtszaak tegen Samsung met de eis tot langer updaten van smartphones. Fabrikanten zijn volgens mij gewoon… Lees verder

Googles gebruik van de Java API is nu toch weer geen fair use

| AE 10509 | Intellectuele rechten | 13 reacties

Googles gebruik van de Java API packages is geen fair use, las ik bij ITenRecht. Dit is de vierde stap in hoger beroep van de Google/Oracle rechtszaak over auteursrecht op de Java API die al enige jaren loopt. In eerste instantie bleek de API niet beschermd, in hoger beroep wel, toen bleek Googles gebruik een… Lees verder

‘Overheid kan nepnieuws op digitale platformen aanpakken’

| AE 10074 | Ondernemingsvrijheid, Uitingsvrijheid | 37 reacties

De overheid kan verschillende maatregelen nemen om te voorkomen dat digitale platforms als Facebook, Google en Amazon misleidende informatie doorgeven. Dat meldde Nu.nl op gezag van een CPB-rapport dat waarschuwt tegen de snelle groei en steeds kleiner wordende transparantie van deze platformaanbieders. Met name de aanbeveling voor een vergunningenstelsel springt in het oog. Digitale platforms… Lees verder

Moet ik als werknemer akkoord gaan met de privacyvoorwaarden van Google?

| AE 9498 | Ondernemingsvrijheid | 17 reacties

Een lezer vroeg me: Mijn werkgever (een mkb bedrijf) is overgestapt naar een Google domein voor mail, en nu moeten wij bij ingebruikname akkoord gaan met de privacyvoorwaarden van Google. Kan ik dat weigeren? Natuurlijk, het gaat om werk mail, maar toch, Google accounts doen veel meer dan alleen werkgedrag in de gaten houden. Dit… Lees verder

Nee, googelen is niet hetzelfde als zoeken op internet

| AE 9455 | Ondernemingsvrijheid | 41 reacties

Het merk “Google” mag gewoon blijven bestaan, las ik bij Ars Technica. In een rechtszaak tegen een domeinnaamhouder met 763 Google-gerelateerde domeinen werd het verweer gevoerd dat “Google” een generieke term was geworden voor “zoeken op internet”, zodat het geen geldig merk meer kan zijn. Maar de rechtbank in hoger beroep verwierp het verweer: ondanks… Lees verder

EU eist wijzigingen in voorwaarden Facebook, Twitter en Google+

| AE 9317 | Informatiemaatschappij | 17 reacties

De Europese Commissie eist dat de sociale netwerken Facebook, Twitter en Google+ hun voorwaarden voor Europese gebruikers binnen een maand aanpassen, om consumenten meer rechten te geven en om fraude beter aan te pakken. Dat las ik bij Nu.nl vorige week. Het persbericht van de EU knalt er stevig in: op sociale media hebben mensen… Lees verder