verkeers- en locatiegegevens wat mogen internet providers en telecomaanbieders met verkeers- en locatiegegevens Gerrit-Jan Zwenne
if privacy isn’t already the first roadkill along the information superhighway, then it’s about to be Wired Magazine 1994
verkeersgegevens • verkeersgegevens (‘call detail records’, of ‘cdr’) – gegevens betreffende het feitelijk gebruik van netwerken en diensten door abonnees en gebruikers
› oproepende en opgeroepen aansluitnummer, omvang, tijdstip en duur oproep, gebruikte randapparatuur, inloggegevens, gsm-locatiegegevens, CLI’s, enz.
Art. Art. 11.5 11.5 Tw Tw
werkgever
werknemer
abonnee
gebruiker
• natuurlijke persoon
• natuurlijke persoon
–– of of rechtspersoon! rechtspersoon!
• partij bij overeenkomst –– met met aanbieder aanbieder van van elektr. elektr. communicatie communicatie
• voor de levering van elektr. communicatie-diensten –– d.w.z. d.w.z. transmissie transmissie van van signalen signalen over over elektr. elektr. communicatienetwerk communicatienetwerk
–– géén géén rechtspersoon rechtspersoon
• maakt gebruik van elektr. communicatie-dienst –– voor voor persoonlijke persoonlijke of of zakelijke zakelijke doeleinden doeleinden
• zonder noodzakelijk abonnee te zijn
›› telecommunicatie telecommunicatie ›› omroep omroep
Art. Art. 1.1 1.1 (p) (p) Tw Tw
Art. Art. 11.1 11.1 (a) (a) Tw Tw
regels voor verkeersgegevens • hoofdregel – anonimiseren of verwijderen zodra niet meer nodig voor communicatie of facturering daarvan
• uitzondering – verwerking wél toegestaan voor
› betaling interconnectie › geschilbeslechting, verkeersbeheer en inlichtingen › fraude opsporing en overigens bij of krachtens wet toegestaan – met toestemming van abonnees ook voor
› marktonderzoek en verkoop elektronische ›
communicatiediensten én levering toegevoegde waarde-diensten Art. Art. 11.5 11.5 –1 –1 t/m t/m 33 en en 55 Tw Tw
verkoop of marketing m.b.t. e-communicatiediensten • alléén voor e-communicatiediensten – diensten die gewoonlijk tegen vergoeding worden aangeboden en die geheel of hoofdzakelijk bestaan in overbrengen van signalen via ecommunicatienetwerken
• met toestemming abonnee of gebruiker • verwerking noodzakelijk – proportionaliteit en subsidiariteit
•• wilsuiting wilsuiting ― ―vrij vrij en en specifiek, specifiek, en en ― ―op op informatie informatie
berustende berustende
•• waarmee waarmee betrokken betrokken natuurlijke natuurlijke of of rechtrechtpersoon persoon aanvaardt aanvaardt dat dat zijn zijn gegevens gegevens worden worden verwerkt verwerkt (1.1, (1.1, (c) (c) Tw Tw jo. jo. 1, 1, (i), (i), WBP) WBP)
Art. Art. 11.5 11.5 –3 –3 (a) (a) Tw Tw
toegevoegde waardediensten • verkeersgegevens mogen worden verwerkt voor levering van toegevoegde waardediensten – met toestemming gebruiker of abonnee, én – zolang dat nodig is voor dergelijke diensten
• toegevoegde waardedienst is die dienst die… – verwerking vereist van verkeers- of locatiegegevens, én, – verder gaat dan nodig is voor overbrenging van communicatie of facturering daarvan
› bijvoorbeeld: Spotter (O2) en waarbenik.nl Art. Art. 11.5 11.5 –3 –3 (b) (b) Tw Tw
waarbenik.nl
verwerking verkeersgegevens alléén door personen • werkzaam ‘onder gezag’ van aanbieder – voor:
› facturering, verkeersbeheer, behandeling verzoeken om inlichtingen van klanten
› opsporing van fraude › marktonderzoek of verkoopactiviteiten • met betrekking tot elektronische communicatiediensten of • de levering van diensten met toegevoegde waarde – én beperkt tot hetgeen noodzakelijk is om die activiteiten te kunnen uitvoeren Art. Art. 11.5 11.5 –5 –5 Tw Tw
# DEN BOSCH 19/6/2003 - De provincie NoordBrabant gaat de gegevens van 100.000 tot 150.000 mobiele telefoons van automobilisten in de regio Midden-Brabant gebruiken voor verkeersinformatie . Via de signalen van die telefoons kunnen files sneller worden opgespoord en doorgegeven. Ook levert de info een schat aan gegevens op die nuttig kan zijn bij aanleg van nieuwe wegen. Ict-bedrijf LogicaCMG heeft het systeem bedacht, telefoonbedrijf Vodafone levert de gegevens van de telefoons.
