Achtergrond
image

Juridische vraag: Amerikaans bedrijf schendt mijn privacy

woensdag 27 mei 2009, 10:27 door Arnoud Engelfriet, 8 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Om diverse redenen run ik al een tijd mijn eigen DNS-server. Laatst viel me op dat er (zelfs als ik niets deed) regelmatig (denk 4 keer per minuut) een oproep werd gedaan naar data.coremetrics.com. Nu gebruik ik Debian dus dit verbaasde mij. Nou ja, snel opgelost zou je denken: voeg data.coremetrics.com aan de hosts-file toe en het is afgelopen. Tot mijn grote verbazing gingen er toen oproepen uit naar data.cmcore.com. Afijn, na ook dat te blokkeren ging ik eens onderzoeken, en via Slashdot kwam ik erachter dat dit een firma is die persoonlijke data van mensen verzamelt en exploiteert. Ik heb daar nooit toestemming voor gegeven. Kan ik daar wat tegen doen, juridisch gezien?

Antwoord: Dit is een Amerikaans bedrijf, en in de VS heerst de opvatting dat je geen privacy hebt behalve over dat wat je in je eigen huis doet met de gordijnen dicht en de communicatiemiddelen uitgeschakeld. Dit soort activiteiten zijn dus in Amerika al snel legaal. In Europa is dat anders. Privacy geldt ook op straat en ook op internet.

De mate van privacy hangt af van wat je aan het doen bent. Wat je op een blog zet, mag je niet als privé beschouwen, maar de inhoud van je mailtjes en de sites die je bezoekt in principe wel. Wil iemand dus wat doen met jouw surfgedrag, dan moeten ze daar expliciete toestemming voor vragen. Veel sites doen dat met een privacystatement, maar of dat voldoende is hangt heel erg af van hoe dat aangeboden wordt, wat erin staat en welke mogelijkheden tot opt-in en opt-out er zijn.

Als een bedrijf je gegevens verzamelt zonder toestemming, overtreden ze daarmee de Wet Bescherming Persoonsgegevens. Je kunt dan een claim tot schadevergoeding indienen, maar helaas is het vaak heel moeilijk om aan te tonen welke schade je nu echt hebt geleden. Ik heb al eens gepleit voor een vast bedrag per persoonsgegeven: zo is de prijs van persoonlijke data expliciet en heeft de burger geen bewijslast meer voor die schade. Dat zou niet alleen de problemen oplossen bij het verliezen USB-sticks, maar ook bij verwerking van persoonsgegevens zonder toestemming.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (8)
27-05-2009, 11:49 door Anoniem
Dank je voor je antwoord, deze vraag kwam van mij.
Het bedrijf heb ik zelf ook aangeschreven met het verzoek te overleggen aan welke partijen ze mijn data hebben verkocht en welke data dit was. Niet geheel onverwacht zonder gehoor.

Ik zal het maar moeten laten varen, geld om er iets aan te doen heb ik niet en wat ik uit je stuk begrijp ben ik overgeleverd aan de nukken van de wetten in de VS in dit geval. Neemt niet weg dat het me toch doet irriteren, maar ik kan wel oprecht iedereen aanraden zijn/haar eigen DNS servers te gaan draaien. Je krijgt echt een beter inzicht van wat je pc aan het doen is op het internet. Dat is veel waard.
27-05-2009, 14:08 door Anoniem
Mag ik vragen welk stukje software in de client (Debian?) deze verzoeken naar Coremetric deed? Was het een plugin in een browser, of een andere (windows) host op je netwerk? Je zou denken dat Coremetric dit in ieder geval via een EULA ergens moet hebben afgedicht???
27-05-2009, 14:54 door Anoniem
Natuurlijk mag je dat. Ik ben er nog steeds niet achter welk stukje software het doet. Ik heb het vermoeden dat het vanuit aMSN komt, maar dan waarschijnlijk niet van aMSN zelf, maar van 1 van de plugins die ik draai. Ik zou eerlijk gezegt ook niet zo meteen weten hoe ik daar achter kan komen. Heb het tot nu toe op basis van uitsluiten gedaan, processen sluiten tot het stopt, maar ik moet er bij zeggen dat ik na het blacklisten van die 2 adressen eigenlijk niet meer verder gezocht heb.
27-05-2009, 15:21 door SirDice
Het zijn [url=http://en.wikipedia.org/wiki/Web_bug]web bugs[/url].
28-05-2009, 20:12 door Anoniem
Wat ik me afvraag is dat er niet 1 centrale wet voor dit soort zaken komt. In Nederland en Europa is het wel redelijk geregeld met de privacy wetgevingen en bescherming persoonsgegevens, plus nog eens een bijkomen voordeel van een controlerend orgaan. Waarbij men zich ook kan melden enz.

