Nieuwsbrief week 38 2023

Moderne auto’s blijken privacy-nachtmerrie

Moderne auto’s vormen een ernstige inbreuk op de privacy, zo blijkt uit een recent onderzoek van Mozilla. Autofabrikanten verzamelen en delen veel meer gegevens dan nodig is, wat de privacy van autogebruikers in gevaar brengt.
Hoewel privacykwesties in veel sectoren spelen, spant de auto-industrie de kroon. Het resultaat van het onderzoek is dat geen enkel automerk de privacytest van Mozilla heeft doorstaan. Alle 25 onderzochte bedrijven verzamelen overmatig gegevens, kunnen niet garanderen dat deze veilig worden bewaard, en verkopen deze informatie vaak door aan derden.
De moderne auto wordt vaak gepresenteerd als een “computer op wielen”, maar automerken gaan verder dan het monitoren van je rijgedrag. Ze houden bijvoorbeeld bij welke apps je gebruikt op het infotainmentsysteem. Verontrustend is dat 92 procent van de fabrikanten geen controle geeft aan de gebruiker over deze gegevensverzameling. Slechts twee merken, Renault en Dacia, bieden de mogelijkheid om al je persoonlijke gegevens te verwijderen.
Bovendien verzamelen auto’s gegevens terwijl je gewoon in de auto zit, met bedrijven zoals Wejo die winst maken door 660 datapunten, waaronder hartslag en vermoeidheid, te meten en deze gegevens via API’s door te verkopen.
Tesla en Nissan behoren tot de slechtst presterende merken op het gebied van privacy. Tesla werd negatief beoordeeld op alle gemeten categorieën, waarbij hun onbetrouwbare AI-autopilotfunctie als uniek problematisch werd beschouwd. Nissan beweert zelfs gegevens zoals seksuele activiteit, gezondheidsdiagnoses en genetische informatie te kunnen gebruiken voor gerichte marketing.
Het gebrek aan transparantie en reactie van de meeste autofabrikanten op vragen van Mozilla schept een gevaarlijke situatie. Wat als er een datalek optreedt en gebruikers niet weten welke gevoelige informatie op straat ligt?
Het onderzoek concludeert dat toestemming een illusie is en dat de enige optie voor betrokkenen op dit moment lijkt te zijn om de petitie van Mozilla tegen deze praktijken te ondertekenen.

TikTok krijgt boete van 345 miljoen euro voor schenden privacy kinderen

Na een twee jaar durend onderzoek oordeelt de Ierse privacytoezichthouder DPC nu dat filmpjesapp TikTok niet heeft voldaan aan zijn verplichtingen met betrekking tot de verwerking van persoonsgegevens van kinderen. Het sociale mediaplatform krijgt daarom een administratieve boete van 345 miljoen euro. TikTok heeft nu drie maanden de tijd om de verwerking aan te passen.
Volgens de DPC heeft Tiktok de AVG geschonden door de accounts van minderjarige gebruikers standaard openbaar te maken. Dit betekent dat iedereen – met of zonder account – gepubliceerde content kan bekijken. Daarnaast konden volwassen gebruikers met de instelling “Family Pairing” hun account koppelen aan het account van een kind. Hierdoor konden ze directe berichten inschakelen voor gebruikers ouder dan 16 jaar. Volgens de DPC was er geen manier om te controleren of de volwassen gebruiker de ouder of wettelijke voogd van het kind was.
Verder slaagde TikTok er volgens de DPC niet in om kinderen voldoende transparantie-informatie te geven. Het platform implementeerde ‘dark patterns’ en probeerde gebruikers aan te sporen om meer privacy-intrusieve opties te kiezen – zowel tijdens de registratie als bij het plaatsen van video’s.
“We zijn het respectvol oneens met de beslissing, in het bijzonder met de hoogte van de opgelegde boete,” zei een woordvoerder van TikTok in een verklaring aan Ars Technica: “De kritiek van de DPC is gericht op functies en instellingen die drie jaar geleden al van kracht waren, en die we hebben aangepast lang voordat het onderzoek zelfs maar begon, zoals het standaard instellen van alle accounts onder de 16 jaar op privé.”

