De Google Dialer- en Messages-apps, die standaard op Androidtelefoons zijn geïnstalleerd, verzamelen allerlei privédata van gebruikers en sturen die naar Google, zo stellen onderzoekers van het Trinity College Dublin op basis van eigen onderzoek. De apps worden gebruikt voor bellen en het versturen en ontvangen van sms en andere berichten.
Zo meldt de Messages-apps aan Google wanneer een bericht is verstuurd of ontvangen. Het gaat om de tijd en een hash van de berichttekst. Hierdoor kan Google zien welke telefoons met elkaar communiceren en op welk moment. Ook verstuurt Messages het telefoonnummer van de afzender naar Google. De Dialer-app laat Google weten wanneer er een telefoongesprek is gestart of ontvangen. Het gaat dan om de tijd en de gespreksduur. Zo weet Google wie met elkaar belt, op welk moment en hoelang.
Verder laten beide apps aan Google weten hoe de gebruiker er gebruik van maakt. Het gaat dan bijvoorbeeld om het bekijken van het appscherm, een sms-conversatie of het doorzoeken van de contacten. Dit geeft Google een uitgebreid beeld van het app-gebruik, aldus de onderzoekers. De data die naar Google wordt verstuurd is voorzien van het Android ID van de telefoon, die aan het Google-account van de gebruiker is gekoppeld. Het is niet mogelijk voor gebruikers om zich voor deze dataverzameling af te melden, zo stellen de onderzoekers...
...Naar aanleiding van het onderzoek heeft Google de onderzoekers laten weten dat er aanpassingen aan de apps worden doorgevoerd om gebruikers beter te informeren en bepaalde informatie niet meer te verzamelen. Wanneer de aanpassingen precies worden doorgevoerd is niet bekendgemaakt. (pdf).
Alles bij de bron; Security
Europese wetgeving legt het volgen van personen op internet steeds meer aan banden. Maar de behoefte bij bedrijven om het surfgedrag en de interesses van personen vast te leggen is onverminderd. Daarom raken nieuwe volgmethodes in zwang, die zijn ontworpen om wettelijke en technische blokkades te omzeilen.
Van honderd veelbezochte websites in Nederland gebruiken er al 42 een andere methode dan traditionele reclamecookies om bezoekers te herkennen en te profileren. Dit toont onderzoek van de Consumentenbond aan. De methodes zijn omstreden, want er wordt, anders dan bij cookies, veelal geen toestemming van de sitebezoeker gevraagd, terwijl dat wel in de privacywet AVG staat voorgeschreven.
Bedrijven hanteren ten minste drie methodes om bezoekers alsnog te volgen: ‘fingerprinting’, cookies van derden die als cookies van uitgevers zelf worden geplaatst, en het plaatsen van een onzichtbare pixel.
Bij fingerprinting, de meestgebruikte methode, wordt als het ware een vingerafdruk van de gebruiker gemaakt door kenmerken van het apparaat en de browser waarmee hij of zij de site bezoekt op te slaan. Met deze technische en gebruikskenmerken van personen kunnen zij herkenbaar zijn en geprofileerd worden.
De tweede methode, cookies van derden die als cookies van uitgevers zelf worden geplaatst, legt eveneens stiekem voorkeuren vast. Cookies van derden, waarvoor volgens de AVG toestemming moet worden gevraagd, zijn bij deze praktijk vermomd als eigen cookies, om blokkeringen in browsers te omzeilen. Banken als ING, Rabobank, ABN Amro en Volksbank-dochters mogen legaal deze cookies inzetten om fraude te bestrijden, want voor hen is het ‘functioneel’. En ‘functionele cookies’ mogen bedrijven volgens de AVG altijd ongevraagd plaatsen.
De derde methode is het plaatsen van een onzichtbare pixel, waar bijvoorbeeld Facebook gebruik van maakt. Dat is een minimaal plaatje op een webpagina, dat een signaal stuurt naar de computers van moederbedrijf Meta, dat daarmee klanten kan profileren die cookies via hun browser weigeren. Facebook instrueert bedrijven op het platform actief hoe ze met deze pixels data kunnen verzamelen....
...Eind februari passeerde in Brussel een nieuwe Data Act die, krachtiger dan de huidige AVG, consumenten moet beschermen en meer regie moet geven over hun gegevens. De Europese overkoepelende consumentenorganisatie BEUC reageert er verheugd op, maar de praktijk zal moeten uitwijzen of de macht over persoonlijke gegevens werkelijk zal verschuiven van aanbieders naar gebruikers.
Om die reden roepen nu 73 Europese lobbyorganisaties Europese regeringen en parlementen op tot een ban op gerichte reclame en alle stiekeme vormen van dataverzameling. Dat doen ze onder aanvoering van digitale rechtenorganisatie EDRi en Amnesty International. Europarlementariër Paul Tang (PvdA) pleitte al eerder voor zo'n ban.
Alles bij de bron; NRC
Europese privacy-organisaties hebben een slag geslagen tegen de handel in persoonsgegevens.
Het systeem waarbij websitebezoekers toestemming geven voor het delen van hun gegevens met soms honderden bedrijven, is in strijd met de Europese privacyregels, de AVG. Dat bedrijven persoonsgegevens naar elkaar rondsturen en soms profielen opbouwen van nietsvermoedende individuen, is niet in de haak.
Dat blijkt uit een recente uitspraak van de Belgische privacywaakhond, die gesteund wordt door toezichthouders in andere Europese landen. De uitspraak is goed nieuws voor de consument die aan zijn privacy hecht.
Hoe werken ze ook alweer, die gepersonaliseerde reclames? Je opent de website 9292.nl om de route te bekijken. Cookies accepteren? Vooruit, vanwege de haast.
Op het moment van accepteren geef je 187 internationale bedrijven toestemming om geld te verdienen met je privégegevens. ‘Dit zijn de derde partijen die jouw gegevens verwerken’, schrijft 9292 in een toelichtend venster met alle bedrijfsnamen. Sommige daarvan zijn bekend, zoals Adobe, Booking, Nielsen en Oracle.
Razendsnel krijgen allerlei bedrijven op de digitale advertentiemarkt de vraag toegestuurd of ze een advertentie willen tonen aan deze busreiziger. Zijn locatie wordt meegestuurd en volgens een woordvoerder van 9292 kan die op de paar meters nauwkeurig zijn. Een digitaal veilingbericht bevat informatie over het mobieltje en de telecomaanbieder. Ook biedt het advertentieveilingsysteem, genaamd Open RTB, de mogelijkheid om geslacht, geboortejaar en interesses van de persoon mee te sturen. Dit systeem wordt op 80 procent van de websites gebruikt.
In een flits vindt de veiling plaats. Het winnende bedrijf plaatst een advertentie en de bus vertrekt. Even de krant lezen. Cookies accepteren? Vooruit, vanwege het gemak. Meteen kijken er zo’n 300 bedrijven mee...
...Dit veilingsysteem kent grote risico’s, zegt de Gegevensbeschermingsautoriteit in België, voor de fundamentele rechten en vrijheden van de betrokkenen. ‘Met name gezien de grote hoeveelheid persoonsgegevens die ermee gemoeid is, de profilering, de voorspelling van gedrag en de monitoring die daaruit voortvloeit.’....
Waarom is de datahandel zo schadelijk volgens Bits of Freedom? Evelyn Austin, directeur: “Bedrijven die over persoonlijke profielen beschikken zouden mensen kunnen manipuleren. Denk aan politieke beïnvloeding of het uitbuiten van kwetsbaarheden. Mensen kunnen kwetsbaar zijn door hun leeftijd, door depressies of gevoeligheid voor gokken. Het is niet goed als bedrijven dat uit hun data kunnen aflezen.”
Alles bij de bron; Trouw [lang artikel]
Bedrijven zoals Google, Amazon, Intel en AT&T doen flinke investeringen in technologie waarmee hun gebruikers nauwkeurig kunnen worden gevolgd. De markt die zich richt op het verkopen van locatiegegevens is namelijk naar schatting 12 miljard dollar waard.
Veel smartphone-apps verzamelen, zonder dat de gebruiker het weet, de locatiegegevens van gebruikers. Dit gebeurt via gps of door IP-lokalisatie. Aan de hand van deze gegevens kunnen adverteerders meer gerichte reclames verkopen of hun doelgroep beter leren kennen.
