Er is veel discussie over verticale privacy; hoe overheid en industrie omgaan met rechten van burgers en consumenten. Maar hoe wijzelf elkaar monitoren en observeren is inmiddels net zozeer een zorg geworden. Horizontale privacy gaat over hoe burgers onderling omgaan met die rechten, denk aan het online zetten van elkaars foto’s en filmmateriaal. We geven hieronder een beeld van de technologische stand van zaken en schetsen bedreigingen maar ook waar oplossingen gezocht en gevonden kunnen worden.

Horizontale privacy is, door voortschrijdende technologie, steeds minder vanzelfsprekend. Een Duitse rechter verbood onlangs het gebruik van dashcams in auto’s. “Het kan niet zo zijn dat alle 80 miljoen Duitsers met camera's gaan rondlopen om elke situatie te filmen, zodat een misdrijf kan worden opgelost''[1], staat in het vonnis. Foto’s en filmpjes, eenmaal online gezet, zijn publiek bezit geworden en er is dan geen weg terug meer. Alles wat we doen, wordt onthouden, ook wanneer we dat niet willen, bijvoorbeeld in de facebooktimelines van vrienden. In onze data-gedreven wereld worden we gemonitord, geanalyseerd en beïnvloed. Dat dat niet zonder gevolgen blijft wordt steeds duidelijker en de noodzaak tot bewustwording hiervan steeds urgenter.... 

...Het besef groeit dat de impact van de technologische ontwikkelingen veel verder gaat dan strikt privacy. De verhalen over wat big data en algoritmen veranderen in het dagelijkse leven roepen steeds meer vragen op. In de discussie over horizontale privacy, vinden we het daarom belangrijk om uit te gaan van een breed concept van privacy. Dat betekent niet alleen denken in termen van bescherming en controle over persoonlijke data – zoals in de nieuwe Algemene Verordening Gegevensbescherming – maar ook in termen van de bescherming van publieke waarden als menselijke waardigheid, autonomie en veiligheid. 

Alles bij de bron; Rathenau


 

Hoe komt de Belastingdienst toch aan al die informatie die al ingevuld staat bij de aangifte? Dat was lang onduidelijk - tot nu. Staatssecretaris Eric Wiebes (VVD, Financiën) publiceerde woensdag na Kamervragen van het CDA een uitgebreid rapport over de datastromen van de Belastingdienst.

Waar kijkt de fiscus allemaal mee? Onder meer in gegevens over reizigers van de NS, data van autolease-bedrijven, gezondheidsdossiers van soldaten en gevangenen, rekeninginformatie van vermogensbeheerders en banken, gegevens van kinderopvangbedrijven en meer.

Het rapport biedt een uniek inkijkje in de dataverzameling door de fiscus. Het gaat om zeker 50 verschillende soorten gegevens, van in totaal minstens 180 bronnen, waaronder veel andere overheden, maar dus ook veel private partijen. Het rapport stamt al uit december 2015, en de Belastingdienst wil geen commentaar geven op de vraag of er inmiddels (veel) bronnen zijn bijgekomen.

Volgens de woordvoerder van de Autoriteit Persoonsgegevens kan de Belastingdienst heel veel soorten gegevens rechtmatig opvragen. „Als ze maar kunnen aantonen dat ze de gegevens nodig hebben, en als ze ze goed beveiligen en de toegang zorgvuldig regelen.”

CDA-Kamerlid Pieter Omtzigt, die de Kamervragen stelde, is daarover bezorgd: „Zeker nu blijkt hoeveel data er zijn, is het belang van gegevensbescherming nog veel groter. En daar heeft het fors aan ontbroken.” De fiscus is eerder onzorgvuldig omgesprongen met persoonlijke data van bepaalde belastingbetalers. In één geval, dat in juni bekend werd, hebben externe medewerkers persoonlijke informatie van mensen naar derden gemaild. 

Alles bij de bron; NRC


 

China bouwt aan een staatssurveillancemachine zonder weerga. Met kunstmatige intelligentie, data-analyse, stem- en gezichtsherkenning legt het land databanken aan om gedrag van burgers digitaal te beoordelen en houdt het communicatie op almaar indringender manieren in de gaten. 

