Incassobureau dreigt wanbetaler met filmpje op YouTube

Incassobureau Straetus uit Flevoland dreigt wanbetalers en oplichters met het online zetten van beelden op YouTube. Dat meldde de NOS onlangs. De directeur van het bureau spreekt de wanbetaler aan op zijn schulden terwijl de camera het gesprek vastlegt. Met dat extra drukmiddel wil men betaling afdwingen, zo te lezen met name bij partijen die al zijn veroordeeld. En het zou niet strafbaar zijn, omdat gezichten en kentekens worden geblurd.

Nee, dat vind ik geen heel sterk argument. Zeker niet onder de AVG die er volgend jaar aankomt. Een persoonsgegeven is ieder gegeven over een persoon, als dat herleidbaar is. Niet noodzakelijk is dat er een naam of contactgegeven bij staat, of dat een gezicht vrij van camouflagepixels is. Het lijkt mij dat een video van een persoon in diens deuropening al heel snel herleidbaar is (voorbeeldje) ook al is iemand onherkenbaar.

Ik zie eerlijk gezegd niet hoe dit te rechtvaardigen is onder de privacywet. Toestemming is er natuurlijk niet, dus dan moet je je beroepen op hetzij een noodzaak in de uitvoering van een contract of een eigen dringende noodzaak die zwaarder weegt dan de privacy. En in beide gevallen kom je heel snel uit bij de vraag, is dit wel écht nodig als drukmiddel, is er werkelijk niets anders dat je ter beschikking staat?

Naar de rechter gaan ligt bijvoorbeeld voor de hand. Alleen, dan zegt het bureau dat ze dat al gedáán hebben en dat er nog steeds geen geld komt. Kennelijk heeft beslag leggen op en verkopen van inboedel en dergelijke dan ook geen zin, want dat is wat er gebeurt met een wanbetaler na een vonnis. Maar denk ik dan, dan ís er dus kennelijk geen geld, wat wil je dan bereiken met dit dwangmiddel? Dat mensen elders gaan lenen om die schuld af te lossen, omdat ze zich schamen voor de videopublicatie? Dat lijkt me nogal kortzichtig.

Het deed me denken aan dit rapport van de WRR, waarin men vrij droogjes constateert dat dit een breed probleem is: incassopartijen die vanuit eigen belang hard incasseren en daarmee regelingen of andere incassopartijen passeren. Dat schiet natuurlijk niet op, en zorgt voor behoorlijk wat stress bij de wanbetalers. Wat er wetenschappelijk bewezen weer voor zorgt dat ze minder goed kunnen nadenken over wat te doen, zodat de ellende alleen maar toeneemt. Dus wie wat kort door de bocht wil gaan (en ik blog dus ik mag dat) die zou concluderen dat deze actie juist de schuldenlast van Nederland gaat verhogen. Lekker dan.

Voor zover ik kan zien, heeft Straetus nog geen video gepubliceerd.

Arnoud

Nee, werknemers kunnen geen toestemming geven voor privacyzaken

Energiebedrijf Uniper (tot 1 januari 2016 E.ON) heeft na onderzoek van de Autoriteit Persoonsgegevens (AP) zijn alcohol- en drugscontrolebeleid voor medewerkers ingetrokken, las ik een tikje vertraagd bij de toezichthouder. Dit beleid kwam erop neer dat het bedrijf alcohol- en drugstesten wilde inzetten om onveilige situaties te voorkomen, maar dat mag niet van de AP: dergelijke informatie wordt aangemerkt als bijzonder persoonsgegeven en dat mag als werkgever alleen worden verwerkt met aparte toestemming. En die kunnen werknemers niet geven.

Eind 2015 ontving de Autoriteit Persoonsgegevens signalen van werknemers van het bedrijf dat men akkoord moest gaan met beleid over random blaastests en drugscontroles (wangslijmtest, drugshonden, controleren van auto’s en werkplekken). Als een werknemer niet zou tekenen, zouden volgens die signalen sancties volgen, zoals plaatsing op een andere positie. Echt vrijwillig is dat dus niet te noemen. (Je zou ze de kost moeten geven, alle bedrijven waar je als werknemer moet tekenen voor allerlei beleid of gebruik van je persoonsgegevens waarna wordt geclaimd dat er ’toestemming’ is.)

