“Politie mag niets doen met datamining van eigen bestand”

| AE 1887 | Ondernemingsvrijheid, Privacy | 8 reacties

data-mining-mijnen-graven-downloadenLekker tendentieus, dachten ze bij Webwereld:

Veel veroordeelde én potentiële pedofielen verraden zich door hun profiel en gedrag op Hyves, blijkt uit datamining-onderzoek. De politie mag officieel niks doen met de resultaten.

De bevindingen uit de eerste zin komen uit het proefschrift Algorithmic Tools for Data-Oriented Law Enforcement van onderzoeker Tim Cocx. Cocx analyseerde politiedatabanken met gegevens over alle Nederlanders die sinds 1998 zijn veroordeeld voor een misdrijf, of in de afgelopen zes maanden zijn verdacht van een misdrijf. Hiermee legde hij “talloze significante en onbehaaglijke verbanden bloot tussen bepaalde bevolkingsgroepen en crimineel gedrag.” Zo blijken vrouwen in de database zijn significant vaker verslaafd aan drugs dan mannen, en is er een correlatie tussen verdenking van doodslag en veroordeling wegens racisme. En, het onderwerp uit de openingszin, veroordeelde pedofielen blijken meer minderjarigen in hun Hyves-netwerk te hebben dan gemiddelde volwassenen (18% tegen 10%).

Maar hoezo “de politie mag niets doen met de resultaten”? Volgens Cocx in het hoofdartikel over zijn onderzoek:

Ik kan me voorstellen dat in sommige situaties er alarmbelletjes gaan rinkelen bij de politie. Je kunt er ook beleid op gaan baseren. Maar voorlopig wordt er niets mee gedaan omdat het niet toegestaan is. Je mag data wettelijk alleen gebruiken voor het doel waarvoor ze zijn verzameld. Dit heeft geen prioriteit.

Maar waar dan dat “niet toegestaan” vandaan komt? Ik vermoed dat Cocx heeft gekeken naar de Wet Bescherming Persoonsgegevens, die in artikel 9 verwerking verbiedt voor doelen die niet verenigbaar zijn met het oorspronkelijke doen. Maar de Wet Bescherming Persoonsgegevens geldt niet voor bestanden met persoonsgegevens die de politie aanlegt (art. 2 lid 2 sub c Wbp). Daar is de Wet Politiegegevens voor bedoeld. En die zegt:

Politiegegevens worden slechts verwerkt voor zover dit noodzakelijk is voor de bij of krachtens deze wet geformuleerde doeleinden.

waarbij “politiegegevens” dan synoniem is voor “persoonsgegevens waar de politie mee werkt”. Eén van die doelen is (artikel 8, leden 1 en 2 WPol):

1. Politiegegevens kunnen worden verwerkt met het oog op de uitvoering van de dagelijkse politietaak gedurende een periode van één jaar na de datum van de eerste verwerking.
2. Voor zover dat noodzakelijk is met het oog op de uitvoering van de dagelijkse politietaak kunnen politiegegevens ten aanzien waarvan de in het eerste lid genoemde termijn is verstreken geautomatiseerd worden vergeleken met politiegegevens die worden verwerkt op grond van het eerste lid teneinde vast te stellen of verbanden bestaan tussen de betreffende gegevens. De gerelateerde gegevens kunnen verder worden verwerkt met het oog op de uitvoering van de dagelijkse politietaak.

En dit lijkt me nu precies wat Cocx heeft gedaan: oude en nieuwe gegevens met elkaar combineren om vast te stellen of er verbanden bestaan. Die verbanden mogen dan worden gebruikt voor de dagelijkse politietaak.

Kortom, “niets doen” lijkt me niet juist. Wel vraag ik me af wat de politie kàn doen met deze gegevens. Want het is vast wel interessant als borreltafelfeitje dat “joyriders het ook niet zo nauw nemen met de arbeidswetten en alcohol” maar wat moet je daarmee als agent?

Arnoud

Miljoenen kinderprofielen illegaal wegens schending privacywet

| AE 662 | Informatiemaatschappij, Privacy | 2 reacties

Alle profielen met persoonsgegevens van kinderen tot 16 jaar op sites als Sugababes/Superdudes, Hyves en Cu2 zijn in feite illegaal, meldt Planet naar aanleiding van een symposium over sociale netten, tieners en privacy gisteren. Inderdaad.

<BR/>Privacy
Planet citeert artikel 37 van de Wet Bescherming Persoonsgegevens, maar veel relevanter is en ook het hoofdartikel artikel 5. Dit artikel bepaalt dat de voor verwerking noodzakelijke toestemming door de ouders gegeven moet worden als de persoon in kwestie nog geen zestien jaar is. Artikel 37 gaat alleen over verzoeken tot verwijderen of corrigeren van gegevens.

Hyves, Habbo en al die anderen schenden dus de privacywet omdat ze de ouders niet om toestemming vragen om profielen van minderjarige deelnemers aan te maken en te publiceren.

In Nederland is het namelijk alleen toegestaan om iets te doen met persoonsgegevens als er toestemming is van de betrokkene, de persoon om wiens persoonsgegevens het gaat. Zonder toestemming persoonsgegevens verwerken mag alleen onder strenge voorwaarden en in hele specifieke gevallen. Een krant mag bijvoorbeeld iemands naam publiceren als dat relevant is voor een verhaal. Een site mag persoonsgegevens verwerken in het kader van beveiliging, bijvoorbeeld door IP-adressen en gebruikersnamen te loggen.

Als de betrokkene dus nog geen zestien is, moeten de ouders die toestemming geven. Zoals Sjaak Nouwt van de Universiteit van Tilburg al uitlegde, zijn de regels hier strenger dan bij kinderen die iets kopen in de winkel. Ook daarvoor is formeel toestemming van de ouders nodig, maar die wordt geacht te zijn gegeven als de aankoop “normaal” is voor een kind van die leeftijd. Bij de privacywet moeten ouders echt elke keer expliciet die toestemming geven, en mag de site niet aannemen dat deze gegeven is omdat vrijwel alle kinderen online zitten.

Arnoud

Social engineering: van vuilnisbak naar Hyves-profiel

| AE 381 | Security | Er zijn nog geen reacties

Een erg lastige vorm van computercriminaliteit is social engineering: niet een computer hacken maar de persoon er voor. Je voordoen als je slachtoffer, dat helaas zijn wachtwoord is vergeten (“en mijn gebruikersnaam is er-o-o-tee”) en zielig doen tot de helpdesk het wachtwoord verandert. Meer voorbeelden bij Microsoft en Securityfocus.

Daar heb je natuurlijk wel de nodige informatie over je slachtoffer bij nodig. Vroeger moest je dan diens vuilnisbak plunderen in de hoop een brief of bankafschrift te vinden. Tegenwoordig is dat een stuk makkelijker: bekijk iemands Hyves-profiel, blader door zijn Linkedin-contactenlijst of lees zijn weblog.

In Emerce een waarschuwend artikel over de risico’s van zulke Web 2.0-sites. Men citeert XS4All:

Met Web 2.0-toepassingen wordt van mensen verwacht dat ze informatie géven. Dat is wezenlijk anders dan de aard van het web een paar jaar geleden. Toen was internet er vooral om informatie tót je te nemen. Hoe meer je geeft, hoe meer risico je loopt. We vinden het verstandig om internetgebruikers erop te wijzen dat dat hun eigen risico is.

XS4All biedt ook een veiligheidstraining waar deze aspecten aan de orde komen.

Je voordoen als iemand anders kan computervredebreuk zijn. Het probleem is natuurlijk dat dat bijzonder lastig te bewijzen is als iemand jou je wachtwoord weet te ontfutselen. Dat laat geen sporen na die een echte ‘hack’ wel nalaat.

UPDATE: (6 september) ook Corcom heeft er een stukje over.

Arnoud