================================================ ================================================ BITS OF FREEDOM NIEUWSBRIEF Nr. 7.17 9 september 2011 ================================================ ================================================ ===================================================================== Inhoud: ===================================================================== 1. Het volg-me-niet-register maakt belofte niet waar 2. DigiNotar special 3. Overheid over datalekken: zoek het zelf maar uit 4. Gezichtsherkenning op Facebook; een gevaar voor onze privacy? 5. Sociale netwerken. Leuk. Maar hoe kom je er vanaf? 6. Ook op de website verschenen 7. Link naar volledige tekst nieuwsbrief 8. Colofon ===================================================================== 1. Het volg-me-niet-register maakt belofte niet waar ===================================================================== In navolging van het bel-me-niet-register hebben online-adverteerders sinds vorige week ook een volg-me-niet-register op internet ge•ntroduceerd. Adverteerders bieden internetgebruikers de mogelijkheid om aan te geven dat ze niet meer gevolgd willen worden. Daarmee loopt het Interactive Advertising Bureau (IAB) vooruit op aangescherpte cookiewetgeving, zo stellen ze. Maar is dat wel zo? Op dit moment kan je via YourOnlineChoices aangeven door welke bedrijven je gevolgd mag worden zodat ze je aangepaste advertenties kunnen aanbieden. Dat klinkt nobel, maar er zitten een aantal haken en ogen aan, we noemen er hier twee: Adverteerders blijven je gewoon volgen Ten eerste blijkt het een valse belofte dat je niet meer gevolgd wordt als je daarvoor kiest. Je wordt nog steeds gevolgd door middel van cookies, je ziet alleen geen gerichte advertenties meer. Er worden waarschijnlijk nog steeds uitgebreide profielen van je aangelegd. Als je een applicatie gebruikt die gebruikte cookies zichtbaar maakt, dan zul je zien dat de bedrijven waarvan je net hebt aangegeven dat ze je niet meer mogen volgen dat nog steeds naar hartenlust doen. Zelf de proef op de som nemen? Installeer bijvoorbeeld Ghostery in je Firefox-browser, schakel de bedrijven uit in het Volg-me-niet-register en ga verder met surfen. Opt-out in plaats van opt-in Daarnaast gebruikt de website op dit moment het zogenaamde opt-out systeem: de standaardinstellingen zijn zo dat alle adverteerders gebruik mogen blijven maken van je surfgegevens, je moet je dus zelf afmelden als je daar verandering in wil brengen. Bovendien is deze mogelijkheid er nu alleen nog voor adverteerders die zich hebben aangesloten bij dit initiatief. Dat moet anders, zo vinden ook de Europese Privacytoezichthouders, verenigd in de Artikel-29 werkgroep: ÒHet niet aanpassen van de standaardinstelling kan doorgaans niet worden beschouwd als uitdrukkelijke instemming. Advertentienetwerken en websitehouders moeten heldere en begrijpelijke informatie verschaffen over hun identiteit en over de doeleinden van de verwerking van de gegevens, zodat gebruikers een gerichte keuze kunnen maken over het al dan niet laten volgen van hun surfgedrag.Ó De PVV en de PVDA hebben gezamenlijk een amendement op de Telecomwet ingediend dat hierbij aansluit. Dit amendement kon rekenen op een Kamermeerderheid en ligt binnenkort bij de Eerste Kamer. Handig voor kinderen? Ten slotte lijkt de site vooral de bedoeling te hebben ons gerust te stellen en Behavioural Advertising neer te zetten als een klantvriendelijke dienst, zo blijkt bijvoorbeeld uit tip 5 om je online privacy te beheren: ÒHet is mogelijk om voor elk gezinslid een eigen gebruikersaccount te gebruiken (É) zo krijgt iedereen de advertenties die hij of zij (vermoedelijk) het liefst ziet. Een kind krijgt advertenties over speelgoed en games, reisliefhebbers genieten van mooie vliegvakanties.