Tag: privacy

AP onderzoekt privacy TikTok

De Autoriteit Persoonsgegevens (AP) start een onderzoek naar social media-app TikTok om na te gaan of de privacy van de populaire app in orde is. Met de opkomst van TikTok zijn nameljk ook de privacyzorgen rondom het gebruik ervan toegenomen.

Dagelijks delen miljoenen kinderen en jongeren over de hele wereld talloze creatieve filmpjes via deze social media-app. Sommige video’s bereiken miljoenen mensen wereldwijd. Voor velen is het tijdens deze coronacrisis de manier om contact te houden met vrienden en vriendinnen en zo toch samen de tijd door te komen. Ook in Nederland hebben veel kinderen TikTok op hun telefoon staan.

Kwetsbare groep

Kinderen worden in het Nederlandse recht en in de Algemene verordening gegevensbescherming (AVG) beschouwd als extra kwetsbare groep omdat zij zich minder bewust zijn van de gevolgen van hun handelen, juist ook bij de verwerking van hun persoonsgegevens door sociale media.

Persoonlijke informatie verzamelen

"We zien dat ontzettend veel Nederlandse kinderen met veel plezier gebruik maken van TikTok. We doen onderzoek naar de vraag of deze app privacyvriendelijk is ontworpen en ingericht", zegt vicevoorzitter Monique Verdier van de AP. "Daarnaast kijken we of de informatie die kinderen van TikTok krijgen bij het installeren en gebruiken van de app goed te begrijpen is en of er voldoende uitleg is over hoe TikTok hun persoonsgegevens verzamelt, verwerkt en verder gebruikt. Tot slot onderzoeken we of toestemming van ouders vereist is wanneer TikTok persoonsgegevens van kinderen verzamelt, opslaat en verder gebruikt."

De AP verwacht later dit jaar met de eerste resultaten van dit onderzoek naar buiten te kunnen komen.

Autoriteit Persoonsgegevens: ‘Zorgen om dataverzameling thuisonderwijs’

Veel ouders, docenten, leerlingen en studenten zijn bezorgd over het verzamelen van persoonsgegevens bij digitaal thuisonderwijs in de huidige coronacrisis. Zo vragen zij zich af of de conferencingsystemen van scholen wel veilig zijn, of gegevens niet in verkeerde handen kunnen vallen en wat er precies met al die gegevens gebeurt, schrijft de Autoriteit Persoonsgegevens (AP).

De AP meldt dit naar aanleiding van de grote hoeveelheid signalen die de toezichthouder ontvangt en gaat daarom bij onderwijsinstellingen na of zij de privacy wel goed op orde hebben. Nederland heeft ongeveer 2 miljoen leerlingen en studenten. Een groot deel van hen krijgt op dit moment thuis les via beeldbellen. Of maakt thuis tentamens of toetsen onder toezicht van een webcam. Onderwijsinstellingen hebben hiervoor onder grote druk technische maatregelen moeten nemen zodat leerlingen en studenten ook tijdens de coronacrisis onderwijs krijgen.

Gegevens

De Autoriteit Persoonsgegevens stelt dat er veel informatie te halen is uit de beelden die bij videobellen en proctoring (digitaal surveilleren) worden verzonden naar onderwijsinstellingen of medestudenten. Allereerst over hoe leerlingen of studenten presteren, hoe zij zich gedragen en hoe het is gesteld met hun concentratie. Maar bijvoorbeeld ook over religieuze uitingen of wat gezinsleden doen die in de achtergrond zichtbaar zijn. In tegenstelling tot in de normale lespraktijk, kunnen deze observaties nu makkelijk worden opgeslagen en verspreid.

Proctoring

Sommige onderwijsinstellingen maken gebruik van proctoring. Hierbij monitoren zij online leerlingen of studenten tijdens een toets of tentamen. De leerlingen of studenten moeten bijvoorbeeld foto’s maken van de ruimte waar zij zijn. Verder kijkt de onderwijsinstelling mee op hun scherm, registreert deze toetsaanslagen en houdt deze via een of meerdere webcams hun gedrag in de gaten. Soms moet een leerling of student hier aparte software voor installeren. Met een dergelijk systeem kan veel en gevoelige informatie worden verzameld en verwerkt. Daarom moeten onderwijsinstellingen zich afvragen of al deze gegevens daadwerkelijk noodzakelijk zijn, vindt de Autoriteit Persoonsgegevens. En of er andere manieren zijn om examenfraude te bestrijden, die minder impact hebben op leerlingen en studenten.

