Selecteer een pagina

Brandpunt+ legt bloot hoe de Telegraaf je mogelijk de hele dag illegaal volgt

Iedere morgen wordt er om half zes aan de deur gebeld. De krantenjongen levert persoonlijk De Telegraaf af. In ruil voor deze ongevraagde service vraagt hij je wel om te vertellen waar je de vorige dag bent geweest.

Klinkt absurd, toch?

Het gaat De Telegraaf helemaal niets aan waar jij bent geweest.

Er zou werkelijk niemand nog een abonnement nemen op de Wakkerste Krant Van Nederland als dat betekent dat je voortdurend je privégegevens moet delen.

Maar wat nou als je in ruil voor jouw privacy de krant gratis kunt lezen? Via een app. En je hoeft niet vroeg op te staan om lastige vragen van de krantenjongen te beantwoorden. De Telegraaf regelt het met de app zo dat je gewoon automatisch de hele dag gevolgd wordt.

Je krijgt als het ware je eigen real live soap. Big Telegraaf is watching you.

Zou je De Telegraaf dan wel toestemming geven?

Tienduizenden Nederlanders doen dat. Zij hebben allemaal de Telegraaf app op hun smartphone of tablet geinstalleerd. En daarmee de krant toegang gegeven tot hun privéleven.

Vele lezers weten niet dat de Telegraaf app nu voortdurend registreert waar ze zijn geweest.

Anderen maakt het niets uit. „Ik heb niets te verbergen“, zeggen ze. Denken ze.

Werkelijk?

Brandpunt+

Het televisieprogramma Brandpunt+ zocht uit wat de Telegraaf en dertig andere Nederlandse apps met onze privacygegevens doen. En wat de gevolgen daarvan zouden kunnen zijn.

Twee van de onderzochte apps bleken grote hoeveelheden locatiedata van hun gebruikers te bewaren: Telegraaf en ParkMobile.

Brandpunt+ legde de verzamelde gegevens voor aan een aantal deskundigen op het gebied van privacy en IT, waaronder Eelco Herder, universitair docent bij de Digital Security Group aan de Nijmeegse Radboud Universiteit.

4 keer per dag

De Telegraaf-app bleek van een van de onderzochte telefoons over de loop van ongeveer twee maanden 376 keer de locatie te hebben gecheckt en opgeslagen: meer dan vier keer per dag. 

ParkMobile sloeg elke maand gemiddeld tussen de 40 en 50 keer locaties op, zonder dat er één keer geparkeerd was. Of de app open stond of niet maakte niet uit.

Als je eenmaal toestemming hebt gegeven, geven beide apps ook in de achtergrond je locatie door. Doordat de apps dag in, dag uit, kijken waar je geweest bent ontstaat een fijnmazig beeld van wie je bent en wat je uitspookt.

Telegraaf weet wanneer je bij de dokter was

Zo worden onbedoeld privézaken geregistreerd, waaronder bijvoorbeeld een doktersbezoek en een off-the-record gesprek. 

Deskundigen: “TMG overtreedt mogelijk de wet”
Door zoveel gegevens op te slaan zoekt Telegraaf Media Groep (maker van de Telegraaf-app) de randen van de wet op. Mogelijk overschrijdt het die zelfs, aldus Herder.

Elke inbreuk op de privacy moet volgens de nieuwe Europese richtlijnen in verhouding staan tot het beoogde doel ervan. TMG slaat enorm veel data op en de privacyverklaring van het bedrijf is vaag over het waarom.

“Bij ParkMobile kan ik me nog voorstellen dat er een valide reden is voor het opslaan van deze gegevens”, zegt Herder tegen Brandpunt+. “Bij Telegraaf weet ik dat niet zo zeker. Voor het analyseren van leesgedrag of gepersonaliseerde advertenties heb je geen half jaar aan locatiedata nodig”

Andere deskundigen, waaronder TNO-onderzoeker Marc van Lieshout, sluiten ook niet uit dat TMG’s handelen illegaal is. “Locatiegegevens vormen een koppeling tussen de echte en de virtuele wereld en zijn daarom bijzonder gevoelig”, aldus Van Lieshout. “Ik zou de app in ieder geval niet op mijn telefoon willen hebben.” 

Zelf als het verzamelen van gegevens door TMG en ParkMobile wel binnen wettelijke kaders valt zijn er risico’s voor gebruikers. Zo wijst Herder erop dat de Belastingdienst in het verleden al parkeergegevens probeerde los te peuteren bij Q-Park om te controleren of leaserijders stiekem niet teveel privé reden. “Bij ParkMobile valt zo te zien nog veel meer te halen”, zegt Herder. 

