Franse privacytoezichthouder biedt oplossing voor gebruik Google Analytics

| AE 13404 | Ondernemingsvrijheid, Privacy | 16 reacties

Websites in Frankrijk kunnen met Google Analytics blijven werken, maar moeten dan wel van een goed geconfigureerde proxy gebruikmaken, zo las ik bij Security.nl. We weten al een tijdje dat Google Analytics best problematisch is onder de AVG, omdat het structureel persoonsgegevens overbrengt naar Amerika. Tijd om ermee te stoppen dus, maar voor wie nog een paar jaar geld wil betalen om zijn hoofd in het zand te steken, is er nu een juridisch-technisch correcte oplossing.

Sinds het Schrems II-arrest weten we dat persoonsgegevens overbrengen naar de VS erg problematisch is, omdat de VS fundamenteel niet dezelfde soort bescherming van persoonsgegevens wil bieden. Het Privacy Shield is daarmee geen goede basis om zomaar aan te mogen nemen dat je een Amerikaanse clouddienst (zoals Google’s Analyticsdienst) mag inzetten.

Ook helpt het niet als je de verschillende pseudonimisering-opties instelt, zoals we in Nederland gewend zijn te doen op advies van onze Autoriteit Persoonsgegevens. Ook dan komen er nog tot personen te herleiden gegevens bij Google, die ze waarschijnlijk combineert met andere gegevens – of in ieder geval ze opslaat in de VS. En alleen dat al is een probleem.

“Hoewel Google verschillende maatregelen heeft opgesteld om dataverzending naar andere landen te reguleren, zijn deze niet voldoende om de toegang door Amerikaanse inlichtingendiensten te beschermen”, schreef de Franse toezichthouder in februari nog. Onze AP meldde toen dat het gebruik van Analytics ‘mogelijk binnenkort niet meer is toegestaan’, hoewel dat binnenkort dus wat rekkelijk moet worden opgevat.

De CNIL is technisch gaan brainstormen en komt nu met de oplossing van een anonimiserende proxy. Kort gezegd, alle Analyticsverkeer wordt geforceerd naar een eigen server gestuurd waar werkelijk álles wordt gestript. En pas daarna gaat het naar Google, zodat je toch mooie statistiekjes en plaatjes kunt krijgen in je dashboard. (De waarde van deze gegevens voor marketing laat ik buiten beschouwing).

Dat álles is echt nogal veel:

  • the absence of transfer of the IP address to the servers of the measurement tool;
  • the replacement of the user identifier by the proxy server;
  • the deletion of the referring site information external to the site;
  • the deletion of any parameter contained in the URLs collected (e.g. UTMs and URL parameters allowing the internal routing of the site);
  • the reprocessing of information that can participate in the generation of a fingerprint , such as ‘user agents’, to remove the rarest configurations that can lead to re-identification;
  • the absence of any collection of cross-site identifiers; and
  • the deletion of any other data that may lead to re-identification.
De proxy die dit doet, moet fysiek in Europa staan en in eigendom én beheer zijn bij een Europese partij. En je moet periodiek controleren dat je écht geen indirect identificerende gegevens doorstuurt. Want de CNIL ziet ook risico’s bij situaties dat je IP-adressen weglaat, getuige de verwijzingen naar user-agent strings en andere parameters waarmee je alsnog server-side fingerprints kunt samenstellen.

Mocht u nu denken, wat een enorm gedoe, wat gaat dat wel niet kosten: ja precies. Dus vraag meteen een offerte aan uw webbouwer voor het integreren van een alternatieve oplossing zoals Piwik of Matomo.

Meelezende marketingmensen en andere Analyticslovers: waarom Google Analytics?

Arnoud

Mag ik om kwaliteitsredenen een transparante image proxy draaien van het auteursrecht?

| AE 12755 | Intellectuele rechten | 8 reacties

Een lezer vroeg me:

Als geschiedenisblogger gebruik ik veel afbeeldingen. Om opslag te besparen en auteursrechtheffingen te kunnen vermijden, gebruik ik daarbij embedding van externe bronnen. Alleen merk ik dat de kwaliteit van veel bronsites te merken overlaat. Daarom heb ik een kleine proxy op mijn site gebouwd, die transparant test of de afbeelding er is, en zo niet een gecachte kopie van klein formaat. Tevens kan ik zo via versleutelde http (SSL) de afbeelding leveren, iets dat bij veel bronsites helaas nog ontbreekt. Mag dit?
Nee, ik ben bang dat dit auteursrechtelijk problematisch is. Je mag inderdaad externe legaal gepubliceerde afbeeldingen embedden (of iframen, hoe je het maar wilt noemen). Maar dan moet je wel echt zuiver embedden, zeg maar <img src=https://example.com/img.png>. Zo verwijs je de browser naar die externe site en wordt de afbeelding daar opgehaald.

Een transparante proxy wil grofweg zeggen:

  1. Jouw eigen server server probeert de afbeelding op te halen.
  2. Als de afbeelding er is, wordt de data daarvan doorgegeven naar jouw bezoeker.
  3. Bovendien sla je dan een kopie van die afbeelding op (kennelijk in kleiner formaat).
  4. Als de afbeelding er niet is, wordt een bij jou opgeslagen kopie (kennelijk in kleiner formaat) doorgegeven naar jouw bezoeker.
In deze situatie heb je dus een kopie op je eigen site. En als die er niet is, dan wordt de originele afbeelding opgehaald en als kopie doorgegeven.

We noemen dit technisch een proxy, een tussenschakel die het bij A ophaalt en bij B aflevert. Juridisch bestaat die term ook, maar alleen als je informatie van tweeden aan derden geeft. Zodra het je eigen informatie is, of je informatie aan je eigen bezoekers geeft dan ben je per definitie geen proxy of tussenpersoon meer.

De basis hiervoor is art. 6:196c lid 3 BW dat spreekt van “van een ander afkomstige informatie” die “aan anderen op hun verzoek” gegeven wordt. Als je dat doet, dan ben je juridisch een tussenpersoon en niet aansprakelijk voor wat je doorgeeft (of wat je tussentijds opslaat).

Hier zou het argument dan zijn dat de plaatjes van een ander komen en dat jij die aan de lezers geeft met alleen wat technische kwaliteitsverbetering. Echter, dat is dan niet op verzoek van de lezers maar op jouw instructie, jij stopt die plaatjes in je proxy. Dus dat gaat niet op.

Ook met artikel 13a Auteurswet kom je er niet, want dat eist “de doorgifte in een netwerk tussen derden door een tussenpersoon”. Jij bent dan geen tussenpersoon vanwege het argument uit de vorige alinea. Dus nee, dit gaat niet werken.

Arnoud

Is het strafbaar om een Pirate Bay-proxy te opereren?

| AE 8561 | Intellectuele rechten, Ondernemingsvrijheid | 24 reacties

piratebay-sunk-dank-bas-taart.pngEen lezer vroeg me:

In Engeland is een man aangeklaagd voor fraude omdat hij een Pirate Bay-proxy draaide. Hem hangt maximaal tien tot veertien jaar cel boven het hoofd! Kan dat ook bij ons?

In Engeland hebben diverse rechtbanken het verlenen van toegang naar de Pirate Bay verboden. Deze meneer wordt nu strafrechtelijk vervolgd voor fraude en witwassen, wat mij nogal gezocht klinkt. Die artikelen gaan meer over oplichting en misleiding. Helaas kan ik de aanklacht nergens vinden, mogelijk dat het gaat om een constructie waarbij de fraude is het doen alsof de Pirate Bay legitiem benaderd mag worden of zo.

Meer algemeen geldt in Engeland net als in de VS het concept van “contempt of court”. Je kunt daar de cel in gaan door iets te doen dat in een vonnis verboden is, zelfs als je geen partij bij die zaak bent. De eis is dat de rechtbank moet vinden dat jij ingaat tegen het vonnis of de rechtbank minacht. Iemand die een proxy opzet naar een verboden site, zou je langs die route kunnen aanspreken.

In Nederland bestaat die constructie niet (heel soms wel). We kennen in Nederland twee soorten ‘verboden’. Je hebt het strafrecht en het civiel (burgerlijk) recht. Strafrecht is grofweg hetgeen waar je de cel voor ingaat, en civiel recht is grofweg contracten en schade vergoeden.

In Nederland is er geen strafwetsartikel tegen het aanbieden van een proxy om bij de Pirate Bay te komen. Daarmee ga je er dus niet komen.

Civielrechtelijk heeft een aantal rechters ex parte verboden een proxy naar de Pirate Bay te opereren, met als argument dat dat gewoon onzorgvuldig is in het maatschappelijk verkeer.

Nu de blokkade is opgeheven, kun je je natuurlijk afvragen hoe houdbaar die verboden nog zijn. Maar hoe dan ook: zo’n verbod is civiel, en andere partijen hebben daar niets mee te maken.

Arnoud

Vodafone dringt proxy op aan gebruikers, mag dat?

| AE 6566 | Ondernemingsvrijheid | 24 reacties

Klanten van Vodafone klagen dat internetpagina’s traag laden, omdat Vodafone pagina’s laadt via een proxy. Dat meldde Tweakers gisteren. De proxy is opmerkelijk omdat deze webpagina’s aanpast, wat niet uit te zetten is. Plaatjes worden op een lelijke manier verkleind, en met een vaag scriptje is dat dan weer ongedaan te maken. Weinig mensen worden… Lees verder

Ben ik strafbaar als ik een TOR exit node draai?

| AE 2890 | Ondernemingsvrijheid | 27 reacties

Een lezer vroeg me: Ben ik in Nederland strafbaar, of zou ik er problemen mee kunnen krijgen als, ik een Tor relay/bridge/exit-point opzet vanuit mijn flat? Mag dit van de wet? TOR is een open netwerk voor anonieme communicatie, die werkt volgens het principe van Onion Routing. Heel in het kort: een berichtje wordt niet… Lees verder