Als het in de VS zoals bovenstaand wordt vermeld dat privacy aleen in je eigen huis is met de gordijnen dicht en op internet al nog minder is, zijn de amerikanen zich dan niet bewust wat met hun persoonsgegevens gebeurd en met alle gevolgen vandien? oke, het nu eenmaal een klaag-mij-aan maatschappij daar. Maar hoe krijgen de bedrijven het voor elkaar om persoonsgegevens/ andere gegevens al dan niet rechtmatig verkegen (volgens onze wet dan, hun wet wel via een "legale" wijze verkregen.)
Ik ben op dit moment zelf werkzaam op Aruba, en daar is ook geen wet bescherming persoonsgegevens van kracht, hierin ben ik mij nu aan het verdiepen, maar wil dit ook gaan verleggen naar de IT-wereld.

In Nederland zijn naast de privcy wetgeving, de wet bescherming persoonsgegevens en een wet op computercriminaliteit. Ik vraag me af hoe het in de rest van de wereld zit met dit soort wetgevingen
29-05-2009, 07:08 door Anoniem
@ Arnoud :

"Ik zal het maar moeten laten varen, geld om er iets aan te doen heb ik niet en wat ik uit je stuk begrijp ben ik overgeleverd aan de nukken van de wetten in de VS in dit geval. "

Is het niet zo dat wanneer dit bedrijf zonder toestemming informatie vergaard op een computer hier in Nederland, er sprake is van Nederlandse jurisdictie, waardoor je in theorie hier een zaak aan kan spannen onder Nederlands recht ? Immers kan je ook in het buitenland worden aangeklaagd wanneer je daar een computer hacked, ook al ben je nog nooit fysiek in dat land geweest ?

Waarom is op jouw voorbeeld Amerikaans recht van toepassing ?
29-05-2009, 09:19 door Arnoud Engelfriet
Op zich goed punt, Anoniem 07:08. Als je Nederlandse computers inzet om persoonsgegevens te vergaren, val je onder de Nederlandse privacywet (art. 4 WBP) ook al zit je zelf in de VS. Dus in theorie kun je dat bedrijf in Nederland aanklagen.

Wat je daaraan hebt is vers twee. Dat bedrijf komt niet naar NL om zich te verdedigen en heeft hier ook geen bezit dat je in beslag kunt nemen. En met een NL vonnis kom je in de VS echt niet ver. Dus ik zie niet zo goed wat je praktisch gezien zou kunnen doen.
29-05-2009, 14:22 door Night
is dit niet het grote probleem van wetgeving rond ICT en internet.

Het www is world wide zoals de eerste twee w's zeggen. Wetgeving is nog altijd voornamelijk nationaal.

Virtualisatie, gedistribueerde opslag en verwerking zorgen er voor dat je als ICT-er in veel gevallen niet eens meer kunt weten wat nu precies waar gebeurt. Als ICT-ers als specialisten niet meer met 100% zekerheid kunnen aangeven waar iets staat hoe kun je dan met nationale wetgeving daar nog grip op krijgen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure