Bij het laten repareren van computers en smartphones is geen privacy en lopen mensen het risico dat hun persoonlijke foto’s en andere gegevens worden bekeken en gekopieerd, zo stellen onderzoekers van de University of Guelph in Canada. Dat meldde Security.nl onlangs. Speciaal geprepareerde laptops hielde in detail bij wat reparateurs op de machines allemaal uitvoerden: foto’s kopiëren, browsegeschiedenis bekijken en wachtwoorden noteren. Hoe zou dat bij ons uitpakken?
In theorie is het een strafbaar feit (art. 272/273 Strafrecht) om vertrouwelijke informatie van het werk te onthullen of voor andere doeleinden te gebruiken. Ik ken echter geen situaties waarin reparateurs werden vervolgd voor het soort handelen als in dat onderzoek werd beschreven. De AVG zou wel kunnen helpen, want je verwerkt als reparatiebedrijf dan persoonsgegevens op een manier die niet hoort bij de reparatie-opdracht. En uit je zorgplicht als dienstverlener volgt lijkt me ook wel dat je dit gewoon niet doet.
Het grote probleem is natuurlijk dat je hier moeilijk tot niet achter komt als klant. Heel misschien die wachtwoorden, maar de andere dingen kan een gewone gebruiker echt niet detecteren. En ze vooraf weghalen of afschermen is natuurlijk niet echt mogelijk, tegen de tijd dat je naar een reparatiewinkel gaat is de gemiddelde laptop of smartphone niet meer benaderbaar voor backups en afschermen.
Interessant vond ik nog het nieuwtje van Samsung en haar “Repair Mode“:
De modus geeft voldoende toegang om een reparatie uit te voeren, inclusief data over de apps van een device. Technici krijgen geen toegang tot de gebruikersgegevens van apps. Foto’s, sms’jes en e-mails blijven privé. … Samsung deelde geen details over de onderliggende technologie, maar we hebben een idee. Android-toestellen maken het reeds mogelijk om verschillende accounts voor verschillende gebruikers aan te maken.Dit werkt bij smartphones denk ik vrij goed, zo’n gastaccount voor reparateurs zal dan geen sleutel bevatten om de user content te unlocken, maar biedt wel toegang tot instellingen van het apparaat zodat diagnostiek en controle uit te voeren is. Bij laptops zou ook zoiets kunnen, maar daar is disk encryptie (zoals Bitlocker) bij consumenten niet standaard. Dan zou je dus ook vanuit een gastenaccount op de harddisk kunnen gaan snuffelen, of gewoon de HD eruit halen en uitlezen.
Arnoud