Uit onderzoek van het journalistieke platform The Markup blijkt dat in 2019 veel gevoelige data is verzameld door datahandelaren via apps voor moslims. En in 2021 kwam aan het licht dat de app Life360 een datagoudmijn was voor X-Mode/Outlogic. Met de app kunnen ouders hun kinderen via gps volgen.
Deze gevoelige informatie wordt ook gekocht door overheden. Zo kocht het Amerikaanse leger de locatiegegevens van moslims wereldwijd, die op het eerste gezicht een doodnormale app gebruikten om te kunnen bidden.
X-Mode was gespecialiseerd in het verzamelen en verkopen van persoonsgegevens, verzameld via smartphone-apps. Later veranderde het zijn naam in Outlogic en breidde het bedrijf zijn database uit naar 1,6 miljard personen in 44 landen. Outlogic zegt zelf dat ze informatie hebben over zeker 25 procent van de volwassen Amerikaanse bevolking.
Vorig jaar nog kwam het nieuws naar buiten dat een homoseksuele Amerikaanse priester zijn ontslag heeft ingediend nadat zijn seksuele voorkeur via de locatiegegevens op zijn telefoon was onthuld. Het toont aan hoe gevoelig de gegevens zijn.
Alles bij de bron; BusinessAM
Autobezitters moten meer controle over hun autodata krijgen, zo vindt AFCAR NL, een samenwerkingsverband van de ANWB, BOVAG, FOCWA, RAI Aftermarket, RAI Equipment, VACO, Verbond van Verzekeraars en VNA. Volgens het samenwerkingsverband leggen steeds meer auto’s gegevens vast over de staat van de auto en het rijgedrag van de bestuurder. Deze gegevens worden via een dataverbinding doorgestuurd naar de autofabrikant, vaak zonder dat de autobezitter dat weet.
"Er moet daarom wetgeving komen waarmee de toegankelijkheid van autodata wordt geregeld", aldus AFCAR NL.
In een brief aan de ministers van Economische Zaken en Infrastructuur en Waterstaat doet AFCAR NL een dringend beroep om te zorgen dat er wetgeving komt voor de autobranche voor het delen van data door voertuigen. Deze maand buigt de Europese Commissie zich over een wetsontwerp waarin de uitgangspunten en algemene regels geformuleerd worden over het delen van autodata tussen private partijen.
Alles bij de bron; Security
Een Duitse rechtbank heeft een Duitse website veroordeeld voor het zonder toestemming doorgeven van het ip-adres van een bezoeker aan Google door middel van Google Fonts.
Google biedt via Google Fonts allerlei fonts aan waar websites gebruik van kunnen maken. Er is een statische variant van Google Fonts, waarbij websites de betreffende fonts zelf hosten, en een dynamische versie, waarbij fonts vanaf Google-servers worden gedownload. Bij het bezoeken van een website zal bij de dynamische versie het ip-adres van de gebruiker naar Google worden gestuurd.
Een ip-adres is onder de GDPR persoonlijke identificeerbare informatie. Websites mogen dergelijke informatie niet zonder toestemming van bezoekers bijvoorbeeld doorgeven aan Google. De Duitse website in kwestie maakte gebruik van Google Fonts, zonder de toestemming van bezoekers te vragen.
Het Landgericht München stelt dat de website hiermee de Duitse implementatie van de GDPR heeft overtreden. Volgens de rechter heeft de website geen gerechtvaardigd belang, aangezien Google Fonts ook lokaal is te gebruiken waarbij er geen ip-adres van bezoekers naar Google wordt gestuurd.
Verschillende Duitse advocatenkantoren hebben op het vonnis gereageerd. Zo stelt advocatenkantoor Plutte dat de uitspraak geen gevolgen heeft voor websites die de dynamische versie van Google Fonts gebruiken, zolang ze maar via een correct functionerende banner om toestemming aan bezoekers vragen.
Alles bij de bron; Security
Google Analytics is mogelijk illegaal en websites doen er verstandig aan om alternatieven te verkennen, zo stelt de Noorse privacytoezichthouder Datatilsynet. De uitspraak van de Noorse gegevensbeschermingsautoriteit volgt op een uitspraak van de Oostenrijkse privacytoezichthouder die het gebruik van Googles statistiekenprogramma in strijd met de AVG verklaarde.
