Mag een kinderdagverblijf voor hun activiteiten-app eisen dat je Google of Facebook gebruikt?

| AE 11125 | Ondernemingsvrijheid, Privacy | 43 reacties

Een lezer vroeg me:

De kinderopvang waar mijn kinderen naartoe gaan hebben onlangs een contract gesloten met Bitcare voor hun management en registratie van wat er zoal gebeurt gedurende de dag. Echter, registreren kan alleen door je via een ‘identity provider’ aan te melden. Je hebt een Google, Microsoft of Facebook account nodig zodat het bedrijf je kan koppelen aan je kinderen, en zodat ze in contact met je kunnen komen indien nodig. Maar ik wil dat helemaal niet, mijn gegevens hoeven niet naar die Amerikaanse datagraaiers. Kunnen ze dit zomaar doen?

Bitcare is een van diverse dienstaanbieders gericht op communicatie tussen ouders en kinderopvang, bso en dergelijke. Het idee is dat je zo makkelijk allerlei informatie kunt verstrekken op een veilige manier, inclusief foto’s van je kinderen tijdens de dag. De dienst legt uit wat het inhoudt:

Met Bitcare zullen gedurende de dag activiteiten en foto’s online met u gedeeld. Via een app en website kunt u zien hoe laat uw kind heeft geslapen, gegeten en gedronken en welke leuke activiteiten er met de kinderen zijn ondernomen. Ook kunt u de planning bekijken en verzoeken indienen omtrent vakanties, ziekte, extra dagen en ruildagen. Daarnaast kunt u chatten met leidsters op de groep. Met Bitcare blijft u altijd op de hoogte van alle gebeurtenissen en de ontwikkeling van uw kind(eren). Zo kunt u zorgeloos werken en hoeft u niets te missen!

Om dit goed te laten werken, moet de dienst natuurlijk de identiteit van ouders vaststellen alvorens ze een account te geven. Dat kunnen ze natuurlijk zelf doen, maar dat is in dit geval uitbesteed aan Facebook, Google of Microsoft als identity provider. In de kern komt het er dan op neer dat je daar moet inloggen en dat het resultaat wordt teruggemeld aan Bitcare, waarna die weet wat je echte naam is.

Deze insteek zie ik vaker sinds de AVG. Het achterliggende idee is dan dat Facebook, Google of Microsoft beter in staat zijn je gegevens te beschermen dan zo’n kleine club als een kinderopvang. De authenticatie is dan dus veiliger en betrouwbaarder. Daar is weinig tegenin te brengen, dus de zorg gaat dan vooral over wat er nog meer gebeurt met die gegevens.

Bitcare zelf doet eigenlijk niets met Facebook-gegevens, noch andersom:

Bitcare gebruikt na toestemming dan ook alleen uw naam en e-mail adres, zodat mocht het nodig zijn er contact met u opgenomen kan worden. We hanteren strenge privacy regels voor u en uw kind en Bitcare zal nooit deze gegevens misbruiken. Bitcare heeft verder geen toegang tot uw Google, Microsoft of Facebook account en de bovenstaande partijen hebben ook geen toegang tot de Bitcare gegevens.

Eerlijk gezegd zie ik in die situatie weinig reden om hier bang voor te zijn. Een verhoogd risico door gebruik van deze authenticatie bij deze dienst is er volgens mij niet. Als je bang bent voor wat Google, Microsoft of Facebook doen, dan snap ik dat maar deze specifieke toepassing zal de bedreigingen weinig versterken.

Een alternatief bieden in de zin van een eigen authenticatiedienst kan natuurlijk, maar voelt nogal omslachtig en geeft bovendien extra risico’s rond identiteitsfraude, foutjes bij de administratie en ga zo maar door. Ik zou de stelling wel aandurven dat je minder veilig bent met eigen formuliertjes dan met een Microsoft als identity provider.

Wat denken jullie?

Arnoud

Windows 10 Enterprise en Office zijn risico voor privacy ambtenaren

| AE 10964 | Ondernemingsvrijheid, Privacy | 29 reacties

Via Windows 10 Enterprise en Microsoft Office verzamelt Microsoft gebruikersgegevens die het bedrijf in de VS opslaat. Dat meldde Tweakers op basis van onderzoek bij het ministerie. Deze opslag geeft een inbreuk op de privacy van de ambtenaren, plus een ieder wiens gegevens door die ambtenaren worden verwerkt. Het onderzoek werd uitgevoerd als een DPIA onder de AVG, waarbij werd gekeken naar de zogeheten telemetriedata die Windows- en Office-installaties verzamlen bij de gebruiker en doorsturen naar Microsoft in de USA. Bij Office gaat het mis: deze verzamelt een enorme hoeveelheid data, en dat is niet uit te schakelen.

Het is natuurlijk leuk en aardig dat Microsoft “telemetrie” oftewel statistieken verzamelt, maar dat is in de EU best problematisch omdat dat al héél snel onder de noemer van persoonsgegevens valt. Informatie over wat gebruiker thx1138 doet met zijn Office is een persoonsgegeven, ook al heb je niet de naam van die gebruiker of enig contactgegeven. Zelfs wanneer je aan die meetgegevens een eigen willekeurig toegekende ID hangt, val je nog onder de AVG. Dat voelt als nogal een ontwerpfout.

Met name dat “het kan niet uit” verbaast me hogelijk. Je zou zeggen dat je als bedrijf weet dat het verzamelen van gegevens over wat je gebruikers doen gevoelig kan liggen, zeker in enterprise-omgevingen (en daar hebben we het hier over). Dat is niet iets dat je met een vinkje in de EULA oplost, de belangen zijn daarvoor te groot. Dit mag gewoon niet.

Natuurlijk zal Microsoft vast ergens in de licentievoorwaarden hebben gezegd dat toestemming wordt verleend. Maar dat werkt niet op dit niveau. Software wordt ingekocht onder een groot contract, en deze afspraak moet dáár dan worden gemaakt.

Bovendien: een bedrijf of instelling mag die afspraak alleen maken als ze dat vervolgens aan haar personeel (en/of klanten) kan rechtvaardigen, en dat zie ik hier niet opgaan. Welke noodzaak binnen de arbeidsovereenkomst (aanstelling, het is ambtenarenrecht) is er om deze telemetrie aan Microsoft te verstrekken die het voor eigen doeleinden gaat gebruiken? Welk belang van Microsoft is zo dringend dat de privacy van het personeel mag worden gepasseerd? En heeft de OR wel ingestemd met die telemetrieverstrekking, dat is immers een apart recht onder de Wet OR?

Beloofd wordt om een en ander aan te passen om binnen de Europese regels te blijven, maar dat zal tot ergens in 2019 gaan duren. Dat is nogal lang, dus ik hoop dat er in de tussentijd een firewall of iets tussengezet kan worden zodat de privacy van de ambtenaren gewaarborgd blijft.

Arnoud

Worden Europese bedrijven straks verplicht data aan de VS te geven?

| AE 9756 | Informatiemaatschappij | 23 reacties

De Supreme Court gaat uitspraak doen in de Microsoft-cloudzaak waarbij het Amerikaanse bedrijf door de rechter verplicht werd data van haar Europese dochter af te geven aan de FBI. Dat las ik (dank, tipgevers) bij Ars Technica. De zaak loopt al een tijdje en kan enorme gevolgen hebben voor de bruikbaarheid van de cloud voor Europese bedrijven. Want als het precedent wordt “ja dat moet je afgeven” dan wordt je data stallen bij zelfs een Europese dochter van een Amerikaans bedrijf een tikje ingewikkeld.

In 2014 bepaalde een rechter in de VS dat Microsoft Inc. (de Amerikaanse moeder) gehouden kon worden om gegevens van een klant van haar Ierse dochtermaatschappij af te geven als de FBI dat wilde. Kort gezegd was het argument daarvoor dat het geen argument is dat bewijsmiddelen in het buitenland liggen, je gaat ze maar halen. Maar die regel voelt niet echt gepast voor een clouddienst, zeker niet als je bedenkt dat Microsoft die dienst in Europa via een apart, Europees bedrijf levert.

Gelukkig werd in hoger beroep bepaald dat deze redenering van de FBI niet opging. De wet waar men zich op beroep (de Stored Communications Act) was niet bedoeld om de FBI ineens buitenlandse rechtsmacht te geven. En nu ligt de vraag dus bij het Supreme Court, dat erom bekend staat niet alleen juridische maar ook politieke visies mee te laten wegen in hun uitspraken. Het kán dus zomaar gebeuren dat men bepaalt dat het er wél staat, en dat een Europese dochter dus maar moet meewerken aan zo’n bevel.