AP moet onderzoek doen

Tweede Kamerlid Kees Verhoeven (D66) wil dat de Autoriteit Persoonsgegevens (AP) zich over de zaak buigt. “Je moet kunnen gaan en staan waar je wil, zonder gevolgd te worden. Niet voor niets zijn daar duidelijke regels over”, zeg Verhoeven. Dat locatiegegevens van gebruikers op deze wijze worden ingezet voor commerciële doeleinden vindt hij onacceptabel. “Daar moeten ze nu mee stoppen. De Autoriteit Persoonsgegevens moet direct onderzoek instellen want het is een probleem dat bij veel te veel apps speelt.”

5 AVG management argumenten om het gebruik van onrechtmatige tools te ontmoedigen

Whatsapp, LinkedIn, Evernote, Dropbox, Google Docs, Google Drive, OneDrive, Toodoo… Er zijn veel handige tools waarmee medewerkers efficient kunnen communiceren en bestanden kunnen opslaan, bewerken, plannen en delen. Maar ze zorgen vanwege de Algemene Verordening Gegevensbescherming (AVG) ook voor grote risico’s. Hoe ga je daarmee om?

PrivacyZone geeft vijf management argumenten waarmee organisaties die deze risico’s onder controle willen krijgen.

Het begint met nadenken over het faciliteren van enthousiaste ijverige medewerkers die efficienter en productiever willen werken.

Het probleem ligt meestal niet bij de medewerkers, maar bij starre ICT-managers die te weinig rekening houden met de behoeften van de werknemers. De ICT-afdeling van het bedrijf moet de belangen van de medewerkers zeer serieus nemen en zich meer richten op de behoeften van haar medewerkers.

Veel medewerkers zijn ontevreden over de digitale tools die ze van hun werkgever ter beschikking krijgen. Ze gebruiken daarom op eigen initiatief ongeautoriseerde apparatuur en apps en schenken daarbij geen aandacht aan regelgeving, beveiliging of compliance. Voor de werkgever is dat een groot probleem.

ICT-afdelingen stoorden zich altijd al aan medewerkers die de bedrijfsmatige ICT-omgeving proberen te omzeilen. Ze hebben geen controle op deze collega’s. Ze waarschuwden het management altijd al voor de mogelijke consequenties.

Tot de invoering van de AVG namen veel managers de kritische geluiden van de ICT-ers vaak voor kennisgeving aan. Mogelijk ook omdat ze zelf ook gebruik maken van deze handige tools. Sinds de AVG ligt dat anders. Het management is nu aansprakelijk geworden voor overtredingen van de privacywet.

Ongecontroleerde systemen stellen bedrijven voor juridische uitdagingen, niet in de laatste plaats omdat de naleving van de regelgeving inzake gegevensbescherming, auteursrechtelijke bescherming of bewaarplicht op geen enkele wijze wordt gegarandeerd.

Whatsapp verschaft zich bijvoorbeeld toegang tot alle contactadressen op een smartphone. Prive is dat juridisch geen probleem, zakelijk wel. De organisatie moet kunnen aantonen dat iedere contactpersoon vooraf toestemming heeft gegeven zijn contactgegevens met Whatsapp te delen.

Google Docs, Dropbox en OneDrive zijn handig om bestanden op te slaan en te delen. Maar wat nu als dit priveaccounts zijn waarin zakelijke documenten met veel persoonlijke gegevens worden opgeslagen? Dan is het bedrijf niet compliant. Er is geen controle meer.

Al die persoonlijke apps vormen ook een constante bedreiging voor de IT-beveiliging, omdat hackers via deze kanalen wellicht gemakkelijker toegang kunnen krijgen tot het zakelijke netwerk.

Veel persoonlijke smartphones en tablets die door werknemers worden gebruikt voldoen niet aan de ICT-protocollen van het bedrijf.

Hoe kun je zorgen voor een cultuuromslag binnen de organisatie? PrivacyZone heeft 5 argumenten:

1. De werknemers informeren

De onzorgvuldigheid van medewerkers in de omgang met smartphones en tablets is vaak te wijten aan kennisgebrek over de juridische risico’s die de werkgever loopt. Regelmatige Privacy Awareness trainingen en informatie kunnen dan helpen. Alleen wanneer medewerkers zich volledig bewust zijn van de risico’s die gepaard gaan met het gebruik van onbevoegde apps, kan van hen worden verwacht dat zij er meer zorg aan besteden.

2. Leren van werknemers

Bedrijven doen er verstandig aan alle apps die werknemers privé gebruiken eens grondig te inventariseren. Vraag waarom de medewerker deze tools zo graag gebruiken. De organisatie kan zo achterhalen hoe ze hun personeel nog beter kunnen faciliteren. Misschien kunnen sommige tools toegevoegd worden aan de lijst met officiele zakelijke tools. Misschien zijn er alternatieve applicaties die wel voldoen aan de AVG. Als de organisatie meedenkt met de medewerkers en zelf vergelijkbare bruikbare applicaties aanbiedt wordt het risico van wangedrag van werknemers verminderd.

