‘Klantje-pik’ met hulp van mobiele gegevens, mag dat?

| AE 10849 | Ondernemingsvrijheid, Privacy | 14 reacties

Verschillende grootwinkelbedrijven gebruiken telefoongegevens om te zien wie bij hun concurrenten over de vloer komt. Dat meldde het FD onlangs. De achterliggende techniek staat bekend als ‘geo-conquesting’ en komt erop neer dat je op basis van iemands locatie – specifiek, hij is bij de concurrent – een advertentie toont die bedoeld is om hem weg te lokken bij de concurrent. Dit matchen gebeurt op basis van IMEI- en dergelijke nummers uit de telefoon, of profielen van dienstverleners zoals Facebook of Google. En het zou niet in strijd zijn met de AVG. Wishful thinking, als je het mij vraagt.

Commercieel is het een best slimme truc, om mensen een aanbieding te doen om naar jou te komen terwijl ze net bij de concurrent dat wilden kopen. Het voorbeeld uit de FD is koffieketen Dunkin’ Donuts dat kortingscoupons voor koffie stuurt als je bij de Starbucks in de buurt bent. Google weet dat je daar bent, en kan dan die advertentie op dat moment vertonen. Veel relevanter en daardoor effectiever dan wanneer je in de trein zit of ’s avonds na het diner nog even wat nazoekt.

Twee dingen vallen daarbij op. Allereerst wordt gezegd dat dit niet in strijd is met de AVG, omdat er geen naam of adres nodig is, “ze hebben genoeg aan anonieme gebruikerscodes – user id’s – van telefoons”. Maar dat is geen argument. Onder de AVG is ieder gegeven een persoonsgegeven zodra het gekoppeld is aan een identificator, en dat begrip is veel breder dan iemands naam of adres. Een online identificator zoals een cookie of een uit de telefoon uitgelezen IMEI is gewoon een persoonsgegeven.

Opvallender vind ik deze passage:

Klanten geven er, al zullen ze het niet doorhebben, zelf toestemming voor dat adverteerders die data verzamelen. Wie commerciële app’s gebruikt, geeft toestemming om gebruiksinformatie te delen of te verkopen.

Dit is vanuit AVG-perspectief de grootst mogelijke onzin. Toestemming onder de AVG moet immers een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting zijn. Je kunt dus niet op voorhand voor van alles en nog wat toestemming vragen in algemene zin. Wie dus een spelletje installeert, en op basis daarvan wordt geprofileerd als een koffiedrinker zodat hij bij de Starbucks een bon voor de concurrent gaat krijgen, heeft daar geen toestemming voor gegeven. Ook al staat het honderd keer in de privacyverklaring en weet iedereen dat appbouwers ook geld moeten verdienen.

Wat wél kan, is dat deze advertenties op basis van de grondslag “eigen gerechtvaardigd belang” worden verstuurd. Dan is er geen toestemming nodig. Wel moet je informeren dat je dit doet en waarom jouw belang opweegt tegen de privacy van mensen. Ook moet er een opt-out mogelijkheid zijn (recht van bezwaar).

Het argument wordt dan, waarom weegt jouw commercieel belang op tegen de privacy. Direct marketing kunnen doen is een legitiem belang onder de AVG, het gaat er dus om hoe ver je mag gaan met welke reclame je stuurt en wanneer. Dat gaat hier best ver, het voelt nogal indringend dat je weet waar ik ben en daar een gericht aanbod op doet. En dat maakt dat het privacybelang erg zwaar zal wegen. Ik denk dus niet dat je het onder deze grondslag rond krijgt.

Arnoud

Telefoonabonnement met ‘gratis’ gsm is koop op afbetaling

| AE 6723 | Informatiemaatschappij | 19 reacties

telefoon.jpgWie een telefoonabonnement met toestel afsluit, valt onder de regels van koop op afbetaling. Dat bepaalde de Hoge Raad vorige week. Dat providers allerlei benamingen en constructies verzinnen om dit anders te maken, gaat ze niet helpen: het gaat hier om consumentenbescherming en dan moet je kijken naar de bedoeling en strekking van de wet. Je mag dan door die constructies heen prikken en het beestje bij de naam noemen.

De zaak draaide om een vrouw die meerdere telefoonabonnementen had afgesloten (waarom is me niet duidelijk) en vervolgens niet betaalde. De provider wilde dit bij de rechter afdwingen, en de kantonrechter besloot de Hoge Raad nu eens te vragen hoe je moet omgaan met zulke kwesties. Dat heet ‘prejudiciële vragen’, en het is een tikje flauw dat een juridische hulplijn te noemen maar dat is het wel.

