Gemeenten zouden op grote schaal burgers bespieden op sociale media

| AE 12672 | Regulering | 10 reacties

Nederlandse gemeenten zouden op grote schaal meekijken met burgers op sociale media, zo las ik bij Nu.nl (op gezag van dit rapport). Controversieel is dat de gemeente onder meer nepaccounts gebruikt, terwijl dit niet zou zijn toegestaan. “Een methode die alleen politie en inlichtingendiensten onder strikte voorwaarden mogen inzetten”, aldus de nieuwssite. En dat terwijl 95 procent van de ondervraagde ambtenaren zegt dat hun gemeente aan online monitoring van burgers doet, en 54% dat er geen beleid op is. Hoe zit dat juridisch?

Het klopt dat politie en inlichtingendiensten alleen onder strikte voorwaarden undercoveroperaties mogen uitvoeren. En ja, met dat grote woord omschrijven we ook het aanmaken van nepaccounts om mensen online te volgen terwijl ze zich onbespied waren. Waarmee niet gezegd is dat ieder account van een agent automatisch een undercoveroperatie is: met een Instagram-account rondkijken naar “toegankelijk voor alle ingelogde gebruikers”-content is bijvoorbeeld geheel legaal. Het gaat om dingen als vrienden worden met mensen, in besloten groepen toegelaten worden of in privéconversaties dingen vernemen van mensen.

Die strenge regels zijn er omdat in het strafrecht de belangen groot zijn, en de zorgen over machtsmisbruik ook. Bij gemeentes is er de complicatie dat dit geen strafrecht is maar bestuursrecht, en daar zijn de regels vaak net even anders. Er is bij mijn weten in de Algemene Wet Bestuursrecht geen verbod op het undercover vergaren van inlichtingen. Helaas staat er ook niet expliciet dat het wél mag, behalve dan de generieke zin dat de opsporingsambtenaar bevoegd is “elke plaats te betreden met uitzondering van een woning zonder toestemming van de bewoner.” Ook moet iedereen meewerken en inlichtingen geven.

Het rapport wijst echter op een veel directer conflict: zo’n elektronisch volgen en monitoren is een vorm van elektronisch verwerken van persoonsgegevens die onder de AVG valt. En sterker nog, die verboden is onder de AVG omdat het door een overheidsorgaan gebeurt. Er is immers geen specifieke wettelijke regeling die het toelaat, zodat de grondslag onder de AVG ontbreekt. (De grondslag van het legitiem belang mag een overheidsorgaan niet gebruiken bij uitoefening van haar openbare taak.)

Er blijken ook gemeentes te zijn die de data bij een extern bedrijf inkopen. Ik lees dan de bekende idioterie dat “dit niet onder de privacywet valt omdat het om openbare gegevens gaat” of dat zo’n bedrijf een legitiem belang kan claimen bij haar bronnenonderzoek. Dat is gek maar doet voor de gemeente niet af dat zij voor verwerking van zulke gegevens een wettelijke grondslag nodig heeft.

Tot mijn (positieve) verbazing sluit het rapport dan zo af:

Binnen gemeenten wordt gemonitord om redenen die volstrekt begrijpelijk zijn, gelet op de juridische positie van de burgemeester en de maatschappelijke positie van de gemeente. Veel van de juridische eisen lijken in de praktijk nageleefd. Dat is niet vanwege kennis van een concreet juridisch kader. Want maar 21% van de medewerkers vindt het juridisch kader duidelijk. Toch lijken intuïtief of op basis van ethische overwegingen veel zaken goed te gaan. Zo worden er volgens respondenten in beperkte mate dossiers bijgehouden, zijn medewerkers terughoudend in het ‘doorklikken’ op profielen en geven ze aan dat ze voor online monitoring nooit (40%) of beperkt gebruikmaken van privéaccounts (38%) en nooit (67%) of beperkt gebruikmaken van nepaccounts (13%).
De zorg is wel dat gemeente denken “We hebben de mensen, we hebben de middelen, het lijkt te werken, en dus gebruiken we het.” Slechts één op de zes gemeenten betrekt de functionaris gegevensbescherming bijvoorbeeld bij monitoring. Dat kan dus grote problemen opleveren, inclusief schadeclaims door mensen die onterecht bekeken of gevolgd zijn. (Nog los van de praktische problemen zoals nepaccounts, of mensen die ‘grappig’ doen door bijvoorbeeld nepdrugs of zogenaamd de nieuwe auto te laten zien.)

