"Klaag downloaders niet aan, maar verleid ze"

Gezocht: voorbeelden van doelloos verzamelen van gegevens

Dutch proposal to search and destroy foreign computers

Bits of Freedom is bezig met een onderzoek naar privacy op internet. En daar hebben we jouw hulp bij nodig. We doen onderzoek naar de praktijk van het verzamelen van persoonsgegevens zonder specifiek doel. Heb je voorbeelden die we niet mogen missen? Laat ons dat weten!

Waarom doen we onderzoek?

We proberen het belang aan te tonen van goede en heldere regelgeving om onnodige verzameling van persoonlijke informatie tegen te gaan. Dat doen we in het kader van de herziening van de Europese privacyregels: we zijn op zoek naar voorbeelden om politici en andere beslissers te overtuigen van de schaal waarop persoonsgegevens worden verzameld voor vage doelen en de gevolgen die dat heeft voor jouw privacy.

Wat zijn de regels ook alweer?

Online dienstaanbieders hebben de beschikking over gegevens van hun klanten. Volgens de privacyregels uit de Wbp mogen gegevens alleen worden verzameld  voor een specifiek doel. Zonder zo’n specifiek doel mag een dienstaanbieder geen persoonlijke informatie verzamelen. In werkelijkheid lijkt het er vaak op dat dienstaanbieders persoonsgegevens bijeenrapen zonder duidelijk doel of die zij eigenlijk helemaal niet nodig hebben, zonder dat ze daar jouw toestemming voor hebben gekregen.

Wat voor voorbeelden zoeken we?

We zijn op zoek naar deze ‘data hoarders’: bedrijven die te veel gegevens verzamelen voor de diensten die ze aanbieden. We kennen mobiele apps die contacten uit je adresboek kunnen halen, en calendar-apps die je camera en microfoon bedienen. Google wordt momenteel aangepakt omdat ze gegevens van haar gebruikers in ‘excessieve mate’ met elkaar combineert voor vage doelen, maar er zijn zeker meer voorbeelden van het hamsteren van jouw gegevens. Wij zijn op zoek naar deze voorbeelden voor ons onderzoek en kunnen jouw hulp dus goed gebruiken!

Help ons met voorbeelden van het verzamelen van persoonsgegevens zonder jouw toestemming en zonder een specifiek doel. Twijfel niet en laat het ons weten via:

@bitsoffreedom
info@bof.nl

of in een reactie onderaan…

De resultaten van het onderzoek zullen we presenteren op onze website.

  1. Jeroen

    Recent overwoog ik een computerspel te installeren, dat een anti-cheattechnologie genaamd PunkBuster bleek te bevatten. Na enig googlen blijkt dit programma tevens als volwaardige spyware inzetbaar, en de EULA bevat absurde clausules waarmee men het recht probeert voor te behouden de software ook als zodanig te gebruiken. Van https://en.wikipedia.org/wiki/PunkBuster#EULA_Details:

    In PunkBuster’s EULA, PunkBuster notes they may be considered invasive, and that they reserve the right to inspect someone’s entire harddrive and all of their files: “Licensee understands and agrees that the information that may be inspected and reported by PunkBuster software includes, but is not limited to, Licensee’s Internet Protocol Address, devices and any files residing on the hard-drive and in the memory of the computer on which PunkBuster software is installed.” “Further, Licensee consents to allow PunkBuster software to transfer actual screenshots taken of Licensee’s computer during the operation of PunkBuster software for possible publication.” “Licensee agrees that any harm or lack of privacy resulting from the installation and use of PunkBuster software is not as valuable to Licensee as the potential ability to play interactive online games with the benefits afforded by using PunkBuster software.”

    • Niels Westerlaken

      Ha Jeroen,
      Goed voorbeeld! Dit zullen we zeker uitzoeken en hopelijk kunnen we het meenemen in het onderzoek.