Human Rights Watch (HRW) sprak zondag zijn zorgen uit over één van de meest recente snufjes van de Chinese staat om zijn burgers in de gaten te houden. Volgens HRW werken de Chinese autoriteiten samen met het techbedrijf iFlytek, de absolute marktleider in China waar het gaat om stemherkenningstechnologie – zeg maar de Chinese Siri. Met hulp van het bedrijf ontwikkelt de staat een systeem dat stemmen in telefoongesprekken kan herleiden tot personen, om zo te kunnen helpen met zeer specifiek afluisteren... 

...Rogier Creemers, onderzoeker aan de Universiteit Leiden doet veel onderzoek naar Sesame Credits een project om Chinese burgers massaal te voorzien van een score op basis van onder meer aankoopgedrag en economische activiteit. Hij ziet een groot verschil tussen de Sesame Credits en technieken zoals de automatische stemherkenning. „Je moet je bedenken dat de Chinese staat nu veel minder van burgers weet dan veel westerse overheden.” Je hebt er geen functionerende basisadministratie zoals hier. „Sesame Credits lijken eerder ontworpen als Chinese versie van een bevolkingsregistratie om mensen in kaart te brengen dan als een soort dystopische Big Brother.”

Wel ziet Creemers risico’s in het koppelen van databanken, en het vermengen van de dataverzameling door grote techbedrijven als Alibaba en Tencent met de datahonger van de staat.

Dat is ook precies waar HRW bang voor is. „Technologiebedrijven hebben ook een verantwoordelijkheid om zeker te stellen dat hun producten niet worden gebruikt voor mensenrechtenschendingen.” Overigens heeft Human Rights Watch zich in het verleden ook zeer kritisch uitgelaten over de massasurveillance van de Amerikaanse geheime dienst NSA. Privacyschendingen zijn bepaald niet een uniek Chinees probleem.

Ook in Nederland hebben geheime diensten toegang tot privécommunicatie, en gebruiken ze kunstmatige intelligentie en big data. Denk aan de ophef rondom de zogeheten sleepnet-wet, die diensten meer bevoegdheden geeft. Nederland werd dit jaar het eerste land ter wereld dat landelijk een systeem invoerde voor predictive policing: een techniek om met hulp van data over criminelen en criminaliteit misdaad te voorspellen. Gezichtsherkenning en andere biometrische technieken worden hier al veel langer door overheden gebruikt. 

Alles bij de bron; NRC


 

Op 25 mei 2018 treedt de nieuwe privacywetgeving in werking. In de General Data Protection Regulation (GDPR) - oftewel de Algemene Verordening Gegevensbescherming (AVG) - staan nieuwe, herziene richtlijnen voor het verzamelen van data, in het leven geroepen om de privacy van de burger beter te waarborgen. Zoals te lezen is in een eerder artikel in deze serie, heeft de GDPR impact op bijna alle marketingactiviteiten van een organisatie op het gebied van verwerking van persoonsgegevens van Europese burgers. 

In deze blogpost gaan we verder in op het verzamelen en gebruiken van data via trackingscripts en de rechten van de bezoeker/gebruiker van de website.

Voor het verzamelen en opslaan van persoonsgegevens moet vooraf duidelijke toestemming gegeven worden door de bezoeker of gebruiker van de website. Persoonsgegevens worden onderverdeeld in drie categorieën:

  1. Persoonsgegevens: bijvoorbeeld NAW-gegevens, IP-adres en device-ID’s.
  2. Pseudo-anonieme data: persoonsgegevens die dusdanig verwerkt worden dat ze niet langer herleid kunnen worden zonder gebruik van aanvullende informatie, maar die wel een persoon individueel maken, zoals een versleuteld e-mailadres of gebruikers-ID.
  3. Anonieme data.

Persoonsgegevens en pseudo-anonieme data mogen met expliciete opt-in en opt-out worden gebruikt voor gespecificeerde, expliciete en rechtmatige doeleinden en niet verder worden verwerkt op manieren die niet verenigbaar zijn met deze doeleinden.

