‘Klantje-pik’ met hulp van mobiele gegevens, mag dat?

| AE 10849 | Ondernemingsvrijheid, Privacy | 14 reacties

Verschillende grootwinkelbedrijven gebruiken telefoongegevens om te zien wie bij hun concurrenten over de vloer komt. Dat meldde het FD onlangs. De achterliggende techniek staat bekend als ‘geo-conquesting’ en komt erop neer dat je op basis van iemands locatie – specifiek, hij is bij de concurrent – een advertentie toont die bedoeld is om hem weg te lokken bij de concurrent. Dit matchen gebeurt op basis van IMEI- en dergelijke nummers uit de telefoon, of profielen van dienstverleners zoals Facebook of Google. En het zou niet in strijd zijn met de AVG. Wishful thinking, als je het mij vraagt.

Commercieel is het een best slimme truc, om mensen een aanbieding te doen om naar jou te komen terwijl ze net bij de concurrent dat wilden kopen. Het voorbeeld uit de FD is koffieketen Dunkin’ Donuts dat kortingscoupons voor koffie stuurt als je bij de Starbucks in de buurt bent. Google weet dat je daar bent, en kan dan die advertentie op dat moment vertonen. Veel relevanter en daardoor effectiever dan wanneer je in de trein zit of ’s avonds na het diner nog even wat nazoekt.

Twee dingen vallen daarbij op. Allereerst wordt gezegd dat dit niet in strijd is met de AVG, omdat er geen naam of adres nodig is, “ze hebben genoeg aan anonieme gebruikerscodes – user id’s – van telefoons”. Maar dat is geen argument. Onder de AVG is ieder gegeven een persoonsgegeven zodra het gekoppeld is aan een identificator, en dat begrip is veel breder dan iemands naam of adres. Een online identificator zoals een cookie of een uit de telefoon uitgelezen IMEI is gewoon een persoonsgegeven.

Opvallender vind ik deze passage:

Klanten geven er, al zullen ze het niet doorhebben, zelf toestemming voor dat adverteerders die data verzamelen. Wie commerciële app’s gebruikt, geeft toestemming om gebruiksinformatie te delen of te verkopen.

Dit is vanuit AVG-perspectief de grootst mogelijke onzin. Toestemming onder de AVG moet immers een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting zijn. Je kunt dus niet op voorhand voor van alles en nog wat toestemming vragen in algemene zin. Wie dus een spelletje installeert, en op basis daarvan wordt geprofileerd als een koffiedrinker zodat hij bij de Starbucks een bon voor de concurrent gaat krijgen, heeft daar geen toestemming voor gegeven. Ook al staat het honderd keer in de privacyverklaring en weet iedereen dat appbouwers ook geld moeten verdienen.

Wat wél kan, is dat deze advertenties op basis van de grondslag “eigen gerechtvaardigd belang” worden verstuurd. Dan is er geen toestemming nodig. Wel moet je informeren dat je dit doet en waarom jouw belang opweegt tegen de privacy van mensen. Ook moet er een opt-out mogelijkheid zijn (recht van bezwaar).

Het argument wordt dan, waarom weegt jouw commercieel belang op tegen de privacy. Direct marketing kunnen doen is een legitiem belang onder de AVG, het gaat er dus om hoe ver je mag gaan met welke reclame je stuurt en wanneer. Dat gaat hier best ver, het voelt nogal indringend dat je weet waar ik ben en daar een gericht aanbod op doet. En dat maakt dat het privacybelang erg zwaar zal wegen. Ik denk dus niet dat je het onder deze grondslag rond krijgt.

Arnoud

Heeft het nut om IMEI’s van gestolen telefoons te blokkeren?

| AE 4567 | Security | 27 reacties

change-imei.jpgKPN, Vodafone en T-Mobile gaan vanaf volgend jaar op verzoek van de politie gestolen telefoons mogelijk onbruikbaar maken, las ik bij Tweakers. Elke telefoon heeft een zogeheten International Mobile Equipment Identity of IMEI nummer, dat meegestuurd wordt naar het netwerk als je je aanmeldt of wilt bellen. Door dit nummer bij de telefonieprovider te checken tegen een zwarte lijst, kun je dus verhinderen dat gestolen telefoons nog gebruikt worden. Dat zou diefstal toch af moeten schrikken. Nou ja, in theorie dan.

Een dergelijk systeem werkt natuurlijk alleen als de IMEI van een telefoon niet wijzigt. In Engeland, waar deze antidiefstalaanpak is uitgevonden, is het dan ook expliciet strafbaar gesteld om de IMEI te wijzigen (Section 1 van de Mobile Telephones (Re-programming) Act 2002), want als het strafbaar is dan doet een crimineel dat niet. Ahem.

In Nederland hebben we zo’n regel niet, en het lijkt er ook niet op dat deze er gaat komen. In 2011 werd nog in antwoord op Kamervragen gemeld dat dit niet zinnig leek, omdat IMEI nummers eenvoudig te wijzigen zijn, zelfs voor domme mobieltjesdieven. Om dezelfde reden is de politie gestopt met sms-bommen sturen (elke drie minuten een sms met “Deze telefoon is gestolen”) naar gestolen telefoons.

De enige echte optie om dit werkbaar te krijgen lijkt me om de IMEI verplicht hardcoded in de telefoon vast te leggen, zodat ze niet meer te wijzigen zijn. Ik heb eigenlijk geen idee waaróm een IMEI wijzigbaar zou moeten zijn. Jullie wel?