Dit leidde tot onderzoek, met als conclusie dat het bedrijf die gegevens echt niet zomaar mag verzamelen. Gegevens over alcohol- of drugsgebruik tellen als bijzonder persoonsgegeven – het zijn immers gegevens over gezondheid, als je het zuiver bekijkt. En als bedrijf mag je niet beschikken over dergelijke gegevens van je personeel. Ziekteverzuim en -dossiers mogen bijvoorbeeld alleen door een bedrijfsarts worden bijgehouden; de werkgever mag niet meer weten dan “Wim is ziek en waarschijnlijk maandag weer beter”. Zelfs Wim vragen “Goh wat had je eigenlijk vrijdag” is heel formeel verboden (oké oké alleen als je dat vervolgens in een bestand opslaat, of als je het hem appt).

Er zijn natuurlijk uitzonderingen. De hier meest relevante was die van uitdrukkelijke toestemming: wie in vrijheid zegt, het is prima dat je weet wat ik heb, heft daarmee het verbod op verwerking van dat persoonsgegeven op. Daar beriep Uniper zich op, maar dat sneuvelde al snel:

Uit [de wetsgeschiedenis] blijkt dus dat de toestemming niet onder druk mag worden gevraagd en gegeven. De testen worden uitgevoerd in opdracht van de werkgever. In het ‘Beleid alcohol-, medicijn- en drugsgebruik’ van 29 oktober 2015 staat dat een werknemer die geen verklaring tekent waarmee hij aangeeft in te stemmen met de testen in ieder geval een gesprek met de leidinggevende krijgt en bovendien het risico loopt op een andere positie te worden geplaatst. Een werknemer die bij de feitelijke test niet meewerkt wordt gesanctioneerd alsof er sprake is van een positieve uitslag. De werknemer wordt derhalve onder druk gezet om toestemming te verlenen. Er kan in dit geval dan ook niet gesproken worden van een ‘vrije toestemming’.

(Uniper beriep zich ook op gronden als een vitaal belang, dronken of onder de drugs gevaarlijke apparatuur bedienen is immers levensgevaarlijk. Daarvan werd echter gesteld dat de maatregel niet proportioneel was, en die laat ik verder even buiten beschouwing.)

Die uitspraak gaat natuurlijk over een specifieke context (geef toestemming of we behandelen je als drugsverslaafde en je kunt je promotie wel vergeten, even gechargeerd) maar de achterliggende gedachte is verstrekkend: een werknemer kan dus in beginsel geen toestemming geven voor privacykwesties aan zijn werkgever. Niet voor bijzondere gegevens, maar ook niet voor normale. Want ook in normale situaties is altijd enige ‘druk’ aanwezig, al is het maar de algemene druk dat je werkgever het onthoudt en mee laat wegen bij de keuze wie straks die promotie moet krijgen.

Een werkgever zal dus eigenlijk altijd een andere grondslag moeten hebben, zoals dat het nodig is voor het werk om die gegevens te hebben (wat alleen niet kan bij bijzondere persoonsgegevens) of dat hij een eigen zwaarwegend belang heeft (wat bij bijzondere persoonsgegevens overigens een ontheffing vereist). De naam en contactgegevens van personeel op je site zetten zou onder het eerste vallen; cameratoezicht met de juiste waarborgen onder het tweede.

Arnoud

Wie is aansprakelijk voor dat #cloudbleed-lek van Cloudflare?

Door een bug in de html-parser van CloudFlare konden gevoelige gegevens van klanten van het bedrijf lekken en stond data in de cache van zoekmachines. Na een melding van Google heeft de dienst voor optimilisatie van websites het lek in zeven uur gedicht. Dat meldde Tweakers, met meer details in The Register. De clouddienst had een klassieke buffer overflow-fout, waardoor willekeurige data van andere websites of databases meegestuurd kon worden bij een opvraging van een webpagina. En via Twitter de vraag (dank, Sven): “Is CF responsible for ‘breaches’ at each of those exposed companies?”

Volgens Tweakers zou er geen misbruik zijn gemaakt van de bug, die ontdekt werd door Google’s anti-zerodayproject Project Zero. Maar het lijkt mij nogal ernstig: de bug zorgde voor een abusievelijke opname van data in webpagina’s, maar onzichtbaar voor gewone gebruikers. De data kon echter van alles bevatten, van wachtwoorden tot persoonsgegevens. En dat wordt dan ook nog gecrawled door Google en collega’s, dus in caches overal zit nog dergelijke data. Auw. Wie gaat dat vergoeden?

