Minister pakt Russische site met privédocumenten van Nederlanders niet aan

| AE 9801 | Security | 10 reacties

Tegen de Russische website DocPlayer, die automatisch pdf-bestanden van internetgebruikers publiceert, wordt geen actie ondernomen. Dat meldde Nu.nl vorige week. De site publiceert 4,3 miljoen bestanden staan die door een computerprogramma worden verzameld en gepubliceerd. “Echter, het valt niet op voorhand te stellen dat deze gegevens illegaal verkregen zijn.” Want als ze uit openbare bronnen verkregen zijn, dan is het niet strafbaar. Eh, wacht, wat?

In september ontstond ophef over de site, toen RTL meldde dat daar miljoenen documenten te vinden waren met privéinformatie die via onduidelijke bronnen verkregen zouden zijn. Daarover werden kamervragen gesteld, wat ging de minister hier aan doen?

Vrij weinig dus. Op zich niet zo heel gek, wat kún je ook tegen zo’n site die in Duitsland staat. Zei hij sarcastisch. Maar iets serieuzer, als minister kun je hier natuurlijk echt weinig aan doen, die taak ligt immers bij toezichthouders zoals de Autoriteit Persoonsgegevens of bij de mensen die getroffen zijn door deze publicatie. Hoe vervelend ook, het is een civiele kwestie – je moet zelf een rechtszaak aanspannen als je auteursrechten worden geschonden of je privacy te grabbel wordt gegooid.

Indienen van een verwijderverzoek bij de site (haha) en bij Google (wie weet) zou dus de eerste aangewezen stap moeten zijn. Daarnaast een handhavingsverzoek bij de AP, hoewel de minister daar meteen een bezwaar oproept: de site zit in Duitsland, dus is de AP niet bevoegd. Nee, maar ze zouden toch kunnen bemiddelen bij de Duitse collega’s wellicht?

Het argument dat die gegevens “bewust of onbewust door gebruikers op het internet zijn geplaatst en daarna door deze site zijn verzameld” is natuurlijk compleet irrelevant en het is jammer dat dat zo prominent vooraan in de antwoorden staat. Want dat dóet er niet toe; ook als je zelf bewust iets op je site plaatst dan nog mag het niet worden gekopieerd in zo’n handigejongenssite.

Arnoud

AP gaat vragen stellen over reclameschermen met camera’s op stations

| AE 9656 | Privacy | 36 reacties

De Autoriteit Persoonsgegevens gaat vragen stellen aan de NS over reclameschermen van ExterionMedia die camera’s bevatten, meldde Tweakers eergisteren. Digitale reclameschermen van het bedrijf op stations bevatten camera’s waarmee wordt waargenomen of passanten naar de advertentie kijken. Daarover is veel discussie ontstaan: valt dat nu onder de privacywet of zijn het “alleen maar enen en nullen”?

Exterion is een bedrijf dat buitenreclame met van die zuilen aanbiedt. Recent viel het mensen op dat daar cameralenzen in prijken, waardoor de gedachte ontstond dat mensen worden gefilmd terwijl ze bijvoorbeeld over het perron lopen. Dat is juridisch een tikje dubieus, zeker omdat er niet gewaarschuwd wordt.

Volgens Exterion is er niets aan de hand:

Het gaat hier om camera’s die geen beeld vastleggen, maar door middel van software in een fractie van een seconde kunnen bepalen of er een persoon langs het scherm loopt. Er worden nooit beelden vastgelegd en er bestaat geen database of iets dergelijks waarin beelden worden opgeslagen.

Uit het Tweakersbericht haal ik dat de software alleen generieke uitvoer geeft: een jonge vrouw keek 12 seconden en focuste daarbij 7 seconden op de tekstballon rechtsboven, bijvoorbeeld. Dergelijke uitvoer lijken mij geen persoonsgegevens, omdat dit een te algemene omschrijving is om tot iemand te herleiden.

De AP wil echter nader onderzoek, want om die uitvoer te maken ligt het voor de hand dat je een foto of videobeeld maakt op hoge resolutie, om zo ogen te herkennen en het gezicht als man/vrouw en jong/oud te classificeren. En ook als die foto maar een seconde in het systeem zit, dan nog is sprake van een verwerking van persoonsgegevens. Dat wil niet zeggen dat het dan niet mag, maar je zult dan aan regels moeten voldoen zoals het informeren van mensen dát deze verwerking plaatsvindt.

Heeft iemand meer informatie over hoe die camera, pardon sensor komt tot zijn uitvoer?

Arnoud

Mogen persoonsgegevens in andere landen dan de VS wel worden opgeslagen?

| AE 9555 | Privacy | 3 reacties

Een lezer vroeg me:

Er is natuurlijk veel te doen over data die naar de USA kan gaan. Ik hoor echter nooit discussies over data die bijvoorbeeld naar India gaat. Wat zegt de AVG over andere landen buiten de EU?

Het gaat inderdaad vaak om de Verenigde Staten, maar juridisch gezien is de VS niet anders dan andere landen buiten de Europese Economische Ruimte: persoonsgegevens mogen daar niet naar toe, tenzij in de wet (de Algemene Verordening Gegevensbescherming) staat van wel.

