Hoe maak je sms-berichten en appjes van ambtenaren Wob-baar?

| AE 11257 | Regulering, Uitingsvrijheid | 23 reacties

Alweer wat ouder nieuws, maar toch: sms-berichten en appjes van ambtenaren vallen onder de Wet openbaarheid van bestuur. Dat besliste de Raad van State enige tijd terug. Iets formeler gezegd: het medium waarin informatie wordt opgeslagen of verstuurd, is niet relevant. Of iets nu in een sms bericht staat of in een papieren brief: als de informatie onder de reikwijdte van de Wob valt, dan heeft de burger daar recht op. Werk aan de winkel dus voor ambtenaren, want sms- en appverkeer wordt gewoonlijk niet standaard gearchiveerd of zelfs maar centraal bijgehouden. Hoe ga je dat nu concreet beheren?

Alleen al praktisch is dat een behoorlijke kluif. Formele communicatie per brief gaat al heel wat jaren goed, omdat dit beheersbare informatiestromen zijn. Er is vaak ook een postkamer of secretaresse (m/v) die bepaalt wat bewaard moet, en een archivaris die er het juiste labeltje op plakt zodat het te vinden is. Bij e-mail blijkt dit in de praktijk nu al wat lastiger, maar het kan omdat dat centraal op te slaan is.

App-berichten en sms-berichten staan normaal echter alleen op de telefoon waar ze zijn ontvangen. Als je mazzel hebt, heeft de ambtenaar de desktopversie van WhatsApp maar dan nog. Natuurlijk, je kunt iemands telefoon periodiek leegtrekken maar dat is nogal een proces. En een oekaze rondsturen dat iedereen wekelijks zijn chatlogs moet inleveren is natuurlijk leuk op papier, maar dat zal niet -of althans niet 100%- gebeuren en dan heb je wettelijk een probleem.

En nog een leuke, uit dat NRC artikel: “Het maakt daarbij niet uit op welk apparaat (zakelijk of privé) deze berichten staan omdat anders de wet kan worden ontlopen door de keuze van het apparaat waarop deze staan.” Het klinkt me logisch in de oren dat veel ambtenaren met hun privételefoon zullen appen of sms’en over werk, dat doet namelijk iedereen. En dan moet je dus een proces invoeren waarbij je vanaf privételefoons die berichten uitleest, en daarbij ook nog eens de privacy van de ambtenaar in privéhoedanigheid respecteert. Ik geef het je te doen.

Een reglement dan, zullen de HR-professionals nu denken. Gewoon opschrijven dat alle berichten moeten worden ingeleverd en dat je geen privéconversaties mag voeren behalve in eigen tijd, en dan niet over werk praten zodat je de Wob vermijdt. Klinkt leuk, wederom op papier, maar werkt niet: mensen mógen privéconversaties voeren op het werk, ook met klanten en relaties, en de werkgever moet daar ruimte voor maken. Hij mag ook niet botweg die berichten dan opvragen en archiveren, er moet een goede reden zijn om in privécommunicatie te kijken. En dat de Wob mogelijk geldt op andere berichten in dat communicatiemedium, is niet goed genoeg.

Hoe zouden jullie dit aanpakken als je de verantwoordelijke informatiemanager was bij de overheid?

Arnoud

Mag ik een sms naar mijn klanten sturen?

| AE 8775 | Privacy | 14 reacties

whatsappEen lezer vroeg me:

Ons bedrijf wil per Whatsapp gaan communiceren met klanten. Ik heb dat als security officer afgeraden, omdat we niet weten wat er in Amerika gebeurt met de persoonsgegevens die er dan over de lijn gaan. SMS lijkt me een betere optie, maar hoe zit dit wettelijk?

WhatsApp zou ik tegenwoordig wel durven aanraden mits de end-to-end encryptie aan staat. Dan kan WA immers niet meelezen. Ik denk dat je er tegenwoordig wel op mag vertrouwen dat die encryptie een redelijk niveau van beveiliging geeft. Misschien zou je bij medische gegevens meer moeten doen.

SMS-berichten zijn niet versleuteld maar gaan over een afgeschermd netwerk. Dat lijkt me security-technisch ook wel in orde.