Onderwijsinstelling verantwoordelijk

Als onderwijsinstellingen beeldbellen en/of proctoring gebruiken, zijn zij verantwoordelijk zijn voor de verwerking van persoonsgegevens. Dat bepaalt de privacywetgeving. Daarom moeten onderwijsinstellingen hoge eisen stellen aan de leveranciers van deze systemen. Het systeem mag niet meer gegevens  verwerken dan noodzakelijk en deze gegevens mogen niet langer worden bewaard dan noodzakelijk. Verder moeten onderwijsinstellingen hun leerlingen, studenten, docenten en de ouders van minderjarige kinderen informeren over hoe hun persoonsgegevens worden beschermd.

De AP heeft dit aangegeven richting de onderwijskoepels. Daarnaast gaat de AP bij onderwijsinstellingen na of zij voldoende werk maken van het beschermen van de privacy van hun leerlingen of studenten. Zij moeten aantonen hoe zij dit doen. Daarna bekijkt de AP of vervolgstappen nodig zijn.

‘Geen ondergeschoven kind’

Bestuurslid Katja Mur van de AP stelt dat alle leerlingen zonder stempel moeten kunnen opgroeien. “Hun privacy is van groot belang en wordt extra beschermd in de privacywetgeving. Onveilige oplossingen kunnen risico’s opleveren voor de toekomst van leerlingen”, aldus Mur. “Deze dataverwerking mag geen ondergeschoven kind van de coronacrisis worden. Wij wijzen onderwijsinstellingen er daarom op zorgvuldige keuzes te maken en ondersteunen hen hierin met een aantal tips.”

Autoriteit Persoonsgegevens adresseert privacy connected cars

Moderne auto’s, maar ook motoren, scooters en fietsen, zijn vaak ‘connected’: het zijn rijdende computers, verbonden met het internet. Ze verzamelen daarbij vaak persoonsgegevens, zoals locatiegegevens en gegevens over de rijstijl. De Autoriteit Persoonsgegevens (AP) geeft tips over het beschermen van de privacy bij connected cars.

De tips van de AP staan in de handleiding ‘Connected car? Bescherm uw privacy! en tips helpen mensen om hun persoonsgegevens te beschermen bij de kopen, huren, gebruiken en verkopen van connected voertuigen.

Risico’s connected cars

Een voertuig weet veel over zijn inzittenden. En daarmee ook de autofabrikant en mogelijk andere partijen waarmee een autofabrikant die gegevens deelt, zoals de leasemaatschappij. Dit kan gaan om zeer gevoelige informatie. Uit locatiegegevens is bijvoorbeeld af te leiden hoe vaak iemand naar de dokter gaat, de sportschool bezoekt of juist een snackbar en hoe laat iemand thuiskomt van werk. Maar ook of iemand naar een verslavingskliniek rijdt, een familielid bezoekt in de gevangenis of de auto elke week parkeert bij een kerk, moskee of synagoge.

Een slechte beveiliging van die persoonsgegevens of het doorverkopen daarvan zijn risico’s waar mensen rekening mee moeten houden. Dit doorverkopen kan voor sommige organisaties waardevol zijn omdat ze hiermee een gedetailleerd profiel over iemand kunnen maken. Daarmee kunnen zij personen bijvoorbeeld gericht benaderen. Dat kan handig lijken. Maar het kan er bijvoorbeeld ook toe leiden dat er reclames over iemands medische aandoening verschijnen terwijl diegene net met vrienden tv kijkt.

Tips en rechten

In de handleiding staat onder meer waar je op moet letten voordat je een connected voertuig koopt. Een autofabrikant, importeur of dealer is bijvoorbeeld verplicht om kopers te informeren over welke gegevens het voertuig verzamelt en opslaat. Ook biedt de handleiding een overzicht met tips en informatie over je rechten wanneer je het voertuig in gebruik neemt of weer verkoopt. Zoals de tip om alle data uit de auto te verwijderen bij verkoop om te voorkomen dat de nieuwe eigenaar toegang krijgt tot de data van de vorige.

Klachten

Autogebruikers met vragen over de persoonsgegevens die hun voertuig verzamelt, nemen eerst contact op met de fabrikant, dealer, leasemaatschappij of andere partijen betrokken bij koop, lease of huur van een auto. Bijvoorbeeld wanneer zij de over hun verzamelde gegevens willen inzien of laten verwijderen. Wanneer de betrokken partij een verzoek niet naar tevredenheid afhandelt, kan de autogebruiker een klacht of tip indienen bij de AP.

Onderzoek: veel onbekendheid over AVG-wet bij bedrijven

Er is nog veel onbekendheid op het gebied van de nieuwe AVG-wet. Dat blijkt uit onderzoek van Conclusr onder meer dan 350 bedrijven en instellingen in Nederland. Tijdens het onderzoek werd gesproken met IT- en algemeen management.

Op de vraag in hoeverre men bekend is met de AVG, geeft 17% van de respondenten aan ‘goed’ met de AVG bekend te zijn en 23% zegt er ‘meer over gehoord of gelezen te hebben’. Maar voor het overgrote deel van de bedrijven en instellingen geldt dit niet. Zo zegt maar liefst 33% nog nooit van de AVG gehoord te hebben. En nog eens 27% zegt er wel van gehoord te hebben, maar kan niet aangeven wat het is of waar het over gaat. Dat betekent dat in totaal 60% van alle bedrijven en instellingen dus niet bekend is met de AVG.

Tevens is gevraagd in hoeverre de respondent persoonlijk op de hoogte is van het feit dat per 25 mei aanstaande de AVG van toepassing is. Opnieuw zegt 35% hiervan ‘totaal niet op de hoogte te zijn’. Slechts 5% zegt dat de organisatie al volledig aan de nieuwe wetgeving voldoet en 14% is ermee bezig. Het overige deel, 45%, is er in meer of mindere mate van op de hoogte maar in ieder geval niet bezig met voorbereidingen om te kunnen voldoen aan de wetgeving.

Aan de respondenten die aangeven zelf goed op de hoogte te zijn van de AVG, is gevraagd welke stelling zij het beste bij het management van hun bedrijf vinden passen.

Uitkomsten:  

  • 3% geeft aan dat het management nauwelijks op de hoogte is van deze nieuwe wetgeving
  • 9% zegt dat de IT verantwoordelijken binnen hun organisatie aan het management een toelichting hebben gegeven op de nieuwe wetgeving, maar dat het management niet of nauwelijks iets met de informatie doet.
  • 47% zegt dat de IT verantwoordelijken binnen hun organisatie aan het management een toelichting hebben gegeven op deze nieuwe wetgeving en het management heeft dit als relevant onderwerp in haar beleid opgenomen.
  • 41% zegt dat het management op eigen initiatief aan de organisatie gevraagd heeft om maatregelen te treffen of voorstellen te doen om aan deze privacy regelgeving te kunnen voldoen.

Elke organisatie die persoonsgegevens verwerkt valt onder de werking van de AVG. Dat betekent dus dat het overgrote deel van alle bedrijven en instellingen aan de wetgeving moet voldoen. Daarom is in het onderzoek gevraagd of de organisaties denken of ook zij aan de nieuwe Europese wetgeving moeten voldoen. Hierop zegt maar liefst 35% van alle organisaties die hebben meegedaan aan dit onderzoek dat de AVG voor hen niet van toepassing is. Met name de bedrijven tot 50 werknemers zijn hiervan overtuigd. 22% denkt dat de AVG ‘gedeeltelijk’ van toepassing is en 43% denk dat naleving van de AVG ‘volledig van toepassing is op de eigen organisatie’.

Kritiek op de overheid
Voor de bedrijven waarmee gesproken is in het kader van dit onderzoek vindt 49% dat de overheid hen totaal onvoldoende heeft geïnformeerd over de AVG en de gevolgen hiervan voor bedrijven en instellingen. Nog eens 37% zegt dat er slechts in beperkte mate geïnformeerd is door de overheid. 15% is van mening dat zij in voldoende mate door de overheid op de hoogte zijn gebracht.

Meerderheid IT-managers en directeuren positief over de AVG

Afgelopen maand ging de uitvoeringswet over gegevensbescherming naar de Tweede Kamer. Microsoft deed onderzoek onder ruim 600 Nederlandse directeuren en IT-managers. Hoe ervaren zij de AVG en waar lopen ze tegenaan op het gebied van compliancy?

13 december ging de uitvoeringswet over gegevensbescherming naar de Tweede Kamer. Deze wet geeft uitvoering aan de Europese Algemene Verordening Gegevensbescherming (AVG), ook bekend als de General Data Protection Regulation (GDPR) die op 25 mei 2018 in werking treedt. In opdracht van Microsoft deed onderzoeksbureau Team Vier onderzoek onder ruim 600 Nederlandse directeuren en IT-managers. Uit het onderzoek blijkt dat IT-managers over het algemeen beter bekend zijn met de AVG dan directeuren en er regelmatiger over praten. Alle respondenten zijn weliswaar bekend met deze nieuwe regelgeving, maar niet iedereen weet precies of deze op hun organisatie van toepassing is. De IT-managers (84%) zijn zich hier meer van bewust dan de directeuren (72%). Van de IT-managers is overigens 68% positief over de AVG tegenover 57% van de directeuren. Duidelijkheid rond richtlijnen, meer transparantie en verbeterde bescherming van persoonsgegevens zijn de hiervoor aangedragen redenen. Toch bleek het risico op boetes niet nadrukkelijk bekend bij medewerkers en een kleine minderheid (6%) gaf aan dat de organisatie nu al aan de AVG-eisen voldoet. Volgens de IT-managers grijpt slechts 51% van de organisaties naleving aan om te innoveren door processen te verbeteren. Volgens directeuren gebeurt dat in hun organisatie in 43% van de gevallen.

Martin Vliem, National Security Officer bij Microsoft: “Het is opmerkelijk maar niet verrassend te noemen dat het de IT-managers zijn die het meest betrokken zijn. Opmerkelijk omdat de kern van de AVG, zorgvuldige verwerking en bescherming van persoonsgegevens, niet altijd voortkomt uit IT-gerelateerde overwegingen. Het verwerken van persoonsgegevens is een keuze gemaakt door het management, bijvoorbeeld vanwege marketing-gedreven doelen. Daarmee is naleving een verantwoordelijkheid van de gehele organisatie.” Volgens Vliem is het niet verrassend dat vooral IT meer betrokken lijkt te zijn bij naleving van de AVG: “In discussies rond de nieuwe wetgeving merk ik vooral IT-verantwoordelijken op, terwijl het juist ook aan de bestuurstafel zou moeten worden besproken. De nieuwe wetgeving vraagt vooral om bewustwording en het aanpassen van hoe de organisatie nadenkt over het verzamelen, verwerken, beheren en beveiligen van persoonsgegevens. In de praktijk betekent dit een organisatiebrede cultuurverandering en nieuwe manieren van werken die ondersteund kunnen worden door modernisering van de IT-omgeving.”

Bewaren van zoekgegevens: Google moet duidelijker zijn

Bewaren van gegevens

Bewaren van zoekgegevens

Google heeft ten onrechte de suggestie gewekt dat gebruikers het bewaren van zoekgegevens kunnen uitschakelen. Tot die conclusie kwam het College van Beroep van de Reclame Code Commissie, naar aanleiding van een zaak die advocaat Otto Volgenant had aangespannen. Volgenant ergerde zich aan beloftes die Google doet omtrent privacy en die vervolgens niet worden waargemaakt.

Bewaren van zoekgegevens

De aanleiding voor de zaak was een advertentie eerder dit jaar, waarin Google aangeeft: "Uw gegevens, u beslist". De advertentie liet een geactiveerde schuifknop zien met de tekst "Onthoud wat ik zoek op internet". Op de volgende afbeelding stond de schuifknop uit, met daarbij de tekst "Dat heb ik nu uitgezet". Naar nu blijkt, verzamelt Google bij de tweede instelling nog steeds gebruikersgegevens, alleen worden de zoekopdrachten niet meer gekoppeld aan het gebruikersaccount. Zodoende worden eerdere zoekopdrachten niet meer gebruikt om sneller betere resultaten te tonen. Maar er wordt nog steeds informatie verzameld om "statistische trends te onderzoeken, tikfouten te voorkomen en diensten te optimaliseren".

Reclamecode

De zaak werd in hoger beroep beoordeeld door het College van Beroep van de Reclame Code Commissie. De conclusie is dat de advertentie van Google niet duidelijk is en daarmee in strijd met de reclamecode. Als gevolg daarvan zullen media de advertentie niet langer plaatsen. Mark Jansen, woordvoerder van Google Nederland, geeft als reactie op de uitspraak aan: "Deze advertentie was onderdeel van een grotere campagne om meer bekendheid te verkrijgen voor de privacy-instellingen die we bieden. We denken dat het waardevol is om consumenten te wijzen op de verschillende opties die voor hen beschikbaar zijn. We hebben zojuist de uitspraak van de Reclame Code Commissie ontvangen en zullen hun feedback zorgvuldig bestuderen."