De wet kent een aantal gronden waarop persoonsgegevens in een bepaald land mogen worden opgeslagen. De belangrijkste is dat de Europese Commissie heeft besloten dat landen “een passend beschermingsniveau waarborgen”. Op dit moment zijn dit:

Andorra, Argentinië, Canada (alleen voor de commerciële sector en alleen in gebieden waar de Canadian Personal Information Protection and Electronic Documents Act van toepassing is), de Faeröer Eilanden, Guernsey, Israël, het Isle of Man, Jersey, Nieuw-Zeeland, Uruguay, de Verenigde Staten (alleen indien de betrokken Amerikaanse partij bij Privacy Shield is aangesloten) en Zwitserland.

Wil je gegevens in deze landen opslaan, of bedrijven daar iets laten doen met die gegevens, dan mag dat. (Natuurlijk moet je wel gewoon toestemming of andere grondslag voor de verwerking an sich hebben, en een verwerkersovereenkomst hebben gesloten, net zoals wanneer je een Europees bedrijf zou inschakelen.)

Voor andere landen is er nog de optie van “passende waarborgen”, die er kort gezegd op neerkomen dat je als Europese partij hebt geborgd dat betrokken personen daadwerkelijk dezelfde bescherming krijgen als wanneer de data in de EU was opgeslagen. Als het bijvoorbeeld gaat om een Indiase dochter van een Europees concern, dan zijn zogeheten bindende bedrijfsvoorschriften (intra-concern contracten) goed genoeg.

Een andere optie zijn de zogeheten standaardbepalingen of “model clauses”, door de EU voorgeschreven contractuele bepalingen die ook dergelijke waarborgen afdwingen. Wel blijf je als EU-partij verantwoordelijk voor de feitelijke naleving door die Indiase partij. En daar zit natuurlijk de pijn bij gebruik van niet-Europese partijen: hoe ga je die aansprakelijk stellen of schade verhalen als blijkt dat die contractuele regels niet meer waren dan mooie woorden?

Arnoud

Wanneer is een ransomware-aanval eigenlijk een datalek?

| AE 9425 | Security | 10 reacties

Parkeerbedrijf Q-Park is onder de organisaties die zijn getroffen door de wereldwijde cyberaanval, meldde de NOS. Nou ja, cyberaanval: grootschalige ransomware-infectie. Wat onder meer de vraag via Twitter gaf: Dat is dus ook een geval van een #datalek omdat ze gegevens “kwijt” zijn toch @ictrecht ? Ook het verloren gaan van gegevens telt als datalek… Lees verder

Wat is het verschil tussen data delen en data verkopen?

| AE 9412 | Security | 10 reacties

Audiobedrijf Bose werd vorige maand aangeklaagd wegens het bespioneren van zijn gebruikers, las ik bij Nu.nl. De Bose Connect-app zou bijhouden naar welke muziek en podcasts gebruikers luisteren. Het bedrijf heeft de app aangepast, maar ontkent dat die data wordt verkocht aan derden. En dan lees ik “Het bedrijf ontkent echter niet dat de gegevens… Lees verder

Slimme vibrator met camera gekraakt door beveiligingsbedrijf

| AE 9362 | Privacy, Security | 29 reacties

De Svakom Siime Eye, een slimme vibrator met aan het uiteinde een camera, blijkt relatief eenvoudig te kunnen worden gemanipuleerd. Hierdoor zijn de gemaakte beelden ook op afstand door vreemden te bekijken, zo las ik bij Nu.nl na diverse tips (dank, iedereen). En ergens hoop ik dat dit faalproduct ten voorbeeld wordt gesteld aan alle… Lees verder

Te koop bij uw ISP: uw browsergeschiedenis

| AE 9355 | Privacy | 16 reacties

Amerikaanse internetproviders mogen binnenkort de internetgeschiedenis van hun klanten verkopen aan derden, meldde Ars Technica vorige week. Een besluit van die strekking is door zowel Congres als Huis van Afgevaardigden aangenomen. Het besluit verklaart een eerdere regel van de toezichthouder FCC ongeldig, waarin werd bepaald dat alleen met aparte opt-in dergelijke gegevens mochten worden verzameld… Lees verder

Heeft Donald Trump het Privacy Shield opgeblazen?

| AE 9220 | Privacy | 8 reacties

De Amerikaanse president Donald Trump heeft vorige week potentieel het recent gesloten Privacy Shield opgeblazen, meldden diverse media vorige week. Dankzij Privacy Shield mochten Europese bedrijven weer gewoon persoonsgegevens opslaan of laten verwerken in de VS. Een executive order gericht tegen illegale immigranten lijkt hier inderdaad een bom onder te leggen. Al sinds de jaren… Lees verder

‘Meeste bedrijfssites versturen gevoelige gegevens onveilig’

| AE 9215 | Ondernemingsvrijheid, Privacy | 25 reacties

Honderdduizenden zakelijke websites laten gebruikers gevoelige informatie verzenden zonder dat daarvoor van een beveiligde verbinding gebruik wordt gemaakt, blijkt uit een onderzoek van domeinbeheerder SIDN en MKB Servicedesk dat woensdag wordt gepubliceerd. Dat meldde Nu.nl onlangs. De ‘gevoelige gegevens’ zijn meestal NAWE-gegevens, maar ook inloggegevens en wachtwoorden komen voor. Maar liefst 86% van de onderzochte… Lees verder