Mogen persoonsgegevens in andere landen dan de VS wel worden opgeslagen?

| AE 9555 | Privacy | 3 reacties

Een lezer vroeg me:

Er is natuurlijk veel te doen over data die naar de USA kan gaan. Ik hoor echter nooit discussies over data die bijvoorbeeld naar India gaat. Wat zegt de AVG over andere landen buiten de EU?

Het gaat inderdaad vaak om de Verenigde Staten, maar juridisch gezien is de VS niet anders dan andere landen buiten de Europese Economische Ruimte: persoonsgegevens mogen daar niet naar toe, tenzij in de wet (de Algemene Verordening Gegevensbescherming) staat van wel.

De wet kent een aantal gronden waarop persoonsgegevens in een bepaald land mogen worden opgeslagen. De belangrijkste is dat de Europese Commissie heeft besloten dat landen “een passend beschermingsniveau waarborgen”. Op dit moment zijn dit:

Andorra, Argentinië, Canada (alleen voor de commerciële sector en alleen in gebieden waar de Canadian Personal Information Protection and Electronic Documents Act van toepassing is), de Faeröer Eilanden, Guernsey, Israël, het Isle of Man, Jersey, Nieuw-Zeeland, Uruguay, de Verenigde Staten (alleen indien de betrokken Amerikaanse partij bij Privacy Shield is aangesloten) en Zwitserland.

Wil je gegevens in deze landen opslaan, of bedrijven daar iets laten doen met die gegevens, dan mag dat. (Natuurlijk moet je wel gewoon toestemming of andere grondslag voor de verwerking an sich hebben, en een verwerkersovereenkomst hebben gesloten, net zoals wanneer je een Europees bedrijf zou inschakelen.)

Voor andere landen is er nog de optie van “passende waarborgen”, die er kort gezegd op neerkomen dat je als Europese partij hebt geborgd dat betrokken personen daadwerkelijk dezelfde bescherming krijgen als wanneer de data in de EU was opgeslagen. Als het bijvoorbeeld gaat om een Indiase dochter van een Europees concern, dan zijn zogeheten bindende bedrijfsvoorschriften (intra-concern contracten) goed genoeg.

Een andere optie zijn de zogeheten standaardbepalingen of “model clauses”, door de EU voorgeschreven contractuele bepalingen die ook dergelijke waarborgen afdwingen. Wel blijf je als EU-partij verantwoordelijk voor de feitelijke naleving door die Indiase partij. En daar zit natuurlijk de pijn bij gebruik van niet-Europese partijen: hoe ga je die aansprakelijk stellen of schade verhalen als blijkt dat die contractuele regels niet meer waren dan mooie woorden?

Arnoud

Wanneer is een ransomware-aanval eigenlijk een datalek?

| AE 9425 | Beveiliging | 10 reacties

Parkeerbedrijf Q-Park is onder de organisaties die zijn getroffen door de wereldwijde cyberaanval, meldde de NOS. Nou ja, cyberaanval: grootschalige ransomware-infectie. Wat onder meer de vraag via Twitter gaf:

Dat is dus ook een geval van een #datalek omdat ze gegevens “kwijt” zijn toch @ictrecht ?

Ook het verloren gaan van gegevens telt als datalek onder de Wet bescherming persoonsgegevens inderdaad (en straks de AVG). Dat voelt gek, want misbruik is niet echt aan de orde als iets weg is, maar naast dat het formeel gewoon onder de term ‘verwerken’ valt is er gewoon een goede reden: het verloren gaan van gegevens kan je status als klant et cetera aantasten. Als de computer niet meer weet dat jij betaald hebt om te parkeren, dan heb je een probleem.

Natuurlijk is dit geen issue als er een goede recente backup is. En in die situatie noemen we zo’n verlorengaan dan ook geen datalek, althans niet eentje die het melden waard zou zijn. Dus in principe is het antwoord simpel: ja, tenzij men goede backups heeft.