Bits of Freedom

Directeur Hans de Zwart van Bits of Freedom meent dat Google een terechte vingertik heeft gekregen. "Ze hebben argeloze lezers het idee geven dat ze zelf konden kiezen. Dat is gewoon nonsens. Google moet niet via advertenties doen alsof ze privacy belangrijk vinden, want privacy is niet te verenigen met hoe ze hun geld verdienen." Hoewel de Zwart blij is met de uitspraak, waarschuwt hij dat het niet alleen om het bewaren van zoekgegevens gaat: "Ook via mail, agenda's en locatiebepalingen verzamelt Google veel gegevens. Ze houden bij waar internetters zijn geweest, en komen - linksom of rechtsom - toch wel aan data. Ook zonder die zoekterm."

Veiliger wifi-netwerk door Nederlandse PPSK-Kiosk

PPSK Kiosk

Een veilige wifi-verbinding bieden aan je bezoekers en gasten? Iedereen het wachtwoord verstrekken is geen goed idee. Het Nederlandse bedrijf Cloud Carrier heeft hiervoor de oplossing bedacht: PPSK Kiosk. Dit is een iPad-zuil die voor alle gasten een uniek wachtwoord genereert dat slechts eenmalig gebruikt kan worden.

PPSK Kiosk

Wifi-netwerken: privacy en hacking

Inloggen op een wifi-netwerk in bijvoorbeeld een kantoorpand, hotel of congrescentrum is iets wat veel Nederlanders doen. En velen wanen zich dan ook veilig – zeker als het gastnetwerk ook nog eens is afgeschermd met een wachtwoord. Dus wordt er online volop gebankierd, geshopt en gefacebookt. Voor hackers die inloggen met hetzelfde gasten-wachtwoord, is het betrekkelijk eenvoudig om al dit verkeer te onderscheppen.

PPSK-kiosk: wachtwoord-generator voor wifi-gasten

Met de PPSK-app van Cloud Carrier wordt internetten voor gasten en bezoekers weer een stuk veiliger. Want deze ‘Personal Private Security Key’-app zorgt ervoor dat iedereen een eigen wachtwoord toegekend krijgt en profiteert van echt afgeschermde wifi. Het bedrijf biedt een compleet pakket aan waarbij bezoekers via een iPad-zuil zelf een uniek wachtwoord opvragen door op een rode knop te tikken. De app is ook los te koop. Voor kleine ondernemers is de oplossing wellicht nog te prijzig: de app alleen kost al honderden euro’s en het werkt niet met alle wifi-routers.

In de video hieronder wordt uitgelegd wat de gevaren zijn van een gastnetwerk en hoe PPSK-Kiosk de problemen oplost:

Internetgebruikers zien geen gevaar

Het stimuleren van gratis wifi heeft als voordeel van dat de netwerken van providers ontlast kunnen worden, maar dan moet het wel goed en veilig gebeuren. Nederlanders zijn op dit moment zo’n beetje kampioen onveilig wifi-gebruik. Onlangs bleek uit cijfers van het CBS dat de helft van de Nederlanders zonder al te veel scrupules gebruikmaakt van openbare wifi-netwerken. Dat wil zeggen dat er niet eens hoeft te worden ingelogd met wachtwoord en gebruikersnaam.

Nieuw ‘data-verdrag’ tussen Europese Unie en VS

European_UnionVertegenwoordigers van de Europese Commissie en de Amerikaanse overheid zijn in Brussel tot een nieuw ‘data-akkoord’ gekomen. Hiermee lijkt een einde te zijn gekomen aan de onzekerheid over de vrije doorgang van elektronische informatie tussen de lidstaten van de Europese Unie en de Verenigde Staten. Het nieuwe akkoord, dat nog wel op politiek niveau moet worden goedgekeurd, is de beoogde opvolger van een soortgelijk verdrag: de in 2015 door het Europese Hof nietig verklaarde ‘Safe Harbour’-overeenkomst.

ACM lanceert apps-campagne

Logo_ACMDe Autoriteit Consument & Markt (ACM) is gestart met een voorlichtingsoffensief om gebruikers van smartphones en tablet computers tot nadenken te stemmen over de gebruiksvoorwaarden van apps voor hun mobiele apparaten. De campagne ‘Elke app heeft een prijs’ moet hen waarschuwen voor software die, conform een gebruikersovereenkomst, allerhande gegevens verzamelt over het bewuste apparaat en diens eigenaar. Veelal gaat het daarbij om ‘gratis’ apps.

Themabijeenkomst Digitale identiteit vs privacy

BTG-Logo-Los-WEB-twitter'Digitale identiteit versus privacy', dat was het thema dat donderdag 1 oktober jongstleden centraal stond bij een themabijeenkomst in Amersfoort. Drie sprekers waren uitgenodigd en hebben ons meegenomen in hun verhaal. Een korte terugblik op deze middag.