In het algemeen is er geen wettelijke regeling wie aansprakelijk is voor het lekken van vertrouwelijke informatie. Dit wordt dan ook eigenlijk altijd contractueel geregeld: klant en leverancier spreken af welke data vertrouwelijk moet worden behandeld, welke schade of boete mag worden geclaimd en wanneer sprake is van een overtreding (dan wel overmacht of andere situatie zonder aansprakelijkheid). Dat kan gaan van “leverancier vergoedt elke cent van elke gelekte byte” tot “leverancier is nooit aansprakelijk, hooguit bij opzettelijk lekken”. Of klanten Cloudflare kunnen aanspreken, is dus een kwestie van in de contracten duiken.

Specifiek voor persoonsgegevens ligt dat iets anders in Europa. Daar zegt de wet (de Wbp, en straks de Privacyverordening) dat de aansprakelijkheid voor schade door datalekken ligt bij de (verwerkings-)verantwoordelijke, oftewel de partij die bepaalt waarom die gegevens zijn verzameld en wat daarmee gebeurt (juridisch: die doel en middelen vaststelt van de verwerking). Dat is dus in principe de partij die zaken doet met de personen, bijvoorbeeld een webwinkel of forum die klant- of gebruikersgegevens krijgt.

Alle partijen die die gegevens vervolgens opslaan of gebruiken in opdracht van die verantwoordelijke, heten bewerkers en zijn naar de betrokkenen toe op dit mnoment niet direct aan te spreken. Het is de verantwoordelijke die de claims krijgt – maar hij kan ze wel verhalen natuurlijk op die bewerkers. Daarvoor wordt het juridisch instrument van de bewerkersovereenkomst gehanteerd, een aanvulling op het ICT-contract die specifieke afspraken over persoonsgegevens bevat. Als klant moet je je dus melden bij je webwinkel, forum et cetera met je schadeclaim, en zij kunnen het dan bij hun hoster verhalen die het weer bij Cloudflare gaat halen.

Onder de Privacyverordening wordt dat strenger, dan kun je ook bij verwerkers (zoals ze dan gaan heten) direct een schadeclaim indienen als benadeelde partij. Dan mag je dus als klant of gebruiker van een internetdienst die bij Cloudflare zit, direct bij Cloudflare je schade gaan halen. En ja, Cloudflare valt onder de Privacyverordening ook al zitten ze nog zo hard in de VS.

Het blijft bij privacyclaims echter altijd een hele lastige wat die schade dan precies is, in geld uitgedrukt. Daar zijn ook onder de Verordening geen concrete handvatten over. Ik blijf het herhalen: het wordt tijd voor een staffel met forfaitaire schadebedragen, van zeg 50 euro voor lekken NAW gegevens tot 2.500 voor lekken medisch dossier.

Arnoud

Ja duh, natuurlijk moet een stemwijzer werken met https

De Autoriteit Persoonsgegevens (AP) heeft onderzoek gedaan naar de beveiliging van websites die interactieve stemhulp bieden, las ik bij Nu.nl. De privacytoezichthouder meldt dat 14 van de 24 onderzochte websites geen gebruik bleken te maken van een versleutelde verbinding, en na de vingertik hebben vier meteen de handdoek in de ring gegooid. De rest is nu over naar een beveiligde verbinding.

De verkiezingen komen er weer aan, dus is het logisch dat her en der stemadviessites zoals Stemwijzer en Kieskompas opduiken. En die kwamen recent in opspraak omdat ze tracking cookies zetten, waardoor bezoekers konden worden gevolgd en -althans in theorie- hun politieke voorkeur kon worden achterhaald.

Dat is een probleem, want politieke voorkeur is niet zomaar een gegeven – dat is een bijzonder persoonsgegeven, waar de Wbp heel streng bovenop zit. Dergelijke gegevens mogen gewoon niet worden verzameld of bijgehouden, behalve in enkele speciale gevallen. Aparte, uitdrukkelijke toestemming is er eentje maar geen hond die die vraagt.

Maar de reden waarom veel sites tracking doen – de eigen dringende noodzaak – staat er niet bij. Vorig jaar werden ziekenhuizen nog gewaarschuwd om die reden dat zij geen tracking cookies mogen plaatsen zonder apart toestemming daarvoor te vragen. Medische en politieke persoonsgegevens zijn voor de wet hetzelfde, dus dat geldt ook hier.

Toestemming vragen onder de cookiewet is een heikel punt. “Door deze site te gebruiken geeft u toestemming”, luidt vaak de redenering. Die is al zeer twijfelachtig, maar bij bijzondere persoonsgegevens écht niet toegestaan. Het verbaast dan ook niet dat stemwijzers nu alleen nog functionele cookies plaatsen.

