Privacy

IT 349

Controlevraag is beveiligingsrisico

De controlevraag die veel online aanbieders gebruiken als authenticatiemiddel voordat ze een vergeten wachtwoord toemailen aan een gebruiker, is een beveiligingsrisico. Dat zegt senior beveiligingsonderzoeker Roel Schouwenberg van Kaspersky.

Lees meer hier.

IT 307

Zwartboek datalekken

Digitale Burgerrechtorganisatie Bits of Freedom (BOF) heeft in 2010 een wetsvoorstel ingediend dat databankbeheerders verplicht om datalekken direct te melden. Tot die tijd vermeld BOF zelf in een zwartboek de haar bekende datalekken (hier). Er wordt gepleit voor invoering van een artikel 13a Wet bescherming persoonsgegevens (pdf; link),

1. De verantwoordelijke die weet, of redelijkerwijs kan vermoeden, dat onbevoegd toegang is verkregen tot door hem verwerkte persoonsgegevens, stelt de betrokkenen daarvan onverwijld op de hoogte.
2. De verantwoordelijke als bedoeld in het eerste lid stelt eveneens het College onverwijld op de hoogte.
3. Het College houdt een openbaar register bij van de meldingen die het ontvangt uit hoofde van het tweede lid.
4. Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld over de wijze waarop de meldingen dienen te geschieden.

Enkele datalekken

Datalek: gemeente publiceert klacht én klager
Datalek: Rabo geeft inzage andermans rekening
Datalek: V&D verzendt bestelgegevens 5.900 klanten
Teeven: een man een man of dooie mus?
Mailen is moeilijk: maart 2011
Datalek: gegevens 4Daagse wandelaars publiek
Datalek: Saxion deelt adresgegevens studenten
Succes! Meldplicht datalekken in maart 2011 [VIDEO]
Datalek: Gegevens Postcode loterij klanten op straat
Datalek: Privégegevens NRC-abonnees open en bloot

Lees meer hier

IT 345

Fiat Justitia: recht 2.0

In het ledenmagazine van de Juridische Faculteitsvereniging Rotterdam, staan een aantal interessante artikelen.

Leendert Kloot, 'Interview Francisco van Jole', p. 10-13.
Arnoud Engelfriet, 'De puinhoop van het Europese softwareoctrooi' p.15-20
Mark Putting, 'Interview met een activist van anonymous', p.22-23
Brenno de Winter, 'Ov-chipkaart vanaf begin voer voor juristen', p. 24-27
Tobias Cohen Jehoram, 'Online auteursrechtinbreuk en recht 2.0', p. 31-34.
Christiaan Alberdingk Thijm, 'De toekomst van televisie: rechten rechtenclearing 2.0' p. 40-42.
E-J van de Pas, 'vraagje: welke bewijskracht heeft een e-mail en wat is ‘de cloud’?' p. 46-49.

Download de publicatie hier (link - pdf 5 Mb) 

Uit: Fiat Justitia: Recht 2.0, jaargang 23, nummer 3 | april 2011

IT 342

Gemeenten en gebruik van Google Maps

Privacybezwaren en gebruikersvoorwaarden van Google Maps zijn dusdanig eenzijdg dat het Ministerie van Binnenlandse Zaken gemeenten waarschuwt voor het gebruik op hun sites. Dat volgt uit een onderzoek van adviesbureau Geon.

Privacybezwaren De zoekmachine van Google registreert het zoekgedrag van gebruikers om dit commercieel te kunnen inzetten. Ook voor Google Maps kan dit een rol spelen. Het is een wezenlijk businessmodel van Google. In de communicatie tussen overheid en burger is dit een onwenselijke situatie.

Data uitbuiten Overheidsgegevens kunnen door Google in andere vorm of in delen worden hergebruikt voor commerciële doeleinden (...) Hoewel Google aangeeft dat zij geen belang heeft bij persoonegegevens, wil dat nog niet zeggen dat de privacy is gewaarborgd. 