Vaste telefonie
21.1 21.1 KPN KPN verwerkt verwerkt de de (persoons)gegevens, (persoons)gegevens,waarwaaronder onder verkeersgegevens, verkeersgegevens, van van de de Contractant Contractant die die nodig nodig zijn zijn voor voor een een goede goede dienstverlening. dienstverlening. Deze Deze gegevens gegevens worden worden verwerkt verwerkt in in overeenstemming overeenstemming met met de de wet. wet. Verwerkingen Verwerkingen van van persoonsgegevens persoonsgegevens zullen zullen door door KPN KPN overeenkomstig overeenkomstig de de toepasselijke toepasselijke wettelijke wettelijke regels regelsworden worden aangemeld. aangemeld. […] […] 21.5 21.5 KPN KPN kan kan persoonsgegevens persoonsgegevens aan aan derden derden verstrekken verstrekken met met het het oog oog op op gebruik gebruik door door hen hen in in het het kader kader van vanwerving werving voor voor commerciële, commerciële, ideële ideële en en charitatieve charitatieve doeleinden, doeleinden, tenzij tenzij de de Contractant Contractant heeft heeft aangegeven aangegeven daartegen daartegen bezwaar bezwaar te te hebben. hebben. 21.6 21.6 KPN KPN kan kan Verkeersgegevens Verkeersgegevens verwerken verwerken in in het het kader kader van van haar haar eigen eigen dienstverlening, dienstverlening, in in het het bijzonder bijzonder indien indien dit dit voortvloeit voortvloeit uit uit een een door door de de Contractant Contractant afgenomen afgenomen aanbiedingsvorm. aanbiedingsvorm.
mobiele telefoondiensten 5 Indien Contractant of Eindgebruiker een dienst van een derde afneemt, waarvoor deze derde dient te beschikken over de Persoongegevens en/of niet-geannonimiseerde Verkeersgegevens, dan is Vodafone niet aansprakelijk voor schade die door verwerking van deze Persoonsgegevens en niet-geannonimiseerde Verkeersgegevens door deze derde ontstaat. 6 Contractant vrijwaart Vodafone voor aansprakelijkheid die ontstaat nadat Vodafone op verzoek van Contractant de niet-geanonimiseerde Verkeersgegevens van Eindgebruikers verstrekt, die gebruik maken van een Aansluiting op basis van de Overeenkomst met Contractant.
