De Autoriteit Persoonsgegevens (AP) in Ierland onderzoekt of de spraakassistent Siri van Apple wel conform de privacywet ingezet wordt. Dit naar aanleiding van berichtgeving in de Britse krant The Guardian.
Apple-medewerkers luisteren volgens The Guardian via de spraakassistent Siri ook mee naar persoonlijke gesprekken als er geen luisteropdracht is gegeven. Siri is via talloze apparaten van Apple, zoals ook via de speaker en Apple Watch, te benaderen.
The Guardian citeert een anonieme klokkenluider die zegt dat het gaat om gevallen waarin Siri per ongeluk wordt geactiveerd. Normaal gebeurt dat alleen als het commando ’Hey Siri’ gegeven wordt.
Apple-medewerkers luisteren volgens de l klokkenluider doorlopend mee naar zeer persoonlijke informatie van gebruikers. Seks, drugsdeals en medische gesprekken worden zo afgeluisterd.
Medewerkers maken analyses van de gesprekken en informatie om Siri beter te laten werken.
In de gebruiksvoorwaarden van Apple staat niet dat medewerkers kunnen meeluisteren naar de gesprekken die de spraakassistent met mensen heeft.
In een reactie tegen de Guardian meldt Apple dat enkele medewerkers meeluisteren en gesprekken doorsturen om de Siri-dienst nog beter te laten werken.
In het kader van privacybeleid lijkt het voorlopig verstandig om geen Amazon Echo of Google Home spraakassistent op kantoor te plaatsen. Amerikaanse onderzoekers hebben namelijk een nieuwe techniek ontdekt waarmee de spraakassistent gehackt kan worden: Voice Squatting.
Met deze hackmethode kunnen Google Home of Amazon Echo geprogrammeerd worden om als stille spion alles wat er in de directe omgeving wordt gezegd af te luisteren of phishingaanvallen uit te voeren.
Verborgen commando’s in muziek
Eerder lieten onderzoekers van de Universiteit van Californië zien hoe ze verborgen commando’s konden integreren in muziekopnames of gesproken tekst om vervolgens acties uit te voeren op een Amazon Echo.
Voice Squatting werd ontdekt door een groep onderzoekers van de Indiana University, Bloomington, de Universiteit van Virginia en de Chinese Academie van Wetenschappen.
Geheime opnamefunctionaliteit
Om geheime opnamefunctionaliteit toe te voegen, gebruikten de academici de “reprompt”-functie. Deze functie zorgt ervoor dat een vaardigheid kan blijven draaien wanneer deze geen antwoord ontvangt, zolang de gebruikers hiervan op de hoogte worden gesteld via een audio- of tekstbestand.
De onderzoekers misbruikten dit door een lang, stil audiobestand te maken als een reprompt, zodat de gebruiker geen merkbare waarschuwing zou krijgen dat de microfoon nog aan het opnemen was.
Phishingaanval via Google Home of Amazon Echo
De spraakassistent zou ook via spraakcommando’s kunnen worden geprogrammeerd om phishing-aanvallen uit te voeren. Google Home of Amazon Echo kunnen dan doen alsof ze een bankdienst uitvoeren en gebruikers vragen om hun wachtwoord door te geven.
Reacties Google en Amazon
Zowel Amazon als Google zeggen dat ze al beveiliging hebben die kwaadaardige vaardigheden proberen op te sporen.
De onderzoekers hebben hun ontdekking in april aan zowel Amazon als Google voorgelegd.
Ze zijn sceptisch of er momenteel echt effectieve beveiligingsmaatregelen zijn. “We weten dat Amazon en Google zich niet tegen de aanvallen konden verdedigen toen we onze studie aan hen rapporteerden en we weten niet zeker of ze dat nu wel kunnen”, aldus onderzoeker XiaoFeng Wang van de Indiana University.
Een organisatie mag niet zomaar persoonsgegevens verwerken. Je moet daarvoor een wettelijke grondslag hebben. De Algemene Verordening gegevensbescherming (AVG) kent 6 grondslagen.
Alleen als je de gegevensverwerking kunt baseren op minimaal één van deze grondslagen heb je het recht om de persoonsgegevens te verwerken.
Eén van die 6 grondslagen is ‘toestemming’. De AVG schrijft niet precies voor in welke vorm je toestemming moet vragen. Maar de manier waarop je toestemming vraagt moet wel voldoen aan een aantal specifieke eisen.
Vrijelijk gegeven: je mag iemand niet onder druk zetten om toestemming te geven. Bijvoorbeeld door iemand te benadelen als hij of zij geen toestemming geeft. Let daarbij op machtsverhoudingen: een werknemer kan een vraag van zijn werkgever bijvoorbeeld moeilijk weigeren.
Ondubbelzinnig: er moet sprake zijn van een duidelijke actieve handeling. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend. Je mag niet uit gaan van het principe ‘wie zwijgt, stemt toe’. Het gebruik van voor-aangevinkte vakjes is dus niet toegestaan.
Geïnformeerd: je moet mensen informeren over: 1) de identiteit van de organisatie; 2) het doel van elke verwerking waarvoor je toestemming vraagt; 3) welke persoonsgegevens je verzamelt en gebruikt; 4) het recht dat zij hebben om de toestemming weer in te trekken. Je moet de informatie in een toegankelijke vorm aanbieden. Ook moet deze begrijpelijk zijn zodat iemand een weloverwogen keuze kan maken. Dat betekent dat je duidelijke en eenvoudige taal moet gebruiken.
Specifiek: toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel. Indien de organisatie bij de verwerking meerdere doeleinden heeft, dient de betrokkene hierover geinformeerd te worden. En de betrokkene moet voor elk doel afzonderlijk toestemming gevraagd worden. Het doel mag niet gaandeweg veranderen.
Het moet voor mensen net zo makkelijk zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven.
Je moet kunnen aantonen dat je geldige toestemming hebt verkregen.
Voldoet de toestemming niet aan deze eisen? Dan is de toestemming niet geldig. Je mag de persoonsgegevens dan niet verwerken.
Toestemming bij kinderen
De AVG geeft kinderen jonger dan 16 jaar extra bescherming. Want kinderen kunnen de risico’s van een gegevensverwerking niet of minder goed inschatten. Daarom moeten zij toestemming hebben van de persoon die de ouderlijke verantwoordelijkheid draagt.
Verantwoordingsplicht
Als je je wilt baseren op de grondslag toestemming moet je er voor zorgen dat je kunt aantonen dat je die toestemming op de juiste manier hebt gevraagd en gekregen. Onder de AVG heb je namelijk een verantwoordingsplicht.
