image

Juridische vraag: is een omgekeerd telefoonboek illegaal?

woensdag 3 februari 2016, 13:01 door Arnoud Engelfriet, 22 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: op de website Sync.me kun je willekeurige telefoonnummers invullen en zien welke naam daarbij hoort. Een omgekeerd telefoonboek dus. Maar wat valt me op: de gegevens zijn niet altijd officieel (zoals je in het telefoonboek staat), zo zijn er nummers die "Werk Papa" of "Oma" als bijbehorende naam geven. Dat komt dus gewoon uit iemands uitgelezen adresboek. Mag het zo dan wel, in hun voorwaarden staat daar vast een zin over.

Antwoord: omgekeerde telefoonboeken zijn in Nederland eigenlijk altijd illegaal. Voor opname in een officiële telefoongids geldt een wettelijke opt-outregeling, maar voor andere gidsen en ook voor omgekeerd zoeken geldt juist opt-in. Althans in theorie: in de praktijk vindt de OPTA/ACM het geen overtreding omdat het “op zich” niet zou worden ervaren als inbreuk op de persoonlijke levenssfeer, en in het buitenland er meer van zulke diensten zijn.

Een belangrijker punt hier is hoe Sync.me aan de gegevens komen. Die krijgen ze niet van de telecomproviders of uit een officiële telefoongids, maar uit mensen hun adresboek. Mag dát dan? Je kunt toch helemaal niet namens een ander toestemming geven om zijn telefoonnummer en naam te verstrekken?

Wat Sync.me doet, is de oude juridische truc van stal halen dat mensen in de Terms of Use beloven volledig legaal te handelen en te garanderen dat ze alle benodigde toestemmingen hebben geregeld. Ja precies, en ik had ook nog een brug in Rotterdam te koop voor een spotprijsje.

Hier. Lachen (auch auf Deutsch):

If you chose to activate the "Sync.ME search" feature, you would be asked to explicitly warrant that you have all necessary permissions to share your contacts’ information, and that you have no knowledge of any objection, on the behalf of any of your respected contacts, to include their names and phone numbers in the phonebook directory, which is available for other registered users. Please be sure not to share any other person details without his or her prior consent, and that the information you share is accurate and up-to-date.

Geloof je het zelluf. En ik kop hem dan toch maar even in: dit is zinloze prietpraat onder onze privacy- en telecomwetgeving. Toestemming als deze moet expliciet worden gegeven, en het is te enen male onmogelijk dat via Terms of Use of privacyverklaring te doen. Gewoon niet.

Sync.me is onder Europees recht gewoon de 'verantwoordelijke' voor dit soort persoonsgegevens, en moet dus zorgen dat dat zorgvuldig gebeurt. Simpelweg achter een juridische schaamlap wegduiken is niet zorgvuldig.

En nee, claimen dat ze slechts een hostingprovider zijn, gaat hem hier niet worden. Ze geven niet 1-op-1 opgeslagen informatie door, zoals een webhoster, forum of chatbox dat doet. Ze compileren de informatie en bouwen daar een eigen zoekdienst bovenop. Dat gaat te ver om immuniteit te claimen en met notice/takedown weg te komen.

Ik wil het niet elke dag zeggen, maar dit is dus een pracht van een datalek waar de Wbp-met-tanden voor bedoeld is. "Firmly committed to ensure that the personal information is safeguarded and protected", moehaha.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (22)
03-02-2016, 13:31 door Anoniem
En dan blijkt mijn telefoonnummer daar inderdaad in te staan met een kloppende voornaam. Nu moet ik dus opzoek naar het laten verwijderen hiervan.
03-02-2016, 14:21 door Anoniem
moehaha wat is dat dan? Mehoela ken ik en hahaha ook maar Moehaha, en dat voor een jurist ?
03-02-2016, 15:26 door Anoniem
ook uit de Privacy policy: Children's Information

Our Service is not intended for minors under the age of 13, and we will not knowingly collect personal information from children. If we become aware that a user is under the age of 13, we will remove their information from our files. We reserve the right to request proof of age at any stage so that we can verify that children are not using the Service.

Ik vraag me af hoe ze dat willen doen kopietje ID ??? Ze gaan al niet echt zorgvuldig om met de gegevens die ze krijgen.