verkeersgegevens en opsporing van strafbare feiten LJN AQ5858, Rechtbank Arnhem, 30-072004 (moord) LJN AR5701, Hoge Raad 04-01-2005 c. Op grond van de gsm-locatie-gegevens is (raadsman verzoekt locatiegegevens) door de recherche vastgesteld welke route Fragment uit brief raadsman (mr. A. Moszkowicz): “Uiteraard levert het vastleggen verdachte moet hebben gereden na het schietincident. Zo volgt uit het onderzoek datvan dergelijke gegevens een inbreuk op de privacy van de gebruiker van de mobiele verdachte met de telefoon via het centrum van Nijmegen en door Ubbergen en Beek richting aansluiting op, nog los van het feit, dat gegevens uit die bestanden potentieel tot het bewijs Duitsland is gereden. Verdachte is hierbij ofwel zouden kunnen bijdragen. Deze vanaf de plaats delict via de Hogelandseweg gegevensbestanden kunnen echter ook als gereden, ofwel via de Westkanaaldijk gereden. ontlastend hebben te gelden, namelijk indien uit Het wapen waarmee het slachtoffer werd hoofde van andere onderzoeksresultaten de doodgeschoten is gevonden langs de aanwezigheid van in casu [verdachte] ergens Westkanaaldijk. wordt vermoed, maar deze registraties zouden Bijlage Bijlage bij bij brief brief van van Minister Minister van van Justitie Justitie kunnen uitwijzen dat hij (althans de gebruiker d.d.14 van die aansluiting) in werkelijkheid elders was.” d.d.14 februari februari 2005 2005 (TK (TK 23490, 23490, nr. nr. 360) 360)
bewaarplicht verkeersgegevens • systematische bewaarplicht voor telecomaanbieders, ISP’s enz. – in democratische samenleving noodzakelijk, redelijk en proportioneel voor nationale veiligheid, defensie enz.
Art. Art. 15 15 -1 -1 Rl Rl 2002/58 2002/58
doel richtlijn 2006/24/EG • harmonisering nationale wetgeving – waarin aanbieders van elektr. communicatie – worden verplicht verkeers-gegevens te bewaren
• om beschikbaarheid van die gegevens te garanderen – voor onderzoek, opsporing en vervolging van ernstige criminaliteit
› zoals gedefinieerd in de nationale wetgeving
terrorisme terrorisme georganiseerde georganiseerde zware zware criminaliteit criminaliteit mensenhandel mensenhandel drugs drugs moord moord en en doodslag doodslag witwassen witwassen ‘piraterij’ ‘piraterij’ inbreuk inbreuk auteursrechten auteursrechten enz. enz.
?
p r e Wet bewaarplicht w t n telecommunicatiegegevens o s et W Wijziging van de Telecommunicatiewet en de Wet op de economische delicten in verband met de implementatie van Richtlijn 2006/24/EG van het Europees Parlement en de Raad van de Europese Unie betreffende de bewaring van gegevens die zijn verwerkt in verband met het aanbieden van openbare elektronische communicatiediensten en tot wijziging van Richtlijn 2002/58/EG
te bewaren gegevens • verkeers- en locatiegegevens – i.d.z.v. art. 11.1 (b) (d) Tw – én gegevens nodig om abonnee of gebruiker te identificeren
• oproeppoging zonder resultaat
nader uit te werken bij AMvB
?
– telefoonoproep wel tot verbinding heeft geleid
› onbeantwoord gebleven › of via netwerkbeheer beantwoord.
Art. Art. 13.2a 13.2a -- 11 en en 22 Wetsontwerp Wetsontwerp
bewaartermijn achttien maanden onnodig lang - in elk geval veel langer dan in andere lidstaten
R Riicchhttlliijn jn 22000066/ /2244//E EG G A A r rttiikkeell 66 … …ggeedduure rennddee tten e miinnst eenn tteenn stee zzeess m hhooooggsste n m te ttw ddaattuum w e eee jjaaaarr v maaaannddeenn m vvaann dde vaanna e ccoom mm muunniiccaati aff ddee tiee ......
zekere marge, ook t.b.v. rechtshulpverzoeken en ‘cold cases’
politie
telco telco telco telco telcotelco telco telco telco telco telco
justitie AIVD
CIOT
MIVD
Ongevraagde commerciële communicatie (spam!)
Gerr!t-J@n 2wenne
A guaranteed delivery of 50 million emails for under a thousand bucks. And you only need one sucker in a million to recover your startup costs Ray Everett-Church CPO ePrivacy Group
kwalificatie(s) spam • Art. 11.7 Tw – ongevraagde oproepen t.b.v. direct marketing
• Art. 7: 46h Bw – ongevraagde oproepen of mededelingen t.b.v. totstandkoming verkoop op afstand
• Art. 3:15e Bw – ongevraagde commerciële communicatie
• Art. 41 Wbp – verwerking persoonsgegevens – i.v.m. totstandbrenging of instandhouding van directe relatie met betrokkene t.b.v. commerciële of charitatieve doelen
commercieel idieel charitatief..?
Art. 11.7 Tw • opt-in – geautomatiseerde oproepssystemen zónder menselijke tussenkomst › zg. oproepautomaten of ‘automatic calling devices’
– fax, e-mail, sms, enz.
• opt-out
massale massale berichtenverspreiding berichtenverspreiding zonder zonder noemenswaardige noemenswaardige kosten kosten voor voor verzenders verzenders
– andere oproepsystemen › telefoontje ‘beleggingsadviseur’ over pensioengat (omstreeks etenstijd)
– gebruik ‘elektronische klantgegevens’ bestaande klanten › direct marketing per e-mail (sms, etc.) t.b.v. eigen én gelijksoortige producten
opt-in voor elektronische berichten, fax e.d. • voorafgaande toestemming – vrije, specifieke, én op informatie berustende wilsuiting
• voldoende duidelijk –– op op welke welke producten producten de de mailing mailing betrekking betrekking heeft, heeft, van van wie wie deze deze producten producten zijn, zijn, enz. enz.
• instemming in AV is ontoereikend • géén vooraf aangevinkt hokje • bewijslast bij verzender!
opt-out voor gebruik elektronische contactgegevens • gebruik elektronische contactgegevens – van bestaande klanten waaraan producten zijn verkocht of diensten geleverd – t.b.v. marketing
› eigen én › gelijksoortige producten
alleen e-mail en sms (enz.), géén faxgegevens géén gegevens verkregen door enquete of prijsvraag
Wat m.b.t. groepsgenoten in convernverband..? En zijn dvd’s, cd’s en cdroms gelijksoortig..?
bedrijven en werknemers • alléén spam-bescherming voor natuurlijke personen – wijzigingsvoorstellen: › werking uitbreiden tot abonnees›
rechtspersonen werking uitbreiden tot gebruikers (niet abonnees) • Resp. Amend. 18 en 42
– niet overgenomen…
“…regering “…regering heeft heeft geen geen signalen signalen opopgevangen gevangen dat dat ongevraagde ongevraagde communicatie communicatie (m.n. (m.n. reclame reclame e-mail e-mail of of spam) spam) voor voor het het bedrijfsleven bedrijfsleven een een probleem probleem zou zou zijn…” zijn…”
reparatie t.a.v. rechtspersonen en bedrijven • abonnee – rechtspersoon of – natuurlijke persoon die handelt in uitoefening van bedrijf of beroep
[email protected] [email protected]
• geen toestemming vereist – als verzender maakt gebruik van daarvoor bestemde elektronische contactgegevens – abonnee gevestigd buiten EER
› en voldaan aan aldaar geldende vereisten m.b.t. ongevraagde elektronische communicatie
TK 30661
opt-out register • register – voor andere communicatie dan automatische oproepsystemen, faxen en elektronische communicatie – abonnee kan te kennen dat hij deze andere communicatie niet wenst te ontvangen
• opt-out ook t.a.v. verder gebruik van elektronische contactgegevens
TK 30845
handhaving • OPTA belast met handhaving van spam-verbod – maar CBP ook – max. boete € 450.000 – of een waarschuwing…
• alleen bevoegd over Nederlandse spam – spamverbod geldt voor natuurlijke of rechtspersonen die vanuit Nederland elektronische berichten versturen – materiële verzender
› d.w.z. de degene die op de verzendknop drukt of degene die opdracht geeft tot de verzending
• waar berichten worden ontvangen is irrelevant juiste n o n a v g in k k e r t alleen vers r feit a a b f a r t s is s n e afzendergegev ct li e d h c is m o n o c c.q. e
ontwikkelingen Q3-Q4 2006 • fifty-nine percent of all monitored email traffic is spam – in Q1-Q2 just 54 percent
• sixty-five percent is in English • fourty-four percent originates in the US • thirty percent relates to financial services
source Symantec Internet Security Threat Report
Werkafspraken OPTA-CBP OPTA • ontvangst elektronische berichten – zonder toestemming
CBP • verwerking persoonsgegevens – verzamelen, gebruik of ter beschikking stellen elektronische contactgegevens
meer regels voor ongevraagde elektronische communicatie • Code E-mail (St. Reclame Code) – max. omvang berichten en attachments
› 50Kb tenzij anders overeengekomen › bij zip-bestanden vermelding omvang in bericht › virusvrij, geen ‘executables’ – informatie identiteit en bereikbaarheid adverteerder – regels voor verzamelen e-mailadressen
› kettingbeding bij derdeverstrekking e-mail-adressen – opt-out! – klagen bij Reclame Code Commissie
• Art. 3:15e Bw
óók voor werknemers!!
