Mag je contactgegevens via WhatsApp doorgeven of is dat ook al een AVG probleem?

| AE 12287 | Privacy, Uitingsvrijheid | 11 reacties

Een lezer vroeg me:

Er zijn beperkingen bij het doorgeven van het e-mailadres aan derden. Maar contactgegevens doorgeven via WhatsApp is een standaard feature. Het zijn weliswaar geen e-mailadressen, maar kan dat volgens de wet zo maar?
Voor het doorgeven van e-mailadressen, 06-nummers en alle andere contactgegevens van personen (ook indien voor zakelijk contact) gelden gewoon dezelfde regels. Dat zijn immers allemaal persoonsgegevens onder de AVG.

Het maakt niet uit of je handmatig een 06-nummer in een e-mail plakt en deze zo doorgeeft, of dat je in de WhatsApp applicatie voor de optie “Contactpersoon toevoegen” kiest, een gegevenssetje kiest uit de lijst van je Android/Apple adresboek en deze in mooie layout laat verschijnen bij de ontvanger. In beide gevallen gebeurt hetzelfde: de contactgegevens komen bij de ontvanger.

Of dat mag, hangt allereerst af van of het delen onder de AVG valt. Die kent immers een uitzondering voor huishoudelijk of zuiver persoonlijk gebruik (artikel 2 lid 2c AVG). In principe geldt die alleen als je de gegevens voor jezelf houdt, maar in zeer beperkte kring delen kan vaak nog net. Als de buurvrouw mijn nummer aan de overbuurman geeft omdat die een afspraak wil om een pakketje bij me te halen, dan zie ik dat als buiten de AVG.

Als het onder de AVG valt heb je een grondslag nodig. Dat zal vaak toestemming zijn (“geef mijn nummer maar aan Jaap, hij mag me altijd appen voor een offerte”), maar dat is niet de enige. Uitvoering van een overeenkomst kan ook (“Jaap is mijn accountant, app hem maar over de jaarcijfers zodat we het contract kunnen finaliseren”). En wellicht kom je er ook met een eigen gerechtvaardigd belang (“Jaap vindt het vast fijn als Pieter hem appt hierover”).

Ik lees vaak dat men zegt, als je WhatsApp (of vergelijkbare applicatie) gebruikt dan ben je akkoord met de voorwaarden en dan mag iedereen je dus appen. Dat argument volg ik niet. Ten eerste staat dat niet in de voorwaarden van WhatsApp, en ten tweede kunnen die voorwaarden geen toestemming afdwingen voor levenslang gecontacteerd te worden door eender wie.

Het maakt dus niet uit hoe je iemands contactgegevens deelt. De kern is dat je het alleen moet doen als het netjes is om te doen.

Arnoud

Is het een datalek als een app het bsn van je clipboard uitleest?

| AE 12040 | Privacy | 16 reacties

Via Twitter:

Zeg @albertheijn, @Marktplaats en @NUnl. Waarom willen jullie zo graag alles wat ik gekopieerd heb lezen? Inclusief dingen als IBAN nummers, wachtwoorden of persoonsgegevens. Klinkt als iets voor de autoriteit persoonsgegevens.

Er blijken nog veel meer apps te zijn die het clipboard uitlezen als je ze activeert. De vraagsteller kwam erachter omdat zijn nieuwe versie van iOS een melding toont wanneer een app het clipboard uitleest, maar het is volgens mij geen nieuwe feature op zich dat apps dit doen.

Ik heb zelf Android maar weet dat er de nodige apps zijn die dit doen omdat ze dan actie kunnen ondernemen: als ik een track&trace code op het clipboard plaats, biedt de PostNL app vervolgens aan om de zending na te zoeken. Kopieer ik een e-mailadres, dan stelt mijn mailapp voor om een bericht daarheen te schrijven. Andere apps herkennen URLs die van hun eigen dienst zijn, en openen dan bijvoorbeeld een productpagina of bestelformulier. Best handig, en slim om dat via het clipboard te doen want zo kun je vanuit elke applicatie een actie initiëren richting een andere.

Als je als app het clipboard gaat uitlezen, dan neem je inderdaad een risico dat daar een wachtwoord op staat – of zoals de vraagsteller suggereert, een burgerservicenummer. Of andere persoonsgegevens, denk aan een gekopieerd mailtje met een schuldbekentenis of verzin zelf wat dramatisch. Dan staat je app dus persoonsgegevens te verwerken terwijl dat buiten de opdracht viel, want wat moet PostNL met mijn bsn of die schuldbekentenis?

