RDC mag miljoenen Nederlandse autobezitters niet over datalek informeren

| AE 12584 | Privacy | 15 reacties

Ict-bedrijf RDC, waar de gegevens van miljoenen Nederlandse autobezitters werden gestolen, mag getroffen personen naar eigen zeggen niet over het datalek informeren. Dat meldde Security.nl onlangs. Het zou gaan om herleidbare gegevens van mogelijk 7,3 miljoen personen (afhankelijk van hoe veel dubbels er in de data zitten). Behalve om NAW-gegevens gaat het ook om e-mailadressen, kentekens, telefoonnummers en geboortedata, ideaal voor gerichte phishing natuurlijk. Maar RDC mag niets zeggen, omdat ze verwerker is.

Onduidelijk is hoe de datadiefstal kon gebeuren. De NOS (hoi Joost) ontdekte dat de data te koop stond, maar de RDC had vooralsnog geen verklaring over het hoe en wat. Wel heeft men direct een melding bij de Autoriteit Persoonsgegevens gedaan, en de autohandelaren voor wie zij werken ingelicht.

De RDC biedt het product AutoMotive Dashboard (AMD) aan. Dit “biedt u een geïntegreerd platform met databases en functionaliteit voor het analyseren van statistische automotive marktinformatie.” Hiervoor krijgt men data van de RDW, zoals informatie over de vervaldatum van apk-keuringen en grove informatie over de eigenaren van auto’s, zoals de cijfers van de postcode en geboortejaar.

En nee, dat is niet hetzelfde als NAW-gegevens, e-mailadressen, telefoonnummers, geboortedata et cetera. Kennelijk levert de RDW ruwe data aan RDC, die dan gaat anonimiseren? Dat lijkt me risicovol en onnodig, maar een andere verklaring heb ik niet.

In ieder geval, als RDC verwerker is van deze persoonsgegevens dan mag zij niet zelf een datalek melden bij de betrokkenen. De AVG legt die plicht nadrukkelijk bij de verwerkingsverantwoordelijke, hier dus de Rijksdienst voor het wegverkeer. RDC moet het datalek doorgeven aan die verantwoordelijke, daarna moet die beslissen of het datalek meldingsplichtig is. Dat is hier natuurlijk een gegeven, maar het is wel de RDW haar beslissing.

Het doet wel raar aan, want als het lek bij RDC zit dan kunnen die het beste aangeven wat er is gebeurd en wat er is gelekt. Maar omdat je als betrokkene uiteindelijk niets te maken hebt met uitbesteedpartijen en zorgvuldig geselecteerde partners, klopt het juridisch wel. De RDW meldt het aan jou, en als je dan claims hebt dan dien je die bij de RDW in. Die lost het intern maar op met RDC.

Arnoud

Hoe geautomatiseerd is de besluitvorming van Uber nu eigenlijk?

| AE 12558 | Privacy | 1 reactie

Vorige week verschenen drie uitspraken tegen Uber bv, waarin chauffeurs inzage in hun persoonsgegevens vroegen alsmede uitleg over de geautomatiseerde besluitvorming die het bedrijf zou toepassen. De uitspraken zijn fors en pittig, maar laten mooi zien hoe je als rechter de grenzen trekt tussen al dan niet toelaatbare besluitvorming.

De kern van het geschil werd veroorzaakt door deze passage in de privacyverklaring van Uber:

We use personal data to make automated decisions relating to use of our services. This includes: (…) Deactivating users who are identified as having engaged in fraud or activities that may otherwise harm Uber, its users, and others. In some cases, such as when a user is determined to be abusing Uber’s referral program, such behavior may result in automatic deactivation.”
Dit zagen we ook terug in de rechtszaken over de werknemer-status van chauffeurs; het geautomatiseerd gezag over personeel was een belangrijke factor. En het meer algemene punt is dat je niet zomaar geautomatiseerd gezag mag uitvoeren, dus op zijn minst moet je dan uitleggen wat je wel of niet automatisch doet.