De uitspraak van de Oostenrijkse privacytoezichthouder volgde op een klacht van privacyorganisatie noyb. De organisatie, opgericht door privacyactivist Max Schrems, heeft bij privacytoezichthouders in heel de Europese Unie klachten over onder andere Google Analytics ingediend. Ook de Noorse toezichthouder ontving meerdere klachten over Google Analytics.
In het licht van de Schrems II-uitspraak van het Europese Hof van Justitie stelde de Oostenrijkse privacytoezichthouder dat de doorgifte van persoonlijke informatie via Google Analytics onrechtmatig was. Judin merkt op dat het niet per se verboden is om persoonlijke informatie naar de Verenigde Staten te sturen, maar dat er meestal wel maatregelen moeten worden genomen om dit legaal te laten zijn.
Hoewel dit specifieke geval betrekking had op Google Analytics, is het volgens de Noorse privacytoezichthouder belangrijk om op te merken dat andere websitetools ook persoonlijke informatie naar de Verenigde Staten kunnen sturen. Meer tools sturen veel meer data dan Google Analytics doet.
Eerder liet ook de Autoriteit Persoonsgegevens weten dat Google Analytics mogelijk verboden wordt in Nederland.
Alles bij de bron; Security
De Belgische Gegevensbeschermingsautoriteit heeft een boete opgelegd aan een stichting die onderzoek deed naar desinformatie.
De boete komt voor rekening van EU Disinfo, een ngo die onderzoek doet naar nepnieuws binnen Europa. De Gegevensbeschermingsautoriteit geeft de stichting een boete van 2700 euro voor het overtreden van de AVG. Ook krijgt een van de onderzoekers persoonlijk een boete van 1200 euro.
Disinfo deed onderzoek naar een Franse nieuwsgebeurtenis rondom een ambtenaar die in verschillende schandalen betrokken was. Disinfo verzamelde tweets om het nieuwsnarratief rondom de zaak-Benalla te onderzoeken. In totaal werden 55.000 Twitter-accounts geanalyseerd. Daarnaast werden ruwe gegevens over die accounts online gezet als onderdeel van het onderzoek.
De GBA concludeert dat dat in strijd is met de AVG, ook al gaat het om openbare tweets. "Het feit dat persoonsgegevens openbaar beschikbaar zijn op sociale netwerken betekent niet dat zij de bescherming van de AVG verliezen", schrijft de privacytoezichthouder. De stichting mocht de gegevens wel verzamelen zonder de betrokken personen achter de tweets in te lichten dat dat gebeurde.
De stichting had echter de gegevens niet zomaar mogen publiceren. De data was niet voldoende gepseudonimiseerd en er was geen rechtsgrond om de gegevens te publiceren. Naast het gebrek aan pseudonimisering, hekelt de GBA ook het feit dat er geen andere beveiligingsmaatregelen werden genomen, zoals toegangscontrole voor de bestanden.
Bij zeker 3300 van de geanalyseerde accounts was er sprake van extra gevoelige gegevens. Het ging om accounts waarvan de politieke voorkeur van de zenders mee waren te achterhalen. Ook was informatie over religieuze overtuigingen, etnische afkomst en seksuele geaardheid af te leiden uit de data.
De uitspraak is om twee redenen opvallend. Aan de ene kant omdat de GBA daarmee extra benadrukt dat ook openbare bronnen vallen onder de bescherming van de AVG, en aan de andere kant omdat een van de onderzoekers persoonlijk aansprakelijk wordt gesteld.
Alles bij de bron; Tweakers
Autoverzekeringen die veilig rijden belonen met lagere premies zijn zelden voordeliger dan traditionele polissen. Daarnaast dreigt dit soort verzekeringen tegen Europese privacyregels aan te lopen.
Bij een zogeheten rijgedragverzekering wordt je rijstijl continu in de gaten gehouden. Wie perfect volgens de regels rijdt en niet overdreven hard optrekt of remt, krijgt tot 35 procent korting op de startpremie van deze verzekering. Dat klinkt aantrekkelijk, maar de korting is vaak een sigaar uit eigen doos. De startpremie van een rijstijlverzekering ligt doorgaans namelijk fors hoger dan die van reguliere autoverzekeringen....