Daar staat tegenover dat die app volgens mij niet meer doet dan “if clipboard matches /3S.*/ then zoekZending else nop endif” zodat ik de term ‘verwerken van persoonsgegevens’ een tikje grootsprakerig vind. Helemaal omdat de app geen invloed heeft op wát er op het clipboard staat.

Maar ik kan niet ontkennen dat er enige ophef is over het fenomeen, want ook apps als TikTok blijken het clipboard uit te lezen:

In March, researchers uncovered a troubling privacy grab by more than four dozen iOS apps including TikTok, the Chinese-owned social media and video-sharing phenomenon that has taken the Internet by storm. Despite TikTok vowing to curb the practice, it continues to access some of Apple users’ most sensitive data, which can include passwords, cryptocurrency wallet addresses, account-reset links, and personal messages. Another 53 apps identified in March haven’t stopped either.

Met name was de ophef omdat na maart de ontwikkelaar van TikTok had gezegd dat ze hiermee zouden stoppen, terwijl dat dus niet het geval bleek te zijn. Oh én omdat de app niet eenmalig bij het opstarten keek wat er op het clipboard stond maar dit deed na ieder leesteken of spatie die je intypte. TikTok zegt dat dit is om spam te voorkomen, wie weet hoe dat een reële maatregel is, zeg het even in de comments alsjeblieft.

Algemeen zou ik dus zeggen dat een app géén datalek is omdat ze het clipboard kunnen uitlezen en dan per ongeluk persoonsgegevens te pakken krijgen, zolang de app maar niets doet met gegevens die niet voor haar bestemd zijn. Ik kan me geen app voorstellen die een bsn nodig heeft (oké, misschien de declaratie-app van een zorgverzekeraar) en dan is het in theorie handig dat je dat nummer kunt selecteren uit je Evernote, OneNote of Google Keep en dat de app dat getal herkent en in het juiste veld invult. Maar andere apps zouden dat gegeven alleen mogen bekijken om te constateren dat het niet voor hen is, en dan vrolijk verder draaien. Doen ze meer, al is het maar “uploaden voor kwaliteitsdoeleinden”, dan is dat wél een datalek.

Arnoud

Eh, die meldplicht datalekken is dus voor het brakke bedrijf zelf, niet voor de ontdekker

| AE 12009 | Privacy | Er zijn nog geen reacties

Vele lezers vroegen me variaties op deze vraag:

Ik heb bij een [klant|leverancier|kennis|willekeurige website|app] een datalek ontdekt. Ik kan namelijk [vulmaarin] en daar ben ik best wel van geschrokken. Dit lijkt me een datalek in de zin van de AVG, ben ik nu verplicht dit te melden bij de Autoriteit Persoonsgegevens?

Er is geen algemene meldplicht dat wanneer je ergens een datalek aantreft, je dit moet melden bij de Autoriteit Persoonsgegevens. Sterker nog, er is op papier zelfs geen enkele reden om dat te doen. (Dit is anders dan bij aangifte van strafbare feiten, die iedereen mag doen die daar kennis van heeft.)

Inderdaad kent de AVG een meldplicht datalekken. Maar die geldt alleen voor verwerkingsverantwoordelijken die zélf een datalek hebben, niet voor partijen die elders een datalek ontdekken. Als je dus bij die [klant|leverancier|kennis|willekeurige website|app] een datalek ontdekt, dan is het dus genoeg om bij die partij een melding te doen (bij voorkeur bij de functionaris gegevensbescherming, als die er is) en dan moeten zij het zelf oppakken.

Dit geldt ook als je leverancier, partner of andere zakenrelatie van die [klant|leverancier|kennis|willekeurige website|app] bent. Mogelijk ben je dan een verwerker namens hen. Het ligt dan nog sterker: dan ben je juridisch gezien verplicht een melding te doen, maar ook dan moet het bij de verwerkingsverantwoordelijke. Als verwerker stap je niet naar de AP maar naar de klant dus. En ook dan moet de klant het oppakken en de melding doen bij de AP.

Heb je het idee dat die klant het niet goed oppakt, of weet je niet waar deze te bereiken, dan kun je bij de Autoriteit Persoonsgegevens een klacht indienen. Daarin beschrijf je dan het vermoedelijke datalek en het wat en hoe dat je hebt gevonden. Zij kunnen dat dan vergelijken met het datalek zoals dat een paar dagen later (hopelijk) wordt gemeld, of een onderzoek starten om zelf vast te stellen of er een datalek is geweest.