In de eerste zaak ging het om de zogeheten “fraud probability score”, deel van het bedrijfsproces van Uber om frauderende chauffeurs tegen te gaan. Een voorbeeld daarvan is chauffeurs die via technische trucjes achterhalen welke bestemming een klant heeft voordat deze ingestapt is, zo kun je de weinig lucratieve ritjes mijden. Maar hoe komt die score tot stand, wanneer ben je een “fraudeur” volgens Uber? Maar helaas:

Bij toepassing van de ‘fraud probability score’ is sprake van profilering in de zin van artikel 4 onderdeel 4 AVG. Door geautomatiseerde verwerking van persoonsgegevens van [verzoekers] wordt immers een risicoprofiel opgesteld waarmee een voorspelling wordt gedaan over hun gedrag en betrouwbaarheid. [verzoekers] hebben evenwel niet gesteld en evenmin is gebleken dat op basis van dit risicoprofiel ten aanzien van hen geautomatiseerde beslissingen zijn genomen. De rechtbank gaat er daarom vanuit dat geen sprake is van geautomatiseerde besluitvorming in de zin van artikel 22 AVG.
Kennelijk wordt het profiel alleen gebruikt als stukje voorbereidende informatie voor menselijke fraudespeurders. We zien verderop een meer veelbelovende aanpak: ronkende persberichten dat Uber AI inzet om raar gedrag van chauffeurs op te sporen. Hoe meer geautomatiseerd dan een AI wil je het hebben? Maar wederom, helaas:
Volgens [verzoekers] volgt uit een persbericht dat het systeem is gebaseerd op kunstmatige intelligentie en ‘machine learning’. Daarmee is naar het oordeel van de rechtbank nog niet gezegd dat sprake is van geautomatiseerde besluitvorming zoals bedoeld in artikel 22 lid 1 AVG. Bovendien is daarvoor vereist dat ook sprake is van rechtsgevolgen of dat [verzoekers] anderszins in aanmerkelijke mate door het geautomatiseerde besluit worden getroffen. Een toelichting op dit punt ontbreekt.
Het gaat dus mis op de vraag wat er gebeurt met de uitkomsten van die automatische analyse. We zien dit ook terug in de tweede zaak, waarin het ging om je account kwijtraken wanneer Uber kennelijk automatisch concludeert dat je fraudeert.
Van een uitsluitend op geautomatiseerde verwerking gebaseerd besluit is sprake indien er geen betekenisvolle menselijke tussenkomst is in het besluitvormingsproces. In de Richtsnoeren is vermeld dat om daadwerkelijke menselijke tussenkomst te realiseren de verwerkingsverantwoordelijke ervoor moet zorgen dat al het toezicht op de besluitvorming zinvol is, en niet slechts een symbolische handeling vormt. Deze tussenkomst moet worden uitgevoerd door iemand die bevoegd en bekwaam is om het besluit te veranderen. Hij moet alle relevante gegevens in zijn analyse betrekken.
Uber blijkt zo’n menselijke tussenkomst wel te hebben: haar EMEA Operational Risk team. Die blijken de output van het automatische systeem te krijgen als signaal, en gaan dan met eigen indicatoren zoeken en vervolgens conclusies trekken. Dat is dus zeker geen geautomatiseerde besluitvorming, althans zo klinkt het niet. Ja, ik klink wat skeptisch maar dat is omdat ik gewend ben dat mensen vrij strak achter de indicaties aanlopen – als de computer zegt dat het een fraudeur is, dan zijn er vast indicaties te vinden die dat bewijzen, en dan zijn we er. Dit is niet hetzelfde als “eens zien of chauffeur X een fraudeur is”.

Wat wél automatisch gaat, is dat je account bevroren wordt totdat dat EMEA Operational Risk team haar onderzoek heeft afgerond, of op zijn minst tot jij contact opneemt:

Gelet op deze toelichting van Uber gaat de rechtbank ervan uit dat het besluit om de toegang tot de Driver app na een fraudesignaal tijdelijk te blokkeren automatisch, zonder menselijke tussenkomst, wordt genomen. Deze tijdelijke blokkade heeft echter geen langdurig of blijvend effect, zodat het geautomatiseerde besluit geen rechtsgevolgen heeft of de chauffeur in aanmerkelijke mate treft.
Een bekend probleem dat de rechter wél adresseert is dat er te weinig transparantie is. Waarom vond het algoritme dat deze chauffeur frauduleus zou handelen? Welke factoren wogen mee, wat is er gebeurd? En dan is “dat is bedrijfsgeheim” of “we willen fraudeurs niet wijzer maken dan ze zijn” geen argument onder de AVG.
Op basis van de informatie die Uber heeft gegeven kunnen zij niet controleren welke persoonsgegevens Uber heeft gebruikt in het besluitvormingsproces dat tot dit besluit heeft geleid. Hierdoor is het besluit tot deactivering van hun accounts onvoldoende inzichtelijk en controleerbaar. Dit heeft tot gevolg dat Uber aan [verzoeker 2] en [verzoeker 4] op grond van artikel 15 AVG inzage moet verstrekken in hun persoonsgegevens voor zover die ten grondslag hebben gelegen aan het besluit tot deactivering van hun accounts, op zodanige wijze dat zij in staat zijn de juistheid en rechtmatigheid van de verwerking van hun persoonsgegevens te controleren.
En in de derde zaak wordt de discussie over automatische besluitvorming eveneens afgewezen wegens een te beperkte onderbouwing van de eisende partijen. Wel interessant daar nog de vraag over inzage in je gegevens in een standaardformaat – de eisers wilden een CSV bestand, om zo zelf de data te kunnen onderzoeken (neem ik aan).

