Agentschap voor Innovatie door Wetenschap en Technologie IWT SBO Security and Privacy for Online Social Networks
Document type
Report
Title
D9.2.2 – First version of privacy manual for educational users at the microlevel Deliverable Number D9.2.2 Editor(s)
E. Vanderhoven, T. Schellens, M. Valcke, OWK, Ghent University
Dissemination level
External
Preparation date
21 December 2012
Version
1.0
Legal Notice All information included in this document is subject to change without notice. The Members of the IWT SBO SPION project make no warranty of any kind with regard to this document, including, but not limited to, the implied warranties of merchantability and fitness for a particular purpose. The Members of the IWT SBO SPION project shall not be held liable for errors contained herein or direct, indirect, special, incidental or consequential damages in connection with the furnishing, performance, or use of this material.
1
Contributors 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
Name Ellen Vanderhoven Tammy Schellens Martin Valcke Brendan Van Alsenoy Jef Ausloos Eva Lievens Jos Dumortier Rula Sayaf Willem De Groef Frank Piessens Dave Clarke Bo Gao Thomas Peetz Bettina Berendt Ero Balsa Claudia Diaz Seda Gürses Bart Preneel Ralf De Wolf Jo Pierson Bram Lievens Alessandro Acquisti Fred Stutzman
Organisation Ughent, OWK Ughent, OWK Ughent, OWK KU Leuven, ICRI KU Leuven, ICRI KU Leuven, ICRI KU Leuven, ICRI KU Leuven, Distrinet KU Leuven, Distrinet KU Leuven, Distrinet KU Leuven, Distrinet KU Leuven, Dtai KU Leuven, Dtai KU Leuven, Dtai KU Leuven, COSIC KU Leuven, COSIC KU Leuven, COSIC KU Leuven, COSIC VUB, iMinds-SMIT VUB, iMinds-SMIT VUB, iMinds-SMIT CMU CMU
2
Introduction A privacy manual has been developed with input of all the partners of the SPION-project. The manual about privacy on social network sites (SNS) is mostly targeted towards educational users at the micro-level, especially teachers. It describes in detail for the different players what the key elements (social, legal, technical) are in a language that is understandable to them and taking into account the specific context and their needs. To understand teachers’ needs, a focus group has been organized, attended by different teachers. They emphasized some of the positive elements of good existing materials in other subjects (e.g. prevention campaigns), such as “nice, small, practical, colorful books”, “free available by ordering online”, “simple explanation”, “cartoons, pictures”. What they explicitly wanted in the materials was an overview of different SNS and their main functions. In the development of the privacy manual, these aspects have been taken into account. The privacy manual has four main parts: 1) a definition of SNS, 2) the opportunities and privacy risks of use of SNS, 3) what should you be aware of and 4) what to do as a teacher. Every part has a theoretical part, but also contains examples to make everything more understandable. A digital version has been integrated in this document. A paper version is available as well, and will be distributed to teachers. We aim to gain feedback, especially at the second educational workshop, so that an updated version can be developed by the end of the project (D9.5.2).
3
In onze hedendaagse samenleving zien we een samenvloeiing tussen massacommunicatie en persoonlijke communicatie, die de mogelijkheden van beide combineert. Een concrete uiting hiervan zijn sociale netwerksites. Daarnaast is er ook sprake van technologische convergentie, die ervoor zorgt dat allerlei apparaten zoals tv, gsm en computer steeds meer op elkaar gaan gelijken, waardoor sociale netwerksites ten alle tijde toegankelijk zijn (1).
2.1 Een definitie Sociale netwerksites worden gedefinieerd als websites die volgende mogelijkheden creëren voor de gebruiker (2) : 1)
Een publiek of semipubliek profiel aanmaken. Dit is een persoonlijke pagina waarop persoonlijke informatie, foto’s, video’s en dergelijke geplaatst kunnen worden.
2)
Een lijst van ‘vrienden’ samenstellen. Deze lijst bestaat uit andere mensen die ook een profiel hebben op de website. Deze mensen kunnen echte vrienden zijn, maar ook vreemden. Op sommige sociale netwerksites moet je de persoon in kwestie
3)
toestemming vragen, alvorens ze kunnen worden toegevoegd aan de lijst. De profielen bekijken van de vrienden in je lijst. Soms kan je ook profielen bekijken van vrienden-van-vrienden. Vaak is het mogelijk berichten te plaatsen op deze profielen of te reageren op informatie die geplaatst werd. Vele sociale netwerksites geven verder de mogelijkheid om – al dan niet privé – berichten te sturen naar andere gebruikers.