(Oh, en natuurlijk moet de IMEI-blokkade Europabreed uitgerold zodat je ook in Finland of Roemenië niet kunt bellen met een gestolen telefoon.)

Arnoud

Mag Track en Protect op een gestolen iPhone als bewijs worden gebruikt?

| AE 2615 | Privacy, Security | 25 reacties

track-protect.pngEen lezer vroeg me:

Ik wil proberen de gestolen iPhone van een vriend terug te halen. De iPhone is voorzien van het programma Track and Protect. Hiermee kan je je telefoon volgen op internet. Het programmaatje zal kennelijk de aanwezige gps gebruiken of de zendmasten in de omgeving om aan te geven waar de telefoon verblijft. Ook zie je onder meer het nieuwe telefoonnummer wat wordt gebruikt, het imsi nummer en de naam van de provider.

Nu vroeg ik me af, stel ik weet hiermee informatie over de dief te achterhalen. Mag ik dat dan aan de politie geven en is dat bruikbaar als bewijs?

Ja, die informatie is bruikbaar als bewijs. In Nederland bestaat het concept van ‘illegaal verkregen bewijs’ niet wanneer het gaat om wat burgers aandragen. Zolang je dus niet in opdracht van Justitie deze acties uitvoert, is het gevonden bewijs bruikbaar in een straf- of civiele procedure.

De Hoge Raad heeft herhaaldelijk uitgemaakt dat bewijs dat burgers verkrijgen langs illegale weg niet zonder meer tot uitsluiting van dat bewijs zal leiden. In 2003 werd dit nog expliciet gesteld door de Hoge Raad. Zolang het OM geen wetenschap of bemoeienis had van dit bewijsverkrijgen, dan is niet-ontvankelijkheid niet aan de orde.

Wanneer je dus bijvoorbeeld in strijd met de wet een verborgen camera hanteert, wil dat nog niet zeggen dat de politie de beelden niet mag gebruiken. Uit een andere zaak:

ook indien [verweerster] aldus een inbreuk op het privé leven van [eiseres] zou hebben gemaakt, dit nog niet betekent dat dit bewijsmateriaal in een procedure als de onderhavige niet mag worden gebruikt.

De advocaat-generaal had daarbij nog het argument dat een ander oordeel er op neer zou komen “dat de weg wordt vrijgemaakt voor daden die achterwege behoren te blijven.” Het Hof Den Bosch oordeelde in 2003 hetzelfde.

In 2005 oordeelde de HR dat het fouilleren door een beveiliger van een winkeldief (na diens aanhouding door de beveiliger) onrechtmatig was. Een beveiliger mag alleen aanhouden bij betrapping op staande voet, maar niet zelf gaan fouilleren. Nu dat toch was gebeurd, had dat wellicht kunnen leiden tot strafvermindering bij wijze van compensatie voor de privacyschending. Er was alleen geen bewijs dat er hier daadwerkelijk nadeel was geleden door de verdachte.

Update (25 maart 2012) in dit arrest vond de HR het geen bezwaar dat een private beveiliger iemand fouilleerde en daarbij softdrugs had gevonden. De arrestatie en het bewijs waren rechtmatig.

De enkele grond dat die particuliere beveiliger de BH van de verdachte heeft opgelicht en aan de binnenzijde heeft bevoeld, tot welke handelingen de gegeven toestemming zich volgens de verdachte niet zou hebben uitgestrekt, kan niet leiden tot bewijsuitsluiting van het resultaat van deze fouillering. Immers, de in het Wetboek van Strafvordering vervatte normering met betrekking tot onderzoek aan de kleding en het lichaam richt zich niet tegen de particuliere beveiliger die een burger aan de kleding onderzoekt.

Ik kan geen uitspraken vinden die specifiek over volgen en bewijs vergaren per computer gaan, maar ik houd me aanbevolen. Ik kan me alleen moeilijk voorstellen dat daar een andere lijn zou worden gevolgd. Update (13:10) 10a van der Linden verwijst in de comments naar een arrest over een particulier die het netwerk van Zeelandnet afzocht en een computer met shared disk met kinderporno aantrof, waarna hij aangifte deed. Het Hof:

Het door een particulier naar aanleiding van een verzoek van de politie vrijwillig aan deze verstrekken van een IP-adres van een computer waarmee men verbinding heeft, is op zich niet onrechtmatig. De instructie van de getuige door de politie over de wijze waarop hij het IP-adres van de computer waarmee hij in verbinding stond op zijn scherm kon krijgen, betreft een eenvoudige reeks van handelingen die bij uitvoering op zichzelf geen bijzondere inbreuk met zich brengt op de privacy van een ander.

Update (11 juli): via ITenRecht vond ik nog een arrest waarin

ook indien het er voor zou moeten worden gehouden dat het door ASR registreren van de aankomst- en vertrektijden van haar werknemers, waaronder [appellant], in strijd is met de Wbp en/of de WOR en dat ASR daarmee onrechtmatig jegens [appellant] heeft gehandeld” zulks nog niet betekent dat Nova Dia onrechtmatig jegens [appellant] heeft gehandeld door de betreffende gegevens in de onderhavige procedure aan haar vordering ten grondslag te leggen.

De vraag zal eerder zijn hoe het bewijs moet worden gewaardeerd. Hoe weten we dat de T&P informatie bruikbaar genoeg is?

Arnoud