Dat wordt dan nog knap ingewikkeld, want dat mág helemaal niet. In de AVG is hier namelijk een specifiek artikel over opgenomen, artikel 48:

Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.

Oftewel: wat een buitenlandse wet of rechtbank ook bepaalt, Europese bedrijven mogen alleen meewerken aan zo’n bepaling als dat in een verdrag tussen de EU en dat land is geregeld. De FBI zou dus een rechtshulpverzoek aan Nederland kunnen doen, waarna onze politie de data licht bij het datacentrum hier. Een opdracht van Microsoft Inc aan haar Nederlandse dochter “geef die data want wij moeten dit van de rechtbank afgeven” is dus keihard in strijd met Europees recht.

Arnoud

Gegevensverwerking in Windows 10 via telemetrie is in strijd met wet

| AE 9745 | Privacy | 38 reacties

De Autoriteit Persoonsgegevens heeft op basis van een eigen onderzoek geconcludeerd dat Microsoft de wet overtreedt door de manier waarop het in Windows 10 gegevens verwerkt. Dat meldde Tweakers vorige week. Uit het onderzoek blijkt dat Microsoft allerlei gegevens van de gebruikers verzamelt, zoals de namen, wachtwoorden, geboortedata, het geslacht, telefoonnummers en e-mailadressen. Dit wordt… Lees verder

Google moet wél buitenlandse e-mails overdragen aan de FBI

| AE 9261 | Intellectuele rechten, Privacy | 19 reacties

Een Amerikaanse rechter heeft bepaald dat Google ook e-mails die op servers buiten de VS zijn opgeslagen moet overdragen aan de FBI in een zaak over binnenlandse fraude. Dat meldde Nu.nl onlangs. Deze beslissing staat lijnrecht tegenover de hogerberoepszaak van Microsoft dat géén berichten opgeslagen in het buitenland hoefde af te geven aan de Amerikaanse… Lees verder

De cloud is (even) gered, Microsoft hoeft geen Europese klantgegevens af te geven

| AE 8793 | Privacy, Regulering | 12 reacties

Microsoft hoeft e-mails die opgeslagen zijn bij zijn datacenters in Ierland niet over te dragen aan de Amerikaanse rechter. Dat las ik bij Tweakers. In het langverwachte hoger beroep bepaalde het gerechtshof dat de Amerikaanse Justitie geen grond heeft om een Amerikaans moederbedrijf te dwingen data op te halen bij haar niet-Amerikaanse dochters. Daarmee is… Lees verder

Microsoft vecht bevel tot afgifte Europese e-mails aan

| AE 6927 | Privacy, Regulering | 20 reacties

Microsoft gaat in beroep tegen een rechterlijk bevel om e-mails van Europese gebruikers te overhandigen aan de Amerikaanse overheid, las ik bij Webwereld. In april had de Amerikaanse Justitie een bevel gegeven aan de Amerikaanse moeder tot afgifte van mails opgeslagen bij Microsofts Ierse dochtermaatschappij. Het bevel wordt nu door de rechtbank bevestigd, maar Microsoft… Lees verder

Microsoft haalt No-IP-domeinen offline vanwege malwaredistributie

| AE 6768 | Ondernemingsvrijheid, Security | 22 reacties

Microsoft heeft maandag ruim twintig domeinen van No-IP, een veelgebruikte ddns-provider, offline laten halen, meldde Tweakers. No-IP biedt dynamische domeinnamen die volgens Microsoft veel gebruikt worden door de Bladabindi- en Jenxcus botnets. Met een ex parte temporary restraining order (TRO) heeft Microsoft het voor elkaar gekregen beheerder van 23 domeinnamen in beheer bij No-IP te… Lees verder

Amerikaanse rechter claimt rechtsmacht over data op Europese Microsoft-servers

| AE 6602 | Privacy, Regulering | 41 reacties

Een Amerikaanse rechter heeft bepaald dat Microsoft data moet afgeven aan Justitie, ondanks het feit dat die data op een server in Ierland staat en onder beheer is van Microsofts Ierse dochter. Dat meldde Slashdot gisteren. Microsoft had de search warrant aangevochten met de stelling dat de Ierse dochter buiten Amerikaanse jurisdictie valt, maar de… Lees verder