Juridische vraag: is een omgekeerd telefoonboek illegaal?
ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: op de website Sync.me kun je willekeurige telefoonnummers invullen en zien welke naam daarbij hoort. Een omgekeerd telefoonboek dus. Maar wat valt me op: de gegevens zijn niet altijd officieel (zoals je in het telefoonboek staat), zo zijn er nummers die "Werk Papa" of "Oma" als bijbehorende naam geven. Dat komt dus gewoon uit iemands uitgelezen adresboek. Mag het zo dan wel, in hun voorwaarden staat daar vast een zin over.
Antwoord: omgekeerde telefoonboeken zijn in Nederland eigenlijk altijd illegaal. Voor opname in een officiële telefoongids geldt een wettelijke opt-outregeling, maar voor andere gidsen en ook voor omgekeerd zoeken geldt juist opt-in. Althans in theorie: in de praktijk vindt de OPTA/ACM het geen overtreding omdat het “op zich” niet zou worden ervaren als inbreuk op de persoonlijke levenssfeer, en in het buitenland er meer van zulke diensten zijn.
Een belangrijker punt hier is hoe Sync.me aan de gegevens komen. Die krijgen ze niet van de telecomproviders of uit een officiële telefoongids, maar uit mensen hun adresboek. Mag dát dan? Je kunt toch helemaal niet namens een ander toestemming geven om zijn telefoonnummer en naam te verstrekken?
Wat Sync.me doet, is de oude juridische truc van stal halen dat mensen in de Terms of Use beloven volledig legaal te handelen en te garanderen dat ze alle benodigde toestemmingen hebben geregeld. Ja precies, en ik had ook nog een brug in Rotterdam te koop voor een spotprijsje.
Hier. Lachen (auch auf Deutsch):
If you chose to activate the "Sync.ME search" feature, you would be asked to explicitly warrant that you have all necessary permissions to share your contacts’ information, and that you have no knowledge of any objection, on the behalf of any of your respected contacts, to include their names and phone numbers in the phonebook directory, which is available for other registered users. Please be sure not to share any other person details without his or her prior consent, and that the information you share is accurate and up-to-date.
Geloof je het zelluf. En ik kop hem dan toch maar even in: dit is zinloze prietpraat onder onze privacy- en telecomwetgeving. Toestemming als deze moet expliciet worden gegeven, en het is te enen male onmogelijk dat via Terms of Use of privacyverklaring te doen. Gewoon niet.
Sync.me is onder Europees recht gewoon de 'verantwoordelijke' voor dit soort persoonsgegevens, en moet dus zorgen dat dat zorgvuldig gebeurt. Simpelweg achter een juridische schaamlap wegduiken is niet zorgvuldig.
En nee, claimen dat ze slechts een hostingprovider zijn, gaat hem hier niet worden. Ze geven niet 1-op-1 opgeslagen informatie door, zoals een webhoster, forum of chatbox dat doet. Ze compileren de informatie en bouwen daar een eigen zoekdienst bovenop. Dat gaat te ver om immuniteit te claimen en met notice/takedown weg te komen.
Ik wil het niet elke dag zeggen, maar dit is dus een pracht van een datalek waar de Wbp-met-tanden voor bedoeld is. "Firmly committed to ensure that the personal information is safeguarded and protected", moehaha.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Our Service is not intended for minors under the age of 13, and we will not knowingly collect personal information from children. If we become aware that a user is under the age of 13, we will remove their information from our files. We reserve the right to request proof of age at any stage so that we can verify that children are not using the Service.
Ik vraag me af hoe ze dat willen doen kopietje ID ??? Ze gaan al niet echt zorgvuldig om met de gegevens die ze krijgen.
Laat het weten hoe je het hebt gedaan, is handig voor de lezers.