“Politie maakt onrechtmatig gebruik van webcrawlers”

Al enige tijd maakt de politie gebruik van ‘webcrawlers’ om advertentiewebsites voor sekswerk te analyseren, echter ontbreekt nog steeds een wettelijke basis voor het gebruik van dit middel. Het Parool schrijft dat dit ‘webcrawlen’ nog steeds niet wettelijk is geregeld en dus niet rechtmatig.
Door middel van webcrawlen haalt de politie geautomatiseerd seksadvertenties van het internet die indicatoren van mensenhandel vertonen.
In 2021 keurde de Tweede Kamer een motie goed van Mirjam Bikker (ChristenUnie) en Attje Kuiken (Partij van de Arbeid) waarin de regering werd aangespoord om ‘de brede invoering van de webcrawler om mensenhandel op te sporen, niet langer uit te stellen’. Hoewel de motie werd aangenomen, ontbreekt nog steeds een juridische basis. Het OM beweert dat de webcrawler volgens de algemene Politiewet kan worden ingezet zonder dat er een concrete verdenking tegen een verdachte bestaat, omdat de inbreuk op grondrechten beperkt zou zijn.
Vorig jaar diende een rechtszaak tegen een man uit Kampen die werd beschuldigd van het exploiteren van een zestienjarig meisje in de prostitutie. In deze zaak verzocht de officier van justitie de rechter om het materiaal dat via de webcrawler was verkregen te behandelen. De rechtbank oordeelde echter dat er geen wettelijke basis was om de rechtmatigheid van de inzet van de ‘webcrawler mensenhandel’ te beoordelen. Daarom besloot de rechter om de informatie die via de crawler was verzameld niet te gebruiken.
Ook in hoger beroep heeft het hof geen uitspraak gedaan over de rechtmatigheid van het gebruik van de webcrawler. Desondanks heeft de rechter wel bezorgdheid geuit. Het ‘vergaren, bewaren en analyseren van seksadvertenties’ via de crawler kan een aanzienlijke inbreuk vormen op de privacy van de personen die in de advertenties worden afgebeeld. Bovendien heeft het hof twijfels over de mate waarin de Politiewet een solide basis biedt voor de toepassing van deze technologie. “Als je zo’n opsporingsmiddel wilt, moet je daar een wettelijke basis voor regelen. Niet het gewoon maar gaan proberen en dan vragen of het mag”, zegt advocaat Peter Plasman, die de verdachte in deze zaak vertegenwoordigt.

Overheden bespioneren massaal Nederlandse gebruikers op X

Overheidsorganisaties bespioneren massaal Nederlandse gebruikers op het  sociale mediaplatform X. Bedrijven zoals OBI4WAN en Coosto verzamelen en verwerken berichten van bijna alle Nederlandse gebruikers op dit platform voor Nederlandse overheidsinstanties. Dat blijkt uit onderzoek van AG Connect, Binnenlands Bestuur en iBestuur. Vragen over welke berichten zijn bekeken en waarom deze informatie wordt verzameld, blijven onbeantwoord. De Autoriteit Persoonsgegevens eist transparantie van deze monitoringbedrijven.
Gemeenten en overheidsinstanties verzamelen al langer informatie van burgers, maar dit recente onderzoek onthult dat de praktijken grootschaliger zijn dan gedacht. OBI4WAN en Coosto verzamelen in opdracht van politieke instanties tweets van bijna alle Nederlanders en verkopen toegang tot deze berichten aan overheidsinstanties en zelfs financiële instellingen, zoals banken. Het doel en de aard van deze gegevensverzameling blijven echter geheim.
Hoewel OBI4WAN beweert dat hun dienst voornamelijk wordt gebruikt door gemeenten voor klantcontact en feedback, benadrukt de Autoriteit Persoonsgegevens dat sociale mediagebruikers geïnformeerd moeten worden als hun tweets worden verzameld, iets wat momenteel niet gebeurt. De toezichthouder eist openheid van zaken van de monitoringsbedrijven over welke gegevens ze verzamelen en waarom.
Er wordt verwacht dat op korte termijn maatregelen worden genomen om gebruikers de mogelijkheid te bieden inzageverzoeken in te dienen. Een privacyonderzoek naar het gebruik van sociale media door gemeenten en de omgang met persoonsgegevens wordt momenteel uitgevoerd, waarvan de resultaten na de zomer worden verwacht.