Dat is een recht als je persoonsgegevens opvraagt, wanneer die onder toestemming of uitvoering overeenkomst zijn verstrekt. Maar dat is meteen ook beperkt tot gegevens die jij dan verstrekt, niet over gegevens die het bedrijf zelf verzamelt of maakt op basis van wat je aanlevert. En daar gaat het dus mis, want de gevraagde gegevens voldoen niet aan deze beperkte eis.

Alles bij elkaar dus ben ik vooral teleurgesteld over de beperkt onderbouwde eisen, de uitspraken zijn zelf goed onderbouwd en bevestigen de lijn die we al zagen. Maar praktisch komen we niet héél veel verder zo.

Arnoud

Illegale handel in privégegevens miljoenen Nederlanders uit coronasystemen GGD

| AE 12476 | Privacy, Regulering | 19 reacties

Er wordt grootschalig gehandeld in miljoenen adresgegevens, telefoon- en burgerservicenummers, afkomstig uit de twee belangrijkste coronasystemen van de GGD. Dat ontdekte RTL Nieuws onlangs. De politie heeft twee personen gearresteerd die worden verdacht van deze illegale datahandel. Het gaat om handel in data uit twee coronasystemen van de GGD: CoronIT, waar de privégegevens van Nederlanders die een coronatest hebben gedaan in staan, en HPzone Light, het systeem voor het bron- en contactonderzoek van de GGD.

Op vrijdag 22 januari kregen politie en OM meldingen van de GGD dat er op Telegram persoonsgegevens uit een GGD-systemen te koop zouden worden aangeboden. Dat lees ik dan weer in het persbericht van de politie, met een overigens wel érg stoere foto van een arrestatie. “Het stelen en verkopen of doorverkopen van persoonsgegevens is een ernstig misdrijf”, zo meldt men.

En dat is het zeker, maar vroegen diverse lezers, waar staat dat dan? De AVG kent geen bepalingen van strafrecht, en data is niets zeg ik altijd. Maar specifiek bij strafrecht ligt dat anders. Daar kun je dingen stelen die in het handelsverkeer niets zijn. Alleen moet het dan wel gaan om dingen die uniek zijn, niet-kopieerbaar. En daar voldoen persoonsgegevens niet aan: de ‘gestolen’ gegevens staan nog steeds in de database van de GGD. Er is “alleen maar” een kopie gemaakt.

Desondanks is dit wel degelijk strafbaar. Je kunt diverse insteken kiezen. Zo is er artikel 139c Strafrecht, dat meestal de “diefstal van gegevens” strafbaar stelt:

Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.
Weliswaar mochten de medewerkers in kwestie in de databases, de kopie die ze downloadden hoorde niet tot hun werk en die is dus opzettelijk én wederrechtelijk gemaakt. En artikel 139e stelt dan ook het bezit en publiceren van die gegevens strafbaar (tot zes maanden cel)

Strenger is artikel 139g Strafrecht, dat in lid 1 bepaalt:

1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die niet-openbare gegevens:

  • a.verwerft of voorhanden heeft, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;

  • b.ter beschikking van een ander stelt, aan een ander bekend maakt of uit winstbejag voorhanden heeft of gebruikt, terwijl hij weet of redelijkerwijs moet vermoeden dat het door misdrijf verkregen gegevens betreft.

Dit artikel ziet dus op de heling of doorverkoop van die gegevens.

Dan is er ook nog een wetsartikel tegen identiteitsfraude, artikel 231b Strafrecht:

Hij die opzettelijk en wederrechtelijk identificerende persoonsgegevens () van een ander gebruikt met het oogmerk om zijn identiteit te verhelen of de identiteit van de ander te verhelen of misbruiken, waardoor uit dat gebruik enig nadeel kan ontstaan, wordt gestraft met een gevangenisstraf van ten hoogste vijf jaren of geldboete van de vijfde categorie.

Het enige punt is dat ik hierbij geen voorbereidings-artikel kan vinden, oftewel een artikel waarin staat dat het verwerven van persoonsgegevens met het oogmerk dit misdrijf te plegen apart strafbaar is. Ik denk dus dat dit het niet gaat worden.

Dat gezegd hebbende, dit is een uniek geval en vooral dat de politie zo streng en voortvarend optreedt. Ik hoop dat het veel consequenties heeft, dan zit de schrik er straks goed in.

Arnoud

Mag je contactgegevens via WhatsApp doorgeven of is dat ook al een AVG probleem?

| AE 12287 | Privacy, Uitingsvrijheid | 20 reacties

Een lezer vroeg me: Er zijn beperkingen bij het doorgeven van het e-mailadres aan derden. Maar contactgegevens doorgeven via WhatsApp is een standaard feature. Het zijn weliswaar geen e-mailadressen, maar kan dat volgens de wet zo maar? Voor het doorgeven van e-mailadressen, 06-nummers en alle andere contactgegevens van personen (ook indien voor zakelijk contact) gelden gewoon dezelfde… Lees verder

Is het een datalek als een app het bsn van je clipboard uitleest?

| AE 12040 | Privacy | 16 reacties

Via Twitter: Zeg @albertheijn, @Marktplaats en @NUnl. Waarom willen jullie zo graag alles wat ik gekopieerd heb lezen? Inclusief dingen als IBAN nummers, wachtwoorden of persoonsgegevens. Klinkt als iets voor de autoriteit persoonsgegevens. Er blijken nog veel meer apps te zijn die het clipboard uitlezen als je ze activeert. De vraagsteller kwam erachter omdat zijn… Lees verder

Eh, die meldplicht datalekken is dus voor het brakke bedrijf zelf, niet voor de ontdekker

| AE 12009 | Privacy | Er zijn nog geen reacties

Vele lezers vroegen me variaties op deze vraag: Ik heb bij een [klant|leverancier|kennis|willekeurige website|app] een datalek ontdekt. Ik kan namelijk [vulmaarin] en daar ben ik best wel van geschrokken. Dit lijkt me een datalek in de zin van de AVG, ben ik nu verplicht dit te melden bij de Autoriteit Persoonsgegevens? Er is geen algemene… Lees verder

Studentenraad klaagt UvA aan wegens gebruik surveillancesoftware

| AE 11983 | Innovatie, Privacy | 8 reacties

De Centrale Studentenraad van de UvA stapt naar de rechter vanwege het gebruik van het surveillanceprogramma Proctorio. Dat las ik bij Tweakers. De CSr ziet de maatregel als een te vergaande inbreuk op het privéleven van studenten, omdat die bij tentamens dan hun hele hebben en houden thuis moeten onthullen en niet-transparante software van een… Lees verder

Oma moet van rechter foto’s kleinkinderen van social media verwijderen

| AE 11949 | Privacy | 18 reacties

Een oma moet de foto’s die ze van haar kleinkinderen op Facebook en Pinterest heeft geplaatst verwijderen, omdat dit zonder toestemming van de moeder gebeurde. Dat las ik bij Security.nl. Dit is weer zo’n vonnis dat tot vele misverstanden en broodjeaapverhalen gaat leiden. In de kern komt het (niet verrassend) erop neer dat als je… Lees verder

Inderdaad, bescherming van persoonsgegevens gaat over veel meer dan privacy

| AE 11887 | Informatiemaatschappij, Privacy | 8 reacties

Maar pas deze week zag ik welk fundamenteel maatschappelijk misverstand door dat rare begrip ‘privacy’ is ontstaan. Dat schreef Maxim Februari vorige week in NRC Handelsblad. Hij noemt het een ‘gruwelijk misverstand’ dat het steeds maar over de private kwestie van privacy gaat – de omgang met persoonsgegevens is een kwestie van algemeen belang. Het… Lees verder

Volgens mij bestaat “echt geanonimiseerde data” helemaal niet bij locatiedata, maar goed

| AE 11846 | Privacy, Regulering | 12 reacties

De Algemene verordening gegevensbescherming (AVG) is niet van toepassing op echt geanonimiseerde data, las ik bij Security.nl. Deze citeert de Europese privacytoezichthouder (EDPS) die daarmee reageert op plannen van de Europese Commissie om mobiele locatiegegevens in de strijd tegen het coronavirus te gebruiken. Het punt is namelijk dat locatiedata van mensen geldt als persoonsgegevens, maar… Lees verder