    • Josh

      Slecht voorbeeld aangezien het enige doel van Punkbuster valsspelers tegen te gaan is. Je kan er immers altijd voor kiezen om het spel niet te spelen en dus ook onder Punkbuster uitkomen (of het zelfs niet te installeren en zoals eerder al vermeld op servers zonder Punkbuster te spelen) Je kan er niet voor kiezen om de overheid te negeren dus richt jullie liever op dat soort zaken in plaats van de aandacht af te leiden van iets wat compleet niet van belang is. Punkbuster heeft mij nooit om mijn bankrekening, seksleven, familieleven of wat dan ook gevraagd.

      Beetje vreemd om een privacy-lobby organisatie op een anti-cheat bedrijf af te sturen. Je wist niet wat Punkbuster was maar wel wat Bits of Freedom is?

    • PinkShinyRose

      @Josh
      Er werd dan ook gevraagd naar bedrijven die data verzamelen die ze niet nodig hebben. De gehele harde schijf is niet nodig om valsspelen te voorkomen (geheugen heb ik meer begrip voor). En screenshots hoeven voor het genoemde doel zeker niet gepubliceerd te worden, maar dat is inderdaad wat anders.

      Daar komt bij dat informatie over iemands bankrekening en familieleven vaak wel te vinden is in het geheugen en de harde schijf (vakantiefoto’s, foto’s van feestdagen, e-mails van je bank). Dus in wezen vragen ze die gegevens indirect wel degelijk. Wat het seksleven betreft: soms e-mails of porno.

    • Anoniem

      Een andere feature van punkbuster genereert extra veel lag wanneer men is ingelogd op een server die niet is geregistreerd bij de master server. Totaal nutteloss voor de speler, gezien het spel hierdoor onspeelbaar wordt. Welke games en op welke servers je speelt wordt dus ook verzameld door punkbuster. En beschermen tegen cheaters is dus niet het enige doel.

  2. Matthijs

    @Jeroen, bij veel spellen is PunkBuster alleen nodig voor multiplayer en kan je indien gewenst ook spelen op servers zonder PunkBuster, waar je dan alleen cheaters tegenkomt maar PunkBuster niet voor hoeft te installeren. Het specifieke doel is cheaters pakken in online multiplayer en voor gamers is dat ‘serious business’, zoals in de laatste zin van je quote duidelijk staat uitgelegd.

  3. Anne

    Voor het aanvragen van een creditcard hoef je nog net niet je seksleven te verklaren. Wel moet je je IDbewijs nr en je BSN versturen VIA internet. De meeste van die bedrijven zijn amerikaans en de partij waarbij je aanvraagt is alleen tussenkantoor want de data gaat direct naar die amerikanen.
    Verder nog bewijs van inkomen (niet heel raar) en bewijzen van je huur en hypotheek.

    Banken moeten het BSN hebben voor de belastingdienst maar ik vraag me af of dat voor creditcard bedrijven ook geldt. In ieder geval is het veel te veel data die via internet moet komen.
    Wel lekker makkelijk voor fraudeurs. Gewoon de data gebruiken van een ander. (lees sarcasme)

  4. Arne

    Bij deze nomineer ik Edit Schippers, met haar wetsvoorstel om medisch dna op te slaan voor gebruik bij misdrijven. Klassiek voorbeeld datahoarding als je het mij vraagt
    http://nos.nl/artikel/430942-justitie-dna-ziekenhuizen-gebruiken.html