– als zodanig herkenbaar en identiteit opdrachtgever
sp@m en interoperabiliteit • interoperabiliteitsverplichting voor telecomaanbieders en ISP’s enz. – totstandbrengen ‘eind-tot-eind-verbindingen’ tussen eindgebruikers
› alle openbare elektronische communicatienetwerken direct of ›
indirect gekoppeld (ge-interconnecteerd) zodat in beginsel iedereen met iedereen kan communiceren en iedereen overal elektronische diensten kan afnemen
• spam – kan reden zijn om toch géén interoperabiliteit tot stand te brengen Art. Art. 6.1 6.1 Tw Tw
Hotmail blokkeert e-mail @Home vanwege spam 21 december 2004 - Abonnees van kabelinternetaanbieder @Home hebben enkele dagen niet kunnen mailen naar Hotmail-adressen. Hotmail stopte met het accepteren van e-mails van @Home, omdat er te veel spam via de kabelprovider zou worden verstuurd. MSN is dinsdagochtend om elf uur gestopt met het blokkeren van e-mails afkomstig van @Home. "We hebben bepaalde maatregelen genomen die voor Microsoft voldoende waren om de mail van onze abonnees weer door te laten", zegt Jan Bakker, woordvoerder van de provider. @Home heeft de eigenaar van Hotmail onder meer beloofd om e-mails zonder afzendadres tegen te houden. "Daarmee is het probleem opgelost", aldus Bakker. Wanneer de e-mailblokkade precies begon, is onduidelijk. Abonnees melden dat er al problemen waren sinds vrijdag. @Home kan dat niet bevestigen. "Hotmail heeft ons er niet van in kennis gesteld dat ze onze e-mails blokkeerden", zegt Bakker. MSN Nederland kon niet op de zaak reageren.
Vodafone mms op zwarte lijst providers 23 Mei 2005. Providers die gebruikmaken van Virbl-blacklist weigeren mmsberichten van Vodafone door te laten. Oorzaak is de verzending van virussen via de smtp-server van Vodafone. Het virusblokkeringssysteem Virbl van BIT blokkeert ip-adressen waarvan tot tweemaal aan toe een virus is verstuurd. Hiermee wil BIT overbelasting door virussen tegen gaan. Via de uitgaande emailserver van Vodafone is tot twaalfmaal toe een virus verstuurd waarna het ip-nummer op de zwarte lijst van BIT is opgenomen, zo ontdekte Peter Bosgraaf, lezer van Webwereld. Vodafone-klanten die nu een mms sturen naar een e-mailadres komen bedrogen uit. De meeste internetproviders in Nederland maken namelijk gebruik van de Virbl-lijst. Bosgraaf is teleurgesteld in Vodafone: 'Normaliter scant een provider uitgaande e-mails. Ik betreur dat dit niet het geval is bij Vodafone. Hadden ze dit wel gedaan dan had hun eigen systeem de virussen er tussenuit gehaald en was dit niet gebeurd. Daarnaast kunnen Nederlandse providers hun uitgaande smtp-servers op een zogenaamde whitelist zetten. Ook dat heeft Vodafone niet gedaan.