Mijn staat er ook in op de site zelf is het niet te vinden hoe dit moet maar google hielp me gelukkig verder.
https://sync.me/optout/
Dan nog heb ik geen goedkeuring gegeven om mijn gegevens te laten opnemen door dit bedrijf. Dus denk ook maar een melding bij AP doen.
https://autoriteitpersoonsgegevens.nl/nl/contact-met-het-cbp/tip-ons
Ik raad je AF je eigen telefoon nummer en plaats in 666 (Google) in te voeren.
O, die frustratie die daar uit voortkomt.
Hoe kom Google aan die nummers.
Wel dat doet bijna iedereen die sommige telefoon boek web sites te bezoekt.
De gegevens uit het URL van de laatste 3 sites worden door je browser doorgesluisd.
Fun nummer staat soms daarin, Google is heel geduldig, die data komt vanzelf aangewaaid. ;-)
Kun je ook uit zetten in Firefox about:config
In dit verband totaal zinloos want 99,99% van de mensheid pompt die data gewoon naar Google, Facebook en de rest.
Zeg vrolijke Frans. Kijk jij eens op wikipedia onder evil laughter. Daarna mag je zoeken op know your meme. Zit je sinds gisteren op Internet?
Leuk toch dat juristen ook mensen blijken te zijn. Arnoud is een held.punt.
En zo komen ze er altijd mee weg.
Leuk toch dat juristen ook mensen blijken te zijn. Arnoud is een held.punt.
Ik had een dikke glimlach na het lezen van dit prachtige artikel. Hoop natuurlijk wel dat de Autoriteit Persoonsgegevens deze partij dan ook meteen aanpakt (ze lezen toch vast mee)
@arnoud, zijn er juridische handvaten om die informatie op te vragen? Of houdt dat een beetje op bij inzage in welke gegevens ze van je hebben en het recht om het te laten corrigeren / verwijderen?
Tuurlijk, dan verdwijn je misschien uit de zoekresultaten... tot er een nieuwe sync.me website uit de grond wordt gestampt die deze informatie wel gewoon gebruikt
@arnoud, zijn er juridische handvaten om die informatie op te vragen? Of houdt dat een beetje op bij inzage in welke gegevens ze van je hebben en het recht om het te laten corrigeren / verwijderen?
Dan over op het slechte nieuws: Helaas geldt dit alles alleen in Europa, en angezien Sync.me vast niet Europees is (ik heb overigens nergens een adres of land kunnen vinden), gaan deze rechten je in de praktijk waarschijnlijk bijzonder weinig helpen.
Ik zou het eigenlijk veel interessanter vinden om te weten hoe (lees: via wie) de gegevens bij hen terecht gekomen zijn, zodat je weet welke kennis/vriend/familielid je om de oren moet slaan
Ja zo gaat dat met privacy he? Onze eigen privacy vinden we allemaal super belangrijk, maar de privacy van anderen
die kan ons geen reet schelen...
Ja maar zoeken op nummer is natuurlijk wel onhandig. Lang geleden, toen het telefoonboek op CD-ROM uitkwam, stond de database er versleuteld op om reverse zoeken te voorkomen. Omdat de key om het in te zien natuurlijk in het bijbehorende programma verstopt zat duurde het natuurlijk niet lang voordat er iemand een zoek op nummer tooltje in elkaar gehackt had. Dat werd dan vervolgens steeds weer van andere websites waar het weer opdook verwijderd op verzoek van KPN.
Als ik van een specifiek telefoonnummer wil weten van wie het is moet ik in een papieren telefoonboek lang zoeken. Als die key op de CD-ROM stond kan ik mij wel voorstellen dat die zo gevonden was. Waren er destijds al sterke encryptie algoritmes om bijvoorbeeld zo'n key gehashed op te slaan?
Ja maar zoeken op nummer is natuurlijk wel onhandig. Lang geleden, toen het telefoonboek op CD-ROM uitkwam, stond de database er versleuteld op om reverse zoeken te voorkomen. Omdat de key om het in te zien natuurlijk in het bijbehorende programma verstopt zat duurde het natuurlijk niet lang voordat er iemand een zoek op nummer tooltje in elkaar gehackt had. Dat werd dan vervolgens steeds weer van andere websites waar het weer opdook verwijderd op verzoek van KPN.