Dit moet dus beter: een wettelijke regeling lijkt me zeker een goed idee. Mij is niet helemaal duidelijk waarom het rapport zegt dat dit niet in de APV mag maar een wet in formele zin vereist (een wet aangenomen door het parlement), volgens mij eist de AVG alleen dat er een wéttelijke regeling is en de APV is materieelrechtelijk gewoon een wet. Maar het is natuurlijk in ieder geval de beste route als de rijksoverheid de kaders stelt waarbinnen gemeenten mogen opereren, lijkt me.

Arnoud

 

Mijn werk wordt gelivecaptured en dat wil ik niet!

| AE 6128 | Ondernemingsvrijheid, Privacy, Security | 23 reacties

screen-captureEen lezer vroeg me:

Op ons werk beheren wij servers van klanten, die bij ons in het datacenter gehost staan. Natuurlijk wordt er uitgebreid gelogd wat wij doen op die servers. Maar nu is er een nieuw systeem: zodra ik de server van een klant benader vanaf mijn terminal, wordt mijn gehele sessie via een live-capturing tool opgenomen en ergens opgeslagen. Zo is er precies bewijs van wat ik heb gedaan, is het argument. Dat is beter dan loggen en onze klanten willen die zekerheid dat álles gemonitord wordt. Maar echt álles wordt gemonitord nu, ook wat ik privé tussendoor doe terwijl ik een server open heb staan. Mag dat zo wel?

Dit is een moeilijke. Enerzijds heb je recht op privacy op het werk, anderzijds hebben klanten recht op informatie over wie er aan hun systemen zit. Zeker als daar persoonsgegevens of bedrijfsgeheimen in zitten. Hier moet de werkgever dus een balans in vinden.

Logging lijkt mij een prima middel om de klant tegemoet te komen. Er kan dan worden gewerkt met een geanonimiseerde aanduiding, die bij een vermoeden van fouten of misbruik door een manager kan worden gekoppeld aan een persoon. Dan weet de klant dat persoon 123 iets deed, maar pas na een onderzoek kan dan blijken dat dit de vraagsteller was.

Alleen, dan moet de klant (of de IT-dienstverlener) wel álles weten te loggen. En dan zul je net zien dat je iets vergeten was. Dus vanuit die optiek snap ik het wel om gewoon maar alles te filmen en achteraf te zien wat je nodig hebt. Met een complete screencapture van de gehele sessie zul je niet snel meer iets missen.

Maar ja, dan loop je weer tegen privacygevoelige dingen aan: een werknemer kan tussendoor even z’n privémail checken terwijl de server nieuwe software staat te compileren, of een Skypeberichtje van zijn partner krijgen. En dat komt dan óók mee met zo’n opname. HEt liefst zou die opname dan beperkt moeten zijn tot het window waarmee de verbinding met die server wordt gelegd. Ik heb alleen geen idee of zulke software bestaat.

En hm. Menig datacenter hanteert ook cameratoezicht in de serverruimtes naast logging van activiteiten op hun server. Dan film je ook een neuspeuterende werknemer of een privételefoontje. Is dit wezenlijk anders?

Arnoud

Aansprakelijkheid en netwerkneutraliteit versus deep packet inspection

| AE 315 | Ondernemingsvrijheid | 2 reacties

Als een provider alles van zijn klanten kan controleren, moet hij dat dan ook gaan doen? Uitgebreid artikel op Ars Technica over Deep packet inspection en de implicaties voor netwerkneutraliteit.

The “deep” in deep packet inspection refers to the fact that these boxes don’t simply look at the header information as packets pass through them. Rather, they move beyond the IP and TCP header information to look at the payload of the packet. The goal is to identify the applications being used on the network, but some of these devices can go much further; those from a company like Narus, for instance, can look inside all traffic from a specific IP address, pick out the HTTP traffic, then drill even further down to capture only traffic headed to and from Gmail, and can even reassemble e-mails as they are typed out by the user.

Met Deep Packet Inspection of DPI wordt het dus mogelijk om op elk niveau te zien wat welke gebruiker uitspookt op internet. Een zorgelijke ontwikkeling, want de belangrijkste reden om Internetproviders niet aansprakelijk te houden voor wat gebruikers doen, was nou juist dat ze dat onmogelijk konden monitoren.

Als providers dat wel kunnen, betekent dat dan dat ze het ook moeten? In dat licht is dat Belgische vonnis over filteren van P2P-verkeer slechts de eerste stap.

Arnoud