En hier zou je zelfs nog een stapje verder kunnen gaan: welke persoonsgegevens zijn verloren gegaan door de ransomware in die Q-Park garages? Die staan toch op een server ergens, en deze terminals dienen alleen als interface om te betalen? Niet kunnen betalen is heel vervelend maar geen datalek.

Intrigerender -wie erop wil afstuderen moet maar even mailen- vind ik nog de vraag of ingijzelneming van persoonsgegevens wel telt als verloren gaan. De data is er immers nog, je moet alleen betalen om hem weer terug te krijgen. Ik weet het, de Autoriteit Persoonsgegevens vindt van wel, maar om een wat verdergaande reden:

Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen. … De besmetting kan het hele systeem en alle gekoppelde bestanden raken.Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.

Kort samengevat: omdat je niet kunt uitsluiten dat ransomware de gegevens ook kopieert, moet je het als een datalek behandelen. Daar ben ik het mee eens, maar wat nu als we wél kunnen uitsluiten dat er gegevens zijn gemanipuleerd of gekopieerd? Stel de ransomware infecteerde een computer via een USB-stick, en achteraf kunnen we met extern opgeslagen hashes vaststellen dat de bestanden in originele toestand zijn hersteld.

Is dit nu zeg maar een heel ingewikkelde backup/restoreprocedure? Of moet je gijzelen zien als verloren gegaan?

De implicaties zijn interessant, want als je zegt dat dit een datalek is dan is het offline halen van een clouddienst met de enige kopie van de gegevens óók een datalek. En dat zit me niet helemaal lekker.

Arnoud

Wat is het verschil tussen data delen en data verkopen?

| AE 9412 | Beveiliging | 10 reacties

Audiobedrijf Bose werd vorige maand aangeklaagd wegens het bespioneren van zijn gebruikers, las ik bij Nu.nl. De Bose Connect-app zou bijhouden naar welke muziek en podcasts gebruikers luisteren. Het bedrijf heeft de app aangepast, maar ontkent dat die data wordt verkocht aan derden. En dan lees ik “Het bedrijf ontkent echter niet dat de gegevens gedeeld worden met derde partijen” en denk ik, wat is dan het verschil?

Steeds meer apparaten vergaren informatie over hun eigenaren en sturen dat naar de fabrikant. Van slimme televisies die luisteren naar wat er wordt gezegd tot beeldbewerking op afstand. Maar ook heel simpel een website die je bezoekt, verzamelt van alles over je. Commercieel heel waardevolle informatie voor derden, met name voor adverteerders. Want weten wat iemands interesses zijn, maakt het mogelijk gericht te adverteren.

Dit is op zich Ouder dan het Internet(tm): ook daarvoor al werd er driftig gehandeld in databestanden zodat je wist waar je een direct mailing het beste heen kon sturen. Verkoopcijfers van huizen, interesse in dure meubels en ga zo maar door. Verkoop van klantenbestanden en -informatie werd privacytechnisch dan ook al snel een punt van zorg.

Dit zie je op veel websites en diensten dan ook terug in de privacyverklaring: Wij verkopen uw gegevens niet aan derden. En voor zover ik weet houdt iedereen zich daar ook netjes aan. En dat is maar goed ook, want bestandenhandel is sinds de Wet bescherming persoonsgegevens eigenlijk altijd verboden – en onder de AVG of GDPR van volgend jaar helemáál.

Erg is dat niet, want er is een veel slimmer alternatief. In plaats van bestanden met waardevolle persoonsgegevens aan derden te verkopen, verhuur je een reclameplekje voor die derden op een generiek omschreven (dus niet persoonsgebonden) plekje op je site. Facebook zal mij nooit data verkopen waarin staat welke gebruikers advocaat zijn, IT-savvy en druk bezig zich in te lezen over die AVG die eraan komt. Maar ik kan wel gericht reclame tonen voor mijn boek over de AVG op precies het segment advocaat, IT-savvy en vond-ik-leukte-AVG-artikelen.

