image

Microsoft: Skype-gesprekken alleen met toestemming beluisterd

donderdag 8 augustus 2019, 11:47 door Redactie, 13 reacties

Gesprekken van Skype-gebruikers die Microsoft verzamelt worden alleen verwerkt met toestemming van gebruikers, zo stelt de softwaregigant naar aanleiding van berichten dat Skype-gesprekken en via Cortana opgenomen audio door mensen worden beluisterd.

Skype biedt sinds 2015 een vertaaldienst die gebruikers een bijna real-time audiovertaling tijdens telefoon- en videogesprekken biedt. Microsoft laat vertaalde Skype-gesprekken door derde partijen controleren. Een klokkenluider deelde sommige opnamen met Vice Magazine. Die gesprekken bleken allerlei gevoelige en persoonlijke informatie te bevatten. Ook stemcommando's die spraakassistent Cortana ontvangt worden door mensen beluisterd.

In een verklaring stelt Microsoft dat het alleen met toestemming van gebruikers hun spraakdata verzamelt en gebruikt. Het bedrijf zou ook maatregelen hebben genomen om de privacy van gebruikers te beschermen, waaronder het de-identificeren van data en het verplicht stellen dat de betreffende derde partijen aan de AVG voldoen.

Onlangs kwamen ook Apple en Google in het nieuws omdat ze mensen de audio van gebruikers, die via spraakassistenten zijn opgenomen, lieten beluisteren. Na de ontstane ophef besloten beide partijen hier tijdelijk mee te stoppen. Een aantal dagen later bood Amazon gebruikers van de Alexa-spraakassistent de optie om menselijke controle uit te schakelen en ook Apple zal deze optie introduceren.

Reacties (13)
08-08-2019, 12:10 door Anoniem
Geen toestemming, dan werkt het niet.
Nederlandse roverheid treedt hier tegenop.
Hoe, Microsoft betaalt zo min mogelijk belasting.
Dat doen de hardwerkende wel.
08-08-2019, 14:12 door Anoniem
Ik werk gewoon lekker met mijn Linux desktopje. Geen Microsoft, geen Apple, geen Google, geen verplicht email adres om in te loggen, geen Cortana / Siri / Ok Google afluisterpraktijken. Simpel, veilig.
08-08-2019, 16:22 door Anoniem
Ik zie een routine micommunicatie tussen VS bedrijven en Europese Regulators aankomen. In de VS kijkt men naar de letter van de wet, in Europa naar de geest (je moet dus in de definitie van het woordenboek voldoen).

AVG-wise is een toestemming: "elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt". Met nog een hele waslijst aan overwegingen voor verdere uitleg. Volgens veel Amerikaanse bedrijven is het voldoende om de diverse woorden (vrij, specifiek, geïnformeerd en ondubbelzinnig) ergens in de voorwaarden te verwerken. Dat brengt ze onveranderlijk in meningsverschil met Europese toezichthouders, die dan aan komen zetten met dat ze in de geest van de wet in overtreding zijn...

Het eerste geschilpunt heb ik al gezien. In de privacyverklaring van Microsoft staat hoe je de beluistering uit kan zetten. Per default staat het dus aan. Daar gaat dus de "ondubbelzinnige actieve handeling"... En in een moeite door ook "Gegevensbescherming door ontwerp en door standaardinstellingen" (artikel 25)...

Het gaat interessant worden wanneer dit door de autoriteiten wordt opgepakt, welke in Europa het voortouw gaat nemen, in hoeverre ze van de mogelijkheid tot het zoeken naar en gezamenlijk oordeel gebruik gaan maken, en hoe ze gaan oordelen over de handelwijze van Microsoft...
08-08-2019, 17:44 door Anoniem
Gesprekken van Skype-gebruikers die Microsoft verzamelt worden alleen verwerkt met toestemming van gebruikers, zo stelt de softwaregigant

De bekende EULA bullshit. Je start een programma en je krijgt een venstertje van 4 regels van 40 tekens waarin
voorwaarden staan (20 A4'tjes) die je moeizaam zin voor zin kunt gaan lezen en waar je alleen "ik geef toestemming"
kunt aanklikken voor het gehele verhaal, en kies je "ik geef geen toestemming" dan kun je de hele dienst niet gebruiken.

Niet alleen is het totaal ondoenlijk om dat hele verhaal te lezen, maar ook is het een alles-of-niets keuze waarin je niet
de vrijheid hebt om akkoord te gaan met een deel van de voorwaarden.