Zes techgiganten zijn volgens de EU te machtig

Kort na het ingaan van de Digital Services Act (DSA) heeft de EU de lijst van ‘gatekeepers’ onder de Digital Markets Act (DMA) bekendgemaakt. Precies 22 platformdiensten van zes Amerikaanse en Chinese bedrijven zullen vanaf maart 2024 aan strengere regels moeten voldoen, meldt Techcrunch. Net als bij de DSA hoeven alleen de grootste bedrijven aan de nieuwe regels te voldoen. De drempel om aangewezen te worden als gatekeeper is het hebben van meer dan 45 miljoen actieve gebruikers, een omzet van meer dan 7,5 miljard euro en een marktkapitalisatie van minstens 75 miljard euro.
De 6 tot gatekeeper benoemde techreuzen zijn Alphabet, Amazon, Apple, ByteDance, Meta en Microsoft. Zij zullen strengere regels moeten toepassen op een aantal van hun diensten, waaronder TikTok, Facebook, Instagram en Linkedin. Maar de DMA pakt niet alleen sociale mediaplatforms aan. De lijst van platformdiensten omvat ook Google Maps, Google Play, Google Shopping, Amazon Marketplace, de iOS App Store en de Meta Marketplace, de Chrome en Safari webbrowsers, Android-, Windows- en iOS-besturingssystemen, de berichtendiensten WhatsApp en Facebook Messenger, Google Search, YouTube en de advertentie-afleversystemen van Google, Amazon en Meta.
De belangrijkste bepalingen die de DMA toepast op de platformdiensten zijn een verbod op zelfverwijzing (of gatekeepers die zakelijke gebruikers verplichten om gebruik te maken van hun eigen diensten) en een verbod op gatekeeping app stores die de installatie van rivaliserende stores verhinderen. Gatekeepers kunnen zakelijke gebruikers ook niet verbieden om concurrerende diensten aan te bieden en te promoten en ze zijn verplicht om informatie die hun platformgebruik genereert met hen te delen. Er zijn ook vereisten voor gegevensportabiliteit en interoperabiliteit van diensten. Daarnaast is er een verbod voor gatekeepers om gebruikers te volgen en te profileren voor advertentietargeting, tenzij ze daarvoor toestemming hebben gekregen, en een verbod om gebruikers te beletten preloads van gatekeepers te verwijderen.
Bij niet-naleving kan de Europese Commissie boetes opleggen tot 10 procent van de wereldwijde omzet van een bedrijf. Bij herhaalde overtredingen kan de boete oplopen tot 20 procent.

Noord-Ierse politie deelt per ongeluk gegevens van alle medewerkers

De Police Service of Northern Ireland (PSNI) heeft zich verontschuldigd voor het per ongeluk onthullen van gegevens van al haar 10.000 personeelsleden. De politiebond van Noord-Ierland zegt dat het datalek “onberekenbare schade” kan veroorzaken.
De Noord-Ierse politie deelde per ongeluk een spreadsheet met persoonsgegevens van medewerkers. De spreadsheet bevatte onder meer de namen en werklocaties van de medewerkers. De politie deelde de spreadsheet als onderdeel van een ‘Freedom of Information’-verzoek. Daarmee kunnen burgers informatie van publieke instellingen opvragen, vergelijkbaar met Woo-verzoeken in Nederland. De details werden vervolgens online gepubliceerd, voordat ze werden verwijderd.
Chris Todd, hulpchef bij de PSNI, verontschuldigt zich tegenover Britse media en zei dat de fout ‘onacceptabel’ is. “We opereren op dit moment in een omgeving waarin er een ernstige terrorismedreiging voor onze collega’s speelt en dit is het laatste wat iemand in de organisatie wil horen”, vertelt hij daarbij. Noord-Ierse politieagenten zijn doelwitten geweest van republikeinen die Noord-Ierland willen herenigen met Ierland. Veel PSNI-medewerkers, vooral uit nationalistische gemeenschappen, houden hun werk geheim, in sommige gevallen zelfs voor familieleden. De recentste aanval op een agent vond plaats in februari, zegt de BBC.

TikTok bewaart gegevens voortaan in Europa

TikTok slaat de data van Europese gebruikers voortaan op in een nieuw datacenter in het Ierse Dublin. Het socialenetwerkbedrijf zegt daarmee aan de Europese privacyregels te voldoen.
De Europese regels schrijven voor dat bedrijven de data van Europeanen niet zomaar buiten Europa mogen opslaan. Dat mag alleen als de privacywetten in dat land minstens net zo streng zijn als bij ons. Voorheen bewaarde TikTok de data van Europese gebruikers in Singapore en de Verenigde Staten. Maar in die landen zijn de privacyregels minder streng. Daardoor bestaat de kans dat bijvoorbeeld overheden in de data van mensen kunnen rondsnuffelen.
In het nieuwe datacentrum hebben “alleen goedgekeurde medewerkers toegang tot beperkte soorten data”, schrijft TikTok. Naast het datacenter in Dublin laat TikTok ook datacenters in Noorwegen en op een andere plek in Ierland bouwen. Het Europese hoofdkantoor van TikTok is ook in Dublin gevestigd.

Delen: