Privacy Nieuws
De Duitse regering heeft dinsdag toegegeven dat haar federale politiedienst gebruik heeft gemaakt van controversiële Israëlische spyware, bekend als Pegasus. Dat vertelden parlementaire bronnen aan persbureau AFP.
De Duitse federale politie BKA kocht de software eind 2019 van de Israëlische NSO Group, zo hoorde een parlementaire commissie achter gesloten deuren van regeringsfunctionarissen.
De bekentenis, aan AFP verteld door bronnen op de bijeenkomst, bevestigde eerdere berichten in de Duitse media als Zeit, Sueddeutsche Zeitung en de regionale omroepen NDR en WDR.
Pegasus, dat de camera of microfoon van een telefoon kan inschakelen en de gegevens kan oogsten, kwam wereldwijd onder de loep te liggen nadat in juli een lijst van ongeveer 50.000 potentiële doelwitten voor toezicht – waaronder journalisten, activisten en politici – was uitgelekt.
De Franse president Emmanuel Macron heeft zijn telefoon veranderd nadat zijn nummer verscheen op een lijst van potentiële doelwitten.
De Duitse parlementaire bronnen zeiden dat het BKA, dat onder het ministerie van Binnenlandse Zaken valt, de Pegasus-software “in een klein aantal gevallen” heeft gebruikt.
Het blijft onduidelijk of Duitse inlichtingendiensten de software ook hebben gebruikt.
De strenge Duitse privacywetgeving staat het verzamelen van gegevens slechts onder zeer specifieke voorwaarden toe, hetgeen het BKA ertoe heeft gebracht een versie van de software aan te schaffen waarin sommige spionagefuncties waren uitgeschakeld, zo hoorde de commissie.
Het is niet bekend welke waarborgen er eventueel waren om ervoor te zorgen dat die opties ongebruikt bleven.
Wetgever Konstantin von Notz van de Groenen noemde de Pegasus-aankoop “een nachtmerrie voor de rechtsstaat” en eiste “een volledige verklaring” van de regering van bondskanselier Angela Merkel.
Amnesty International riep op tot “dringende regels voor overheidsopdrachten die overheidsinstanties verplichten bij hun aankopen ook de mensenrechtendossiers van bedrijven in aanmerking te nemen”.
“Wij willen weten of journalisten zonder hun medeweten zijn bespioneerd en of hun bronnen nog veilig zijn,” voegde Frank Ueberall, voorzitter van de Duitse Federatie van Journalisten (DJV), daaraan toe.
Op de lijst van vermeende doelwitten van Pegasus staan ten minste 600 politici, 180 journalisten, 85 mensenrechtenactivisten en 65 bedrijfsleiders.
Het NSO heeft volgehouden dat zijn software alleen bedoeld was voor gebruik bij de bestrijding van terrorisme en andere misdrijven.
Privacy Nieuws
Duitsland beschuldigt Rusland van inmenging bij de Duitse Bondsdagverkiezingen, schrijft AP maandag. Een hackergroep zou “cyberaanvallen en misinformatie- en beïnvloedingscampagnes” hebben uitgevoerd in opdracht van de Russische regering, zegt het Duitse ministerie van Buitenlandse Zaken.
Volgens woordvoerder Andrea Sasse zijn er de afgelopen maanden meerdere pogingen gedaan om de persoonlijke inloggegevens van onder anderen deelstaatpolitici en landelijke politici te stelen.
De hackergroep Ghostwriter zou dit onder meer hebben geprobeerd via phishingmails. De groep zou volgens Sasse uit zijn op identiteitsdiefstal.
“Deze aanvallen zouden kunnen dienen als voorbereidingen op nepnieuwscampagnes over de Bondsdagverkiezingen”, zegt de woordvoerder tegen AP.
“De Duitse regering beschikt over betrouwbare informatie dat de acties van Ghostwriter toegeschreven kunnen worden aan actoren van de Russische staat en, in het bijzonder, de Russische militaire inlichtingendienst GRU.”
Het Duitse ministerie van Buitenlandse Zaken eist dat het Kremlin de cyberaanvallen onmiddellijk staakt.
Sasse wil geen commentaar geven op de omvang van de aanvallen of de mogelijke schade.
Ze laat alleen weten dat de aanvallen “volstrekt onaanvaardbaar zijn en dat de Duitse regering erop is voorbereid om verdere maatregelen te nemen”.
De Russische overheid heeft nog niet op de beschuldigingen gereageerd.
Op 26 september gaat Duitsland naar de stembus om een nieuw parlement en een opvolger van bondskanselier Angela Merkel te kiezen.
Privacy Nieuws
Big Brother Elon Musk is watching you! Automobilisten die trots in een Tesla rijden worden voortdurend gemonitord. Alle data die door de geavanceerde software, sensoren en camera’s van hun elektrische auto worden verzameld blijken desgevraagd ook door de fabrikant aan justitie te worden verstrekt.
Dat blijkt uit een recent praktijkvoorbeeld in Berlijn, waar de bestuurder van een Tesla door de rechter werd veroordeeld op basis van data die Tesla aan justitie had verstrekt. De Duitse publieke omroep ZDF dook in deze rechtzaak.
Volgens officier van justitie Andreas Winkelmann zou zonder de rijgegevens die Tesla verstrekte het onderzoek naar het misdrijf “niet zo diepgaand mogelijk zijn geweest”.
De Tesla-rijder was met 160 km/u door Berlijn gereden, had een verkeerslicht geramd en probeerde vervolgens een vluchtmisdrijf te plegen.
Uiteindelijk werd de chauffeur veroordeeld, moest hij een hoge boete betalen en een jaar lang zijn rijbewijs inleveren.
Gelet op de ernst van de overtreding ben je enerzijds geneigd om tevreden te zijn met de veroordeling. Tegelijkertijd is het echter goed om te beseffen hoeveel data Tesla en andere autofabrikanten inmiddels over ons gedrag verzamelen. En hoe groot de impact op ons persoonlijke leven kan zijn als deze data in ‘verkeerde’ handen terecht komt.
Moderne auto’s zijn eigenlijk rollende computers. Overal in de voertuigen zijn sensoren en camera’s geïnstalleerd om allerlei gegevens te verzamelen. Dankzij deze systemen worden auto’s steeds slimmer, veiliger en zuiniger. En dankzij deze techniek wordt het ook mogelijk om handsfree te rijden op de automatische piloot.
Maar deze innovatie technische ontwikkelingen hebben ook een keerzijde, leert het praktijkvoorbeeld in Berlijn. We verliezen de controle over onze persoonlijke levenssfeer.
Wat gebeurt er met de gegevens die de moderne auto’s verzamelen? Aan wie worden deze gegevens verstrekt? Hoe zit dat met de privacywetgeving? Wat kan en mag justitie eigenlijk allemaal opvragen? Wie is eigenaar van deze gegevens? Mag of moet een autofabrikant als Tesla deze gegevens zo maar aan justitie verstrekken?
Tesla zegt dat “opnames gemaakt door de dashcam en sentinel mode (…) onder geen enkele omstandigheid worden doorgegeven aan Tesla”. Daarmee wordt gesuggereerd dat de gegevens dus worden opgeslagen in de auto en je zou kunnen veronderstellen dat de eigenaar van de auto dan alle zeggenschap heeft.
Er schuilt echter een addertje onder het gras. Iedere 30-seconden wordt automatisch data opgeslagen in het geval van veiligheidskritische gebeurtenissen. Tesla kan deze gegevens inzien en gebruiken om de software en systemen te analyseren en te verbeteren.
De gegevens worden geacht te worden geanonimiseerd, maar ook hier zijn er een aantal uitzonderingen. Dit verklaart ook waarom de Berlijnse onderzoekers de relevante ongevalvideo’s en rijgegevens van Tesla konden bemachtigen.
Het voertuig registreerde een hoop gegevens: Niet alleen kan worden nagegaan hoe de bestuurder en de passagier in de auto zaten of wanneer zij de portieren openden, maar ook de stand van het gaspedaal en de versnelling op het moment van de botsing.
Het Duitse voorbeeld staat niet op zich. In de VS hebben de autoriteiten ook al toegang tot uitgebreide gegevens van Teslas om een ongeval te reconstrueren. Het verkrijgen van videobeelden is ook geen probleem. Video’s worden automatisch doorgestuurd naar Tesla via mobiele radio zonder de bestuurder te informeren.
Privacy Nieuws
De Duitse bondskanselier Angela Merkel heeft in de Bondsdag gezegd “hard bewijs” te hebben dat ze het doelwit van Russische hackers was. Dat meldt Britse krant The Independent.
Merkel zei dat ze zal blijven proberen de banden met Rusland aan te halen, maar dat de hack van haar mailbox door Russische cyberspionnen dat niet makkelijker maakt. “Ik neem dit heel serieus. Het doet me pijn dat dit gebeurt terwijl ik dagelijks probeer de betrekkingen met Rusland te verbeteren.”
Het Duitse weekblad Der Spiegel meldde eerder al dat Russische hackers bij een aanval in 2015 twee e-mailboxen van de Duitse bondskanselier hebben gekopieerd. Vermoed wordt dat de cybercriminelen alle e-mailverkeer van Merkel in de periode 2012 tot en met 2015 hebben bemachtigd.
Uit onderzoek zou blijken dat de aanvallers in mei 2015 toegang hadden tot de IT-systemen van de Bondsdag. Volgens Der Spiegel is in totaal voor 16 GB aan data buitgemaakt, waaronder mogelijk de e-mails van Merkel.
De Duitse justitie heeft inmiddels een arrestatiebevel uitgevaardigd voor de Rus Dmitriy Badin, die verdacht wordt van de hack. Hij zou een agent van de Russische inlichtingendienst GRU zijn.
Privacy Nieuws
Duitsland heeft een arrestatiebevel tegen Dimitri Badin uitgevaardigd. De Duitse justitie denkt dat hij een agent is van de Russische militaire inlichtingendienst GRU. De Russische spion zou achter de hack op de Bondsdag in 2015 zitten, meldt de Süddeutsche Zeitung.
In 2015 werd de Bondsdag getroffen door een cyberaanval. De computers werden geïnfecteerd via malware; onder meer de computer van bondskanselier Angela Merkel werd getroffen.
De malware kon op de systemen worden geïnstalleerd via een link in een phishingmail die naar een nepwebsite die op de website van de Verenigde Naties leek leidde.
Na uitgebreid onderzoek van de federale recherche van Duitsland is nu een arrestatiebevel uitgevaardigd tegen Badin. Het is onduidelijk waar hij zich bevindt. Als Badin in Rusland is, zal hij hoogstwaarschijnlijk niet uitgeleverd worden.
Het gebeurt niet vaak dat een specifieke persoon als verdachte wordt aangewezen na een cyberaanval. Meestal kan een aanval alleen tot een hackersgroep waarvan de identiteit onbekend is herleid worden.
Badin wordt al langer gezocht door de FBI. De Amerikaanse inlichtingendienst denkt dat hij achter een aanval op de antidopingautoriteit WADA zit. Daarnaast zou hij verantwoordelijk zijn voor de publicatie van de e-mails van Hillary Clinton.
Privacy Nieuws
Websites met een likeknop van Facebook zijn volgens het Europees Hof van Justitie verantwoordelijk voor het doorsturen van persoonsgegevens naar het sociale netwerk.
Het Europese Hof deed een verstrekkende uitspraak in een zaak tegen de Duitse webshop Fashion ID van Peek & Cloppenburg.
Op de site FashionID.de is een likebutton van Facebook geplaatst. Hiermee kunnen gebruikers ervoor kiezen Fashion ID op Facebook te volgen.
Maar de like button zorgt er meteen ook voor dat op de achtergrond aan Facebook wordt doorgegeven welke internetgebruikers op een websitepagina zijn geweest.
Facebook gebruikt de informatie om bijvoorbeeld een profiel samen te stellen waarmee op basis van het surfgedrag van klanten doelgericht advertenties kunnen worden getoond.
Volgens de aanklagers gebeurde dit bij Fashion ID zonder dat gebruikers vooraf om toestemming werden gevraagd.
Volgens het Europees Hof van Justitie is in dit geval zowel Fashion ID als Facebook verantwoordelijk voor de gegevensverzameling.
De Duitse site zou zijn gebruikers daarom ook duidelijk moeten vertellen dat gegevens met het sociale netwerk worden gedeeld.
Het arrest van het Hof wordt gedeeld met het Duitse gerechtshof, dat een oordeel in de zaak zal vellen. De Europese uitspraak kan echter gevolgen hebben voor toekomstige zaken bij Europese rechtbanken.
Consequenties voor meer Europese sites
Het oordeel kan ook consequenties hebben voor andere websites die likeknoppen voor Facebook tonen. De uitspraak kan ertoe leiden dat sites explicieter toestemming moeten vragen voor het tonen van een likeknop, net zoals er nu toestemming nodig is om cookies te plaatsen en persoonsgegevens te verwerken. De knop valt immers onder gegevensverwerking.
Websites zijn volgens het Hof alleen verantwoordelijk voor het doorsturen van persoonsgegevens naar Facebook. Als het sociale netwerk die data eenmaal in handen heeft, dan kan een site niet verantwoordelijk worden gehouden voor wat er vervolgens mee gebeurt.
Privacy Nieuws
Websites met een likeknop van Facebook zijn volgens het Europees Hof van Justitie verantwoordelijk voor het doorsturen van persoonsgegevens naar het sociale netwerk.
Het Europese Hof deed een verstrekkende uitspraak in een zaak tegen de Duitse webshop Fashion ID van Peek & Cloppenburg.
Op de site FashionID.de is een likebutton van Facebook geplaatst. Hiermee kunnen gebruikers ervoor kiezen Fashion ID op Facebook te volgen.
Maar de like button zorgt er meteen ook voor dat op de achtergrond aan Facebook wordt doorgegeven welke internetgebruikers op een websitepagina zijn geweest.
Facebook gebruikt de informatie om bijvoorbeeld een profiel samen te stellen waarmee op basis van het surfgedrag van klanten doelgericht advertenties kunnen worden getoond.
Volgens de aanklagers gebeurde dit bij Fashion ID zonder dat gebruikers vooraf om toestemming werden gevraagd.
Volgens het Europees Hof van Justitie is in dit geval zowel Fashion ID als Facebook verantwoordelijk voor de gegevensverzameling.
De Duitse site zou zijn gebruikers daarom ook duidelijk moeten vertellen dat gegevens met het sociale netwerk worden gedeeld.
Het arrest van het Hof wordt gedeeld met het Duitse gerechtshof, dat een oordeel in de zaak zal vellen. De Europese uitspraak kan echter gevolgen hebben voor toekomstige zaken bij Europese rechtbanken.
Consequenties voor meer Europese sites
Het oordeel kan ook consequenties hebben voor andere websites die likeknoppen voor Facebook tonen. De uitspraak kan ertoe leiden dat sites explicieter toestemming moeten vragen voor het tonen van een likeknop, net zoals er nu toestemming nodig is om cookies te plaatsen en persoonsgegevens te verwerken. De knop valt immers onder gegevensverwerking.
Websites zijn volgens het Hof alleen verantwoordelijk voor het doorsturen van persoonsgegevens naar Facebook. Als het sociale netwerk die data eenmaal in handen heeft, dan kan een site niet verantwoordelijk worden gehouden voor wat er vervolgens mee gebeurt.
Privacy Nieuws
Het Duitse Bundeskartellamt gaat volgens de tabloid Bild am Sonntag Facebook verbieden gegevens te verzamelen via gekoppelde diensten zoals Twitter, game-apps en Facebook-dochterondernemingen WhatsApp en Instagram. Ook de “like me”-knop van Facebook zou de regels overtreden.
Bild am Sonntag beroept zich op een rapport waarin wordt gemeld dat Facebook in de komende weken op de hoogte zal worden gesteld van de beslissing.
Het Bundeskartellamt maakt zich vooral zorgen over de verzameling en het gebruik van gegevens uit bronnen van derden op Facebook. Dit gebeurt vaak zonder de uitdrukkelijke toestemming van de gebruiker.
Persoonlijke gegevens worden door Facebook samengevoegd en gebruikt voor reclamedoeleinden. Facebook maakt volgens het Bundeskartellamt misbruik van zijn dominante marktpositie.
Andreas Mundt, voorzitter van het Bundeskartellamt, had begin 2018 al aangekondigd dat de markt voor online reclame nader zou worden onderzocht.
Het is nog onduidelijk aan welke voorwaarden Facebook concreet moet voldoen. Volgens het rapport wilde het Bundeskartellamt in verband met de lopende procedure geen details verstrekken.
Facebook is al op de hoogte gebracht van de feiten en zou al hebben gereageerd. Een woordvoerster legde uit dat haar bedrijf de standpunten van het Bundeskartellamt niet deelt. Facebook klaagt dat in dit geval gegevensbescherming en antitrustwetgeving door elkaar worden gehaald; dit is volgens Facebook onaanvaardbaar.
Privacy Nieuws
Veel organisaties gebruiken Whatsappgroepen voor interne communicatie. Whatsapp is ideaal voor projectmanagement. Intern en extern. De grote vraag is echter of Whatsapp zich wel houdt aan de privacywet GDPR / AVG. Mag je Whatsapp eigenlijk nog zakelijk gebruiken?
Wie op Google zoekt naar “Whatsapp GDPR” ontdekt dat in de hele EU getwijfeld wordt. Wie de regels strikt uitlegt kan niet anders dan concluderen dat Whatsapp na 25 mei 2018 niet compliant kan zijn. En in dat geval mag je Whatsapp dus zakelijk niet gebruiken.
Whatsapp krijgt automatisch toegang tot contacten. Dat mag eigenlijk niet
Organisaties die medewerkers WhatsApp laten gebruiken kampen er mee dat WhatsApp bij het maken van chatgroepen of het leggen van een-op-een connecties voor chat automatisch toegang krijgt tot contacten die zijn opgeslagen op de telefoon.
Er vindt dan dus overdracht plaats van persoonsgegevens aan een onderneming in de VS. In principe is dit volgens de AVG alleen toegestaan na voorafgaande toestemming van de betreffende contactpersoon.
Geen toestemming, dan in strijd met AVG
Indien geen toestemming wordt gegeven, worden de gegevens in strijd met de AVG doorgegeven.
Bovendien gaat het bij de doorgifte van dergelijke gegevens om de verwerking van ordergegevens. Een dergelijke openbaarmaking vereist een contract voor de verwerking van ordergegevens tussen de organisatie en WhatsApp.
Doorgaans wordt niet aan deze eis voldaan en gebruiken organisaties WhatsApp dus illegaal.
Juristen in Groot-Brittannië en Duitsland
Juristen in Groot-Brittannië en Duitsland adviseren Whatsapp absoluut niet zakelijk te gebruiken als er geen gegevensverwerkingsopdracht is tussen een organisatie en WhatsApp en de contactpersoon van het bedrijf niet heeft ingestemd met het doorsturen van zijn gegevens naar WhatsApp.
Maar ondernemers en medewerkers hebben niet alleen zakelijke contacten. Ze communiceren ook privé. En dat mag wel met Whatsapp. Dat zorgt voor een dilemma. Er vindt vermenging van privé en zakelijk plaats. Zakelijk ben je dan nog steeds in overtreding.
Nederlandse ICT-jurist Arnoud Engelfriet
Hoe denken Nederlandse juristen over het zakelijk gebruik van Whatsapp?
Ict-jurist Arnoud Engelfriet geeft op de website Security.nl elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Op de site reageert hij ook op een vraag over de legitimiteit van zakelijk Whatsapp gebruik binnen de GDPR.
“Namen en telefoonnummers zijn persoonsgegevens”, legt Engelfriet uit. “Het gebruik daarvan valt in principe dan ook onder de Privacyverordening / AVG / GDPR. Het verstrekken van die gegevens aan derden kan onder die wetgeving eigenlijk alleen met toestemming of als het noodzakelijk is voor een aangevraagde dienst of gesloten overeenkomst.”
Privacywet niet van toepassing voor huishoudelijke doeleinden
Bij WhatsApp-groepen val je volgens Engelfriet echter mogelijk buiten de privacywet, omdat het vaak gaat om particulieren die die groepen opzetten.
“De privacywetgeving is niet van toepassing op verwerkingen voor strikt huishoudelijke doeleinden, en verdedigbaar is dat een dergelijke groep daaronder valt. Hoewel in 2014 werd bepaald dat het filmen van de openbare weg door een particulier niet meer strikt huishoudelijk was, dus als je streng in de leer bent dan gaat dit niet op.”
Voorwaarden van WhatsApp
Natuurlijk staat er over dit onderwerp ook van alles in de Voorwaarden van WhatsApp, maar dat boeit weinig zegt Engelfriet. “Toestemming kan niet in algemene voorwaarden worden verkregen, en bovendien moet toestemming specifiek zijn. Op WhatsApp zitten betekent niet dat iedereen je in alle mogelijke groepen mag prikken.”
Kortom: De ervaren Nederlandse ICT-jurist kan geen eenduidig antwoord geven op de vraag of bedrijven Whatsapp nog mogen gebruiken. Bij twijfel niet doen is doorgaans het advies.
Alternatief voor WhatsApp
Maar wat is dan het alternatief voor Whatsapp als bedrijven toch graag intern zakelijk willen kunnen chatten?
In de zorgsector stappen veel instellingen over op de chatapp Yammer van Microsoft. Deze app houdt zich wel aan de Europese privacywet. Er is dus een alternatief. Maar de leercurve voor Yammer is groter dan bij Whatsapp. De chatapp van Facebook is juist bijzonder gebruiksvriendelijk.
Hoeveel organisaties nemen het risico en blijven Whatsapp gewoon gebruiken?
Wie heeft er een goede steekhoudende argumentatie waarmee de toezichthouder overtuigd kan worden?