Bovendien is het bij sociale netwerksites over het algemeen het geval dat informatie die geplaatst werd in een bepaalde context lang online blijft staan, terwijl die context al lang verdwenen is (bv. een boze boodschap bij frustratie na een verloren voetbalwedstrijd blijft staan, ook als de frustraties zijn verdwenen). Deze informatie kan ook heel eenvoudig worden gekopieerd van de ene ruimte naar de andere en is dikwijls zichtbaar voor een (heel) groot publiek. Dit alles resulteert in het feit dat online informatie veel gemakkelijker kan worden opgezocht. (1) Castells, M. (2009). Communication power. Oxford: Oxford University Press. (2) boyd, d. m., & Ellison, N. B. (2007). Social network sites: Definition, history, and scholarship. Journal of Computer-Mediated Communication, 13(1), article 11.
7
Profielfoto van een dromerige kat.
Ongeacht de fysieke context waar Marie zich offline in bevindt, zien we dat ze de mogelijkheid heeft om buiten deze context te treden en in een online wereld, waar tijd en ruimte helemaal anders gedefinieerd zijn, alsnog zichzelf te uiten. Doordat er op sociale netwerksites geen duidelijke grenzen bestaan, wordt het gemakkelijker de eigen identiteit te uiten. Zo kan je ook de eigen mening of frustraties ventileren na het lezen van een krantenartikel, communiceren met oude kennissen of een oud fotoalbum van een vriend doorbladeren. Bovendien geeft het je de kans om je positieve kanten, de dingen waar je trots op bent, of waar je graag mee bezig bent, te delen met anderen. Met andere woorden, sociale netwerksites zijn als een open plaats, een soort markt, om de persoonlijke en sociale identiteit tentoon te spreiden en te ontwikkelen.
3.2 Wat zijn de gevaren? Vereerd om zijn identiteits- en communicatiemogelijkheden, worden sociale netwerksites ook betwist omwille van privacyproblemen. In deze sectie wordt een overzicht gegeven van de verschillende privacyproblemen op deze platformen. Vooraleer we ons hierin verdiepen is het noodzakelijk een onderscheid te maken tussen twee vormen van privacy, die weliswaar verbonden zijn met elkaar, met name sociale en institutionele privacy (1). Sociale privacy verwijst naar het controleren van de informatiestroom ten opzichte van vrienden. Het betreft het controleren van de informatiestroom omwille van identiteitsredenen. Dit wordt gestuurd vanuit een persoonlijke motivatie. Zo wil je bijvoorbeeld niet dat je ouders alles weten van wat je deelt met je vrienden, en omgekeerd. (1) Raynes-Goldie, K. (2010). Aliases, creeping, and wall cleaning: Understanding privacy in the age of Facebook. First Monday, 15(1-4).
11
jouw gegevens voor andere doeleinden gebruiken, dan kan je je hier in bepaalde gevallen tegen verzetten (zie hieronder). Voor direct marketing (gepersonaliseerde reclame), bijvoorbeeld, moet de aanbieder van de sociale netwerksite in principe je uitdrukkelijke toestemming vragen, en mag je er steeds voor kiezen om deze reclame niet meer te ontvangen (al kan het wel zijn dat je hiertoe in de praktijk het gebruik van de sociale netwerksite moet stopzetten). Naast het recht je te verzetten tegen gepersonaliseerde reclame heb je nog een aantal algemene rechten die je steeds kan uitoefenen wanneer er persoonlijke gegevens over jou verwerkt worden.
R E C H T E N Een recht op toegang
Elk individu heeft het recht om aan de aanbieder van het sociale netwerk toegang te vragen tot een heleboel informatie: Worden er überhaupt gegevens over mij verwerkt? En zo ja, voor welke doeleinden? De aard van de gegevens en met wie ze worden gedeeld; De gegevens zelf, in een begrijpelijke vorm; De oorsprong van de gegevens (hoe is men hieraan gekomen?); Indien er automatische beslissingen genomen worden op basis van je gegevens (bv. als men je gaat categoriseren volgens politieke strekking, gebaseerd op je vriendenlijst en interesses), de logica achter dergelijke beslissing; De mogelijkheid van een recht op verbetering, verzet en verwijdering van je gegevens.
17
Een recht op verbetering
Naast het recht op inzage heb je, als gebruiker van een sociaal netwerk, ook het recht om onjuiste persoonlijke gegevens kosteloos te laten verbeteren. Een recht op verzet
In bepaalde situaties heb je bovendien het recht je te verzetten tegen het gebruik van je gegevens. Hiervoor dien je wel een ernstige reden te hebben (door bijvoorbeeld nadelige gevolgen aan te duiden). Dergelijke motivering is echter niet vereist wanneer je gegevens worden gebruikt voor direct marketing (gepersonaliseerde reclame). Met andere woorden, je hoeft geen verantwoording af te leggen om je te verzetten tegen het gebruik van je gegevens voor gepersonaliseerde reclame. Bovendien mag men je geen kosten aanrekenen voor het uitoefenen van dit recht. Een recht op verwijdering?
De regelgeving met betrekking tot het recht op verwijdering van gegevens is momenteel vrij vaag. De wet laat je enkel toe de verwijdering van je gegevens te eisen onder strikte – zij het onduidelijke – voorwaarden. Wat betreft het gebruik van sociale netwerken is vaak de enige optie je account volledig stop te zetten, hoewel zelfs dan je gegevens nog niet onmiddellijk verwijderd worden (maar wel na een bepaalde tijd).
U I T O E F E N I N G
VA N
J E
R E C H T E N
I n f or m e l e f a s e
In eerste instantie kan je best de richtlijnen en het beleid van de aanbieder van het sociale net18
werk nagaan. In de meeste gevallen zullen zij reeds maatregelen voorzien hebben en antwoorden bieden op je vragen (bv. Frequently asked questions of FAQ , helpdesk, enz.). Zo bestaan er op de
Dagvaarding
Al valt het ten stelligste aan te raden om eerst een klacht neer te leggen en via de Privacy Commissie tot een minnelijke schikking te komen, kan je ook meteen naar de bevoegde rechter stappen. Het is echter wel noodzakelijk dat je voorafgaand zelf een verzoek aan de aanbieder van het sociale netwerk hebt verzonden (tot inzage/verbetering/verwijdering/verzet). Enkel wanneer dergelijk verzoek werd afgewezen, of je geen antwoord ontvangt binnen een termijn van één maand, is het mogelijk de aanbieder te dagvaarden. De rechter zal dan bepalen in welke mate er sprake is van onredelijk/onrechtmatig gedrag en – indien er schade kan worden aangetoond – een vergoeding toekennen.
4.1.2. Tegenover andere gebruikers De andere gebruikers van sociale netwerksites hebben in principe dezelfde rechten en verplichtingen als jij. Dit wil zeggen dat ze zich ook aan de algemene regels van de site moeten houden, maar bovendien moeten zij ook de redelijke verwachtingen van hun medegebruikers respecteren. Zo behoor je niet zomaar informatie over anderen te delen zonder hun toestemming of medeweten. In geval van twijfel, kan je best eerst even afwegen: vinden al je vrienden het wel fijn wanneer je zomaar foto’s van hen op het internet gooit? Let ook op wat je schrijft over anderen, zeker wanneer er nog andere personen kunnen meelezen. In geval van twijfel, stel jezelf dan de volgende vraag: “zou ik het fijn vinden als iemand anders zoiets over mij zou schrijven?” Wanneer je toch informatie over jezelf vindt op je sociale netwerksite waarmee je niet gelukkig bent, zijn er ook enkele stappen die je kan ondernemen.
Vragen dat andere gebruiker praktijk stopzet
In eerste instantie kan je best de desbetreffende persoon zelf aanspreken. Vaak worden foto’s, video’s of tekstjes gepost zonder hier al te veel bij na te denken en zijn er geen kwade bedoelingen in het spel. Het eenvoudigweg signaleren van je bezwaren zal in de meeste gevallen reeds tot een oplossing leiden. 20
K l a cht b i j a a n b i e d e r v a n s o ci a l e n e t w e r k s i t e
Indien de andere persoon niet antwoordt of weigert de informatie te verwijderen, kan je best zo snel mogelijk de aanbieder van het sociale netwerk zelf aanspreken. Dergelijke aanbieders voorzien meestal in een heleboel middelen om praktijken zoals pesten en intimidatie te voorkomen of te verwijderen. Je kan dus best eens een kijkje nemen naar de richtlijnen van jouw sociaal netwerk. Uitoefening van rechten
Indien geen van de bovenstaande opties voldoening brengt en het probleem blijft voortbestaan, kan je de officiële procedure volgen die reeds in het vorige deel besproken werd. Zo kan je, meer bepaald, een gedagtekend en ondertekend verzoek tot verwijdering versturen naar de andere gebruiker. Klacht bij de Privacy Commissie
Indien er geen antwoord komt binnen een maand volgend op je verzoek, kan je (gratis) klacht neerleggen bij de Privacy Commissie. Deze zal dan de gegrondheid van je klacht onderzoeken en je bijstaan in het komen tot een bevredigende oplossing.
Dagvaarding
Wanneer alle andere opties zijn uitgeput kan je nog steeds naar de rechter stappen. Deze zal dan nagaan of er sprake is van een inbreuk en de verschillende belangen tegen elkaar afwegen. Indien nodig is het ook mogelijk een schadevergoeding te eisen. 21
4.2 Privacy-instellingen Het beheren van privacy-instellingen -die bepalen wie wat kan zien- is een hele uitdaging, vooral op sociale netwerksites die gebaseerd zijn op interactie en het delen van persoonlijke gegevens. Binnen deze dynamische omgevingen worden gebruikers permanent geconfronteerd met de overweldigende taak om voor elk gegeven stukje informatie apart de privacy-instellingen te beheren en in het oog te houden. Hierbij is het best om aan te nemen dat alles gedeeld wordt met iedereen en dus openbaar is, tenzij je de instellingen telkens opnieuw aanpast. Indien je van deze veronderstelling uitgaat, is het eenvoudiger te begrijpen welke risico’s gepaard gaan met het negeren van de privacy-instellingen van sociale netwerksites. Het is van essentieel belang dat gebruikers regelmatig deze instellingen nakijken en bijstellen om hun privacy te garanderen. Op de meeste sociale netwerksites wordt een onderscheid gemaakt binnen de privacy-instellingen. Je kan kiezen voor publiek, half-publiek of privé. Publiek houdt in dat alle informatie die je deelt voor iedereen zichtbaar is, inclusief foto’s en dergelijke. Omwille van reeds aangehaalde gevaren is het niet aangeraden om voor publiek te kiezen. Half-publiek houdt in dat zaken zichtbaar zijn voor vrienden en voor sommige vreemden, meestal mensen die jouw vrienden kennen (bv. vrienden van vrienden), of dat sommige delen van je profiel zichtbaar zijn voor iedereen en andere niet. Privé houdt in dat enkel vrienden de gedeelde informatie en foto’s kunnen zien. Tegenwoordig is het op sociale netwerksites ook gangbaar om cirkels, lijsten, of groepen van vrienden te creëren, waarbij je voor elke cirkel of groep aparte privacy-instellingen kan gebruiken. Het zou hier te ver reiken om voor elke sociaal netwerksite de standaard privacy-instellingen en opties te overlopen en bovendien veranderen de instellingen bij regelmaat. Om meer informatie te bekomen over hoe alles bij jouw sociale netwerksite geregeld is, kan je op bijvoorbeeld www.youtube.com de naam van de sociale netwerksite intikken met daarbij ‘privacy settings’. Je zal dan zeker een recent filmpje vinden waarin uitgelegd wordt hoe je de instellingen verandert op de sociale netwerksite die jij gebruikt. Het is ook belangrijk om te begrijpen dat op sociale netwerken de zaken niet altijd lopen zoals je 22
ze zou verwachten, ook al beheer je je privacy-instellingen. Deze instellingen zijn heel belangrijk,
maar échte privacy op sociale netwerken is vaak een moeilijk te bereiken doel. Het is daarom van belang dat je volgende zaken in het achterhoofd houdt wanneer je je op sociale netwerken begeeft, om toch zoveel mogelijk privacy te hebben: Iemand die toegang heeft tot persoonlijke informatie, kan deze zonder toestemming herverdelen. Deze persoon kan bijvoorbeeld foto’s van jou online zetten, jou hierin taggen, of zelfs je telefoonnummer of adres delen, ook al is dit niet altijd wettelijk.
Een vriend kan bewust persoonlijke informatie delen, bijvoorbeeld na een scheiding, ruzie of zelfs gewoon uit jaloezie.
Personen kunnen liegen over hun identiteit om zo persoonlijke informatie van iemand te bekomen of zijn/haar vertrouwen te winnen. Privacy-instellingen ten opzichte van personen die men nog maar net kent worden dus ook best redelijk strikt gehouden.
Standaard privacy-instellingen van sociale netwerken veranderen vaak. Het is belangrijk om dit regelmatig te controleren en deze niet op de standaard-instellingen te laten staan.
Wanneer een gebruiker iets post en dit enkel met vrienden deelt, is de groep van personen vaak niet enkel beperkt tot vrienden, maar houdt deze ook vaak vrienden van vrienden in. Wanneer men bijvoorbeeld een persoon tagt in een foto verschijnt deze update op het profiel van deze persoon én in het nieuwsoverzicht van zijn/haar vrienden.
23
Wanneer je een statusupdate post, hou dan je privacy-instellingen in het achterhoofd, en dus wie deze update allemaal te zien krijgt. Je wil bijvoorbeeld in geen enkel geval aan potentiële inbrekers laten weten dat je niet thuis bent.
Het veranderen van privacy-instellingen wordt niet noodzakelijk toegepast op acties en gedeelde objecten uit het verleden. Het is van belang om in het oog te houden wat nu precies wel en wat niet openbaar is.
Wanneer men inhoud deelt met andere gebruikers moet men ervan bewust zijn dat de eigen privacy-instellingen niet noodzakelijk van toepassing zijn, maar kunnen onderdrukt worden door de privacy-instellingen van deze andere gebruikers.
In het algemeen is het van belang om zich bewust te zijn van de privacy-instellingen die beschikbaar zijn op de sociale netwerksite en de effecten en gevolgen van het toepassen van deze instellingen te begrijpen. Best houd je ook nog een zeer belangrijke vuistregel in het achterhoofd: denk twee keer na voor je iets op een sociaal netwerk plaatst, het blijft tenslotte een openbare plaats waar informatie vaak permanent wordt opgeslagen. Het volgende voorbeeld maakt dan ook duidelijk dat zelfs wanneer je je privacy-instellingen aanpast, de dingen soms anders kunnen lopen dan je had gedacht. De aanbieder van je sociale netwerksite ziet immers alles wat je post, 24
overal waar je klikt, alles wat je doet..
Facebook als Big Brother: mensen gearresteerd op basis van een namenlijst Een groep mensen organiseert een betoging in een land dat onder een repressief regime staat. Om de betoging onder de aandacht te brengen en dus meer mensen te lokken hebben de organisatoren een groep gemaakt op Facebook, een ‘evenement’. Het is dus mogelijk om je aanwezigheid hier te bevestigen, wat resulteert in een lijst van namen van mensen die zullen deelnemen aan de betoging. Deze lijst is niet openbaar: enkel de ‘administratoren’ of organisatoren van het evenement hebben toegang tot deze lijst. De aanbieder van de sociale netwerksite, in dit geval Facebook, wordt door de regering echter gedwongen om de lijst vrij te geven. Hoewel deze lijst niet openbaar is, heeft de aanbieder deze informatie wel ter beschikking. De regering laat vervolgens mensen arresteren die in de lijst staan, om de betoging te boycotten. Ook gegevens over mensen die de pagina van het evenement vaak bezochten, over mensen die commentaren postten zoals ‘ik zou graag komen maar ik ben ziek’, of over mensen die enkele vrienden hebben die op de aanwezigheidslijst staan, worden vrijgegeven. Vervolgens worden ook al deze mensen gearresteerd.
“
“
25
5. Wat kan je als leraar doen?
Na de voorgaande info is het relevant om dieper in te gaan op wat je als leerkracht kan doen om jongeren te waarschuwen voor de gevaren die gepaard gaan met het gebruik van sociale netwerksites. Belangrijk hierbij is dat de voorgaande info op een positieve manier aan de leerlingen wordt overgebracht en ook de vele mogelijkheden van sociale netwerken benadrukt worden, zodat deze info niet angstinducerend werkt, maar eerder jongeren aanspoort om sociale netwerken op een bewuste en verantwoorde manier te gebruiken. Er zijn reeds lespakketten ontwikkeld om dergelijke informatie omtrent sociale netwerken op een constructieve manier aan leerlingen over te brengen. We geven hier een overzicht van deze lespakketten, waarna er ook enkele voorbeelden worden gegeven van middelen die je als leerkracht zelf kan gebruiken om veiliger sociale netwerksites te gebruiken.
5.1 Lespakketten omtrent online veiligheid Er bestaan reeds enkele volledig uitgewerkte pakketten rond veilig internetgebruik. In deze pakketten zit ook lesmateriaal rond veilig gebruik van sociale netwerksites. Deze pakketten zijn allemaal gratis te downloaden. Hieronder geven we een overzicht van enkele bestaande Vlaamse pakketten. Voor elk pakket beschrijven we kort de doelgroep en de inhoud, en geven we aan waar het pakket te vinden is.
26
Aanvullende literatuur
32
G
Index
H
B Badoo: ..................................................................... 8 Bebo: ....................................................................... 8
C Clicksafe: ...................................................... 27 • 28 Collusion: Zie software Connected: ............................................................ 28 Cyberpesten: ......................................................... 14
D Data Verkopen: ..................................................... 15 Verzamelen: ................................................. 15
F
34
Gebruiksvoorwaarden: .......................................... 16 Gepersonaliseerde reclame: ................14 • 17 • 18 Gevaren: ...........................10 • 11 • 22 • 26 • 28 Gezichtsherkenning:.............................................. 15 Ghostery: Zie software Google +: ................................................................ 8
Facebook: ....................................................... 8 • 29 Filter bubbel: ................................................ 12 • 14 Flickr: ...................................................................... 9 Friendster: ............................................................... 8
Hi5: ......................................................................... 8 Hyves:...................................................................... 8
I Identiteit: 6 • 11 • 12 • 13 • 14 • 19 • 23 • 28 Institutionele privacy: ................ 11 • 12 • 13 • 15
K Kids in cyberland: ................................................. 27
L Last. fm: .................................................................. 8 Lespakketten: ........................................................ 26 LinkedIn: ................................................................. 8
M MatchUpBox: Zie software Mogelijkheden:......................................7 • 10 • 28 MySpace: ................................................................ 8
N
S
Netlog: ..................................................................... 8 NOYB: Zie software
Safebook: Zie software Scramble: Zie software Sociale privacy: ............................................ 12 • 14 Sociale reclame: ..................................12 • 13 • 14 Software Collusion: ..................................................... 31 Ghostery:...................................................... 31 MatchUpBox: .............................................. 30 NOYB: ......................................................... 29 Privacy Check: ............................................. 29 Privacychoice: .............................................. 29 Priv.ly: .......................................................... 30 Safebook:...................................................... 30 Scramble: ..................................................... 30 VPSN: .......................................................... 30 Spelend Leren: Online zijn: .................................. 27 Stalken: ......................................................... 12 • 14
O Onzichtbaar publiek: ................................... 12 • 13 Op zoek naar mezelf: ............................................ 27 Orkut: ...................................................................... 8
P Privacybeleid: ........................................................ 16 Privacy Check: Zie software Privacychoice: Zie software Privacy Commissie: .............................19 • 20 • 21 Privacy instellingen: .............................................. 22 Privacyverklaring:.................................................. 16 Private levenssfeer: ................................................ 12 Priv. ly: Zie software Publieke levenssfeer: .............................................. 12
R Rechten Recht op toegang: ........................................ 17 Recht op verbetering:................................... 17 Recht op verwijdering: ................................. 18 Recht op verzet: ........................................... 18 Reputatie: .............................................................. 14
T Think before you post: .......................................... 28 Trackers:....................................................... 15 • 31 Tumblr: ................................................................... 8 Twitter: .................................................................... 8
V VPSN: Zie software
Y Youtube: .................................................................. 9
35