De vraag is belangrijk, want de juridische kwalificatie van een transactie kan behoorlijk uitmaken voor de rechten en plichten. Als een abonnement met telefoon bijvoorbeeld kan worden aangemerkt als koop op afbetaling (art. 7a:1576 BW) , gelden bijzondere wettelijke regels. Zo kun je dan niet bij wanbetaling zomaar het gehele restbedrag ineens opeisen (art. 7a:1576c BW). Ook zijn er regels over consumentenkredieten (afd. 2a boek 7 BW), en daarvan kun je spreken als mensen een product krijgen en pas na twee jaar daarvoor betaald hebben. En ook die regels beschermen de consument.

De provider had gesteld dat de telefoon een gratis weggevertje was, en dat men alleen betaalde voor telefonie en dergelijke diensten. En een kadootje doen bij een abonnement maakt dat abonnement nog geen koop op afbetaling, en van een krediet kun je dan al helemaal niet meer spreken. Dat voelt een tikje als een truc, zeker als je je (zoals opa Arnoud) wat oudere reclame en foldertjes herinnert waarin toch stond dat je de telefoon niet gratis krijgt maar betaalt via je abonnementstermijnen. En aangeklaagd werd voor de telefoonwaarde als je je contract ontbond.

De HR heeft ook geen zin in spitsvondige juridische trucjes maar is verrassend fris en simpel:

[Het is] het meest in overeenstemming met de financiële en bedrijfseconomische werkelijkheid, de verwachtingen die partijen mogen hebben en de consumentenbeschermende strekking van de hiervoor bedoelde wettelijke regelingen, om tot uitgangspunt te nemen dat de overeengekomen, door de consument te betalen maandbedragen niet alleen betrekking hebben op de vergoeding voor de door deze af te nemen telecommunicatiediensten, maar mede strekken tot afbetaling van een koopprijs voor de mobiele telefoon.

Oftewel: zonder tegenbericht is een telefoon bij een abonnement een koop op afbetaling. De provider mag proberen te bewijzen dat het anders is, maar hij zal dan in ieder geval moeten laten zien dat de consument nooit een cent betaalt en hoeft te betalen voor de telefoon. En dat zal niet meevallen als de abonnementen mét telefoon duurder zijn dan die zonder (de sim only abonnementen).

Lukt dat niet, dan mag de consument de overeenkomst vernietigen wegens strijd met de eisen van koop op afbetaling en consumentenkrediet. Maar omdat het gaat om een deel van de overeenkomst, alleen de telefoon immers, kan de rechter ook besluiten om alleen dat deel te vernietigen (art. 3:41 BW) en de rest van de overeenkomst in stand laten.

Voor het argument dat dit wel érg vervelend is voor de providers, is de Hoge Raad niet gevoelig. De wet is de wet, en er stáát geen uitzondering voor telecommunicatiedienstverleners die telefoons op afbetaling verkopen in de wet.

Cynische Arnoud vraagt zich nog steeds af of bedrijven door dit soort uitspraken hun beleid gaan aanpassen.

Arnoud

GSM-tracker onder iemands auto hangen is aftappen van GSM-masten, wtf?

| AE 6617 | Regulering | 53 reacties

haicom-tracker-gps-gsmSoms gaan mijn juridische tenen echt zó krom staan bij het lezen van een vonnis, dat wil je niet weten. In een vonnis van medio april werd een man strafrechtelijk veroordeeld voor het inzetten van een “heimelijk geplaatst track&trace-systeem” dat hij onder iemands auto had gehangen.

De man had eind 2012 een Haicom GPRS tracker gekocht, een GPS/GSM-combinatie die zijn locatie periodiek doorbelt zodat live tracking van waar het apparaat zich bevindt, mogelijk wordt. Hij had dit apparaat bevestigd onder de auto van een ander, met als doel te achterhalen waar deze ander zijn boot had verstopt. Ik neem aan door te zien waar die meneer heenrijdt en dan na te gaan of dat een loods voor een boot is.

Toen de eigenaar het ding ontdekte, deed hij aangifte waarna de plaatser werd vervolgd. Maar er is in het strafrecht geen artikel dat het wederrechtelijk continu vaststellen van iemands locatie verbiedt. Nou ja misschien stalken, het opzettelijk en wederrechtelijk stelselmatig inbreuk maken op iemands persoonlijke levenssfeer. Maar dat was niet ten laste gelegd. Dus wat nu?

De officier had artikel 139d Strafrecht van stal gehaald. Volgens dit artikel is het strafbaar om een gesprek, telecommunicatie of andere gegevensoverdracht af te tappen of op te nemen als je daar niet toe bevoegd bent. Oké, maar welke gesprekken of telecommunicatie worden (wordt? Ruud, help) er afgeluisterd als je een GPS/GSM-tracker plaatst?

Je wilt misschien je schoenen uitdoen als je ook last hebt van krommende juridische tenen, want dit is dan wat de rechtbank zegt:

Door een SIM-kaart in het track&trace-systeem te plaatsen heeft verdachte dit systeem zodanig ingericht dat hij door middel van een geautomatiseerd werk, te weten een computer, via de door de leverancier meegeleverde software kon inloggen en vervolgens kon beschikken over de gegevens die via gsm-masten werden overgedragen.

Oftewel: er wordt wederrechtelijk telecommunicatie met de GSM mast afgetapt. Meneer krijgt via een GSM (gprs) verbinding data binnen over de locatie van een GPS-apparaat, en dat mag niet. Want, eh, ja want. Want. Ja. Eh.

De rechtbank is van oordeel dat in het onderhavige geval het door middel van een geautomatiseerd werk (computer) oproepen van alle door het technisch hulpmiddel (track&trace-systeem) opgevangen signalen uit de ether (interceptie) dient te worden aangemerkt als aftappen.

Want ja eh dat is aftappen. Hùh.

Ik snap hier werkelijk niets van. De GSM-communicatie is legaal, want meneer heeft zelf de SIM-kaart gekocht en het abonnement (prepaid?) geactiveerd. Dat men vervolgens ongewenste/ongepaste/strafbare data over die verbinding transporteert, maakt het nog geen áftappen van die verbinding. Net zo min als wanneer ik een strafbare uiting per mail verzend.

Als je zegt, maar hij mócht die GPS-data niet overdragen: prima, maar waar staat dat in de wet? Plus, dan nog tápt hij deze niet. Dat gaat inherent over het meeluisteren/meekijken bij andermans dataoverdracht.

Dus nee. Hier klopt echt weinig van. (Ik denk wel dat dit soort track&trace strafbaar is, maar dan als stalking dus.) Het voelt als, dit moet niet legaal zijn dus laten we de wet zo uitleggen dat het niet legaal is. En dat is écht verkeerd.

Waarmee niet gezegd is dat de rechtbank de ballen verstand heeft van techniek – ze weten er meer van dan de politie want die schrijft consequent “gsp” als ‘ie “gps” bedoelt. Maar dat terzijde.

Arnoud

Politie heeft wettelijke bevoegdheid nodig om stealth-sms’jes te versturen

| AE 5851 | Regulering | 15 reacties

Het lokaliseren van verdachten met stealth-sms’jes is een heimelijke opsporingsmethode die onwettig is, meldde Webwereld dinsdag. Het Gerechtshof in Den Bosch bepaalde dat deze techniek een inbreuk op de privacy oplevert, en dergelijke opsporingstechnieken vereisen eenvoudigweg altijd een specifieke wettelijke grondslag. Justitie maakt zich geen zorgen: er is vast wel een ander artikel dat we… Lees verder

Gesprekken met mobiele GSM telefoons zijn nooit anoniem (via Corcom)

| AE 506 | Security | 2 reacties

CorCom Security Analysing blogt zeer uitgebreid over hoe gebruikers van GSM telefoons op te sporen zijn, en meteen ook maar hoe eenvoudig elk gesprek af te luisteren is. Alle gesprekken die gevoerd zijn van of naar een bepaald toestel zijn gemakkelijk met elkaar in verband te brengen. Alle gesprekken die gevoerd zijn van of naar… Lees verder

Nieuw op Iusmentis: Het verwijderen van simlocks bij mobiele (GSM) telefoons

| AE 440 | Informatiemaatschappij, Iusmentis, Security | 4 reacties

Naar aanleiding van mijn eerste artikel op Macwereld schreef ik dit artikel over simlocks. De simlock van een GSM verwijderen (“unlocken”) is legaal. Sterker nog, een provider is verplicht om na één jaar de telefoon simlock-vrij te maken als de klant daarom vraagt. Firmware hacken mag echter niet. Een mobiele telefoon (GSM) met simlock is… Lees verder