image

Telco's bespioneerden surfgedrag klanten

donderdag 4 juli 2013, 11:08 door Redactie, 9 reacties

KPN, Tele2, T-Mobile en Vodafone hebben de privacy van klanten geschonden door gedetailleerde informatie over het surfgedrag op te slaan, zo meldt het College bescherming persoonsgegevens (CBP). De privacywaakhond publiceerde vandaag rapporten naar aanleiding van het onderzoek naar analyse van het dataverkeer (packet inspection) over het mobiele netwerk van de telco's.

Tijdens het onderzoek constateerde het CBP bij alle vier de telecombedrijven overtredingen van de Wet bescherming persoonsgegevens (Wbp) en de Telecommunicatiewet (Tw). De bedrijven bleken onder meer in strijd met de wet op detailniveau gegevens te bewaren over de bezochte websites en gebruikte apps.

Providers
KPN handelde in strijd met de wet door de voor het beheer van het netwerk verzamelde gegevens over websitebezoek en appgebruik niet zo snel mogelijk onomkeerbaar te anonimiseren of te verwijderen. Het CBP heeft bij Tele2 meerdere overtredingen geconstateerd die op één overtreding na nog voortduren.

Tele2 overtreedt onder meer de wet door de gegevens over websitebezoek en appgebruik van klanten weliswaar te versleutelen, maar niet zo snel mogelijk na het verzamelen onomkeerbaar te anonimiseren. Het bedrijf blijkt deze gegevens gedurende een jaar te bewaren. Tele2 gebruikt bovendien zonder toestemming van zijn klanten de verzamelde gegevens voor marktonderzoeksdoeleinden. Ook dat is in strijd met de wet.

T-Mobile heeft een aantal overtredingen van de wet inmiddels (ten dele) beëindigd naar aanleiding van het onderzoek. Het bedrijf is nog altijd in overtreding omdat het e-mailadressen niet zo snel mogelijk verwijdert.

Vodafone heeft een aantal overtredingen van de wet inmiddels (ten dele) beëindigd naar aanleiding van het onderzoek. Vodafone bewaart ondanks aanpassingen een persoonsgegeven nog langer dan noodzakelijk is voor het detecteren en oplossen van problemen in het netwerk (netwerkmonitoring).

Verzamelen
De gegevens die providers verzamelen moeten op basis van de wet zo snel mogelijk na het verzamelen worden verwijderd of onomkeerbaar worden geanonimiseerd. "Gegevens over bezochte websites en gebruikte apps via de mobiele telefoon zeggen veel over het gedrag en de voorkeuren van mensen", aldus het CBP.

Volgens de organisatie is het in veel gevallen niet noodzakelijk om deze gegevens op klantniveau te bewaren. Uit het onderzoek kwam ook naar voren dat klanten niet of onjuist worden geïnformeerd over het feit dat de telecomaanbieders deze gedetailleerde informatie over hen verzamelen en wat zij ermee doen.

Dit gebrek aan transparantie is ook in strijd met de wet. Een deel van de geconstateerde overtredingen is inmiddels naar aanleiding van het onderzoek beëindigd. Het CBP zal nu controleren in hoeverre geconstateerde overtredingen nog voortduren en beslissen of het handhavende maatregelen zal nemen.

Reacties (9)
04-07-2013, 11:19 door Anoniem
Telcos niet te vertrouwen met klantdata, want ze doen lekker waar ze zin in hebben totdat er een waakhond langs komt. Daarnaast zijn ze ook nog eens inept als ISP. Goh.
04-07-2013, 11:23 door Anoniem
De IT-sector heeft geen enkel respect voor zijn klanten. Wanneer gaan de klanten zich daar eindelijk naar gedragen?? Hoe lang blijven ze slaafs achter die lui aanlopen??
04-07-2013, 11:25 door AcidBurn
Schoften zijn het.
04-07-2013, 11:55 door Anoniem
Geen forse boetes voor deze telecomproviders ?
Gebruikersgegevens zouden helemaal niet verzameld en bewaard moeten worden. Alleen bij ernstige verdenking van terrorisme zou dit na goedkeuring door een rechter mogen plaatsvinden. Maar ja, het Prism-schandaal is veelzeggend en ontluisterend.
04-07-2013, 13:18 door freediver
De verleiding was te groot geworden zodoende keken ze in de trommel van pandorra...
04-07-2013, 13:31 door Anoniem
Kan me nog prima de lachende KPN managers herinneren die het geen reet kon schelen dat ze in overtreding waren, want 'daar komen ze toch nooit achter' en het leverde wel commerciele voordelen op :(
04-07-2013, 16:04 door Anoniem
Hoog tijd voor een èchte 'Fair Trade ISP' ?

Verzamelen
De gegevens die providers verzamelen moeten op basis van de wet zo snel mogelijk na het verzamelen worden verwijderd of onomkeerbaar worden geanonimiseerd.

Ander security-nl-artikel vandaag "Provider AT&T gaat klantgegevens verkopen" .

Uit verschillende onderzoeken blijkt dat geanonimiseerde data in veel gevallen toch naar individuen is te
herleiden.

Dat paper / onderzoek is te vinden onder de volgend titel :
"Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization " By, PAUL OHM . 8/14/2009
(download niet gelukt, artikel is ook te downloaden elders, zoeken op titel).


Nieuwe prangende vragen zijn dan :

- Controleert het CPB ook op de kwalitatieve wijze van anonimisering van de data?
- Aan welke voorwaarden moet die anonimisering voldoen?
- Kunnen de uitkomsten uit bovengenoemd paper ook van toepassing zijn op de 'geanonimiseerde' data door genoemde Telco's?

- Bestaat de mogelijkheid dat de 'geanonimiseerde' data gedeeld en gebruikt worden met (toevalligerwijze) andere data-analytics-bedrijven als 'twee-o-' die 'anonieme' info er weer makkelijk uit 'zeven' (door het te combineren met de eigen data)?

Op basis van 'land'locatie en alleen al bezoek en search-patronen valt één en ander waarschijnlijk weer tot een aannemelijke identiteit te herleiden. Tenzij iemand extreem gemiddeld gedrag vertoont?


Inkopen versus verzamelen

- Wordt het niet ook hoog tijd dat ook de 'voorbeeldigste' of gewoon alle isp's van de klas eens nader bekeken worden?

Bijvoorbeeld; een bondig privacy policy, 'We verzamelen vrijwel niets', klinkt mooi.
Maar komt het misschien niet op het zelfde neer als je via de achterdeur gewoon data aanvult en die weer vergelijkt met de 'weinige gegevens' die je zelf hebt.
Aanvullen is in dit geval dan een eufemisme voor data inkopen / afnemen van bedrijven met een minder mooi privacy policy en die die data wel verzamelen.
Dan heb je een zonnig schoon (marketing) image en toch de inzichten (klantprofielen en meer data).


Tijd voor een 'Fair Trade ISP met Fair Trade diensten : geen klanten data handel en wandel, geen vast ip adres meer (?), proxy / vpn services met desnoods samenwerking provider in een wat ijziger niet eu land, en nog wat meer privacy services,.. ,..
04-07-2013, 19:52 door Anoniem
tsja..bijna onopgemerkt zijn we een surveillance-state /politie staat ingerold.
zie daar maar is uit te komen.....
18-07-2013, 13:53 door freediver
Door Anoniem: tsja..bijna onopgemerkt zijn we een surveillance-state /politie staat ingerold.
zie daar maar is uit te komen.....
Zolang we zulke idioten blijven kiezen die geen benul heeft wat er bij de bevolking speelt komen we inderdaad geen steek in de goede richting verder..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.