Avast verkoopt data van gebruikers gratis antivirussoftware onder pseudoniem

| AE 11747 | Ondernemingsvrijheid, Privacy | 8 reacties

Beveiligingsbedrijf Avast verkoopt op grote schaal gepseudonimiseerde data van gebruikers van de gratis versie aan adverteerders. Dat meldde Tweakers vorige maand. Het gaat onder andere om de browsegeschiedenis, die onder andere aan grote bedrijven zoals Google, Microsoft, Pepsi en McKinsey wordt verkocht. Na enige herrie stopt men daarmee, want “Mensen beschermen is onze topprioriteit en al het tegenovergestelde dat we doen is onacceptabel” aldus de CEO die na zeven jaar datahandel direct ingrijpt. Oh ja, en hij zegt dat het bedrijf altijd binnen de juridische kaders is gebleven en dat het zich altijd aan wetten als de AVG heeft gehouden. Moehahaha.

Het is natuurlijk een welbewust “misverstand” dat pseudonieme data (dus je naam eraf) verkocht mag worden onder de AVG. Die vermeldt juist expliciet dat een pseudoniem gewoon wél onder de AVG valt – iedere identifier aan gegevens maakt dat het persoonsgegevens zijn. Cookie, hash, random ID, MAC, “die meneer daar achterin” en je bent er al.

Alleen écht anonieme data valt buiten de AVG. Maar daar heb je commercieel weer geen bal aan.

Pseudonimisering is op zich een nuttige manier om data minder kwetsbaar te maken. Als je dat doet, dan zijn de mogelijkheden groter om die data vervolgens in te zetten voor allerlei doeleinden. Je beroept je dan op je eigen legitiem belang (marketing, bijvoorbeeld) en de privacyafweging die daarbij hoort is dan makkelijk omdat het slechts pseudonieme data is waar je eigenlijk alleen matching met een advertentie mee kunt doen.

Wel blijf je zitten met doelbinding, de marketing-inzet moet wel binnen de verwachtingen blijven van het oorspronkelijke gebruik. Dat mijn virusscanner data doorgeeft aan een marketinginitiatief is volslagen van de pot gerukt, pardon niet verenigbaar met het oorspronkelijke doel. Dus alleen al daarop gaat het mis.

Soms denk ik wel eens, moet je als journalist wel zo’n statement van een CEO overnemen als het zo evident onwaar is? Een bijzin als “echter zonder enige onderbouwing” lijkt mij objectief waar. Ik snap dat je een weerwoord wilt opnemen in het kader van gebalanceerde nieuwsvoorziening, maar iemand feitenvrij zijn marketingreutel laten geven doet juist afbreuk aan de balans in het nieuws.

Arnoud

Wetsvoorstel moet digitaal leren met nepnaam veiliger maken

| AE 9265 | Informatiemaatschappij, Privacy | 21 reacties

Kinderen die op school met digitale lesmethoden werken, hoeven niet meer hun eigen naam in te vullen. Dat stond in het papieren AD afgelopen weekend. De ministerraad heeft namelijk ingestemd met een wetsvoorstel van die strekking, hoewel exacte details nog ontbreken. Kort gezegd komt het erop neer dat bij gebruik van clouddiensten door scholen moet worden gewerkt met pseudoniemen of codes, zodat bij datalekken niet gelijk alle details van de leerlingen op straat liggen. Het idee is loffelijk maar moet dat nu echt zo met een wet?

De tekst van het wetsvoorstel wordt helaas pas openbaar nadat de Raad van State er advies over heeft gegeven, dus het is nog even speculeren. Ik hoop op een voorstel dat gewoon zegt, scholen mogen alleen pseudonimeen van leerlingen aan leveranciers doorgeven. In combinatie met een verbod voor leveranciers om meer dan dat te vragen. Het is immers echt nergens voor nodig om werkelijke persoonsgegevens van leerlingen te hebben om een dienst aan een school te leveren.

Ik ben een beetje bang dat er komt te staan dat de leverancier ontvangen persoonsgegevens moet pseudonimiseren. (Of, nog erger, dat dit in overleg moet worden vastgesteld.) Want dan schiet je er weinig mee op, dan is die brondata er nog steeds en dus blijft de kwetsbaarheid bestaan.

En ja ik weet het, de Privacyverordening roept op tot pseudonimiseren en staat toe dat dit gebeurt door de partij die vervolgens gaat werken met de gepseudonimiseerde gegevens. Het is niet verplicht dat je de sleutel en de pseudonieme data in aparte bedrijven bewaart. Dus het zou legaal zijn als een dienstverlener zo gaat werken, en het wetsvoorstel zou dan weinig toevoegen behalve dan dat dit móet in plaats van slechts een beste praktijk te zijn. (Sorry, de tekst van de Verordening is wat raar.)

Je kunt je natuurlijk sowieso afvragen wat dit wetsvoorstel gaat toevoegen bovenop die Verordening. Want ook daar staat al in dat je persoonsgegevens zo veel mogelijk moet beperken, dat je bij voorkeur pseudonimiseert dus en natuurlijk dat je adequaat beveiligt en daar afspraken over maakt met je verwerkers (voorheen je bewerkers), zoals die clouddienstverleners dus. Hooguit zou dat dan nog zijn dat het black letter law wordt in plaats van ahem een beste praktijk, of een richtsnoer van de toezichthouder waar een leverancier van kan zeggen dat zij toch alternatieve feitenandere inzichten hebben over hoe het zo veilig mogelijk te doen.

Arnoud

Facebook moet pseudoniemen toestaan in Duitsland

| AE 4853 | Privacy | 17 reacties

facebook-real-nameDe huisregel van Facebook dat je je echte naam moet gebruiken is in strijd met de Duitse privacywetgeving, las ik bij Nu.nl. Facebook meldt het bevel tot aanpassing van de Duitse privacywaakhond (nou ja, die van Schleswig-Holstein) te zullen aanvechten, want de Ierse collega’s hadden eerder nog geen problemen op dit punt bespeurd.

Facebook hanteert die echtenaamregel nu ongeveer een jaar, met enkele opmerkelijke handhavingsfeiten zoals dat Salman Rushdie geband werd omdat in zijn paspoort Ahmed staat. Het beleid zou trollen en misbruik moeten indammen, maar of dat werkt is niet echt duidelijk.

De Duitse telecommunicatiewet is op dit punt echter niet voor misverstand vatbaar (art. 13 lid 6):

The service provider must enable the use of telemedia and payment for them to occur anonymously or via a pseudonym where this is technically possible and reasonable. The recipient of the service is to be informed about this possibility.

De Ieren hebben echter niet zo’n regel, en ook in de Nederlandse wet kan ik niets terugvinden dat dit letterlijk bepaalt. Voor zover ik kan achterhalen, is deze Duitse regel gebaseerd op een overweging uit de e-Privacyrichtlijn, namelijk dat

(9) De lidstaten, de betrokken aanbieders en gebruikers alsmede de bevoegde communautaire instanties zouden moeten samenwerken bij de introductie en ontwikkeling van de benodigde technieken waar zulks noodzakelijk is met het oog op de waarborgen die door deze richtlijn worden geboden, daarbij met name rekening houdend met de doelstelling de verwerking van persoonsgegevens zoveel mogelijk te beperken en waar mogelijk gebruik te maken van anonieme of onder pseudoniem opgeslagen gegevens.

De Duitsers hebben ervoor gekozen deze overweging als wetsartikel op te nemen, maar dat is dus niet verplicht. Dat verklaart waarom de Ieren er geen punt van maakten – hun wet kent geen equivalent en dus valt daar voor een toezichthouder weinig over te zeggen.

Natuurlijk zou je kunnen zeggen dat mensen Facebook toestemming geven om hun echte naam te gebruiken, maar gezien de omvang van Facebook en het feit dat die regel pas kwam nadat Facebook al gigantisch gegroeid was, twijfel ik of je die toestemming wel “vrijwillig” kunt noemen. Meedoen of ophoepelen van het sociale netwerk is niet echt een keuze.

Update (15 februari 2013) dit lijkt van de baan, want de Duitse rechter vonnist dat zij onbevoegd is omdat Facebook in Ierland gevestigd is.

Arnoud