a n a u n t u t c i t c i s t poetry’ a i s a g i r oorg rtiillaaggee‘spamaan nnneexx ssppaayye ccaart abbbbllee d r d e a c o d r d s l c o o d s m r l o d a i m t hhar oleeuum i c i t i d c duuccttw m l woorrkk illinno improvident improvident lutanist lutanist fluorine fluorine isfahan. isfahan. contextual contextual balletic balletic songful songful conservator conservator (typesetting (typesetting banal banal wilful wilful degree degree)) nn pe i k i r k u r p p d u e p r e m p in p d e t e r m q u m in in t l o e x q u m in a l o x c a c y l aam mpplyjehhoovvaahh l e m l u e m ueell bbaabbyylloonniian e j
ffoollkkssoonngg tran on gibbon nt gibb slucent transluce c l o c c l o ckkw waattcchheerr nza bona sack ruck rucksack bonanza
an
Cookies & Spyware welke regels er van toepassing zijn op cookies en spyware
Gerrit-Jan Zwenne
< cookies! />
(i)
(ii)
(iii)
Postcode 2334 www.ah.nl 036453995 292823632 356260482 282162
GOOD_COOKIE 84E59D5C_242 5_SYS=NL_N=4 57489_DATE=1 6_Jul_99 hyperbanner. net/ net/ 031722397442 931376166822 7936
Atf 1_2510734239 flycast.com/ flycast.com/ 0 2865430528 30124157 3794627936 29282159
Adware & Spyware en dergelijke • ad-aided software – gator.com – bearshare.com
• spyware – Real Player – KaZaA – BonziBuddy
› www.bonzi.com
• startpage hijacking – lop.com – ‘drive-by downloads’
• popup downloads – autodialers – enz.
regels voor cookies etc. • informeren gebruiker – ‘duidelijk en volledig’
› vooraf…? popups…? cookie policy…!
– o.a. over doeleinden, serverdomeinnaam, duur van cookies, noodzaak acceptatie cookies
Wél toegestaan is onderzoek naar doeltreffendheid website of reclame, bepalen identiteit gebruikers t.b.v. online transacties overw. 25 Rl. 2002/58
• aanbieden opt outmogelijkheid – d.w.z. gelegenheid bieden om cookie (etc.) te weigeren
Art. 4.1 BUDE
informeren vooraf of achteraf..? • iedereen die –– toegang toegang wenst wenst te te verkrijgen verkrijgen tot tot gegevens gegevens in in randapparatuur randapparatuur van van abonnee abonnee of of gebruiker, gebruiker, of of –– gegevens gegevens wenst wenst op op te te slaan slaan in in die die randapparatuur randapparatuur
• dient voorafgaand de abonnee of gebruiker te informeren…
Art. 4.1 BUDE
• gebruikers duidelijk en volledig geinformeerd… –– onder onder andere andere over over doeleinden doeleinden van van verwerking, verwerking, overeenkomstig overeenkomstig Richtlijn Richtlijn 95/46/EG 95/46/EG
• •
met medeweten van gebruiker… gebruiker is er zich van bewust dat gegevens worden geplaatst… • wijze waarop informatie wordt gegeven moet zo gebruikersvriendelijk mogelijk te zijn… Art. 5-3 Rl 2002/58 overw. 24-25
Cookies Policy Cookies zijn kleine stukjes informatie die door uw browser worden opgeslagen op uw computer. Bol.com gebruikt cookies om u te herkennen bij een volgend bezoek. Cookies stellen ons in staat om informatie te verzamelen over het gebruik van onze diensten en deze te verbeteren en aan te passen aan de wensen van onze bezoekers. Onze cookies geven informatie met betrekking tot persoonsidentificatie. U kunt uw browser zo instellen dat u tijdens het winkelen bij bol.com geen cookies ontvangt.
software oplossingen voor cookieproblemen • MS Explorer 5.5 – tools > internet options > security > customize level disable cookies / prompt
>
• Mozilla Firefox – tools > options > privacy > cookies
• Ad-aware – www.lavasoft.nu
Th e r e w a s a n i n p r o c e s s i n error g click-throug your h. O n e p o s s i b l e ca use i s t h a t y o u ha ve elected n o t to accept cook ies. In order t o cl ick through pro perl please acce y, p cookies f o r t d o m a i n . bfas t h e t.com
[email protected]