Natuurlijk kun je ook een journalist raadplegen. Een datalek bij een bedrijf of populaire internetdienst is al snel nieuwswaardig, en een journalist weet hoe je daar zorgvuldig bericht van doet (inclusief melden bij het bedrijf zelf). Bovendien kan een journalist je bronbescherming geven.

Arnoud

Studentenraad klaagt UvA aan wegens gebruik surveillancesoftware

| AE 11983 | Innovatie, Privacy | 8 reacties

De Centrale Studentenraad van de UvA stapt naar de rechter vanwege het gebruik van het surveillanceprogramma Proctorio. Dat las ik bij Tweakers. De CSr ziet de maatregel als een te vergaande inbreuk op het privéleven van studenten, omdat die bij tentamens dan hun hele hebben en houden thuis moeten onthullen en niet-transparante software van een… Lees verder

Oma moet van rechter foto’s kleinkinderen van social media verwijderen

| AE 11949 | Privacy | 18 reacties

Een oma moet de foto’s die ze van haar kleinkinderen op Facebook en Pinterest heeft geplaatst verwijderen, omdat dit zonder toestemming van de moeder gebeurde. Dat las ik bij Security.nl. Dit is weer zo’n vonnis dat tot vele misverstanden en broodjeaapverhalen gaat leiden. In de kern komt het (niet verrassend) erop neer dat als je… Lees verder

Inderdaad, bescherming van persoonsgegevens gaat over veel meer dan privacy

| AE 11887 | Informatiemaatschappij, Privacy | 8 reacties

Maar pas deze week zag ik welk fundamenteel maatschappelijk misverstand door dat rare begrip ‘privacy’ is ontstaan. Dat schreef Maxim Februari vorige week in NRC Handelsblad. Hij noemt het een ‘gruwelijk misverstand’ dat het steeds maar over de private kwestie van privacy gaat – de omgang met persoonsgegevens is een kwestie van algemeen belang. Het… Lees verder

Volgens mij bestaat “echt geanonimiseerde data” helemaal niet bij locatiedata, maar goed

| AE 11846 | Privacy, Regulering | 12 reacties

De Algemene verordening gegevensbescherming (AVG) is niet van toepassing op echt geanonimiseerde data, las ik bij Security.nl. Deze citeert de Europese privacytoezichthouder (EDPS) die daarmee reageert op plannen van de Europese Commissie om mobiele locatiegegevens in de strijd tegen het coronavirus te gebruiken. Het punt is namelijk dat locatiedata van mensen geldt als persoonsgegevens, maar… Lees verder

Heb ik recht op een kopie van mijn oude werkmailbox?

| AE 11797 | Ondernemingsvrijheid, Privacy | 11 reacties

Een lezer vroeg me: Ik heb de afgelopen 10 jaar bij 6 werkgevers gewerkt. Graag zou ik een kopie van mijn persoonlijke emailboxen bij deze bedrijven willen. Het gaat hier om outlook pst bestanden. Het gaat dus om een kopie van mijn persoonlijke zakelijke mailbox bij de betreffende ex-werkgevers. Hoe kan ik dat onder de… Lees verder

Avast verkoopt data van gebruikers gratis antivirussoftware onder pseudoniem

| AE 11747 | Ondernemingsvrijheid, Privacy | 8 reacties

Beveiligingsbedrijf Avast verkoopt op grote schaal gepseudonimiseerde data van gebruikers van de gratis versie aan adverteerders. Dat meldde Tweakers vorige maand. Het gaat onder andere om de browsegeschiedenis, die onder andere aan grote bedrijven zoals Google, Microsoft, Pepsi en McKinsey wordt verkocht. Na enige herrie stopt men daarmee, want “Mensen beschermen is onze topprioriteit en… Lees verder

Huh, afpersen is niet verboden als je dreigt met openbaarmaking?

| AE 11711 | Privacy, Regulering | 16 reacties

Af en toe kom je gekke zaken tegen als je op ‘internet’ zoekt op Rechtspraak.nl. Zo ook deze zaak over een relatief simpele afpersing zo lijkt het: een man breekt in bij een bedrijf, kopieert persoonsgegevens en eist bitcoins anders zal hij deze openbaar maken. Je zou zeggen dat dat strafbaar is, en omdat hij… Lees verder