Hallo? Vind jij het goed als ik Spotify gebruik?

Om gebruik te kunnen (blijven) maken van Spotify moet u toestemming aan al uw contacten in uw smartphone vragen. Eén weigering en u bent klant af. Dat is het gevolg van de nieuwe privacyvoorwaarden van het bedrijf. Mocht ik in uw contactenlijst staan dan zeg ik ‘nee’.

Dat is het gevolg van de nieuwe privacyvoorwaarden, die het bedrijf heeft uitgedokterd en gelden voor zowel betalende als gratis gebruikers. In de kern mogen contactgegevens, locatie, snelheid, afbeeldingen en meer zaken van uw mobiele telefoon door het bedrijf in de gaten worden gehouden. En niet alles is te verklaren vanuit het aanbieden van een muziekluisterdienst.

Onduidelijk

Er is veel wrevel ontstaan over de verandering in de voorwaarden. Die reactie is niet zo vreemd, omdat de verandering duidelijk maakt dat Spotify veel informatie verzamelt die weinig meer te maken hebben met het laten horen van muziek. Zo worden contacten verzameld, locaties, zaken rond sensoren in de telefoon bijgehouden en kunnen gegevens worden doorgegeven aan derde partijen.

Het probleem zit er vooral in dat niet duidelijk is wat er met de informatie gebeurt. Onze wetgeving gaat er vanuit dat wij van dit soort zaken wel op de hoogte zijn, weten waarom gegevens worden verwerkt en dat niet meer persoonlijke data wordt verzameld dan noodzakelijk is voor het leveren van de dienst. Zonder dit soort helderheid is het lastig toestemming geven of je dit wel wilt en Spotify schakelt die bescherming uit.

Sterker nog Spotify maakt heel duidelijk dat de wettelijke bescherming misschien helemaal niet geldt (in artikel 3.4):

“Your personal information may therefore be subject to privacy laws that are different from those in your country of residence.”

Ofwel: zou het instemmen met deze voorwaarden betekenen dat de Europese regelgeving aan de kant wordt gezet. Natuurlijk is het maar helemaal de vraag of Spotify dat wel kan vragen.

Toestemming vragen

Een opmerkelijke verandering is dat de gebruiker toestemming geeft om zijn of haar contacten te gaan gebruiken. Het bedrijf realiseert dat in sommige landen, zoals Nederland, dit niet zomaar mag en daarom wordt dit probleem bij de gebruiker gelegd door hem te verplichten om toestemming te vragen aan die contacten (artikel 3.3):

“With your permission, we may collect information stored on your mobile device, such as contacts, photos, or media files. Local law may require that you seek the consent of your contacts to provide their personal information to Spotify, which may use that information for the purposes specified in this Privacy Policy.”

Dus wie aan de slag wil met Spotify op zijn smartphone zal eerst toestemming moeten vragen aan ieder contact in het telefoonboek voor het accepteren van deze voorwaarden. Een bijna onmogelijke taak en ook weinig realistisch. Want wat moet je als iemand nee zegt?

Weinig gelukkig

De keuze van Spotify is dus weinig gelukkig. Er zijn wel diensten die met de privacyvoorwaarden niet zo extreem zijn en beter in onze wetgeving passen. De komende tijd komen er ook nieuwe initiatieven. Jammer want Spotify was een goed legale oplossing voor het luisteren naar muziek. Hopelijk realiseert de entertainment industrie dit zelf ook, zodat ze niet iedereen opnieuw naar het privacyvriendelijke Pirate Bay sturen. Of lees bij Wired enkele alternatieven.

Doe het veilig: hoe u in een paar stappen uw computer beschermt

Wie zich op internet begeeft moet zich constant bewust zijn van het gevaar dat informatie in verkeerde handen kan vallen en voor ongewilde doeleinden wordt gebruikt. Misbruik loert continu, maar: wie een paar simpele stappen zet kan zichzelf heel wat beter beschermen.

Volgens de Wet bescherming persoonsgegevens moet u duidelijk geïnformeerd zijn en moeten gegevens goed beveiligd worden. De praktijk is altijd weerbarstiger dan de realiteit en dus kunnen we daar niet op vertrouwen. De talloze datalekken maken dat pijnlijk duidelijk.

Dus hebben we een eigen verantwoordelijkheid om zorgvuldig met onze gegevens om te gaan. Informatie hoeven we niet zomaar af te staan, onze computers moeten goed beveiligd zijn en eigenlijk moeten we online onszelf verdedigen.

Online privacy
Maar de harde realiteit is dat dit makkelijker is gezegd dan gedaan. Een tweet kan soms informatie bevatten die niet op internet hoort, via een ‘dat vind ik leuk knop’ van Facebook geven we bij het bezoeken van een website al informatie weg als we zijn ingelogd, en een applicatie op een mobiel apparaat kan heimelijk erg veel gegevens verzamelen tot het complete adresboek aan toe.

Een populair voorbeeld hoe informatie te misbruiken is, werd door onze Belgische buren gemaakt en illustreert dat schitterend. Met bijna 9 miljoen views is de kans groot dat u het kent, maar anders is het echt de moeite waard.

De oplossing
Omdat het lastig is te weten hoe u uzelf kunt beschermen, heeft de Consumentenbond een boekje ‘Online Privacy’ uitgegeven. Auteur Vincent van Amerongen laat op simpele wijze zien hoe u zich kunt wapenen om uw data beter te beschermen.

Hij wandelt door belangrijke zaken variërend van anoniem browser tot het beter instellen van Facebook, Linked-in, Twitter en Google’s diensten en van het versleutelen van bestanden tot anoniem e-mailen. Naast het boek is er ook een aantal video’s met voorbeelden voor bescherming beschikbaar.

Van Amerongen trapt veel open deuren in, maar dat is juist wat nodig is. Al lezend kwam ik erachter dat bijna alles wel bekend was. Toch was er bij mij nog wel wat anders in te stellen. Wie liever zelf op zoek gaat komt een heel eind met ‘instellingen voor privacybescherming’ als zoekoptie op Google – oh nee dat is vanaf nu – Duckduckgo.com of ixquick.com.

Verademing: CBP maakt verantwoordelijkheid meetbaar met richtsnoer

Vandaag presenteert het College bescherming persoonsgegevens (CBP) een richtsnoer voor beveiliging bij privacybescherming. Eindelijk kunnen we organisaties naast een meetlat leggen. 

Dat richtsnoer is hard nodig, omdat de regels momenteel gericht zijn op het nemen van ‘passende en organisatorische maatregelen’ overeenkomstig de ‘stand der techniek’. Een vage duiding voor alles wat gezond boerenverstand is op gebied van beveiliging, en prima in normen is vastgelegd.

Risico-inschatting
Het mooiste is wel de risico-inschatting. Wie persoonsgegevens gaat verwerken moet serieus gaan nadenken over de risico’s die er kleven aan het omgaan met de informatie. Dat moet eindigen in niet alleen maatregelen om de risico’s tot een minimum te beperken, maar ook in plannen om de gevolgen van een incident te beperken.

Stel dat een bedrijf persoonsgegevens in een database wil opslaan en die via de website toegankelijk wil maken, dan moet bijvoorbeeld over een hack worden nagedacht. Dat betekent om te beginnen stappen zetten om de kans op zo’n digitale inbraak te verkleinen. Dat is dus niet alleen de programmatuur up-to-date houden, maar ook het kritisch kijken naar de gebruikte software, monitoring op toegang, stappen zetten om ervoor te zorgen dat bij een hack alleen de minimale informatie verloren gaat. Enzovoort, enzovoort.

Daarnaast moet er een plan zijn voor het oplossen van de gevolgen van een hack. Dat is niet alleen het technisch verhelpen, maar ook denken aan zaken als het waarschuwen van de juiste mensen en het regelen van eventuele schadevergoedingen, alsmede ondersteuning bij het in de toekomst voorkomen van identiteitsdiefstal. Dat laatste is natuurlijk kostbaar, maar misschien ook wel goed om bewust te worden dat er met het verwerken van persoonsgegevens forse risico’s zitten.

Kiezen
Het CBP suggereert dat het gevolg van een goede analyse kan zijn dat het verstandig is maar minder gegevens te verwerken, de data minder lang te bewaren, of sommige zaken in het geheel maar niet te doen.

Ook ontkomen organisaties er niet langer aan een volwassen beveiligingsstandaard te kiezen en daarmee aan de slag te gaan. Dat betekent op een procedurele manier werken en niet meer hapsnap beveiliging doen.

Het richtsnoer is een verademing, want nu wordt hard wat al lang viel te vermoeden: gebruikersnaam en wachtwoord voor gevoelige gegevens? Dacht het niet! Systemen niet bijwerken? Doodzonde! Geen detectie op de systemen met gevoelige informatie? Uit den boze! U mag mijn gegevens soms best verwerken, maar dan wel veilig en eindelijk is er een richtsnoer daarvoor.