Als ik van een specifiek telefoonnummer wil weten van wie het is moet ik in een papieren telefoonboek lang zoeken. Als die key op de CD-ROM stond kan ik mij wel voorstellen dat die zo gevonden was. Waren er destijds al sterke encryptie algoritmes om bijvoorbeeld zo'n key gehashed op te slaan?
Dat is niet relevant. De CD was selfcontained (software en database) en je kon hier in zoeken op naam/straat, en DUS
was deze data te ontcijferen. Alleen eens in de paar jaar werd de hele structuur op zijn kop gegooid (ze hadden dan
weer een andere leverancier voor het zoekprogramma) en dan moest je weer opnieuw aan het puzzelen.
Maar dat had ik er wel voor over want de software werd steeds slechter... (dwz kon steeds minder zoeken)
Ik zou het eigenlijk veel interessanter vinden om te weten hoe (lees: via wie) de gegevens bij hen terecht gekomen zijn, zodat je weet welke kennis/vriend/familielid je om de oren moet slaan dat ze niet zomaar allerlei appjes toestemming moeten geven om hun hele contactlijst te oogsten.
Als je dit wilt weten, kijk dan eens hoe big data werkt.
Stel dat je één email adres gebruikt voor inloggen op websites, bijv xx123456@gmail. Daarnaast heb je ergens een account waar je telefoonnummer en xx123456@gmail. hebt ingevuld. In de privacy voorwaarden kan staan dat ze "data anoniem mogen delen met providers". In de praktijk betekent dit dat je geen NAW mag delen maar wel een "ID"-codes zoalsbijvoorbeeld xx123456@gmail of telefoonnummer.
Nu maken big-data services niet gebruik van één bron maar van meerdere (google, adobe, facebook, ....) en combineren de data. Dit zorgt ervoor dat zij nu wel je naam, email, telefoonnummer hebben samen met alle andere gegevens. Dit in combinatie met een klasieke telefoonboek en dan heb je ook een NAW dataset
Zelfde vraag natuurlijk als ik een "bron" verzoek bij sync.me wil doen, kan ik dat?
Ik wil natuurlijk niet dat mijn nummer voorkomt in de sync.me zoekresultaten, net met mijn naam, maar ook niet met een verkeerde naam. Ik heb nooit iemand toestemming gegeven voor het gebruik van mijn gegevens.
Ik zou het eigenlijk veel interessanter vinden om te weten hoe (lees: via wie) de gegevens bij hen terecht gekomen zijn, zodat je weet welke kennis/vriend/familielid je om de oren moet slaan dat ze niet zomaar allerlei appjes toestemming moeten geven om hun hele contactlijst te oogsten.
Stel dat je één email adres gebruikt voor inloggen op websites, bijv xx123456@gmail. Daarnaast heb je ergens een account waar je telefoonnummer en xx123456@gmail. hebt ingevuld. In de privacy voorwaarden kan staan dat ze "data anoniem mogen delen met providers". In de praktijk betekent dit dat je geen NAW mag delen maar wel een "ID"-codes zoalsbijvoorbeeld xx123456@gmail of telefoonnummer.
Nu maken big-data services niet gebruik van één bron maar van meerdere (google, adobe, facebook, ....) en combineren de data. Dit zorgt ervoor dat zij nu wel je naam, email, telefoonnummer hebben samen met alle andere gegevens. Dit in combinatie met een klasieke telefoonboek en dan heb je ook een NAW dataset
Klacht ingediend bij AP
Registrant Organization:Sync.ME Ltd.
Registrant Address:2 Shoham St.
Registrant Address2:
Registrant Address3:
Registrant City:Ramat Gan
Registrant State/Province:
Registrant Country/Economy:IL
Registrant Postal Code:5251003
Registrant Phone:+972.544720158
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