Õ Het is op zijn minst gedurfd om dat als tip op te nemen om je online privacy te beheren. Gebruiksvriendelijk maar slaat de plank mis De website is erg gebruiksvriendelijk en wij moedigen zelfregulering van adverteerders op dit gebied zeker aan, maar het IAB slaat hier op twee belangrijke punten de plank mis: Ten eerste geeft de website de valse belofte dat je niet meer gevolgd wordt. Ten tweede zou het niet nodig moeten zijn om je af te melden, maar zou je je aan moeten melden, op basis van een opt-in systeem dus. Dit bericht op internet 9 sep / 10:40 am https://www.bof.nl/2011/09/09/het-volg-me-niet-register-maakt-belofte-niet-waar/ YourOnlineChoices http://www.youronlinechoices.eu/nl Ghostery http://www.ghostery.com/ Volg-me-niet-register http://www.youronlinechoices.com/nl/uw-advertentie-voorkeuren Artikel-29 werkgroep: http://www.cbpweb.nl/Pages/pb_20100624_behavioural_advertising.aspx Amendement volgtechnieken op Telecomwet https://zoek.officielebekendmakingen.nl/kst-32549-39.html Tip 5 om je online privacy te beheren http://www.youronlinechoices.com/nl/vijf-tips IAB http://www.iab.nl/ ===================================================================== 2. DigiNotar special ===================================================================== Beveiliging DigiNotar ver onder de maat Door de inbraak bij DigiNotar was een groot deel van de overheidscommunicatie in een klap onbetrouwbaar. Dan denk je natuurlijk meteen: dat moet een geavanceerde inbraak zijn geweest. Maar niets is minder waar: DigiNotar liet zelfs de meest basale beveiligingsmaatregelen achterwege. Een schoolvoorbeeld van digitaal amateurisme. Dit bericht op internet 6 sep / 05:40 pm https://www.bof.nl/2011/09/06/beveiliging-diginotar-ver-onder-de-maat/ Minister Donner: overheidssites niet meer veilig Deze week bleek dat bij de systemen van het Nederlandse bedrijf DigiNotar is ingebroken. DigiNotar speelt een belangrijke rol bij de beveiliging van Nederlandse sites, waaronder overheidssites. Omdat de betrouwbaarheid van die overheidssites niet meer zeker was heeft security-bedrijf Fox-IT onderzoek gedaan naar de inbraak. Minister Donner presenteerde de conclusies Ð en die zijn vernietigend. Dit bericht op internet 3 sep / 01:32 am https://www.bof.nl/2011/09/03/minister-donner-overheidssites-niet-meer-veilig/ DigiD en alle andere overheidssites niet meer veilig? De komende dagen zullen in een klap een hele hoop websites onveilig worden verklaard. Ondertussen zijn in Iran de levens van dissidenten in gevaar gebracht. Waardoor? Door een Nederlands bedrijf. Dit bericht op internet 30 aug / 11:39 am https://www.bof.nl/2011/08/30/digid-en-alle-andere-overheidssites-niet-meer-veilig/ ===================================================================== 3. Overheid over datalekken: zoek het zelf maar uit ===================================================================== Govcert.nl, een team dat overheidsinstanties ondersteunt bij het voorkomen en afhandelen van veiligheidsincidenten, kwam begin augustus met een Factsheet Datalekken. Hierin wordt duidelijk uiteengezet welke maatregelen je kan nemen als je slachtoffer bent van een datalek. Maar hoe weet je of je slachtoffer bent van een datalek als de partij waar het lek zich voordoet dit niet eens meldt? Door actief te zoeken naar je eigen gegevens, zo wordt uitgelegd in de Factsheet: ÔU kunt op verschillende wijzen erachter komen dat uw gegevens gelekt zijn. Door de huidige trend om buitgemaakte en/of gelekte gegevens te publiceren kunt u online uw gegevens terug vinden. Dit zal dan hoogstwaarschijnlijk toeval zijn tenzij u actief op zoek gaat.Õ Ook wordt verwezen naar het Zwartboek Datalekken van Bits of Freedom. Wij vinden dat je niet actief zou hoeven moeten zoeken of je mogelijk slachtoffer bent van datalekken. De lekkende partij zou je zo snel mogelijk moeten informeren als er sprake is van een datalek. Daarom pleit Bits of Freedom voor een meldplicht datalekken. Zonder een meldplicht zijn deze goedbedoelde aanbevelingen zinloos. Als je het wachtwoord van je eigen e-mail terugvindt op internet dan is dat rijkelijk laat, je kan er dan zeker van zijn dat je niet de eerste bent die het ziet. Met een meldplicht voorkom je dat partijen straffeloos een datalek verzwijgen om bijvoorbeeld imagoschade te voorkomen. Ondertussen laat het kabinet nog steeds op zich wachten en is er nog geen wetsvoorstel voor een meldplicht ingediend, ondanks de mooie woorden in het regeerakkoord: ÒHet kabinet komt met een voorstel voor een meldplicht voor alle diensten van de informatiemaatschappij, waaronder de overheid, in geval van verlies, diefstal of misbruik van persoonsgegevens waarbij alle datalekken worden gemeld aan de nationale toezichthouder die boetes kan opleggen indien de meldplicht niet wordt nageleefd." In de Factsheet worden recente aanpassingen van Europese richtlijnen genoemd Ôzodat bepaalde organisaties lekken bij hun klanten moeten melden.Õ Behalve dat deze nieuwe richtlijnen nog niet in Nederland zijn ge•mplementeerd, zijn ze ook zeer beperkt in bereik. Deze richtlijnen gelden namelijk alleen voor aanbieders van telecommunicatiediensten. In de Kabinetsnotitie privacybeleid wordt wel verwezen naar het regeerakkoord waarin staat aangegeven Ôdat een dergelijke meldplicht zich ook moet uitstrekken over alle diensten van informatiemaatschappij, de overheid daaronder begrepen.Õ Wij vroegen ons in april af of we blij zijn gemaakte met een dooie mus, aan deze situatie is sindsdien nog niets veranderd. Fred Teeven gaf in februari in het TV-programma De Ombudsman aan dat er aan deze wetgeving gewerkt wordt: ÒMeldplicht datalekken, daar gaan we aan werken, daar zijn we nu op dit moment mee bezig, we komen met een concreet plan.Ó In februari werd er dus al aan gewerkt, maar daarvan hebben wij nog steeds niets gezien. Veel werk hoeft het niet te zijn, Bits of Freedom heeft de tekst al lang klaarliggen. Waar blijft dat wetsvoorstel, meneer Teeven? Dit bericht op internet 1 sep / 06:16 pm https://www.bof.nl/2011/09/01/overheid-over-datalekken-zoek-het-zelf-maar-uit/ Factsheet over online datalekken http://www.govcert.nl/dienstverlening/Kennis+en+publicaties/factsheets/factsheet-over-online-datalekken.html Zwartboek Datalekken http://www.bof.nl/category/zwartboek-datalekken/ Het regeerakkoord http://www.rijksoverheid.nl/documenten-en-publicaties/rapporten/2010/09/30/regeerakkoord-vvd-cda.html Europese richtlijnen http://www.google.nl/url?sa=t&source=web&cd=2&ved=0CCMQFjAB&url=http%3A%2F%2Fwww.edps.europa.eu%2FEDPSWEB%2Fwebdav%2Fshared%2FDocuments%2FEDPS%2FPressNews%2FPress%2F2009%2FEDPS-2009-13_Adoption_ePrivacy_Directive_EN.pdf&ei=BqxfTqbnK8mN-walvoT6AQ&usg=AFQjCNH7wNAMMI0lD3PnHIHv7yJZ0n62eQ Kabinetsnotitie privacybeleid http://www.rijksoverheid.nl/ministeries/venj/documenten-en-publicaties/notas/2011/04/29/kabinetsnotitie-privacybeleid.html Dooie mus https://www.bof.nl/2011/04/05/teeven-een-man-een-man-of-dooie-mus/ Wetsvoorstel datalekken van Bits of Freedom (PDF) https://www.bof.nl/live/wp-content/uploads/2010/01/datalekken-def.pdf ===================================================================== 4. Gezichtsherkenning op Facebook; een gevaar voor onze privacy? ===================================================================== Wanneer je een foto op Facebook plaatst, kan het gebeuren dat de naam van de afgebeelde persoon hier automatisch bij verschijnt. Facebook heeft het gezicht op de foto herkend en stelt voor om een tag te plaatsen. Is dit een handig hulpmiddel of een bedreiging voor onze privacy? Biometrische gegevens bij Facebook De kans is groot dat Facebook een database met biometrische gegevens bijhoudt voor deze geautomatiseerde tag-suggestie. De informatie uit de fotoÕs moet immers vergeleken worden met eerder opgeslagen informatie om gezichten te kunnen herkennen. Elke keer dat je getagd wordt, krijgt de database nieuwe informatie over jou. De gezichtsherkenningsoftware wordt zo steeds slimmer en nauwkeuriger. Extra bescherming In de Wet bescherming persoonsgegevens worden biometrische persoonsgegevens aangemerkt als bijzondere persoonsgegevens. Omdat deze gegevens erg privacygevoelig zijn, mogen ze pas verwerkt worden als er aan bepaalde voorwaarden voldaan is. Een van die voorwaarden is dat mensen voorafgaande ondubbelzinnige toestemming moeten hebben gegeven voor het gebruik. Facebook heeft gebruikers nooit uitdrukkelijk om toestemming gevraagd. Daarom heeft de Hamburgische Beauftragte fŸr Datenschutz und Informationsfreiheit Facebook verzocht om te stoppen met het gebruik van de gezichtsherkenningssoftware en om alle opgeslagen gegevens te verwijderen. Doet Facebook dit niet, dan dreigt er een boete van maximaal Û 300,000. Gebrek aan transparantie en controle Het probleem bij het gebruik van gezichtsherkenningssoftware is dat we niet weten wat er precies met onze gegevens gebeurt. Verkoopt Facebook ze door aan adverteerders of aan overheden? Hoe vaak gebeurt dit en met welk doel? Op Facebook is hierover niets te vinden. Daarmee komen we bij een tweede probleem: we hebben vrijwel geen controle over de biometrische gegevens die Facebook opslaat. Ze worden bewaard op Amerikaanse servers, waardoor we nog minder goed weten wat er mee gebeurt, laat staan dat we hier zelf enige inspraak over hebben. Het is niet duidelijk of, en zo ja hoe je de gegevens definitief uit de database van Facebook kunt verwijderen. Geen oplossing: tag-suggestie uitschakelen Als Facebookgebruiker kan je de automatische tag-suggestie uitschakelen. Jouw naam wordt dan niet meer automatisch gesuggereerd bij fotoÕs. Maar dit neemt niet weg dat Facebook alsnog biometrische informatie kan verzamelen wanneer fotoÕs handmatig getagd worden. Geen oplossing: nieuwe privacy-instellingen Binnenkort komt Facebook met nieuwe privacy-instellingen, waaronder de mogelijkheid om eerst toestemming te geven voor een getagde foto wordt gepubliceerd. Ook dit neemt niet weg dat Facebook de biometrische informatie alsnog op kan slaan, zelfs als je geen toestemming geeft voor publicatie. Wel duurzame oplossingen Gezichtsherkenning moet op Facebook standaard uitgeschakeld zijn. Facebook moet aangegeven dat er biometrische gegevens verzameld en opgeslagen worden, om welke gegevens het precies gaat en met welk doel dit gebeurt. Daarnaast moet het duidelijk zijn of en hoe je de gegevens definitief kunt verwijderen. De nieuwe privacy-instellingen lijken voor de gebruiker op het eerste gezicht een verbetering, maar komen nog niet in de buurt van een echte oplossing. Dit bericht op internet 1 sep / 04:14 pm https://www.bof.nl/2011/09/01/gezichtsherkenning-op-facebook-een-gevaar-voor-onze-privacy/ Blog Facebook over geautomatiseerde tag-suggestie https://blog.facebook.com/blog.php?post=467145887130 Wet bescherming persoonsgegevens http://wetten.overheid.nl/BWBR0011468/geldigheidsdatum_27-07-2011 Hamburgische Beauftragte fŸr Datenschutz und Informationsfreiheit http://www.datenschutz-hamburg.de/news/detail/article/gesichtserkennungsfunktion-von-facebook-verstoesst-gegen-europaeisches-und-deutsches-datenschutzrech.html?tx_ttnews%5BbackPid%5D=1&cHash=e5aa3f2d234135e37c41c8e747295317 Boete van maximaal Û 300,000 http://www.guardian.co.uk/technology/2011/aug/03/facebook-facial-recognition-privacy-germany Gebruikers hebben vrijwel geen controle over opslag biometrische gegevens http://classic.skor.nl/article-4814-nl.html Amerikaanse servers http://www.datacenterknowledge.com/archives/2011/04/07/facebook-unveils-custom-servers-facility-design/ Aankondiging nieuwe privacy-instellingen https://blog.facebook.com/blog.php?post=10150251867797131 ===================================================================== 5. Sociale netwerken. Leuk. Maar hoe kom je er vanaf? ===================================================================== Het lijkt zo leuk en is zo makkelijk: je aanmelden bij Facebook, LinkedIn en Twitter. Maar wat als je ervan af wil? We onderzochten hoe je een account kan verwijderen. En de meest opvallende conclusie? Dat blijkt minder simpel. Facebook Facebook maakt onderscheid tussen de-activeren en verwijderen. Wanneer je een account de-activeert, bestaat je account nog wel, maar is de account niet meer zichtbaar voor anderen. Je kan het account op ieder moment weer re-activeren, inclusief alle gegevens. Een Facebook account compleet verwijderen blijkt lastiger. Wanneer je namelijk, op wat voor manier dan ook, binnen 14 dagen opnieuw inlogt op Facebook, is het verwijderen mislukt. Zorg dus dat je echt minimaal 14 dagen uit de buurt van Facebook blijft. In de privacy policy van Facebook wordt overigens aangegeven dat wanneer een account verwijderd is, jouw gegevens tot 90 dagen nog in back-ups kunnen worden teruggevonden. Maar Facebook stelt dat de gegevens daarna wel permanent worden verwijderd van ÒFacebookÓ (wij nemen aan dat ze hiermee ook alle Facebook servers bedoelen). En tot slot: Facebook stelt dat informatie die je hebt gedeeld op Facebook, niet meer verwijderd kan worden. Wel wordt jouw naam niet meer geassocieerd met die informatie. Een schrale troost. LinkedIn Bij LinkedIn kan je kiezen om je account te sluiten. Er wordt alleen niet duidelijk aangegeven of dan ook al je gegevens verwijderd worden. Je hebt dan geen toegang meer tot je profiel en een aantal gegevens worden verwijderd: ÒOnce you close this LinkedIn account, you will no longer have access to its profile, connections, and LinkedIn messages. This accountÕs questions and answers will be removed and will no longer appear on LinkedIn. Recommendations given to others from this account will also be removed.Ó Het heeft er alle schijn van dat LinkedIn de rest van jouw gegevens gewoon bewaart. Om je LinkedIn account te sluiten, ga je naar de settings door rechtsboven op je gebruikersnaam te klikken. Vervolgens ga je rechtsonder naar account waar de optie close your account te vinden is. Nadat je een reden hebt opgegeven voor het sluiten, moet je je account nog verifi‘ren. Je LinkedIn gegevens kunnen daarna nog een aantal dagen via zoekmachines vindbaar zijn. Twitter Twitter lijkt het beter te doen. Volgens Twitter worden je gegevens echt permanent gewist wanneer je ervoor kiest je account te de-activeren (het verwijderen van een Twitter account wordt de-activeren genoemd, maar dat is dus hetzelfde als het verwijderen bij Facebook): ÒDeactivating your account permanently removes your profile and information from Twitter.Ó Maar daar is weer een ander probleem. Want wat Twitter niet vermeldt, is dat de Amerikaanse Library of Congress alle Ð jawel, alle Ð publieke tweets van Twitter opslaat. Jouw tweets worden dus misschien wel van Twitter verwijderd, maar toch voor de eeuwigheid bewaard. Om je Twitter account te de-activeren ga je naar de settings rechtsboven op het scherm door op je gebruikersnaam te klikken. Scroll vervolgens helemaal naar beneden waar de optie deactivate my account te vinden is. Als je akkoord gaat, moet je er voor zorgen dat je minimaal 30 dagen niet inlogt op Twitter. Anders mislukt het de-activeren ook hier. Daarom: een right to unsubscribe De conclusie is dus gemengd. Het is niet bepaald makkelijk om je gegevens Žcht te verwijderen uit sociale netwerken. Europees Commissaris Viviane Reding stelde onlangs een right to be forgotten voor. Voor sociale netwerken zou een right to unsubscribe een goed begin zijn, zodat het verwijderen van jouw gegevens een stuk makkelijker wordt. En mocht je er echt zeker van willen zijn dat na verwijdering jouw gegevens gewist zijn, raadpleeg dan PIM, de Privacy Inzage Machine van Bits of Freedom. Dit bericht op internet 7 sep / 09:03 am https://www.bof.nl/2011/09/07/sociale-netwerken-leuk-maar-hoe-kom-je-er-vanaf/ Blog Facebook over de-activeren (inlog-alert) https://www.facebook.com/deactivate.php Blog Facebook over verwijderen (inlog-alert) https://www.facebook.com/help/contact.php?show_form=delete_account Facebook-groep over de-activeren account http://www.facebook.com/group.php?gid=16929680703 privacy policy Facebook http://www.facebook.com/policy.php Twitter over de-activeren https://support.twitter.com/articles/15358-how-to-deactivate-your-account Library of Congress slaat alle publieke tweets op http://www.loc.gov/index.html http://www.wired.com/epicenter/2010/04/loc-google-twitter/ Right to be forgotten http://www.guardian.co.uk/media/2011/mar/16/eu-social-network-sites-privacy PIM https://pim.bof.nl/ ===================================================================== 6. Ook op de website verschenen ===================================================================== Engeland tot inzicht: geen social media-blokkade? [Visualisatie] Dit bericht op internet 8 sep / 06:34 pm https://www.bof.nl/2011/09/08/engeland-tot-inzicht-geen-social-media-blokkade/ Wil je op jouw eigen tempo op de hoogte blijven van ons nieuws? Abonneer je dan op onze RSS feed. https://www.bof.nl/rss/ ===================================================================== 7. Link naar volledige tekst nieuwsbrief ===================================================================== De volledige tekst versie van de nieuwsbrief van Bits of Freedom is hier te vinden: https://www.bof.nl/live/wp-content/uploads/nieuwsbrief110909.txt ===================================================================== 8. Colofon ===================================================================== De Bits of Freedom nieuwsbrief wordt samengesteld en verzonden door de stichting Bits of Freedom. Mits niet anders vermeld, valt de inhoud van deze nieuwsbrief onder de Creative Commons Naamsvermelding 3.0 licentie. De gebruiker mag de nieuwsbrief kopi‘ren, verspreiden, afgeleide werken maken en gebruiken voor commerci‘le doeleinden. De licentie verplicht tot naamsvermelding: de gebruiker dient Bits of Freedom te vermelden. Voor de volledige licentie zie: http://creativecommons.org/licenses/by/3.0/nl/ Bits of Freedom Nieuwsbrief ISSN 15691160 volg ons op twitter.com/bitsoffreedom Facebook.com/bitsoffreedom LinkedIn Delicious.com/bitsoffreedom identi.ca/bitsoffreedom via RSS op https://www.bof.nl/feed via IRC op irc.freenode.net #bitsoffreedom ===================================================================== Nieuwsbrief abonnement ===================================================================== Afmelden van deze nieuwsbrief kan door een e-mail te sturen: bof-nieuws-request@list.xs4all.nl Onderwerp: unsubscribe Abonneren kan via het invoerveld op: https://list.xs4all.nl/mailman/listinfo/bof-nieuws of door een e-mail te sturen naar: bof-nieuws-request@list.xs4all.nl Onderwerp: subscribe ===================================================================== European Digital Rights (EDRI) ===================================================================== Bits of Freedom is lid van European Digital Rights, een associatie van privacy en burgerrechten organisaties in Europa. EDRI geeft een eigen Engelstalige, twee-wekelijkse elektronische nieuwsbrief uit met een overzicht van de laatste ontwikkelingen in de Europa. Aanmelden voor een gratis abonnement op EDRI-gram kan op de website van EDRI: http://www.edri.org/ =====================================================================