Effectief is dat hetzelfde, maar verkopen is het niet. Ik denk dus dat dat ongeveer is wat men met dat “delen maar niet verkopen” bedoelde. En het is dus legaal denk ik, omdat je geen persoonsgegevens verkoopt maar alleen geaggregeerde data. Hoe je dat wettelijk zou verbieden, weet ik niet. Dat kan dan beter bij de bron aangepakt worden: je mag zulke gegevens niet verzámelen zonder aparte toestemming, en dergelijke toestemming mag niet verbonden worden aan de koop van een ‘slim’ apparaat.

Arnoud

Slimme vibrator met camera gekraakt door beveiligingsbedrijf

| AE 9362 | Beveiliging, Privacy | 29 reacties

De Svakom Siime Eye, een slimme vibrator met aan het uiteinde een camera, blijkt relatief eenvoudig te kunnen worden gemanipuleerd. Hierdoor zijn de gemaakte beelden ook op afstand door vreemden te bekijken, zo las ik bij Nu.nl na diverse tips (dank, iedereen). En ergens hoop ik dat dit faalproduct ten voorbeeld wordt gesteld aan alle… Lees verder

Te koop bij uw ISP: uw browsergeschiedenis

| AE 9355 | Privacy | 16 reacties

Amerikaanse internetproviders mogen binnenkort de internetgeschiedenis van hun klanten verkopen aan derden, meldde Ars Technica vorige week. Een besluit van die strekking is door zowel Congres als Huis van Afgevaardigden aangenomen. Het besluit verklaart een eerdere regel van de toezichthouder FCC ongeldig, waarin werd bepaald dat alleen met aparte opt-in dergelijke gegevens mochten worden verzameld… Lees verder

Heeft Donald Trump het Privacy Shield opgeblazen?

| AE 9220 | Privacy | 8 reacties

De Amerikaanse president Donald Trump heeft vorige week potentieel het recent gesloten Privacy Shield opgeblazen, meldden diverse media vorige week. Dankzij Privacy Shield mochten Europese bedrijven weer gewoon persoonsgegevens opslaan of laten verwerken in de VS. Een executive order gericht tegen illegale immigranten lijkt hier inderdaad een bom onder te leggen. Al sinds de jaren… Lees verder

‘Meeste bedrijfssites versturen gevoelige gegevens onveilig’

| AE 9215 | Privacy, Webwinkels | 25 reacties

Honderdduizenden zakelijke websites laten gebruikers gevoelige informatie verzenden zonder dat daarvoor van een beveiligde verbinding gebruik wordt gemaakt, blijkt uit een onderzoek van domeinbeheerder SIDN en MKB Servicedesk dat woensdag wordt gepubliceerd. Dat meldde Nu.nl onlangs. De ‘gevoelige gegevens’ zijn meestal NAWE-gegevens, maar ook inloggegevens en wachtwoorden komen voor. Maar liefst 86% van de onderzochte… Lees verder

Is e-mail nou wel of niet veilig genoeg voor communicatie van basale persoonsgegevens?

| AE 9042 | Beveiliging, E-mail | 38 reacties

Een lezer vroeg me: Ik heb een discussie met het waterbedrijf. Zij mailen mij met allerlei informatie, maar nemen elke keer ook naam, adres, klantnummer en dergelijke van mij op. Laatst stuurden ze zelfs mijn bankrekeningnummer in een mail. Op mijn vraag hoe dat zit met bescherming van persoonsgegevens, zei men dat e-mail buiten haar… Lees verder

Dynamische ip-adressen zijn ook persoonsgegevens voor websitehouders

| AE 9016 | Privacy | 8 reacties

Het Europese Hof van Justitie heeft bepaald dat dynamische ip-adressen persoonsgegevens kunnen zijn, zo meldde Tweakers vorige week. Daar schijn je over te kunnen twijfelen, dus goed dat er nu een uitspraak (zaaknr. C-582/14) over is. De zaak werd aangespannen door een Duitse burger die constateerde dat overheidswebsites zijn IP-adres logden. Hij maakte daartegen bezwaar:… Lees verder