....De Consumentenbond wordt niet heel enthousiast van de Veilig Rijden polissen. ,,Je wordt continu in de gaten gehouden", zegt woordvoerder Gerard Spierenburg. ,,Dat betekent dat niet alleen je verzekeraar alles kan zien, maar ook de politie. Alle verzamelde data, zoals je snelheid en remgedrag, kunnen zo worden opgevraagd voor onderzoek na bijvoorbeeld een ongeval. Ook werken sommige systemen met het registreren van g-krachten. Nadeel daarvan is dat hard remmen of een snelle uitwijkmanoeuvre om een ongeluk te voorkomen, ook kan worden gezien als ‘fout rijgedrag’.
Het meten van het rijgedrag door verzekeraars dreigt bovendien in het nauw te worden gedreven door nieuwe Europese regels. Eerder dit jaar bepaalde de European Data Protection Board, die waakt over de digitale privacy van burgers, dat gegevens over het rijgedrag dezelfde bescherming verdienen als persoonlijke data.
De waakhond vindt het problematisch dat deze informatie bijvoorbeeld niet bij de bestuurder, maar bij de eigenaar van de auto terecht komt. In een aantal gevallen gaat het dan om bijvoorbeeld een leasebedrijf. Als gegevens over het rijgedrag inderdaad onder persoonlijke data komen te vallen, wordt het volgens de Europese verzekeraarskoepel Insurance Europe bijzonder lastig om die gegevens nog rechtmatig te gebruiken voor het bepalen van een premie. Dit zou het einde van de rijstijlpolis kunnen betekenen.
Volgens de Consumentenbond is er nog een riskante keerzijde aan dit soort verzekeringen, want bij langdurig onveilig rijgedrag kan de polis eenzijdig worden beëindigd, ook als er geen schade is veroorzaakt. ,,...Voor de ANWB is één keer 50 kilometer per uur te hard rijden bijvoorbeeld al genoeg om de verzekering binnen veertien dagen stop te zetten. Je kunt na zo’n opzegging bijna nergens meer terecht.”
Alles bij de bron; AD
Staatssecretaris Alexandra van Huffelen (Koninkrijksrelaties en Digitalisering) zal veel digitaal achterstallig onderhoud moeten plegen.
In Nederland, maar ook in de rest van de wereld zullen in 2022 de ogen gericht zijn op het reguleren van big tech. De hoop is gevestigd op de Digital Markets Act (DMA) en de Digital Services Act (DSA), de twee wetten die in december zijn goedgekeurd door het Europees Parlement.
De eerste heeft als doel de macht van de grote spelers in te perken en de concurrentie te bevorderen, zodat ook kleinere spelers een kans krijgen. De tweede moet een kader schetsen voor meer verantwoordelijkheid voor onlineplatforms rondom contentmoderatie en transparantie.
Deze wetten zijn in 2022 nog niet van kracht, en dus zal de uitwerking ervan nog weinig voelbaar zijn. De burger kan helaas nog niet achterover leunen. Sterker nog, hij kan zelf een stuk kritischer zijn op dit vlak, zeker als het gaat om het beheer van eigen data.
Het verbaast me al jaren hoe klakkeloos we persoonlijke data delen met externe partijen, zonder inzicht te krijgen in wat er vervolgens mee gebeurt. Worden onze data doorverkocht zonder ons medeweten? Het is naïef om te denken dat dit niet gebeurt. Als de verkopende of aankopende partij hier voordeel van heeft, waarom wordt de eigenaar hier dan niet voor beloond? Hoe houd je als burger zicht op alle data-onderdelen die worden doorverkocht? Een onmogelijke opgave.
De beste oplossing is uiteraard geen data-exploitatie.
Tot die tijd is het op een na beste scenario een deling in de winst, dus een commissie voor elk datapunt dat wordt verkocht. Denk aan de opzet van NFT’s, waarin met smart contracts het eigendom wordt vastgesteld op de blockchain.
Alles bij de bron: FD [registratie noodzakelijk]