Ook de beveiliging is een issue. Die moet bij bijzondere persoonsgegevens hoog liggen, dus dat je dan https moet gebruiken, zou voor mij voor zich spreken. Juist ook hier, omdat deze diensten niet alleen aan persoonsgegevens raken maar ook aan het stemgeheim. Je moet immers je politieke voorkeur kunnen bepalen zonder zelfs maar het idee dat iemand je in de gaten houdt en je erop aanspreekt, al is het maar door commerciële profiling en marketing.

Arnoud

Mag je schoolfoto’s in een Dropbox delen met alle ouders?

Een lezer vroeg me:

Wanneer er bij onze basisschool foto’s worden gemaakt van een evenement (zoals Sinterklaas of een schoolreisje) dan delen wij die met de betreffende ouders door de foto’s in een Dropbox aan te bieden. Alleen zij kunnen er dan bij, verder is het niet openbaar. (Voor publicatie op de site vragen we apart toestemming.) Maar nu klaagt een ouder dat dit zo niet mag en dat ook verspreiding in Dropbox alleen met aparte toestemming mag. Klopt dat?

Op grond van het portretrecht mogen portretfoto’s als deze (“portretten in opdracht”) niet worden gepubliceerd zonder toestemming van de geportretteerde. Omdat het hier nu gaat om kinderen, is toestemming van de ouders nodig voor publicatie.

De vraag is dan, is dit een publicatie? Je zou zeggen van niet, want slechts een groep ouders kan erbij en niet de hele wereld. Maar de Auteurswet is streng: zodra je buiten de directe familie- of vriendenkring komt, is al sprake van een ‘openbaarmaking’ oftewel een publicatie van het portret. Deze Dropbox-verspreiding is voor alle ouders van die klas beschikbaar, en het lijkt mij lastig verdedigbaar dat alle ouders van klasgenoten de “familie- of vriendenkring” vormt. En als het de hele school is, dan gaat het natuurlijk helemaal niet meer op.

Je kunt het ook via de privacywet (Wet bescherming persoonsgegevens, straks de Privayverordening) spelen maar dan kom je op hetzelfde uit. Verspreiding van een foto telt als een “verwerking van persoonsgegevens”, en dat mag alleen met toestemming of op grond van een andere grondslag uit die wet. Ik zie alleen geen grondslag die hier op kan gaan. Er is geen overeenkomst die verspreiding onder al die ouders rechtvaardigt, en een eigen gerechtvaardigd belang dat zwaarder weegt dan de privacy van de kinderen al helemaal niet.

Ik vrees dus dat er formeel weinig aan te doen is behalve de verspreiding per foto beperken tot enkel de kinderen die op die foto staan. Dat zou denk ik nog nét te verdedigen zijn als familie- of vriendenkring, of onder de privacywet een gerechtvaardigde verwerking. Je kunt immers moeilijk toestemming vragen voor een foto zonder de foto te laten zien aan de betrokkenen.

Arnoud

‘Meeste bedrijfssites versturen gevoelige gegevens onveilig’

Honderdduizenden zakelijke websites laten gebruikers gevoelige informatie verzenden zonder dat daarvoor van een beveiligde verbinding gebruik wordt gemaakt, blijkt uit een onderzoek van domeinbeheerder SIDN en MKB Servicedesk dat woensdag wordt gepubliceerd. Dat meldde Nu.nl onlangs. De ‘gevoelige gegevens’ zijn meestal NAWE-gegevens, maar ook inloggegevens en wachtwoorden komen voor. Maar liefst 86% van de onderzochte sites doet dat zonder ‘slotje’, https dus. Maar is dat dan verplicht?

Het laten insturen van persoonsgegevens – ook triviale zoals naam en adres – via een website of andere internetdienst mag alleen als de eigenaar daarvan zorgt voor adequate beveiliging. Dat staat al sinds 2000 in de wet (artikel 13 Wet bescherming persoonsgegevens), maar nergens staat wat dat dan precies inhoudt. Er is dus geen eis dat je beveiliging gecertificeerd moet zijn of zelfs maar aan bepaalde specifieke eisen moet voldoen.

De vraag wat ‘adequaat’ is, is dus een lastige om in het algemeen te beantwoorden. Je moet een afweging maken van de risico’s bij een lek tegenover de kosten en moeite om maatregelen te nemen. Perfectie wordt niet verlangd, en het kan ook prima zo zijn dat je bij formulier A een andere beveiliging hanteert dan bij formulier B. Waar het vooral om gaat, is dat je kunt onderbouwen waaróm je voor die of die maatregelen hebt gekozen (of juist waarom je die hebt weggelaten).

Specifiek bij contactformulieren kun je je afvragen of het echt wel nodig is, een SSL-certificaat. Ik zie het nog steeds niet, dat risico. Daar staat tegenover dat SSL tegenwoordig best goedkoop is (zowel qua cpu als qua prijs) en dus eigenlijk een no-brainer zou moeten zijn om toe te voegen. Dus dan wordt het wel een beetje theoretisch verhaal, er kan weinig misgaan maar hoe moeilijk is de maatregel nou?

Bij een login/wachtwoord voelt dat net anders. Daar is er voor mij geen excuus om zonder ssl te werken. Met dat account kun je allerlei dingen, en daarmee zijn er reële mogelijkheden voor fraude of overlast. Dan is de afweging snel gemaakt: no-brainer ter voorkoming van overlast, dat moet gewoon.

Arnoud

Vergeet ik al die tijd helemaal wat te vinden van het Privacy Shield

privacy-shieldAlweer uit juli: het Privacy Shield, het nieuwe dataverdrag tussen de EU en de VS, is definitief aangenomen. Daarmee is er eindelijk weer een werkbare juridische basis voor doorgifte van persoonsgegevens aan de VS. Althans zou je denken. En ja sorry, dit is belangrijk maar het is me gewoon even ontschoten erover te bloggen.

Al sinds de jaren negentig schuurt het qua persoonsgegevens tussen de Europese Unie en de VS. De Europese regels over persoonsgegevens zijn de strengste ter wereld, en bepalen onder meer dat persoonsgegevens de EU niet uit mogen tenzij het derde land zelf een minstens zo goed niveau van bescherming heeft. En dat heeft de VS dus, zo bepaalde de Europese Commissie in de Safe Harbor-beslissing eind jaren negentig. Amerikaanse bedrijven konden zichzelf certificeren als compliant met Europese regels, en daarmee was het geregeld. Ja moehaha ik weet het.

Dankzij de Snowden-onthullingen kon niemand er meer omheen dat deze fictie geen stand kon houden. Het Hof van Justitie prikte er dan ook in 2015 doorheen: de Amerikaanse haven is niet veilig, punt. Safe Harbor kende geen harde garanties zoals Europees recht vereist, met name omdat de Amerikaanse overheid te allen tijde door de beschermingsregels heen kon prikken.

Na die uitspraak was het enige tijd paniek in de tent: mag je nog wel persoonsgegevens in de Amerikaanse cloud opslaan, of een Amerikaans bedrijf dingen laten doen met Europese persoonsgegevens? Eigenlijk niet, tenzij je via speciale ellenlange modelcontracten specifieke afspraken mag én die kon handhaven, wat nogal een gedoe is.

Nu is er dan een nieuw akkoord dat iets strengere regels stelt. Zo komt er een onafhankelijk toezichtpanel op de zelfcertificering; bij klachten kan een certificaat dan worden ingetrokken. Verder moeten Amerikaanse bedrijven zich duidelijker committeren aan Europese regels en wordt een ombudsman aangesteld die klachten over mogelijke massasurveillance onafhankelijk kan behandelen. De politiek zal de afspraken jaarlijks evalueren.

Zijn we er nu? Niet echt. Voorlopig zitten we goed, want als de Europese Commissie zegt dat een land veilig is, dan is dat zo – althans totdat de onafhankelijke toezichthouders en uiteindelijk het Hof van Justitie zeggen van niet. Dus zorg voor een bewerkersovereenkomst (ADV: doe die training) en let op dat je leveranciers gecertificeerd zijn onder Privacy Shield.

Op de lange termijn zal dit geen stand houden. Uiteindelijk blijft bij Privacy Shield net als bij Safe Harbor het probleem dat inlichtingen- en veiligheidsdiensten te makkelijk in bulk mogen graaien in persoonsgegevens die Amerikaanse bedrijven onder zich hebben. Dan kun je honderd ombudsmannen aanstellen maar die diensten gaan dat echt niet minder doen. En afspreken dat de VS niet gaat graaien in gegevens bij hun eigen onderdanen, dat kun je wel vergeten als Europese Unie.

Dus ja, leuk dat het gat van Safe Harbor tijdelijk gerepareerd is, we kunnen weer even door. Maar meer dan een doekje voor het bloeden is het niet. Het fundamentele probleem blijft: je moet haast wel de cloud in vandaag de dag, maar dat betekent automatisch opslag in de VS en dat wil je eigenlijk gewoon niet.

Arnoud

Gastpost: Mag mijn telefoon mijn vingerafdruk eigenlijk wel gebruiken?

iphone-vingerafdrukDeze week ben ik met vakantie, dus traditiegetrouw een aantal gastblogs. Vandaag: Xinthia Krielaart met een juridische kijk op vingerafdrukken op je telefoon.

Tot twee maanden geleden behoorde ik nog tot de zeer kleine groep mensen die nog nooit een smartphone had gekocht. Maar toen ik in dienst kwam bij een hip IT-bedrijf, moest mijn oude telefoon plaatsmaken voor een state-of-the-art smartphone. Vol met nieuwe snufjes, inclusief handige vingerafdruk scanner. Geweldig: geen gezeur meer met het onthouden en vegen van specifieke patronen of het intikken van een pincode. Alleen: wordt mijn vingerafdruk wel veilig opgeslagen? Hoe weet ik zeker dat mijn unieke afdruk niet gebruikt of doorgestuurd wordt naar een bepaalde app of leverancier?

De General Data Protection Regulation (GDPR) Aangezien ik een juridische achtergrond heb, begon ik mijn zoektocht bij wet- en regelgeving. Mijn startpunt was de nieuwe General Data Protection Regulation (GDPR, in het Nederlands ook wel de Privacyverordening) die in mei 2018 van kracht gaat samen met de huidige Wet bescherming persoonsgegevens (wbp). In vergelijking met de Wbp gaat er behoorlijk wat veranderen in 2018, waaronder de uitgangspunten omtrent het gebruik van biometrische gegevens.

Volgens de GDPR zijn alle biometrische gegevens bijzondere persoonsgegevens. De verwerking van biometrische gegevens is hiermee verboden, tenzij is voldaan aan een van de uitzonderingssituaties. Bovendien moet in het geval van een uitzonderingssituatie de verwerking van persoonsgegevens voldoen aan het subsidiariteit en proportionaliteit principe en aan strenge organisatorische en technische maatregelen.

Werp je een vlugge blik op de limitatief opgesomde uitzonderingen in de GDPR, dan lijkt het opslaan van biometrische gegevens ten behoeve van authenticatie door commerciële bedrijven hier niet direct onder te vallen. De meeste uitzonderingssituaties vallen namelijk binnen de publieke sector (zoals publieke gezondheid, werkgelegenheid en sociale veiligheid). Ik kan bijvoorbeeld geen situatie bedenken waarbij het gebruik van je vingerafdruk voor het ontgrendelen van je smartphone noodzakelijk is voor je werkgever.

Wettelijke uitzondering: toestemming De enige situatie waarin commerciële bedrijven wel biometrische persoonsgegevens mogen verwerken is de situatie waarin het datasubject expliciete toestemming heeft gegeven. Mijn mobiele telefoon mag dus mijn vingerafdruk gebruiken, omdat ik hiervoor expliciete toestemming heb gegeven. Of niet?

De vraag is namelijk of mijn toestemming wel expliciet genoeg was. Je kunt je namelijk, net zoals bij cookies, afvragen wanneer er sprake is van expliciete toestemming. Zoals ik al zei was ik bij ingebruikname vooral gedreven door het voor mij nieuwe en interessante technologische snufje. Ik dacht op het moment van instellen niet na over mogelijke gevolgen voor mijn privacy. Ik heb bovendien nergens zien staan wat er precies met mijn vingerafdruk gebeurt. Heeft de fabrikant nu ook mijn vingerafdruk in een database staan?

Toestemming of niet? Op basis hiervan zou ik dus kunnen beargumenteren dat ik geen expliciete toestemming hebben gegeven. Ik heb immers niet alle consequenties afgewogen. Door het gebrek aan informatie was dit bovendien ook niet echt mogelijk. De fabrikant daarentegen zou kunnen zeggen dat ik een keuze heb gehad. Het was namelijk ook mogelijk om mijn smartphone niet te beveiligen, of om enkel een wachtwoord of patroontje te gebruiken. Doordat ik toch heb gekozen voor mijn vingerafdruk, zou de fabrikant kunnen zeggen dat ik expliciet toestemming heb gegeven.

Wie heeft er nu gelijk? Ik weet het niet. Ik denk wel dat dit vraagstuk een stuk makkelijker wordt wanneer de biometrische gegevens versleuteld worden opgeslagen. Als je dit doet, zijn de data immers niet meer direct herleidbaar tot een natuurlijke persoon. In de GDPR staat bovendien dat persoonsgegevens data zijn die direct of indirect herleidbaar is tot een geïdentificeerd of identificeerbaar persoon. Maakt de versleutelmethode de data onherleidbaar tot een persoon? Dan is de kans groot dat deze data niet meer als persoonsgegeven te bestempelen zijn. De GDPR is dan niet meer van toepassing.

Toekomst Er zijn tegenwoordig legio van functionaliteiten te verzinnen waarbij biometrische gegevens gebruikt kunnen worden om de gebruiker te authenticeren. Continuous authentication kijkt bijvoorbeeld niet meer naar fysieke kenmerken, maar ‘leert’ van het gedrag van de gebruiker. Op basis van deze informatie kan de applicatie bijvoorbeeld bepalen om de toegang van de gebruiker te blokkeren, of extra bewijs te vragen, als zijn handelingen te veel afwijken van hoe de gebruiker normaliter acteert. Ook dit soort informatie valt binnen de GDPR onder bijzondere persoonsgegevens. In mijn situatie is het gebruik van een vingerafdruk nog redelijk behapbaar en is het uitleggen aan de gebruiker wat er met deze gegevens gebeurt nog vrij eenvoudig. In het kader van zelflerende techniek wordt dat een behoorlijke uitdaging.

De toekomst van biometrische authenticatiemethoden is enigszins onzeker. De GDPR lijkt immers enkele barrières op te werpen die het gebruik van biometrische authenticatiemethoden kunnen vertragen of tegenhouden. De lat voor het verkrijgen van expliciete toestemming lijkt namelijk steeds hoger te worden. Voor mij zal de regeling in de GDPR voor het verwerken van biometrische gegevens geen directe gevolgen hebben. Ik zal nog steeds elke dag blij zijn dat het zo makkelijk is om mijn telefoon met mijn vingerafdruk te ontgrendelen. Of mijn toestemming nou expliciet was of niet.

Xinthia Krielaart is Associate Advisory bij Everett B.V. Dit is een advies- en systeemintegratiebureau dat gespecialiseerd is in digitale identiteiten. Xinthia heeft een achtergrond in Privaatrecht en in Communicatie. Haar interesses liggen op het vlak van IT en dataprotectie.

Huh, in alle grote steden word je via je telefoon gevolgd?!

city-trafficMensen die in grote steden winkelen, worden gevolgd via het wifi- en bluetoothsignaal van hun telefoon. Dat las ik bij RTL Z. Het bedrijf Citytraffic werkt samen met dertig gemeenten, waaronder Amsterdam, Rotterdam en Den Haag, en verzamelt gegevens van winkelend publiek in de stadscentra. Die gegevens worden gehasht en dan zou het geen overtreding van de Wbp meer zijn. Bovendien kun je op de website van het bedrijf (“We know where people GO”) nalezen hoe het werkt, want dat weet iedereen te vinden.

Dat kwam me bekend voor: in december werd Bluetrace op de vingers getikt door de toezichthouder, omdat ze MAC-adressen van winkelbezoekers (én langslopende passanten) gebruikte om vergelijkbare informatie op winkelniveau te vergaren. Dat ging te ver: die gegevens waren persoonsgegevens en ze werden voor onbepaalde tijd bewaard.

De Autoriteit Persoonsgegevens meldt tegen RTL Z dat wifi-tracking alleen mag worden uitgevoerd als dat wettelijk is toegestaan, bijvoorbeeld door toestemming aan mensen te vragen. Of – vul ik maar aan – als je een dringende noodzaak hebt en voldoende privacywaarborgen hebt ingericht. Het bijhouden van bezoeken zou best onder die grond te rechtvaardigen zijn als je het anoniem genoeg doet.

Citytraffic verzekert iedereen dat zij zich aan de wet houdt. Ik heb zo mijn twijfels. Het komt elke keer neer op dezelfde discussie: is een MAC-adres van je Wifi- of Bluetooth-chip een persoonsgegeven, en maakt het uit of je dat hasht. Het criterium is of je direct dan wel indirect het adres tot een persoon kunt herleiden, en ik neig naar wel: dat gegeven is aan jóuw telefoon gekoppeld, en telefoons zijn vandaag de dag een verlengstuk van mensen dus echt wel dat dat een persoon betreft.