Een ander punt is wat klanten ervan vinden om ineens berichtjes te krijgen via deze kanalen. Zeker bij SMS vinden (in mijn ervaring) een hoop mensen het erg opdringerig, om niet te zeggen ongewenst. Heel formeel is dénk ik geen toestemming nodig voor serviceberichten naar je klanten. Het sturen van reclame per sms (of WhatsApp) mag niet zonder toestemming, maar bijvoorbeeld een klant een reminder voor een afspraak per sms sturen is volstrekt legaal als zij hun 06 hebben gegeven.

Wel is vereist dat ergens in de privacyverklaring staat dat dit zal gebeuren, en is wenselijk dat de klant zich kan afmelden voor die berichten. Verder zou het voor mij ook van de context afhangen: waarom geef ik dat 06-nummer, is dat om eenmalig teruggebeld te worden of is het deel van mijn klantprofiel?

Toch zou ik altijd aanraden om toestemming te vragen.

Arnoud

Hoe kan ik nou inloggen op DigiD met sms zonder mobiele telefoon?

| AE 6743 | Security | 63 reacties

mobieltje-sms-bellen-06.pngEen lezer ontving een mail van zijn verzekeraar met deze strekking:

Vanaf 1 juli 2014 wijzigt het inloggen op Mijn De Friesland. Vanaf dan kunt u alleen nog inloggen met DigiD + extra controlestap via sms. Deze wettelijke wijziging zorgt ervoor dat uw persoonsgegevens nog beter beveiligd zijn.

Dat “wettelijke wijziging” intrigeert mij dan als eerste. Waar staat in de wet dat er sms-verificatie moet gebeuren als mensen inloggen met DigiD? Nergens, althans niet letterlijk.

Het gaat hier (natuurlijk) om de privacywet, de Wet bescherming persoonsgegevens. Die schrijft voor dat je “adequate” beveiliging van persoonsgegevens moet hanteren. Wat precies “adequaat” is, staat niet in de wet. Dat moet je zelf bepalen (en kunnen motiveren) op basis van dingen als het soort gegevens, het soort aanvallen en de impact van misbruik. Ook de stand der techniek, wat is er tegenwoordig normaal en gebruikelijk, weegt hierin mee.

Vandaag de dag is tweefactorauthenticatie een bekende techniek. Niet meer alléén een wachtwoord, alleen een biometrische code of een pasje maar minstens twee van die dingen. Het idee is dat een aanvaller niet allebei die dingen onder controle kan krijgen. In de context van DigiD kom je dan al snel uit bij een controle per sms. Je kunt mijn laptop hacken maar hoe onderschep je dan óók de smsen (sms’s? Ruud?) op mijn telefoon.

Voor de techniek valt dus wat te zeggen, alleen heeft deze lezer geen mobiele telefoon en die wil hij ook niet. Wat nu? Wie een oplossing weet, ik hoor het graag en verloot een boek.

Arnoud

Niet aansprakelijk voor forumdraden of voorgelezen smsjes

| AE 2434 | Ondernemingsvrijheid | 36 reacties

Afgelopen week twee leuke uitspraken over de aansprakelijkheid van tussenpersonen. De publieke omroep TROS hoeft niet te controleren of berichten van gebruikers op het Radar-forum ‘lasterlijke’ berichten over Pretium Telecom bevatten, meldde Tweakers vrijdag. En woensdag publiceerde Media Report over een arrest uit Amsterdam over een voorgelezen SMS-bericht bij de Wereldomroep. Eerst maar de Pretiumzaak…. Lees verder

Vodafone en T-Mobile sturen SMS’jes door, WTF?

| AE 1627 | Informatiemaatschappij, Regulering | 17 reacties

De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de politie krijgen ten onrechte de inhoud van sms’jes te zien, las ik gisteren op Nu.nl. Vodafone en T-Mobile zouden deze doorsturen in het kader van hun wettelijke plicht om verkeersgegevens door te geven, omdat ze de verkeersgegevens niet los van de inhoud van SMS-berichten zouden kunnen doorsturen…. Lees verder

De journalistieke verwerking onder de WBP

| AE 1374 | Ondernemingsvrijheid, Privacy, Uitingsvrijheid | 6 reacties

De belastingtelefooon maar dan anders. Dat was het idee achter een SMS-dienst van het Finse bedrijf Satamedia: voor 2 euro kun je per SMS de gegevens uit ieders belastingaangifte opvragen. Geheel legaal, want in Finland zijn belastingaangiftes openbaar beschikbaar(!). Maar er is toch wel een verschil tussen een document inzien bij de belastingdienst of diezelfde… Lees verder