Ik weet dat dit in Nederland al weinig waarde heeft op gerechtelijk gebied (een rechter zal deze vorm van toestemming
geven meteen aan de kant vegen als het er om gaat dat men jou aansprakelijk wil stellen voor een schending van deze
EULA) maar ik denk dat de wetgever hetzelfde zou moeten doen met rechten aan de andere kant.
M.a.w. dat Microsoft deze vorm van toestemming niet mag gebruiken als legitimatie om informatie van de gebruikers
te verwerken "want ze hebben op ja geklikt" als er helemaal geen reeele mogelijkheid is om op nee te klikken.

(ik heb geen Skype account meer hoor, ik heb dit meteen opgezegd toen Microsoft de toko overnam een paar jaar
geleden, maar ik noem dit in algemene zin)
08-08-2019, 17:56 door Anoniem
In een verklaring stelt Microsoft dat het alleen met toestemming van gebruikers hun spraakdata verzamelt en gebruikt.
Maar natuurlijk, want je mag alleen maar Windows geïnstalleerd hebben staan met toestemming van Microsoft, dus alles wat ze daarna uitspoken op jouw systeem, daar heb je al toestemming voor verleend. Dat heet de EULA. En telemetrie.
08-08-2019, 18:54 door Anoniem
Door Anoniem: Geen toestemming, dan werkt het niet.
Nederlandse roverheid treedt hier tegenop.
Hoe, Microsoft betaalt zo min mogelijk belasting.
Dat doen de hardwerkende wel.

Je kan als benadeelde natuurlijk ook zelf een melding bij de AP doen, maar dat is waarschijnlijk teveel werk.
08-08-2019, 22:33 door karma4
Door Anoniem:
Door Anoniem: Geen toestemming, dan werkt het niet.
Nederlandse roverheid treedt hier tegenop.
Hoe, Microsoft betaalt zo min mogelijk belasting.
Dat doen de hardwerkende wel.

Je kan als benadeelde natuurlijk ook zelf een melding bij de AP doen, maar dat is waarschijnlijk teveel werk.

Behalve dat je moet ook met bewijs aankomen. Een beetje van die opgehangen fud verhalen gaat het niet worden.
09-08-2019, 08:50 door [Account Verwijderd]
Door Anoniem:
Door Anoniem: Geen toestemming, dan werkt het niet.
Nederlandse roverheid treedt hier tegenop.
Hoe, Microsoft betaalt zo min mogelijk belasting.
Dat doen de hardwerkende wel.

Je kan als benadeelde natuurlijk ook zelf een melding bij de AP doen, maar dat is waarschijnlijk teveel werk.

Dat gaat het 'm dus nooit worden hè! Precies....Melding bij de AP? Gaat 'ie nooit van zijn leven doen! De hardwerkende is de hele dag al druk met belasting betalen. :-)

(Let op: hierna komt weer de repliek dat ik 'medewerkertje van de (ro)verheid ben'. Van enige originaliteit/verversingsdrift in de reacties is bij 'hardwerkenden' nooit sprake)
09-08-2019, 09:24 door Anoniem
Door karma4:
Door Anoniem:
Door Anoniem: Geen toestemming, dan werkt het niet.
Nederlandse roverheid treedt hier tegenop.
Hoe, Microsoft betaalt zo min mogelijk belasting.
Dat doen de hardwerkende wel.

Je kan als benadeelde natuurlijk ook zelf een melding bij de AP doen, maar dat is waarschijnlijk teveel werk.

Behalve dat je moet ook met bewijs aankomen. Een beetje van die opgehangen fud verhalen gaat het niet worden.

Je gaat op twee punten mank. Om te beginnen artikel 77 lid 1 AVG: "Onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte, heeft iedere betrokkene het recht een klacht in te dienen bij een toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, hij zijn werkplek heeft of waar de beweerde inbreuk is begaan, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevensinbreuk maakt op deze verordening." Ergo, de mening van de betrokkene is voldoende om een klacht in te dienen, hij hoeft geen bewijs te hebben. Het verdere onderzoek of de klacht gegrond is, is een taak van de AP (artikel 57 lid 1f), gesteund door de onderzoeksbevoegdheden in artikel 58 lid 1a t/m f.

Bovendien heeft de verwerkingsverantwoordelijke een verantwoordingsplicht en moet op diverse punten kunnen aantonen dat de verwerking van de gegevens in overeenstemming met de AVG is. Omdat we hier over toestemming spreken is artikel 7 lid 1 "Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens." het meest relevant. In de praktijk zal ook de AP wel met een zekere mate van bewijsvoering aankomen, immers artikel 57 lid 1f en 58 lid 1 zijn er ook niet voor niets. Maar ook het niet aan kunnen tonen van een goede verwerking is al een overtreding op zichzelf.
09-08-2019, 09:54 door Anoniem
Door Anoniem: "Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens."