Daar staat tegenover dat je niet weet hoe die persoon héét. Maar dat betekent alleen dat die persoon niet direct identificeerbaar is, en ook indirect identificeerbare gegevens zijn persoonsgegevens. Logisch ook: een persoon is meer dan een naam, en identificatie kan ook prima aan de hand van andere omschrijvingen. Zoals “de eigenaar van telefoon met MAC-adres 1::2”. (En ja natuurlijk zijn er telefoons en MAC-adressen die niet aan een persoon toebehoren, maar dat is de uitzondering en bovendien niet de doelgroep van Citytraffic.)

Dat hashen dan. Er heeft ooit iemand bij de toezichthouder wat gemompeld over dat een hash als niet-omkeerbare versleuteling wel eens gegevens buiten de Wbp kan plaatsen, dus nu is het een toverformule geworden (denk ik) dat als je hasht, er niets aan de hand is. Dat is onzin: wanneer je de hash in plaats van het MAC-adres gebruikt, houd je exact dezelfde informatie bij over een persoon. En je kunt vanaf een MAC-adres zo naar dat blokje informatie toe. Dus die zie ik niet. Ja, het is moeilijker om van het blokje informatie naar een MAC-adres te gaan, maar gezien de use case van Citytraffic komt dat niet voor. Het is altijd andersom: hee daar is MAC-adres 1::2 weer, wat weten we over die persoon.

Dus nee, alles bij elkaar blijf ik erbij dat het hier gewoon gaat om een verwerking van persoonsgegevens. Citytraffic moet dan dus voldoen aan de Wbp, en actief mensen informeren over wat zij doen. Bordjes in de Koopgoot dus, in plaats van een FAQ op de website. Toestemming vragen hoeft niet, mits ze het kunnen inkleden als een eigen dringende noodzaak én genoeg privacywaarborgen bieden. Een afmeldmogelijkheid is daarbij een vereiste, maar ook het snel wissen van individuele gegevens. De AP gaat zelfs zo ver dat ze zegt, bij gegevens op de openbare weg metéén anonimiseren. Dat betekent in feite dat Citytraffic geen, eh, city traffic mag bijhouden want als je meteen anonimiseert dan kun je geen verbanden leggen. Ik twijfel dus of dát niet wat te streng is.

Arnoud

Is een datalek pas een datalek als je zeker weet dat er data is gelekt?

disc-data-weg-bewaren-kruis.jpgEen lezer vroeg me:

Onze webwinkel is gehackt. We kunnen uit de logs achterhalen dat men via een zwakheid in het CMS is binnengedrongen en diverse bestanden heeft opgevraagd. Eén van die bestanden bevat het pad naar een backup-bestand met daarin onder meer klantgegevens. Helaas hebben wij geen logging op bestandstoegang, dus wij weten nu niet of werkelijk die backup is gedownload door de inbreker. Is dit een datalek en moeten wij dit melden?

De wet (art. 34a Wbp) spreekt van een datalek als sprake is van een “inbreuk op de beveiliging” van persoonsgegevens. Dit moet worden gemeld als er een “aanzienlijke kans op ernstige nadelige gevolgen” is voor de betrokkenen. Een hack waarbij men er vandoor gaat met een backup van klantgegevens zou ik wel als een inbreuk op de beveiliging kwalificeren. Of je die moet melden, hang af van het soort klantgegevens. Bij enkel het bestand van de nieuwsbrief denk ik dat niet, bij NAW + creditcardgegevens zeker wel.

De vraag is dus nu, ís er zo’n hack geweest? Vast staat het niet, maar uitsluiten kun je het ook niet. En dan moet je kiezen als wetgever – of als toezichthouder. Voor de zekerheid als datalek markeren, of pas iets een datalek noemen als het bewijs er ligt?

De toezichthouder (Autoriteit Persoonsgegevens) heeft beleidsregels gepubliceerd over hoe om te gaan met datalekken. Het criterium dat men hier hanteert, is of je “redelijkerwijs kunt uitsluiten” dat er toegang is geweest tot persoonsgegevens. Alleen dan hoef je het incident niet als datalek te behandelen. Men kiest dus voor de zekerheid, liever een lek te veel dan een te weinig gemeld.

Hier valt zeker niet uit te sluiten dat het backupbestand is opgevraagd. Zulke bestanden zijn immers aantrekkelijk voor criminelen, omdat er van alles bij elkaar staat. Leuke buit dus. En daarom moet dit incident als een datalek worden behandeld.

Arnoud