Vooral bij trackingscripts gaat het vaak om pseudoanonimisering. Het is een veel voorkomende misvatting dat dit anonieme data zijn. De data die via tracking-id’s verzameld worden, vallen in veel gevallen dus ook onder de GDPR omdat de persoon door aanvullende informatie herleid kan worden en individualiseerbaar is.

Officieel mag je dus standaard geen tracking gebruiken en moet je duidelijk vermelden welke data worden verzameld en voor welke doeleinden deze worden gebruikt. Als iemand in het verleden toestemming heeft gegeven voor het verwerken van zijn of haar persoonsgegevens, moet hij of zij zich vervolgens op elk moment op eenvoudig kunnen afmelden middels een opt-out...

...Profiling is het verzamelen, analyseren en combineren van (persoons)gegevens met als doel iemand in te delen in een bepaalde categorie of bepaald profiel. Met profiling kan een organisatie ook het gedrag van mensen voorspellen of een beslissing over hen nemen. Profiling wil dus zeggen dat iemand aan de hand van een profiel wordt beoordeeld.

Profiling bestaat uit 3 stappen:

  1. Het verzamelen van (persoons)gegevens over (een groep) mensen
  2. Het analyseren en combineren van deze gegevens om verbanden en patronen te ontdekken
  3. Het zoeken naar verbanden en patronen (profielen) in een groep mensen om ze in te delen in een bepaalde categorie en/of hun gedrag te voorspellen.

Veel huidige online advertising, personalisatietools en toekomstige toepassingen van machine learning en artificial intelligence zijn gebouwd op dataprofilering of staan toe om als adverteerder je eigen data te uploaden om bijvoorbeeld mensen met een vergelijkbaar profiel te kunnen bereiken. Ook remarketing, waarbij je een groep gebruikers opnieuw benadert, valt hieronder. 

In de nieuwe wetgeving moet de organisatie benoemen welke vorm/vormen van profilering wordt/worden toegepast, met de daarbij behorende consequenties voor deze persoon. Hierbij moet tevens de mogelijkheid worden geboden tot een opt-out voor deze functionaliteit. De gegevens zullen beveiligd moeten worden door bijvoorbeeld scripting, hashing en encrypting....

...De nieuwe wetgeving geeft ook meer duidelijkheid over de rechten van de burger. Deze worden nu verder geconcretiseerd en afgekaderd. De burger heeft vanaf volgend jaar mei het recht op onderstaande zaken:

  • Toegang tot zijn eigen persoonlijke gegevens.
  • Kennis over waar de gegevens zijn opgeslagen en hoe deze worden gebruikt en gedeeld. De adverteerder moet kunnen aantonen waar de persoonlijke data zijn opgeslagen en wie wanneer op welke manier toegang heeft tot deze informatie.
  • Rectificatie.
  • Vergeten te worden. De persoonsgegevens moeten worden verwijderd als de burger hierom vraagt.
  • Beveiligde omgevingen. De opslag en verwerking van gegevens moet voldoende versleuteld en beveiligd zijn.

Het probleem bij de bovenstaande rechten is dat het (op dit moment) vaak technisch gezien niet mogelijk is om een individueel persoon of cookie te verwijderen of deze data over te dragen aan de persoon. Hiervoor zullen verschillende tools, zoals Google Analytics een oplossing voor moeten zien te vinden. 

Om Google Analytics privacyvriendelijk te maken, dien je de volgende stappen te doorlopen:

  1. Bewerkersovereenkomst met Google afsluiten. Als verantwoordelijke dien je een bewerkersovereenkomst af te sluiten met Google.
  2. IP-adressen anoniem verwerken. Google biedt de mogelijkheid om het laatste gedeelte van het IP-adres van websitebezoekers te verwijderen.
  3. Gegevens delen met Google uitzetten:
    • uitsluitend andere Google-producten;
    • anoniem met Google en andere;
    • technische ondersteuning;
    • (toegang voor Google-)accountspecialisten.
  4. Informeren over het gebruik van Google Analytics. Informeer de bezoeker dat:
    • Google Analytics cookies gebruikt;
    • een bewerkersovereenkomst is afgesloten
    • de gegevens anoniem worden verwerkt;
    • ‘gegevens delen’ is uitgeschakeld;
    • er geen gebruik wordt gemaakt van andere Google-diensten in combinatie met Google Analytics-cookies.