  5. PinkShinyRose

    Het is wel een overheidsorganisatie, maar: het DBC informatie systeem (http://www.dbcinformatiesysteem.nl/Over-DIS). Er worden gegevens verzameld over geleverde zorg met de persoonsgegevens van bijbehorende patiënten. Volgens de website worden alleen de cijfers van de postcode, geslacht, land, geboortejaar en medische gegevens (vaak de hoofdklacht van de patiënt heel algemeen gezegd, maar soms hoelang iemand met een therapeut praat) blijvend opgeslagen. Maar zorgverleners zijn verplicht de volledige geboortedatum, volledige naam, en adresgegevens van de patiënt door te geven. De niet open opgeslagen gegevens worden gebruikt om een pseudoniem te maken om de patiënt te kunnen volgen. De genoemde doelen zijn uitlevering voor marktcontrole door de NMA (waarvoor mijn inziens geen patiëntgegevens nodig zijn), beleidsplanning door het ministerie van VWS (waarvoor hetzelfde geldt), analyse door het CBS (daarvoor is het geboortedecenium waarschijnlijk nodig, misschien in welke vijf jaar, maar het geboortejaar en de cijfers van de postcode lijken mij nogsteeds overbodig), DBC-onderhoud en het college van zorgverzekeraars om de verzekeringen op aan te passen (waarvoor wederom geen patiëntgegevens nodig zijn). Het grootste deel van de instellingen heeft alleen geaggregeerde informatie nodig over de totaal gedeclareerde zorg, alleen het CBS heeft nog differentiatie naar leeftijd en geslacht nodig, maar niet in het huidige detail.

    Derden kunnen ook informatie opvragen in sommige gevallen, maar dit is niet het doel van de verzameling. En aangezien er 2*10000*85=17*10⁵ combinaties van geboortejaar, geslacht en postcodecijfers mogelijk zijn kan met één van de medische gegevens erbij waarschijnlijk gemakkelijk een patiënt geïdentificeerd worden.

  6. Wouter

    Bij de aanvraag van een Verklaring omtrent gedrag (VOG) moet ik naast mijn BSN ook een telefoonnummer en emailadres invullen? Waarom, krijg ik een sms danwel een email als mijn afgegeven VOG verstuurt wordt via de post?

  7. MathFox

    De gemeente Delft vraagt al haar burgers naar BSN en geboortedatum voor het maken van een afspraak, ook waar het alleen maar gaat om informatie opvragen:
    https://idd.delft.nl/pls/idd/gem_afsp_bvk.afspraak Klik op “Ga Verder”.

  8. Mario

    Doelloos verzamelen van gegevens bestaat niet ! ex:
    **airmiles / bonuskaart.
    1) Er wordt niet gekeken wat je koopt, maar wat je niet koop !
    Vb. Je koopt géén tampons, een agent van Trillian registreert dit uit de historische database dat je deze regelmatig koopt, je krijg automatisch een aanbieding voor maandverband met 50% korting !
    De agent wacht geduldig, zodra er géén aankoop volgt van beide producten
    dan volgt volgens de agreement& protocollen dat u zwanger bent en wordt uw adres voor 0,01 eurocent verkocht aan Unilever,Welcome etc.
    Op dit moment gaat er méér geld om in persoonlijke informatie voorziening dan in drugs en wapenhandel bij elkaar.

    Mario (C++ programmeur)

  9. Budhymann

    Hmmm ! Doelloos verzamelen van gegevens?
    Deze onderstaande media site voor dooie levens.!
    http://www.nieuwemedianieuws.nl/oudemedia.php
    Hihi ! Groets v Budhy

  10. Jaap Droogers

    De Boni wil weten hoe oud ik ben als ik mee doe met hun boodschappenkraslootjesactie:
    https://www.bonisupermarkt.nl/actie/krassen

  11. Judith de Groot

    Toen ik een DVD speler kocht bij de It’s vroeg ik een garantie bewijs. De verkoper pakte een garantiecertificaat en wilde daarop mijn naam, adres, geboortedatum en telefoonummer noteren. Volgens hem was dat nodig voor een Garantie Bewijs! Toen ik dat niet wilde vroeg hij de manager om raad – die gaf aan dat de kassabon voldoende was om een beroep te doen op de garantie

  12. Judith de Groot

    Ik heb een abonnement bij een Amsterdams zwembad, In feite is het een digitale 12- badenkaart (vroeger had je een papieren 12 badenkaart waar elke keer een gaatje in werd geknipt) .
    Dat kan makkelijk anoniem. Maar nee hoor: alles moesten ze weten: naam, adres en geboortedatum ! Toen ik vroeg waarom ze dat allemaal wilden weten zeiden ze: dat is makkelijk als u de kaart kwijt raakt….

Laat een reactie achter op happy mormon Reactie annuleren

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.