Door Anoniem: En dan blijkt mijn telefoonnummer daar inderdaad in te staan met een kloppende voornaam. Nu moet ik dus opzoek naar het laten verwijderen hiervan.
If you are not a user and wish to remove any information related to you, you can notify us by sending an email to: support@sync.me.
03-02-2016, 15:32 door Anoniem
@Anoniem 13:31:

Laat het weten hoe je het hebt gedaan, is handig voor de lezers.
03-02-2016, 15:35 door Anoniem
Door Anoniem: En dan blijkt mijn telefoonnummer daar inderdaad in te staan met een kloppende voornaam. Nu moet ik dus opzoek naar het laten verwijderen hiervan.

Mijn staat er ook in op de site zelf is het niet te vinden hoe dit moet maar google hielp me gelukkig verder.

https://sync.me/optout/

Dan nog heb ik geen goedkeuring gegeven om mijn gegevens te laten opnemen door dit bedrijf. Dus denk ook maar een melding bij AP doen.
https://autoriteitpersoonsgegevens.nl/nl/contact-met-het-cbp/tip-ons
03-02-2016, 17:48 door [Account Verwijderd]
Een verloren strijd!

Ik raad je AF je eigen telefoon nummer en plaats in 666 (Google) in te voeren.
O, die frustratie die daar uit voortkomt.

Hoe kom Google aan die nummers.

Wel dat doet bijna iedereen die sommige telefoon boek web sites te bezoekt.
De gegevens uit het URL van de laatste 3 sites worden door je browser doorgesluisd.
Fun nummer staat soms daarin, Google is heel geduldig, die data komt vanzelf aangewaaid. ;-)

Kun je ook uit zetten in Firefox about:config

In dit verband totaal zinloos want 99,99% van de mensheid pompt die data gewoon naar Google, Facebook en de rest.
03-02-2016, 18:55 door Anoniem
Door Anoniem: moehaha wat is dat dan? Mehoela ken ik en hahaha ook maar Moehaha, en dat voor een jurist ?

Zeg vrolijke Frans. Kijk jij eens op wikipedia onder evil laughter. Daarna mag je zoeken op know your meme. Zit je sinds gisteren op Internet?
Leuk toch dat juristen ook mensen blijken te zijn. Arnoud is een held.punt.
03-02-2016, 18:56 door Anoniem
Daar heb je em weer, doe niks want het helpt toch niet.
En zo komen ze er altijd mee weg.
03-02-2016, 20:55 door Anoniem
Door Anoniem:
Leuk toch dat juristen ook mensen blijken te zijn. Arnoud is een held.punt.

Ik had een dikke glimlach na het lezen van dit prachtige artikel. Hoop natuurlijk wel dat de Autoriteit Persoonsgegevens deze partij dan ook meteen aanpakt (ze lezen toch vast mee)
04-02-2016, 00:33 door [Account Verwijderd]
In een papieren telefoonboek zou ik toch ook gewoon een willekeurig nummer kunnen kiezen, en kijken van wie dat is?
04-02-2016, 09:21 door Orion84
Door Anoniem: En dan blijkt mijn telefoonnummer daar inderdaad in te staan met een kloppende voornaam. Nu moet ik dus opzoek naar het laten verwijderen hiervan.
Ik zou het eigenlijk veel interessanter vinden om te weten hoe (lees: via wie) de gegevens bij hen terecht gekomen zijn, zodat je weet welke kennis/vriend/familielid je om de oren moet slaan dat ze niet zomaar allerlei appjes toestemming moeten geven om hun hele contactlijst te oogsten.

@arnoud, zijn er juridische handvaten om die informatie op te vragen? Of houdt dat een beetje op bij inzage in welke gegevens ze van je hebben en het recht om het te laten corrigeren / verwijderen?
04-02-2016, 09:31 door Anoniem
Voor de opt-out moet je jouw naam, emailadres en gsm-nummer ingeven. Dan ben je toch geen opt-out bezig, maar ben je de website nog meer informatie aan het verschaffen. Dan hebben ze immers een correct match tussen jouw naam en gsm-nummer EN een match met jouw emailadres.

Tuurlijk, dan verdwijn je misschien uit de zoekresultaten... tot er een nieuwe sync.me website uit de grond wordt gestampt die deze informatie wel gewoon gebruikt
04-02-2016, 09:34 door Anoniem
Door _kraai__: In een papieren telefoonboek zou ik toch ook gewoon een willekeurig nummer kunnen kiezen, en kijken van wie dat is?
Ja maar zoeken op nummer is natuurlijk wel onhandig. Lang geleden, toen het telefoonboek op CD-ROM uitkwam, stond de database er versleuteld op om reverse zoeken te voorkomen. Omdat de key om het in te zien natuurlijk in het bijbehorende programma verstopt zat duurde het natuurlijk niet lang voordat er iemand een zoek op nummer tooltje in elkaar gehackt had. Dat werd dan vervolgens steeds weer van andere websites waar het weer opdook verwijderd op verzoek van KPN.
04-02-2016, 10:06 door Anoniem
Door Orion84:
Door Anoniem: En dan blijkt mijn telefoonnummer daar inderdaad in te staan met een kloppende voornaam. Nu moet ik dus opzoek naar het laten verwijderen hiervan.
Ik zou het eigenlijk veel interessanter vinden om te weten hoe (lees: via wie) de gegevens bij hen terecht gekomen zijn, zodat je weet welke kennis/vriend/familielid je om de oren moet slaan dat ze niet zomaar allerlei appjes toestemming moeten geven om hun hele contactlijst te oogsten.

@arnoud, zijn er juridische handvaten om die informatie op te vragen? Of houdt dat een beetje op bij inzage in welke gegevens ze van je hebben en het recht om het te laten corrigeren / verwijderen?
Ik heet dan wel niet Arnoud, maar ja, hiervoor zijn in het Wbp (http://http://wetten.overheid.nl/BWBR0011468/geldigheidsdatum_04-02-2016) handvaten opgenomen. Sterker nog, de verwerker moet jou bij het verkrijgen van de gegevens informeren, wanneer ze ze niet direkt van jou krijgen (Artikel 34). Verder moet de verwerker volgens Artikel 35 punt 2 bij een verzoek tot inzage "de beschikbare informatie over de herkomst van de gegevens" aangeven.

Dan over op het slechte nieuws: Helaas geldt dit alles alleen in Europa, en angezien Sync.me vast niet Europees is (ik heb overigens nergens een adres of land kunnen vinden), gaan deze rechten je in de praktijk waarschijnlijk bijzonder weinig helpen.
04-02-2016, 11:13 door Anoniem
Door Orion84:
Ik zou het eigenlijk veel interessanter vinden om te weten hoe (lees: via wie) de gegevens bij hen terecht gekomen zijn, zodat je weet welke kennis/vriend/familielid je om de oren moet slaan

Ja zo gaat dat met privacy he? Onze eigen privacy vinden we allemaal super belangrijk, maar de privacy van anderen
die kan ons geen reet schelen...
04-02-2016, 16:37 door [Account Verwijderd]
Door Anoniem 04-02-2015 09:34 uur:
Ja maar zoeken op nummer is natuurlijk wel onhandig. Lang geleden, toen het telefoonboek op CD-ROM uitkwam, stond de database er versleuteld op om reverse zoeken te voorkomen. Omdat de key om het in te zien natuurlijk in het bijbehorende programma verstopt zat duurde het natuurlijk niet lang voordat er iemand een zoek op nummer tooltje in elkaar gehackt had. Dat werd dan vervolgens steeds weer van andere websites waar het weer opdook verwijderd op verzoek van KPN.

Als ik van een specifiek telefoonnummer wil weten van wie het is moet ik in een papieren telefoonboek lang zoeken. Als die key op de CD-ROM stond kan ik mij wel voorstellen dat die zo gevonden was. Waren er destijds al sterke encryptie algoritmes om bijvoorbeeld zo'n key gehashed op te slaan?
04-02-2016, 17:13 door Anoniem
Door _kraai__:
Door Anoniem 04-02-2015 09:34 uur:
Ja maar zoeken op nummer is natuurlijk wel onhandig. Lang geleden, toen het telefoonboek op CD-ROM uitkwam, stond de database er versleuteld op om reverse zoeken te voorkomen. Omdat de key om het in te zien natuurlijk in het bijbehorende programma verstopt zat duurde het natuurlijk niet lang voordat er iemand een zoek op nummer tooltje in elkaar gehackt had. Dat werd dan vervolgens steeds weer van andere websites waar het weer opdook verwijderd op verzoek van KPN.

Als ik van een specifiek telefoonnummer wil weten van wie het is moet ik in een papieren telefoonboek lang zoeken. Als die key op de CD-ROM stond kan ik mij wel voorstellen dat die zo gevonden was. Waren er destijds al sterke encryptie algoritmes om bijvoorbeeld zo'n key gehashed op te slaan?

Dat is niet relevant. De CD was selfcontained (software en database) en je kon hier in zoeken op naam/straat, en DUS
was deze data te ontcijferen. Alleen eens in de paar jaar werd de hele structuur op zijn kop gegooid (ze hadden dan
weer een andere leverancier voor het zoekprogramma) en dan moest je weer opnieuw aan het puzzelen.
Maar dat had ik er wel voor over want de software werd steeds slechter... (dwz kon steeds minder zoeken)
04-02-2016, 18:21 door Anoniem
Door Orion84:
Ik zou het eigenlijk veel interessanter vinden om te weten hoe (lees: via wie) de gegevens bij hen terecht gekomen zijn, zodat je weet welke kennis/vriend/familielid je om de oren moet slaan dat ze niet zomaar allerlei appjes toestemming moeten geven om hun hele contactlijst te oogsten.

Als je dit wilt weten, kijk dan eens hoe big data werkt.

Stel dat je één email adres gebruikt voor inloggen op websites, bijv xx123456@gmail. Daarnaast heb je ergens een account waar je telefoonnummer en xx123456@gmail. hebt ingevuld. In de privacy voorwaarden kan staan dat ze "data anoniem mogen delen met providers". In de praktijk betekent dit dat je geen NAW mag delen maar wel een "ID"-codes zoalsbijvoorbeeld xx123456@gmail of telefoonnummer.
Nu maken big-data services niet gebruik van één bron maar van meerdere (google, adobe, facebook, ....) en combineren de data. Dit zorgt ervoor dat zij nu wel je naam, email, telefoonnummer hebben samen met alle andere gegevens. Dit in combinatie met een klasieke telefoonboek en dan heb je ook een NAW dataset
05-02-2016, 09:22 door Anoniem
En wat nu als de verkeerde naam bij het nummer vermeld staat, kan ik dan ook nog een klacht indienen bij de AP, of moet de oorspronkelijke eigenaar dit doen?
Zelfde vraag natuurlijk als ik een "bron" verzoek bij sync.me wil doen, kan ik dat?

Ik wil natuurlijk niet dat mijn nummer voorkomt in de sync.me zoekresultaten, net met mijn naam, maar ook niet met een verkeerde naam. Ik heb nooit iemand toestemming gegeven voor het gebruik van mijn gegevens.
08-02-2016, 20:07 door Orion84
Door Anoniem:
Door Orion84:
Ik zou het eigenlijk veel interessanter vinden om te weten hoe (lees: via wie) de gegevens bij hen terecht gekomen zijn, zodat je weet welke kennis/vriend/familielid je om de oren moet slaan dat ze niet zomaar allerlei appjes toestemming moeten geven om hun hele contactlijst te oogsten.
Als je dit wilt weten, kijk dan eens hoe big data werkt.

Stel dat je één email adres gebruikt voor inloggen op websites, bijv xx123456@gmail. Daarnaast heb je ergens een account waar je telefoonnummer en xx123456@gmail. hebt ingevuld. In de privacy voorwaarden kan staan dat ze "data anoniem mogen delen met providers". In de praktijk betekent dit dat je geen NAW mag delen maar wel een "ID"-codes zoalsbijvoorbeeld xx123456@gmail of telefoonnummer.
Nu maken big-data services niet gebruik van één bron maar van meerdere (google, adobe, facebook, ....) en combineren de data. Dit zorgt ervoor dat zij nu wel je naam, email, telefoonnummer hebben samen met alle andere gegevens. Dit in combinatie met een klasieke telefoonboek en dan heb je ook een NAW dataset
Dat heeft volgens mij weinig met big data te maken. Sync.me is een app, waarmee je gegevens tussen smartphones kan overzetten (bijvoorbeeld van een oud naar een nieuw toestel). Met de fijne bijwerking dat daarbij je adresboek door sync.me geoogst wordt en wordt ingeladen in deze zoekdienst.
11-02-2016, 17:43 door AdKoolen
Door Anoniem: En dan blijkt mijn telefoonnummer daar inderdaad in te staan met een kloppende voornaam. Nu moet ik dus opzoek naar het laten verwijderen hiervan.
Dat komt dus doordat een van je "kennissen" zijn contacten heeft gedeeld met Sync.me. (zonder aan jou te vragen of hij dat mag)
11-02-2016, 17:57 door AdKoolen
Israëlisch bedrijf, weinig aan te doen zonder een "NL overheidsfirewall" zoals de Chinezen kennen.

Klacht ingediend bij AP

Registrant Organization:Sync.ME Ltd.
Registrant Address:2 Shoham St.
Registrant Address2:
Registrant Address3:
Registrant City:Ramat Gan
Registrant State/Province:
Registrant Country/Economy:IL
Registrant Postal Code:5251003
Registrant Phone:+972.544720158
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.