Ontraden worden het gebruik niet, omdat er geen evenwaardig alternatief is. Een licentie kopen moet echter wel. Op dit moment wordt vooral gebruik gemaakt van de gratis variant onder het mom: 'we zien wel waar het schip strandt' of 'we merken wel wanneer we door een juridisch bestuurlijke beslissing worden teruggefloten'. Ook op lokaal bestuurlijk niveau (colleges, gemeenteraden) heerst meer het beeld van trots dat de gemeente met haar dienstverlening mee kan gaan in de populariteit van Google dan dat men terughoudend en kritisch is.

Een mogelijk aankomend alternatief met overheidsdata gemaakt is Het project “Geografische zoek- en toondienst”, afgekort GEOZET. Naar verwachting is dit voor de zomer afgerond.

Lees het onderzoek hier.

IT 337

Onduidelijk privacy beleid van mobiele apparaten

Met dank aan Wouter Dammers, SOLV. Dagblad De Pers bericht vandaag over de onduidelijkheid van privacyvoorwaarden van bedrijven als Facebook, Google en Apple. Dit naar aanleiding van de recente berichten over de opslag van locatiedata door de Apple iPhone en Google Android telefoons en de (vermeende) verkoop van data door TomTom, dat heeft gezorgd voor een licentiewijziging. Stuk voor stuk betreffen dit voorbeelden van hoe jouw persoonsgegevens gebruikt kunnen worden, zonder dat je je daar bewust van bent, of hoe het mis kan gaan met jouw (persoons)gegevens. Het artikel in De Pers geeft aan dat je als gebruiker van de diensten van deze bedrijven vaak (onbewust) akkoord hebt gegeven voor de opslag van jouw locatiedata, of dat het bedrijf jouw persoonsgegevens mag delen met derden...

In het artikel in De Pers leg ik uit dat de gebruiks- en privacy voorwaarden van deze bedrijven aan duidelijkheid te wensen over laat. Natuurlijk gaat de gemiddelde gebruiker deze voorwaarden niet stuk voor stuk doorlezen. Het betreffen meestal lange, lastige juridische documenten, waar het aan duidelijkheid te wensen over laat. Vaak wordt ook nog eens in het ene document verwezen naar een ander document, welke vervolgens weer verwijst naar een ander document. Door de spreekwoordelijke bomen zie je het bos niet meer.

Gelukkig heeft ook de Europese wetgever in de gaten dat "gewone mensentaal" veel meer duidelijkheid geeft aan de betrokkene - degene waar het om draait bij de verwerking van persoonsgegevens. Europa heeft, onder meer om deze reden, aangegeven om de huidige Privacy richtlijn - de richtlijn waarop onze Wet bescherming persoonsgegevens is gebaseerd - te herzien.

Een van de speerpunten bij die herziening is dat er meer duidelijkheid en transparantie moet komen voor de betrokkene (lees: de gebruiker).

Transparantie vormt een basisvoorwaarden, willen individuen controle kunnen uitoefenen over hun eigen gegevens en zich van een effectieve bescherming van hun persoonsgegevens kunnen verzekeren. Daarom is het van wezenlijk belang dat individuen door degenen die voor de verwerking verantwoordelijk zijn goed en duidelijk, op een transparante wijze, worden geïnformeerd over hoe en door wie hun gegevens worden verzameld en verwerkt, voor welke doeleinden, gedurende welke periode en in hoeverre zij het recht hebben hun gegevens in te zien, te corrigeren of te wissen.,

aldus een mededeling van de Europese Commissie. De huidige bepalingen die op de informatieverplichting voorzien, zouden niet meer volstaan:

Transparantie vereist in essentie dat de informatie vlot toegankelijk en gemakkelijk te begrijpen is en dat duidelijke en eenvoudige taal wordt gebruikt. Dit is in het bijzonder relevant in een online-omgeving, waarin privacyverklaringen vaak onduidelijk, moeilijk te vinden, ondoorzichtig en niet steeds conform de bestaande voorschriften zijn. Waar dit met name het geval zou kunnen zijn, is bij online "behavioural advertising" (gerichte reclame op basis van het surfgedrag). Zowel het grote aantal spelers dat zich ermee bezighoudt als de technologische complexiteit van deze praktijk maken dat het voor een individu moeilijk is te weten en te begrijpen of, door wie en met welk doel persoonsgegevens worden verzameld."

De Commissie overweegt bijvoorbeeld om een of meer EU-standaardformulieren (privacyverklaringen) op te stellen die door de voor de verwerking van gegevens verantwoordelijken moeten worden gebruikt. Een privacybijsluiter in normale mensentaal dus. Wat dat betreft is dat alleen maar aan te moedigen. Maar of het de situaties als in de inleiding van deze blog genoemd zal voorkomen durf ik te betwisten. Privacy by Design, een van de andere speerpunten van de herziening van de privacy richtlijn, zal in mijn optiek meer resultaat hebben in deze gevallen. Zo was het een 'foutje' van Apple dat de locatiedata werden opgeslagen. Iets wat met een software update gecorrigeerd zal worden.

Het staat bedrijven natuurlijk vrij om verder te gaan dan enkel een privacybijsluiter. Het is alleen maar aan te moedigen om met duidelijke grafische of audiovisuele uitleg aan te geven welke persoonsgegevens voor welke doeleinden worden gebruikt. Maar mijns inziens zou dit geen verplichting moeten zijn: Een duidelijke privacy verklaring - in combinatie met privacy by design - kan in mijn optiek volstaan.

Bron afbeelding: Onder CC BY-ND 2.0 licentie http://geekandpoke.typepad.com/geekandpoke/2006/11/googles_privacy.html

IT 334

Privacyproblemen bij telefoons van Apple, Google en Microsoft.

Vorige week werd bekend dat Apple en Google locatiegegevens opslaan op hun mobiele telefoons. Zonder toestemming van de gebruiker worden tijdstippen en locaties opgeslagen op Iphone en Android telefoons. Deze gegevens zijn niet beveiligd. Intussen blijkt ook Microsoft gebruik te maken van dergelijke locatie verzameling.

Apple heeft het recht deze gegevens te verzamelen en verkopen aan derde partijen blijkt uit de privacyvoorwaarden die het vorig jaar heeft ingevoerd. Google zegt dat gebruikers wel expliciet om toestemming wordt gevraagd om gebruik van de locatiegegevens, zodat Google hen een betere gebruikservaring kan leveren. Beide partijen stellen dat deze gegevens worden geanonimiseerd dus niet te herleiden zijn naar de gebruiker.

Intussen zijn in de Verenigde Staten al twee rechtszaken tegen Apple hierover aangespannen. Deze consumenten klagen over misleiding en fraude en eisen de optie om locatiediensten uit te schakelen.

Lees meer hierover op webwereld.nl (link)

IT 333

Algemene voorwaarden vaak ten nadele van de consument

Het tijdschrift Bright publiceerde afgelopen vrijdag een onderzoek naar de gebruikersvoorwaarden van enkele bedrijven zoals o.a. Apple, eBay, Facebook, Flickr, Google, Marktplaats en Skype. Hieruit blijkt dat de voorwaarden regelmatig herschreven worden, vaak ten nadele van de consument. Bright stelt dat de voorwaarden in moeilijke juridische taal worden opgeschreven en dat daarom niet duidelijk is wat ze precies inhouden. Bright concludeert kortweg dat door ondertekening van de voorwaarden, de gebruiker afstand doet van al zijn rechten en veel verplichtingen krijgt.

Hierbij de voornaamste conclusies uit het rapport.

1. De voorwaarden worden regelmatig aangepast zonder de gebruiker hierover in te lichten.
2. De aansprakelijkheid van de diensten zelf wordt zoveel mogelijk beperkt.
3. Gekochte applicaties zijn geen eigendom van de gebruiker, deze koopt alleen een licentie voor gebruik, welke kan worden ingetrokken en niet kan worden overgedragen.
4. Garantiemogelijkheden zijn zeer beperkt en er wordt veelvuldig gebruik gemaakt van het koppelen en dataminen van persoonlijke gegevens.
5. Ook wordt privé informatie van gebruikers wordt zonder expliciete toestemming van de gebruiker gebruikt voor financieel gewin en doorgespeeld naar derde partijen waardoor het niet meer controleerbaar is voor de gebruiker.
6. Verder worden vaak de (intellectuele) eigendomsrechten van foto's en video's die de gebruiker uploadt naar de diensten overgeheveld.

Lees het gehele rapport hier (link en pdf).

IT 330

EDRi