3. Betrekken van afdelingen

Organisaties moeten ervoor zorgen dat IT- en bedrijfsafdelingen nauw samenwerken om zinvolle apps te leveren en tegelijkertijd aan de beveiligingsnormen te voldoen. Degenen die verantwoordelijk zijn voor IT en compliance moeten niet optreden als “remmers”, maar als constructieve business enablers.

4. Toegang tot de infrastructuur controleren

Bedrijven moeten precies definiëren welke apps welke interne resources of clouddiensten mogen gebruiken. Je moet bijvoorbeeld aangeven welke e-mail app toegang heeft tot de Exchange of Office365 server. Ongeautoriseerde apps mogen geen toegang krijgen.

5. Zorg voor de juiste apps

Bij het selecteren van goedgekeurde apps zijn veiligheid en compatibiliteit met stationaire IT belangrijk. Toch heeft gebruiksvriendelijkheid ook een hoge prioriteit. Alleen als gebruikers tevreden zijn met de apps en hun werk zonder problemen kunnen doen, gaan ze niet op zoek naar eigen apps.

Autoriteit Persoonsgegevens (AP) voert AVG steekproef uit bij 30 grote bedrijven

De Autoriteit Persoonsgegevens (AP) is gestart met een verkennend onderzoek bij 30 grote bedrijven in 10 sectoren naar de naleving van de nieuwe Europese privacywet.

De AP voert de steekproef uit bij industrie en metaal, waterleidingbedrijf , bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening , zakelijke dienstverlening en zorg. De organisaties zitten verspreid over heel Nederland.

Controle verwerkingsregister

De AP onderzoekt of deze bedrijven een verwerkingsregister bijhouden en of dit register de juiste informatie bevat.

De toezichthouder beschouwt een actueel verwerkingsregister als een belangrijke eerste stap waarmee een organisatie laat zien dat zij de privacyregels serieus neemt.

Sinds 25 mei 2018 geldt de nieuwe Europese privacywetgeving, de Algemene verordening gegevensbescherming (AVG). Onderdeel hiervan is dat organisaties in sommige situaties een register van verwerkingen moeten hebben.

Het register van verwerkingsactiviteiten bevat informatie over de persoonsgegevens die organisaties verwerken en het doel waarvoor zij de persoonsgegevens verwerken.

Verwerkingsregister grote bedrijven

Bedrijven zijn verplicht het verwerkingsregister te verstrekken als de AP hen daar om vraagt. Het register is verplicht voor alle organisaties met meer dan 250 medewerkers.

Kleinere organisaties

Kleinere organisaties moeten een register van verwerkingen hebben als zij voldoen aan minimaal één van de volgende criteria:

  • zij verwerken structureel gegevens, bijvoorbeeld gegevens over hun werknemers,
  • zij verwerken gegevens met een hoog risico voor de rechten en vrijheden van betrokken personen,
  • zij verwerken bijzondere persoonsgegevens, zoals gegevens over godsdienst of gezondheid.

Apple presenteert nieuwe GDPR-tools die extra controle over persoonsgegevens in apps, appstore en iPhone bieden

Apple heeft vier nieuwe tools gepresenteerd die gebruikers extra controle over hun persoonsgegevens bieden. Apple speelt daarmee in op de Europese privacywet GDPR / AVG.

Apple-gebruikers krijgen zodra ze hun iPhone-software updaten een nieuwe informatiepagina over dataprivacy te zien. Daarin wordt nu ook uitgelegd dat er een icoontje in beeld verschijnt, op het moment dat een Apple-functie persoonlijke informatie verzamelt.

Meer controle over persoonsgegevens

Het icoontje is alleen te zien bij Apple-apps die persoonsgegevens verzamelen. Bijvoorbeeld bij de Apple App Store of bij iTunes.

Bij apps die geen persoonsgegevens verzamelen is het icoontje niet te zien. Bijvoorbeeld bij Apple Maps en Siri.

De notificaties zijn de eerste van meerdere stappen die Apple neemt om gebruikers meer privacy-controle te geven. De komende tijd komen er volgens Apple nog meer GDPR-gerelateerde functies bij.

Vanaf mei zijn er op de Apple ID-website drie nieuwe opties te vinden. Gebruikers kunnen vanaf dan een kopie krijgen van alle gegevens die Apple over hen verzameld heeft. Ook is het mogelijk om een correctieverzoek in te dienen. En gebruikers kunnen, indien gewenst, Apple vragen om hun accounts te deactiveren of helemaal te verwijderen.