Lees de volledige beschrijving voor het privacyvriendelijk instellen van Google Analytics in deze handleiding.

Alles bij de bron; MarketingFacts


 

Vorige maand werd bekend dat Amerikaanse onderzoekers van Stanford University een 'homoscan' hebben ontwikkeld. Deze scan leest een pasfoto en oordeelt via een kunstmatig intelligent algoritme of iemand homo- of heteroseksueel is. Homoseksuele mannen en vrouwen hebben namelijk, zo menen de onderzoekers, 'sekse-gerelateerde a-typische' uitdrukkingen en stijlen die de computer tot 81% betrouwbaarheid herkent. Zij testten dit met openbare profielen van een datingsite waarop zowel foto's als seksuele voorkeur stonden.

Het duurde niet lang voordat de kritiek losbarstte. Je hoeft geen homoseksueel te zijn om aan te voelen dat dergelijke scans levensgevaarlijk zijn en de privacy ondermijnen. Alleen al de vraag wat er gebeurt als landen waar homoseksualiteit verboden is dergelijke scans op hun luchthaven neerzetten, levert angstaanjagende antwoorden op....

...Nadat de kritiek rond de homoscan was losgebarsten, kwamen de onderzoekers naar buiten. Een van hen, Michal Kosinski zei tegen The Guardian de scan bewust te hebben gemaakt om te waarschuwen voor de kracht van beeldherkenning in AI-systemen. Hij ziet dat dit leidt tot een onvermijdelijke erosie van onze privacy. De onderzoekers maken ons daarmee pijnlijk duidelijk dat we zelf verantwoordelijk zijn voor deze ontwikkeling, omdat we de pasfoto's en de seksuele voorkeuren zelf openbaar hebben gemaakt. Straks zijn het niet de wetenschappers, maar de autoriteiten van landen waar homoseksualiteit verboden is die deze gegevens van het web plukken.

Daarom moet de meest urgente waarschuwing die we vandaag nodig hebben op onszelf zijn gericht. Wij moeten onze privacy beschermen. Het huis staat in brand.

Alles bij de bron; FD ['gratis' inloggen noodzakelijk]


 

Data over ons online gedrag - de websites die we bezoeken, de video’s die we kijken en onze zoekopdrachten in Google - worden in groten getale verzameld, gebruikt en gedeeld door bedrijven. Een van de belangrijkste redenen om online gedrag te monitoren en te verzamelen is online behavioral advertising (OBA), ook wel behavioral targeting genoemd. Bij OBA worden de data over online gedrag, verzameld door middel van bijvoorbeeld cookies, gebruikt om specifieke advertenties aan bepaalde individuen te tonen. 

Ja, ook wetenschappelijk onderzoek toont aan dat OBA tot meer kliks en meer aankopen leidt. Maar OBA blijkt ook negatieve effecten te kunnen hebben.

Je kunt echter te ver gaan en dit heeft negatieve gevolgen. Als een reclame is aangepast op basis van meer privacygevoelige informatie, zoals je leeftijd, geslacht en huidige locatie, dan kan dit ertoe leiden dat mensen zich kwetsbaar voelen en meer zorgen hebben over hun privacy. Dit leidt vervolgens tot minder kliks.

Twee belangrijke factoren waarmee adverteerders rekening moeten houden:

  1. Transparantie: vertrouwen en zorgen over privacy spelen een belangrijke rol. Zorg dat je transparant bent, want dit heeft positieve gevolgen.

  2. Waarborg de privacy: als adverteerder moet je bewust keuzes maken in het type en de hoeveelheid persoonlijke informatie waarop wordt ingespeeld. OBA op basis van interesses of klikgedrag in webshops kan zeker werken, maar gevoelige informatie, zoals leeftijd of locatie, kan leiden tot weerstand.

Alles bij de bron; MarketingFacts


 

Het idee dat privacy dood is, is baarlijke nonsens. Sterker nog, met datalek op datalek is het duidelijker dan ooit geworden dat we een beter besef ontwikkelen over privégegevens. Wat is data waard? Lastig. "Hoe verbind je een bedrag aan intellectueel eigendom?" vraagt McAfee-CTO Samani zich af. "Wat is de waarde van je creditcardnummer? Ja, je bent verzekerd tegen bankfraude en een gestolen kaart wordt geblokkeerd, maar hoe gebruiken criminelen die informatie verder?" Dat is geen zuiver hypothetische vraag: gegevens liggen op straat en worden misbruikt. 

Securityjournalist Brian Krebs laat bijvoorbeeld zien dat een geboortedatum en het BSN genoeg zijn om een woonadres te achterhalen. Hij tovert zijn eigen adres tevoorschijn via database SSNDOB.CC. Hij gebruikt het als illustratie van het grote probleem dat we statische informatie gebruiken voor autorisatie. "Bel de bank, geef deze twee gegevens en je bent binnen." Identiteiten baseren op statische gegevens (denkt iemand anders ook meteen aan vingerafdrukken?) is eigenlijk krankzinnig.

Vooral sinds de ellende met Equifax, waar onder meer BSN's en geboortedata met honderden miljoenen de straat op zijn gevlogen. Dat moet ons met de neus op dit feit drukken: informatie als een burgerservicenummer is absoluut onbruikbaar als verificatiegegeven voor een identiteit. Het is pure waanzin dat een identiteit gekoppeld is aan één statisch gegeven, dat elke overheidsorganisatie gebruikt en overal rondslingert. In poststukken, in databases van particulieren, in overheidsbronnen. 

Het gaat nu al een paar alinea's over BSN's - en dat is een vrij duidelijk probleem - maar hoe zit het met verouderde gegevens of accounts die je niet meer gebruikt? Dat Adobe-account die al zes jaar op straat ligt. Wat kunnen we daarmee? De LinkedIn-gegevens? Yahoo? Kickstarter? Deloitte? Badoo? Disqus? Brazzers? MySpace? Experian? Bitly? Dropbox? LiteBit? BTC-E? DailyMotion? Gawker? Forbes? BitTorrent?

Dit zijn maar een paar voorbeelden. De lijst van bedrijven die persoonsgegevens hebben gelekt is verontrustend lang (en ook Troy Hunt's lijst is verre van uitputtend).

Alles bij de bron; CompWorld


 

Bedrijven als Facebook en Google veranderen ons in oppervlakkige internetjunkies en bedreigen de democratie, waarschuwt de Amerikaanse journalist Franklin Foer in zijn boek Ontzielde Wereld. 'We moeten in verzet komen. Nu het nog kan.'...

...U maakt zich grote zorgen over onze privacy. Maar er zijn ook hordes mensen die daar hun schouders over ophalen, met het argument 'ik doe niks illegaals, ik heb niks te verbergen'.

'Een naïef argument. Ook als je niks illegaals doet, kan veel informatie die je online weggeeft of achterlaat tegen je gebruikt worden.'

Onlangs was in het nieuws dat de Amerikaanse regering de IP-adressen probeert te verkrijgen van 1,3 miljoen bezoekers aan een anti-Trumpwebsite. Om de rillingen van te krijgen?

'Wel als die mensen vervolgens een rode vlag achter hun naam krijgen en moeilijker een baan bij de overheid kunnen krijgen. Gelukkig is het nog niet zover. Maar ik denk wel dat we met z'n allen afstevenen op The Big One: een megahack waarbij we ineens beseffen hoe kwetsbaar we onszelf gemaakt hebben. 

Kan zo'n megahack ook positieve gevolgen hebben, in de vorm van een wake-upcall?

'Dat denk ik wel. Vergelijk het met de financiële crisis van 2008, die in de Verenigde Staten leidde tot de lancering van het Consumer Financial Protection Bureau. Een megahack zou een vergelijkbare reactie van de overheid kunnen veroorzaken, door een sterke privacybeschermingsinstantie op te richten. Sommige zaken kun je niet ongereguleerd laten, omdat ze anders door de markt worden verwoest. Dat geldt voor het milieu, maar ook voor onze privacy.'

Alles bij de bron; Volkskrant


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha