“Volg-me-nietregister voldoet niet aan nieuwe privacywet”

Het cookieicoon is leuk, maar wie zich aan de nieuwe privacywet wil gaan houden heeft er niets aan. Dat is ongeveer de samenvatting van het advies dat de Europese privacytoezichthouders (pdf) vorige week uitbrachten.

Al een hele tijd wordt er gesteggeld over de nieuwe privacywet, met name op het gebied van cookies. Doel van de nieuwe privacyrichtlijn is namelijk onder meer het tracken en profilen van burgers aan banden te leggen. Daar is straks altijd toestemming voor nodig, ook (juist!) als dat langs indirecte weg gebeurt. Precies, via cookies dus.

Wie de privacyrichtlijn letterlijk leest – en zeker het Nederlandse wetsvoorstel dat erop gebaseerd is – ziet dat het er eigenlijk op neerkomt dat je voor elk cookie toestemming moet vragen als dat cookie ingezet wordt bij profiling of tracking. En dat gaat dus niet werken.

De marketingbranche heeft een alternatief ontwikkeld, en wel het icoon rechtsboven. Dit komt dan op of bij een advertentieblokje te staan. Wie zo’n advertentie ziet, kan op het icoon klikken en gaat dan naar Your Online Choices, waar hij kan zien welke cookies er al bezig zijn hem te tracken en welke firma’s dat allemaal (willen) doen. Tevens kan daar dan een einde aan worden gemaakt.

Volgens de privacytoezichthouders is dit echter absoluut onvoldoende. Ten eerste snapt op dit moment niemand wat dat icoon betekent, dus je wordt niet (zoals wettelijk vereist) adequaat geïnformeerd over wat er allemaal gebeurt. Ten tweede wordt alleen gesproken van “advertenties” terwijl er eigenlijk “gepersonaliseerde advertenties” zou moeten staan.

Maar, het allerbelangrijkste: zo’n icoon is natuurlijk een opt-out terwijl de wet een opt-in eist. Je bent al gedragsmatig geprofileerd tegen de tijd dat je dat icoon ziet, en daar heb je op dat moment nog geen toestemming voor gegeven.

Daar is natuurlijk wel een draai aan te geven: toon eerst alleen generieke advertenties, en bied het icoon als optie om expliciet het profileren/tracken aan te zetten zodat je alleen nog maar relevante advertenties kunt zien. Maar is “geen Libresseadvertenties meer voor mannen” genoeg incentive om naar zo’n site te gaan?

Nog even afgezien van het praktische punt dat de opt-out op die site niet adequaat blijkt te werken, en dat als ie dat wél doet mensen (net als bij het Bel-me-nietregister) massaal gaan opt-outen zonder aanziens des persoonsadvertentienetwerks zodat dan effectief het hele targeted advertising op z’n gat gaat.

Hebben jullie jezelf al ontvolgd op Your Online Choices? Of juist expliciet een volging aangezet?

Arnoud

“Politie mag niets doen met datamining van eigen bestand”

data-mining-mijnen-graven-downloadenLekker tendentieus, dachten ze bij Webwereld:

Veel veroordeelde én potentiële pedofielen verraden zich door hun profiel en gedrag op Hyves, blijkt uit datamining-onderzoek. De politie mag officieel niks doen met de resultaten.

De bevindingen uit de eerste zin komen uit het proefschrift Algorithmic Tools for Data-Oriented Law Enforcement van onderzoeker Tim Cocx. Cocx analyseerde politiedatabanken met gegevens over alle Nederlanders die sinds 1998 zijn veroordeeld voor een misdrijf, of in de afgelopen zes maanden zijn verdacht van een misdrijf. Hiermee legde hij “talloze significante en onbehaaglijke verbanden bloot tussen bepaalde bevolkingsgroepen en crimineel gedrag.” Zo blijken vrouwen in de database zijn significant vaker verslaafd aan drugs dan mannen, en is er een correlatie tussen verdenking van doodslag en veroordeling wegens racisme. En, het onderwerp uit de openingszin, veroordeelde pedofielen blijken meer minderjarigen in hun Hyves-netwerk te hebben dan gemiddelde volwassenen (18% tegen 10%).

Maar hoezo “de politie mag niets doen met de resultaten”? Volgens Cocx in het hoofdartikel over zijn onderzoek:

Ik kan me voorstellen dat in sommige situaties er alarmbelletjes gaan rinkelen bij de politie. Je kunt er ook beleid op gaan baseren. Maar voorlopig wordt er niets mee gedaan omdat het niet toegestaan is. Je mag data wettelijk alleen gebruiken voor het doel waarvoor ze zijn verzameld. Dit heeft geen prioriteit.

Maar waar dan dat “niet toegestaan” vandaan komt? Ik vermoed dat Cocx heeft gekeken naar de Wet Bescherming Persoonsgegevens, die in artikel 9 verwerking verbiedt voor doelen die niet verenigbaar zijn met het oorspronkelijke doen. Maar de Wet Bescherming Persoonsgegevens geldt niet voor bestanden met persoonsgegevens die de politie aanlegt (art. 2 lid 2 sub c Wbp). Daar is de Wet Politiegegevens voor bedoeld. En die zegt:

Politiegegevens worden slechts verwerkt voor zover dit noodzakelijk is voor de bij of krachtens deze wet geformuleerde doeleinden.

waarbij “politiegegevens” dan synoniem is voor “persoonsgegevens waar de politie mee werkt”. Eén van die doelen is (artikel 8, leden 1 en 2 WPol):

1. Politiegegevens kunnen worden verwerkt met het oog op de uitvoering van de dagelijkse politietaak gedurende een periode van één jaar na de datum van de eerste verwerking.
2. Voor zover dat noodzakelijk is met het oog op de uitvoering van de dagelijkse politietaak kunnen politiegegevens ten aanzien waarvan de in het eerste lid genoemde termijn is verstreken geautomatiseerd worden vergeleken met politiegegevens die worden verwerkt op grond van het eerste lid teneinde vast te stellen of verbanden bestaan tussen de betreffende gegevens. De gerelateerde gegevens kunnen verder worden verwerkt met het oog op de uitvoering van de dagelijkse politietaak.

En dit lijkt me nu precies wat Cocx heeft gedaan: oude en nieuwe gegevens met elkaar combineren om vast te stellen of er verbanden bestaan. Die verbanden mogen dan worden gebruikt voor de dagelijkse politietaak.

Kortom, “niets doen” lijkt me niet juist. Wel vraag ik me af wat de politie kàn doen met deze gegevens. Want het is vast wel interessant als borreltafelfeitje dat “joyriders het ook niet zo nauw nemen met de arbeidswetten en alcohol” maar wat moet je daarmee als agent?

Arnoud

Miljoenen kinderprofielen illegaal wegens schending privacywet

Alle profielen met persoonsgegevens van kinderen tot 16 jaar op sites als Sugababes/Superdudes, Hyves en Cu2 zijn in feite illegaal, meldt Planet naar aanleiding van een symposium over sociale netten, tieners en privacy gisteren. Inderdaad.

<BR/>Privacy
Planet citeert artikel 37 van de Wet Bescherming Persoonsgegevens, maar veel relevanter is en ook het hoofdartikel artikel 5. Dit artikel bepaalt dat de voor verwerking noodzakelijke toestemming door de ouders gegeven moet worden als de persoon in kwestie nog geen zestien jaar is. Artikel 37 gaat alleen over verzoeken tot verwijderen of corrigeren van gegevens.

Hyves, Habbo en al die anderen schenden dus de privacywet omdat ze de ouders niet om toestemming vragen om profielen van minderjarige deelnemers aan te maken en te publiceren.

In Nederland is het namelijk alleen toegestaan om iets te doen met persoonsgegevens als er toestemming is van de betrokkene, de persoon om wiens persoonsgegevens het gaat. Zonder toestemming persoonsgegevens verwerken mag alleen onder strenge voorwaarden en in hele specifieke gevallen. Een krant mag bijvoorbeeld iemands naam publiceren als dat relevant is voor een verhaal. Een site mag persoonsgegevens verwerken in het kader van beveiliging, bijvoorbeeld door IP-adressen en gebruikersnamen te loggen.

Als de betrokkene dus nog geen zestien is, moeten de ouders die toestemming geven. Zoals Sjaak Nouwt van de Universiteit van Tilburg al uitlegde, zijn de regels hier strenger dan bij kinderen die iets kopen in de winkel. Ook daarvoor is formeel toestemming van de ouders nodig, maar die wordt geacht te zijn gegeven als de aankoop “normaal” is voor een kind van die leeftijd. Bij de privacywet moeten ouders echt elke keer expliciet die toestemming geven, en mag de site niet aannemen dat deze gegeven is omdat vrijwel alle kinderen online zitten.

Arnoud

Social engineering: van vuilnisbak naar Hyves-profiel

Een erg lastige vorm van computercriminaliteit is social engineering: niet een computer hacken maar de persoon er voor. Je voordoen als je slachtoffer, dat helaas zijn wachtwoord is vergeten (“en mijn gebruikersnaam is er-o-o-tee”) en zielig doen tot de helpdesk het wachtwoord verandert. Meer voorbeelden bij Microsoft en Securityfocus.

Daar heb je natuurlijk wel de nodige informatie over je slachtoffer bij nodig. Vroeger moest je dan diens vuilnisbak plunderen in de hoop een brief of bankafschrift te vinden. Tegenwoordig is dat een stuk makkelijker: bekijk iemands Hyves-profiel, blader door zijn Linkedin-contactenlijst of lees zijn weblog.

In Emerce een waarschuwend artikel over de risico’s van zulke Web 2.0-sites. Men citeert XS4All:

Met Web 2.0-toepassingen wordt van mensen verwacht dat ze informatie géven. Dat is wezenlijk anders dan de aard van het web een paar jaar geleden. Toen was internet er vooral om informatie tót je te nemen. Hoe meer je geeft, hoe meer risico je loopt. We vinden het verstandig om internetgebruikers erop te wijzen dat dat hun eigen risico is.

XS4All biedt ook een veiligheidstraining waar deze aspecten aan de orde komen.

Je voordoen als iemand anders kan computervredebreuk zijn. Het probleem is natuurlijk dat dat bijzonder lastig te bewijzen is als iemand jou je wachtwoord weet te ontfutselen. Dat laat geen sporen na die een echte ‘hack’ wel nalaat.

UPDATE: (6 september) ook Corcom heeft er een stukje over.

Arnoud