Ja maar dat komt in de praktijk vast neer op het kunnen overleggen van een databaserecord met EULA_accepted=TRUE
erin. Wat heb je aan dat soort "bewijs"?
09-08-2019, 17:22 door karma4 - Bijgewerkt: 09-08-2019, 17:23
Door Anoniem:
Je gaat op twee punten mank. Om te beginnen artikel 77 lid 1 AVG: "Onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte, heeft iedere betrokkene het recht een klacht in te dienen bij een toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, hij zijn werkplek heeft of waar de beweerde inbreuk is begaan, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevensinbreuk maakt op deze verordening." Ergo, de mening van de betrokkene is voldoende om een klacht in te dienen, hij hoeft geen bewijs te hebben. Het verdere onderzoek of de klacht gegrond is, is een taak van de AP (artikel 57 lid 1f), gesteund door de onderzoeksbevoegdheden in artikel 58 lid 1a t/m f.
Als er geen bewijs geleverd hoeft te worden maar enkel na een klacht de beschuldigede al schuldig bevonden wordt en bij voorbaat veroordeeld is..... Wat is er dan over van de rechtsstaat?


Bovendien heeft de verwerkingsverantwoordelijke een verantwoordingsplicht en moet op diverse punten kunnen aantonen dat de verwerking van de gegevens in overeenstemming met de AVG is. Omdat we hier over toestemming spreken is artikel 7 lid 1 "Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens." het meest relevant. In de praktijk zal ook de AP wel met een zekere mate van bewijsvoering aankomen, immers artikel 57 lid 1f en 58 lid 1 zijn er ook niet voor niets. Maar ook het niet aan kunnen tonen van een goede verwerking is al een overtreding op zichzelf.
Skype is niet iets als Siri Alexa of Cortana waar een apparaat constant uitluistert of er een spraakopdracht langs komt..
Die functionaliteit vereist spraakherkenning dat je mot trainen, de onzekerheid van een betekenis haal je met mensen weg.

Skype is meer een telefoondienst, er wordt een vertaaldienst aangeboden.
Bij een telefoondienst heb je "een gesprek dat voor trainingsdoeleinden" gebruikt kan worden. Dat is specfiek voor een klanten-service dienst. Gericht en met toestemming want herkenbaar. De vertaaldienst is waar normaal een dure menselijke vertolker tussen zat. Die wordt gedeeltelijk weg geautomatiseerd. De taak van hem veranderd in het wegnemen van onzekerheden en de dienst zelf wordt veel goedkoper en toegankelijker. C-3PO in ontwikkeling.

Blijft over enkel het fud gebeuren. Linux apparatuur zoals een raspsberry-pi lijkt me pas echt fout.
https://www.security.nl/posting/620031/IBM%3A+crimineel+kan+door+versturen+van+Raspberry+Pi+bedrijf+aanvallen
10-08-2019, 07:23 door [Account Verwijderd] - Bijgewerkt: 10-08-2019, 07:23
Door karma4: ...

Blijft over enkel het fud gebeuren. Linux apparatuur zoals een raspsberry-pi lijkt me pas echt fout.
https://www.security.nl/posting/620031/IBM%3A+crimineel+kan+door+versturen+van+Raspberry+Pi+bedrijf+aanvallen

Ach, ach, ach, karma4 merkt dat hij de discussie aan het verliezen is en probeert af te leiden door de zwarte piet naar de concurrent te spelen. Zóó doorzichtig weer.
10-08-2019, 11:34 door [Account Verwijderd]
Door En Rattshaverist:
Door karma4: ...

Blijft over enkel het fud gebeuren. Linux apparatuur zoals een raspsberry-pi lijkt me pas echt fout.
https://www.security.nl/posting/620031/IBM%3A+crimineel+kan+door+versturen+van+Raspberry+Pi+bedrijf+aanvallen

Ach, ach, ach, karma4 merkt dat hij de discussie aan het verliezen is en probeert af te leiden door de zwarte piet naar de concurrent te spelen. Zóó doorzichtig weer.

Ja alsof er dagelijks pakketjes met ingeschakelde Raspberry Pi's meegaan met de post. Dat verhaal van IBM is puur theoretisch en wordt wellicht ooit een keer door een inlichtingendienst geprobeerd.
Inderdaad een zielige vertoning om dit onderwerp erbij te halen.
En hoe zat het ook alweer? Karma4 heeft niets met Microsoft? Echt? Daarom reageert hij meteen weer als door een wesp gestoken?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.