Tag: Persoonsgegevens

About Persoonsgegevens

Subscribe Feeds

Minister pakt Russische site met privédocumenten van Nederlanders niet aan

Geplaatst op in Security, 11 reacties

Tegen de Russische website DocPlayer, die automatisch pdf-bestanden van internetgebruikers publiceert, wordt geen actie ondernomen. Dat meldde Nu.nl vorige week. De site publiceert 4,3 miljoen bestanden staan die door een computerprogramma worden verzameld en gepubliceerd. “Echter, het valt niet op voorhand te stellen dat deze gegevens illegaal verkregen zijn.” Want als ze uit openbare bronnen verkregen zijn, dan is het niet strafbaar. Eh, wacht, wat?

In september ontstond ophef over de site, toen RTL meldde dat daar miljoenen documenten te vinden waren met privéinformatie die via onduidelijke bronnen verkregen zouden zijn. Daarover werden kamervragen gesteld, wat ging de minister hier aan doen?

Vrij weinig dus. Op zich niet zo heel gek, wat kún je ook tegen zo’n site die in Duitsland staat. Zei hij sarcastisch. Maar iets serieuzer, als minister kun je hier natuurlijk echt weinig aan doen, die taak ligt immers bij toezichthouders zoals de Autoriteit Persoonsgegevens of bij de mensen die getroffen zijn door deze publicatie. Hoe vervelend ook, het is een civiele kwestie – je moet zelf een rechtszaak aanspannen als je auteursrechten worden geschonden of je privacy te grabbel wordt gegooid.

Indienen van een verwijderverzoek bij de site (haha) en bij Google (wie weet) zou dus de eerste aangewezen stap moeten zijn. Daarnaast een handhavingsverzoek bij de AP, hoewel de minister daar meteen een bezwaar oproept: de site zit in Duitsland, dus is de AP niet bevoegd. Nee, maar ze zouden toch kunnen bemiddelen bij de Duitse collega’s wellicht?

Het argument dat die gegevens “bewust of onbewust door gebruikers op het internet zijn geplaatst en daarna door deze site zijn verzameld” is natuurlijk compleet irrelevant en het is jammer dat dat zo prominent vooraan in de antwoorden staat. Want dat dóet er niet toe; ook als je zelf bewust iets op je site plaatst dan nog mag het niet worden gekopieerd in zo’n handigejongenssite.

Arnoud

AP gaat vragen stellen over reclameschermen met camera’s op stations

Geplaatst op in Privacy, 36 reacties

De Autoriteit Persoonsgegevens gaat vragen stellen aan de NS over reclameschermen van ExterionMedia die camera’s bevatten, meldde Tweakers eergisteren. Digitale reclameschermen van het bedrijf op stations bevatten camera’s waarmee wordt waargenomen of passanten naar de advertentie kijken. Daarover is veel discussie ontstaan: valt dat nu onder de privacywet of zijn het “alleen maar enen en nullen”?

Exterion is een bedrijf dat buitenreclame met van die zuilen aanbiedt. Recent viel het mensen op dat daar cameralenzen in prijken, waardoor de gedachte ontstond dat mensen worden gefilmd terwijl ze bijvoorbeeld over het perron lopen. Dat is juridisch een tikje dubieus, zeker omdat er niet gewaarschuwd wordt.

Volgens Exterion is er niets aan de hand:

Het gaat hier om camera’s die geen beeld vastleggen, maar door middel van software in een fractie van een seconde kunnen bepalen of er een persoon langs het scherm loopt. Er worden nooit beelden vastgelegd en er bestaat geen database of iets dergelijks waarin beelden worden opgeslagen.

Uit het Tweakersbericht haal ik dat de software alleen generieke uitvoer geeft: een jonge vrouw keek 12 seconden en focuste daarbij 7 seconden op de tekstballon rechtsboven, bijvoorbeeld. Dergelijke uitvoer lijken mij geen persoonsgegevens, omdat dit een te algemene omschrijving is om tot iemand te herleiden.

De AP wil echter nader onderzoek, want om die uitvoer te maken ligt het voor de hand dat je een foto of videobeeld maakt op hoge resolutie, om zo ogen te herkennen en het gezicht als man/vrouw en jong/oud te classificeren. En ook als die foto maar een seconde in het systeem zit, dan nog is sprake van een verwerking van persoonsgegevens. Dat wil niet zeggen dat het dan niet mag, maar je zult dan aan regels moeten voldoen zoals het informeren van mensen dát deze verwerking plaatsvindt.

Heeft iemand meer informatie over hoe die camera, pardon sensor komt tot zijn uitvoer?

Arnoud

Mogen persoonsgegevens in andere landen dan de VS wel worden opgeslagen?

Geplaatst op in Privacy, 3 reacties

Een lezer vroeg me:

Er is natuurlijk veel te doen over data die naar de USA kan gaan. Ik hoor echter nooit discussies over data die bijvoorbeeld naar India gaat. Wat zegt de AVG over andere landen buiten de EU?

Het gaat inderdaad vaak om de Verenigde Staten, maar juridisch gezien is de VS niet anders dan andere landen buiten de Europese Economische Ruimte: persoonsgegevens mogen daar niet naar toe, tenzij in de wet (de Algemene Verordening Gegevensbescherming) staat van wel.

De wet kent een aantal gronden waarop persoonsgegevens in een bepaald land mogen worden opgeslagen. De belangrijkste is dat de Europese Commissie heeft besloten dat landen “een passend beschermingsniveau waarborgen”. Op dit moment zijn dit:

Andorra, Argentinië, Canada (alleen voor de commerciële sector en alleen in gebieden waar de Canadian Personal Information Protection and Electronic Documents Act van toepassing is), de Faeröer Eilanden, Guernsey, Israël, het Isle of Man, Jersey, Nieuw-Zeeland, Uruguay, de Verenigde Staten (alleen indien de betrokken Amerikaanse partij bij Privacy Shield is aangesloten) en Zwitserland.

Wil je gegevens in deze landen opslaan, of bedrijven daar iets laten doen met die gegevens, dan mag dat. (Natuurlijk moet je wel gewoon toestemming of andere grondslag voor de verwerking an sich hebben, en een verwerkersovereenkomst hebben gesloten, net zoals wanneer je een Europees bedrijf zou inschakelen.)

Voor andere landen is er nog de optie van “passende waarborgen”, die er kort gezegd op neerkomen dat je als Europese partij hebt geborgd dat betrokken personen daadwerkelijk dezelfde bescherming krijgen als wanneer de data in de EU was opgeslagen. Als het bijvoorbeeld gaat om een Indiase dochter van een Europees concern, dan zijn zogeheten bindende bedrijfsvoorschriften (intra-concern contracten) goed genoeg.

Een andere optie zijn de zogeheten standaardbepalingen of “model clauses”, door de EU voorgeschreven contractuele bepalingen die ook dergelijke waarborgen afdwingen. Wel blijf je als EU-partij verantwoordelijk voor de feitelijke naleving door die Indiase partij. En daar zit natuurlijk de pijn bij gebruik van niet-Europese partijen: hoe ga je die aansprakelijk stellen of schade verhalen als blijkt dat die contractuele regels niet meer waren dan mooie woorden?

Arnoud

Wanneer is een ransomware-aanval eigenlijk een datalek?

Geplaatst op in Security, 10 reacties

Parkeerbedrijf Q-Park is onder de organisaties die zijn getroffen door de wereldwijde cyberaanval, meldde de NOS. Nou ja, cyberaanval: grootschalige ransomware-infectie. Wat onder meer de vraag via Twitter gaf:

Dat is dus ook een geval van een #datalek omdat ze gegevens “kwijt” zijn toch @ictrecht ?

Ook het verloren gaan van gegevens telt als datalek onder de Wet bescherming persoonsgegevens inderdaad (en straks de AVG). Dat voelt gek, want misbruik is niet echt aan de orde als iets weg is, maar naast dat het formeel gewoon onder de term ‘verwerken’ valt is er gewoon een goede reden: het verloren gaan van gegevens kan je status als klant et cetera aantasten. Als de computer niet meer weet dat jij betaald hebt om te parkeren, dan heb je een probleem.

Natuurlijk is dit geen issue als er een goede recente backup is. En in die situatie noemen we zo’n verlorengaan dan ook geen datalek, althans niet eentje die het melden waard zou zijn. Dus in principe is het antwoord simpel: ja, tenzij men goede backups heeft.

En hier zou je zelfs nog een stapje verder kunnen gaan: welke persoonsgegevens zijn verloren gegaan door de ransomware in die Q-Park garages? Die staan toch op een server ergens, en deze terminals dienen alleen als interface om te betalen? Niet kunnen betalen is heel vervelend maar geen datalek.

Intrigerender -wie erop wil afstuderen moet maar even mailen- vind ik nog de vraag of ingijzelneming van persoonsgegevens wel telt als verloren gaan. De data is er immers nog, je moet alleen betalen om hem weer terug te krijgen. Ik weet het, de Autoriteit Persoonsgegevens vindt van wel, maar om een wat verdergaande reden:

Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen. … De besmetting kan het hele systeem en alle gekoppelde bestanden raken. Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.

Kort samengevat: omdat je niet kunt uitsluiten dat ransomware de gegevens ook kopieert, moet je het als een datalek behandelen. Daar ben ik het mee eens, maar wat nu als we wél kunnen uitsluiten dat er gegevens zijn gemanipuleerd of gekopieerd? Stel de ransomware infecteerde een computer via een USB-stick, en achteraf kunnen we met extern opgeslagen hashes vaststellen dat de bestanden in originele toestand zijn hersteld.

Is dit nu zeg maar een heel ingewikkelde backup/restoreprocedure? Of moet je gijzelen zien als verloren gegaan?

De implicaties zijn interessant, want als je zegt dat dit een datalek is dan is het offline halen van een clouddienst met de enige kopie van de gegevens óók een datalek. En dat zit me niet helemaal lekker.

Arnoud

Wat is het verschil tussen data delen en data verkopen?

Geplaatst op in Security, 10 reacties

Audiobedrijf Bose werd vorige maand aangeklaagd wegens het bespioneren van zijn gebruikers, las ik bij Nu.nl. De Bose Connect-app zou bijhouden naar welke muziek en podcasts gebruikers luisteren. Het bedrijf heeft de app aangepast, maar ontkent dat die data wordt verkocht aan derden. En dan lees ik “Het bedrijf ontkent echter niet dat de gegevens gedeeld worden met derde partijen” en denk ik, wat is dan het verschil?

Steeds meer apparaten vergaren informatie over hun eigenaren en sturen dat naar de fabrikant. Van slimme televisies die luisteren naar wat er wordt gezegd tot beeldbewerking op afstand. Maar ook heel simpel een website die je bezoekt, verzamelt van alles over je. Commercieel heel waardevolle informatie voor derden, met name voor adverteerders. Want weten wat iemands interesses zijn, maakt het mogelijk gericht te adverteren.

Dit is op zich Ouder dan het Internet(tm): ook daarvoor al werd er driftig gehandeld in databestanden zodat je wist waar je een direct mailing het beste heen kon sturen. Verkoopcijfers van huizen, interesse in dure meubels en ga zo maar door. Verkoop van klantenbestanden en -informatie werd privacytechnisch dan ook al snel een punt van zorg.

Dit zie je op veel websites en diensten dan ook terug in de privacyverklaring: Wij verkopen uw gegevens niet aan derden. En voor zover ik weet houdt iedereen zich daar ook netjes aan. En dat is maar goed ook, want bestandenhandel is sinds de Wet bescherming persoonsgegevens eigenlijk altijd verboden – en onder de AVG of GDPR van volgend jaar helemáál.

Erg is dat niet, want er is een veel slimmer alternatief. In plaats van bestanden met waardevolle persoonsgegevens aan derden te verkopen, verhuur je een reclameplekje voor die derden op een generiek omschreven (dus niet persoonsgebonden) plekje op je site. Facebook zal mij nooit data verkopen waarin staat welke gebruikers advocaat zijn, IT-savvy en druk bezig zich in te lezen over die AVG die eraan komt. Maar ik kan wel gericht reclame tonen voor mijn boek over de AVG op precies het segment advocaat, IT-savvy en vond-ik-leukte-AVG-artikelen.

Effectief is dat hetzelfde, maar verkopen is het niet. Ik denk dus dat dat ongeveer is wat men met dat “delen maar niet verkopen” bedoelde. En het is dus legaal denk ik, omdat je geen persoonsgegevens verkoopt maar alleen geaggregeerde data. Hoe je dat wettelijk zou verbieden, weet ik niet. Dat kan dan beter bij de bron aangepakt worden: je mag zulke gegevens niet verzámelen zonder aparte toestemming, en dergelijke toestemming mag niet verbonden worden aan de koop van een ‘slim’ apparaat.

Arnoud

Slimme vibrator met camera gekraakt door beveiligingsbedrijf

Geplaatst op in Privacy, Security, 29 reacties

De Svakom Siime Eye, een slimme vibrator met aan het uiteinde een camera, blijkt relatief eenvoudig te kunnen worden gemanipuleerd. Hierdoor zijn de gemaakte beelden ook op afstand door vreemden te bekijken, zo las ik bij Nu.nl na diverse tips (dank, iedereen). En ergens hoop ik dat dit faalproduct ten voorbeeld wordt gesteld aan alle andere faalproducten die we het Internet der Dingen noemen. Maar ja.

De camera in het apparaat kan foto’s en video’s maken, die vervolgens via een app kunnen worden uitgelezen. Leuk bedoeld, alleen heeft men zo te zien hardware van een algemene IP-camera gebruikt. De camera is namelijk op afstand te benaderen, alleen is het wachtwoord een standaardwaarde en is de webinterface (de webinterface?!) geheel van wachtwoorden ontdaan. Ook kunnen zaken als lokale netwerknamen worden uitgelezen.

Een keiharde faal dus, dit apparaat. Alleen is dit dus enkel nieuws omdat het om een vibrator gaat: het is doodnormaal dat dergelijke internet-enabled apparaatjes worden voorzien van slechte beveiliging, standaardwachtwoorden en abuisievelijke achterdeuren. Wordt het niet eens tijd dat daar wat aan gedaan wordt?

In theorie zou dat hier kunnen: het apparaat verwerkt persoonsgegevens (de beelden zullen naar verwachting mensen in beeld brengen) en moet daarom adequaat beveiligd zijn tegen datalekken en misbruik van persoonsgegevens. Een stevige boete zou hier dus wel op zijn plaats zijn. Maar ja.

Arnoud

Te koop bij uw ISP: uw browsergeschiedenis

Geplaatst op in Privacy, 16 reacties

Amerikaanse internetproviders mogen binnenkort de internetgeschiedenis van hun klanten verkopen aan derden, meldde Ars Technica vorige week. Een besluit van die strekking is door zowel Congres als Huis van Afgevaardigden aangenomen. Het besluit verklaart een eerdere regel van de toezichthouder FCC ongeldig, waarin werd bepaald dat alleen met aparte opt-in dergelijke gegevens mochten worden verzameld en verkocht.

Het achterliggende argument lijkt te zijn dat de advertentiemarkt te veel in het voordeel van social media en zoekdiensten is. Die kunnen van alles en nog wat verzamelen en verkopen, en toestemming regelen ze met onleesbare gebruiksvoorwaarden die iedereen toch wel accepteert. Terwijl die arme zielige ISPs alle investeringen in infrastructuur mogen doen en dan niet eens een advertentietje hier of daar mogen doen om een centje bij te verdienen. Mogelijk zit er ook een stukje politiek achter, nu de huidige president de visie lijkt te hebben dat toezicht eigenlijk überhaupt een slecht idee is.

Elders wijst Bruce Schneier erop dat de belangrijkste pijn er hier in zit dat je gewoon niet van provider kunt wisselen. In theorie zou je kunnen stoppen bij Facebook (hoewel ik dan denk: moehaha yeah right) maar van provider wisselen is vaak gewoon onhaalbaar omdat er geen alternatief ís. Je onttrekken aan deze monitoring zou wellicht kunnen met een VPN, maar dat zijn weer forse extra kosten en vaak verminderde prestaties.

In Nederland zou dit nauwelijks te doen zijn. Privacy op internet is verankerd in Europese regels; ons parlement is niet eens bevoegd om zulke regels te maken waarbij opt-in zou worden afgeschaft. Weer zo’n juridisch verschil met de VS: privacy is daar beperkt tot wat je met de gordijnen dicht thuis doet, en dat gegevens over jou privacygevoelig zijn, wil er eigenlijk gewoon niet in bij ze.

Arnoud

Heeft Donald Trump het Privacy Shield opgeblazen?

Geplaatst op in Privacy, 8 reacties

De Amerikaanse president Donald Trump heeft vorige week potentieel het recent gesloten Privacy Shield opgeblazen, meldden diverse media vorige week. Dankzij Privacy Shield mochten Europese bedrijven weer gewoon persoonsgegevens opslaan of laten verwerken in de VS. Een executive order gericht tegen illegale immigranten lijkt hier inderdaad een bom onder te leggen.

Al sinds de jaren negentig schuurt het qua persoonsgegevens tussen de Europese Unie en de VS. De Europese regels over persoonsgegevens zijn de strengste ter wereld, en bepalen onder meer dat persoonsgegevens de EU niet uit mogen tenzij het derde land zelf een minstens zo goed niveau van bescherming heeft. Tot 2015 hadden we de Safe Harbor-regeling, maar die werd vernietigd door het Hof van Justitie. Haar opvolger het Privacy Shield werd in juni aangenomen en bevatte iets meer waarborgen voor Europese burgers.

Doel van Privacy Shield is Amerika zich te laten committeren aan de Europese privacyregels wanneer Amerikaanse bedrijven data opslaan van Europese burgers. Toegang tot die data mag wel, maar alleen onder strenge voorwaarden en in gevallen van strafbare zaken, nationale veiligheid en dergelijke. Niet arbitrair of zonder reden of procedurele waarborgen. En daar leek de VS mee in te stemmen.

Artikel 14 van een recente Executive Order bepaalt echter iets vervelends voor het Privacy Shield:

Sec. 14. Privacy Act. Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.

Gezien de context lijkt dit te zijn geschreven voor overheidsinstanties die betrokken zijn bij immigratie. Deze mogen geen beleid maken over persoonsgegevens waarmee illegal aliens enige aanspraak op privacy kunnen maken. Doel daarvan lijkt me logisch: zo snel mogelijk al deze personen op te kunnen sporen, en geen last van rare privacyregels waarmee je niet in iemands database zou mogen.

Betekent dit nu het einde van Privacy Shield? Immers, ook Europese burgers zijn “persons who are not United States citizens or lawful permanent residents” en die vallen nu buiten de Amerikaanse privacywet.

Gelukkig niet. De Europese Commissie reageerde snel met de toelichting dat deze wet sowieso niet bedoeld is voor buitenlanders. Dat was de hele reden dat de EU US Privacy Shield-overeenkomst moest worden gesloten, aldus de commissie. In combinatie met de zogeheten Umbrella Agreement is zo apart geregeld dat data van Europese burgers veilig verwerkt mag worden.

Deze executive order verandert niets aan het Privacy Shield of bijbehorende afspraken. Het lijkt dus een storm in een glas water te zijn geweest.

Arnoud

‘Meeste bedrijfssites versturen gevoelige gegevens onveilig’

Geplaatst op in Ondernemingsvrijheid, Privacy, 25 reacties

Honderdduizenden zakelijke websites laten gebruikers gevoelige informatie verzenden zonder dat daarvoor van een beveiligde verbinding gebruik wordt gemaakt, blijkt uit een onderzoek van domeinbeheerder SIDN en MKB Servicedesk dat woensdag wordt gepubliceerd. Dat meldde Nu.nl onlangs. De ‘gevoelige gegevens’ zijn meestal NAWE-gegevens, maar ook inloggegevens en wachtwoorden komen voor. Maar liefst 86% van de onderzochte sites doet dat zonder ‘slotje’, https dus. Maar is dat dan verplicht?

Het laten insturen van persoonsgegevens – ook triviale zoals naam en adres – via een website of andere internetdienst mag alleen als de eigenaar daarvan zorgt voor adequate beveiliging. Dat staat al sinds 2000 in de wet (artikel 13 Wet bescherming persoonsgegevens), maar nergens staat wat dat dan precies inhoudt. Er is dus geen eis dat je beveiliging gecertificeerd moet zijn of zelfs maar aan bepaalde specifieke eisen moet voldoen.

De vraag wat ‘adequaat’ is, is dus een lastige om in het algemeen te beantwoorden. Je moet een afweging maken van de risico’s bij een lek tegenover de kosten en moeite om maatregelen te nemen. Perfectie wordt niet verlangd, en het kan ook prima zo zijn dat je bij formulier A een andere beveiliging hanteert dan bij formulier B. Waar het vooral om gaat, is dat je kunt onderbouwen waaróm je voor die of die maatregelen hebt gekozen (of juist waarom je die hebt weggelaten).

Specifiek bij contactformulieren kun je je afvragen of het echt wel nodig is, een SSL-certificaat. Ik zie het nog steeds niet, dat risico. Daar staat tegenover dat SSL tegenwoordig best goedkoop is (zowel qua cpu als qua prijs) en dus eigenlijk een no-brainer zou moeten zijn om toe te voegen. Dus dan wordt het wel een beetje theoretisch verhaal, er kan weinig misgaan maar hoe moeilijk is de maatregel nou?

Bij een login/wachtwoord voelt dat net anders. Daar is er voor mij geen excuus om zonder ssl te werken. Met dat account kun je allerlei dingen, en daarmee zijn er reële mogelijkheden voor fraude of overlast. Dan is de afweging snel gemaakt: no-brainer ter voorkoming van overlast, dat moet gewoon.

Arnoud

Help, mijn persoonsgegevens zijn gelekt, wat nu?

Geplaatst op in Privacy, 17 reacties

persoon-persoonsgegeven-veilig-hek-beschermd-lek-dataEen lezer vroeg me:

Je hebt regelmatig aandacht besteed aan datalekken, maar vanuit het perspectief van een slachtoffer wilde ik toch wat vragen. Afgelopen zaterdag informeerde mijn werkgever me dat mijn adres en BSN op straat ligt door een fout van een ingehuurd bedrijf. Maar meer dan “de kans op fraude is laag” en dat ik goed op mijn rekening moet letten zie ik niet. Kan ik hier juridisch wat mee?

Helaas komen datalekken erg vaak – te vaak – voor. Gelukkig niet altijd van deze omvang. Je zou hopen dat die nieuwe wet hier snel verandering in brengt.

Een bedrijf is verplicht datalekken te melden bij de toezichthouder, en bij vermoedelijke negatieve gevolgen ook bij betrokkenen zelf. Die brief is dus op zich terecht verstuurd. De brief moet ook vermelden wat “de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken” zijn (art. 34a lid 3 Wbp).

De tekst van die brief doet wat plichtmatig aan. Dat kan ik zelf ook wel bedenken, dat ik goed moet gaan uitkijken. Maar ja, heel veel meer dan “let op je creditcard” en “log regelmatig overal even in om te zien of niemand met je bsn identiteitsfraude heeft gepleegd” kan ik ook niet bedenken. Want er ís niet veel meer dat je kunt doen als consument.

Ja, heb je concreet nadeel van dit datalek dan is dat te verhalen. Schending van de Wbp is een onrechtmatige daad, en wie die pleegt moet de schade vergoeden. Dit even los van boetes die de toezichthouder oplegt. Alleen, wat is je schade bij een privacyschending? Welk getal zet je op de tijd en het gedoe met je energiemaatschappij of zorgverzekeraar omdat een grapjas bijvoorbeeld je contract heeft opgezegd?

Ik zou graag positiever zijn maar helaas is het best wel slecht geregeld voor mensen die getroffen worden door een datalek.

Arnoud