image

Autoriteit Persoonsgegevens lanceert keuzehulp voor videobel-apps

woensdag 15 april 2020, 17:09 door Redactie, 13 reacties

De Autoriteit Persoonsgegevens (AP) heeft vandaag een keuzehulp voor videobel-apps gelanceerd die naar de belangrijkste privacyaspecten van dertien verschillende apps kijkt. De toezichthouder heeft geen uitgebreid, technisch onderzoek naar de apps uitgevoerd, maar is afgegaan op wat de bedrijven zelf zeggen over hun videobel-apps, bijvoorbeeld in hun privacyverklaring.

Volgens de AP moeten organisaties die van videobel-apps gebruikmaken goed nadenken over de privacyaspecten en kan de keuzehulp hierbij helpen. Zo wordt er gekeken naar wat de apps voor functionaliteit bieden, welke gegevens ze verzamelen, voor welke doelen ze gegevens verwerken, hoe de informatiestroom verloopt, of de communicatie is beveiligd en hoe de apps geld verdienen.

Het gaat zoals gezegd om dertien apps, te weten: Discord, FaceTime, Google Hangouts, Google Hangouts Meets, Houseparty, Jitsi, Facebook Messenger, Signal, Skype, Nextcloud Talk, Microsoft Teams, Whatsapp en Zoom. Van deze apps zijn Jitsi, Signal en Nextcloud de enige die geen gegevens van gebruikers verzamelen. De andere apps doen dat wel, zoals adresboek, locatiegegevens, gespreksgegevens en metadata.

Verder zijn Jitsi, Signal en Nextcloud Talk ook de enige drie apps waarvan de broncode open source is. Tevens bieden de apps end-to-end encryptie. Dat geldt ook voor Facetime. In het geval van Skype is end-to-end encryptie alleen mogelijk bij privégesprekken.

Image

Reacties (13)
15-04-2020, 17:17 door Anoniem
Opensource wint het weer by far.
15-04-2020, 18:29 door [Account Verwijderd] - Bijgewerkt: 15-04-2020, 18:52
Een prima overzicht, maar toch nog enkele puntjes van kritiek:

Ik mis de apps Wire en Threema. Skype for Business had er nog bij genomen, al gaat dit uitgefaseerd worden ten behoeven van Teams. Wat audio-only oplossingen betreft had Mumble er nog bij gemogen.
Jitsi maakt geen gebruik van End-to-End Encryptie bij groepsgesprekken. Ik meen dat dit ook voor Talk geldt (het is immers een WebRTC beperking bij gebruik van een relay server).
Waarom 'Gegevens blijven in Nederland' staat aangevinkt bij Signal is mij onduidelijk, dat lijkt mij zeker niet het geval.
Voor gebruik van Signal is toch gewoon een account verplicht?
Technisch gezien kun je Whatsapp gebruiken zonder toestemming te geven tot je adresboek, al is het wat omslachtig.
Dat Discord zonder account te gebruiken is, is misleidend. In mijn ervaring krijg je al vrij snel captcha's en verplichte telefoonnummer controles (als onderdeel van de anti-spam maatregelen).
(Om flauw te zijn kun je nog stellen de inkomsten van Signal niet komen uit donaties, maar advertenties. Het is immers geld van Facebook waar deze organisatie mee overeind blijft.)

Als je op zoek bent naar Jitsi servers in Nederland, kijk dan eens op https://vc4all.nl

EDIT: Volgens mij is de lijst bijgewerkt dat gegevens van Signal nu zowel in EU als NL blijven. Ik kan echter nergens in de privacy verklaring lezen dat dat het geval is. Technisch gezien lopen de gegevens namelijk via Google servers en die staan niet per se in de EU.
15-04-2020, 20:28 door Anoniem
De AP is NIET opgericht als een consumentenbond door de overheid te functioneren.

De ene encryptie die de ene App gebruikt is die van de andere niet,
de ene App wil nog wel eens end to end encryptie met het verkeer maar weer niet volledig op logs op hun servers of op de client-hardware bieden.
De ene App wil in gevallen wel grotere bit-encryptie toepassen maar ondersteunt bijvoorbeeld weer oudere hash-protocollen en oudere web-certificaten.

Ondanks dit alles kan het dan wel nuttig zijn dat alles, net als bij de opties-tabel van de AP zaken in functionele zin zijn geformuleerd en afgewogen.
Maar dat kunnen en hebben andere sites ook echt al wel gedaan.
Waarom adviseert het AP mensen niet in plaats van de AP bad-eendjes te erop na te slaan dat mensen de informatie van fora als security.nl erop na te slaan??????
URL erbij enzo.
Dat biedt verdere kennisverbreding.
Zo mogelijk lost het ook nog een beetje wat filter-bubbles van fake news of gevalideerde propaganda op.
15-04-2020, 20:53 door Anoniem
tip:

https://www.surf.nl/nieuws/pilot-surf-videobellen
16-04-2020, 08:10 door Anoniem
Door Anoniem: De AP is NIET opgericht als een consumentenbond door de overheid te functioneren.

De ene encryptie die de ene App gebruikt is die van de andere niet,
de ene App wil nog wel eens end to end encryptie met het verkeer maar weer niet volledig op logs op hun servers of op de client-hardware bieden.
De ene App wil in gevallen wel grotere bit-encryptie toepassen maar ondersteunt bijvoorbeeld weer oudere hash-protocollen en oudere web-certificaten.

Ondanks dit alles kan het dan wel nuttig zijn dat alles, net als bij de opties-tabel van de AP zaken in functionele zin zijn geformuleerd en afgewogen.
Maar dat kunnen en hebben andere sites ook echt al wel gedaan.
Waarom adviseert het AP mensen niet in plaats van de AP bad-eendjes te erop na te slaan dat mensen de informatie van fora als security.nl erop na te slaan??????
URL erbij enzo.
Dat biedt verdere kennisverbreding.
Zo mogelijk lost het ook nog een beetje wat filter-bubbles van fake news of gevalideerde propaganda op.

Klaar met je azijn?
Het is zo makkelijk om alleen maar negatief te zijn, wees blij dat de AP deze lijst maakt. Ik ben tenminste blij omdat dit lijstje laat zien dat er naast het Z-woord ook nog andere zwakheden zijn. Maar we hebben wat te kiezen, ik ben er blij mee.
16-04-2020, 09:28 door SVH
Beste AP, altijd zinvol om het publiek objectief te informeren, maar wat me opvalt is dat een aantal zeer belangrijke providers van video-diensten niet zijn benoemd, terwijl zij wel een belangrijke en grote doelgroep als klant hebben. Op basis van welke criteria is deze selectie gemaakt? Overigens zijn wij graag bereid informatie aan te leveren over de veiligheid, betrouwbaarheid en beschikbaarheid van onze Lifesize oplossing. Wij hebben wereldwijd heel veel klanten in de (non-)profit sector, overheid en zorg-sector, die weloverwogen keuzes maken vwb betrouwbaarheid in de breedste zin van het woord! Ik praat voor eigen parochie, Lifesize, maar neemt niet weg dat ik graag ook de competitie benoem, zoals Starleaf, BlueJeans, Pexip, Webex etc. Objectief wordt pas objectief al je alle belangrijke spelers meeneemt Met alle respect maar als er wel naar apps als houseparty wordt gekeken om te gebruiken door (non-)profit, Zorg en overheid, dan vraag ik me af wat de basisgedachten hierachter is?
16-04-2020, 09:41 door WideEyes
Natuurlijk prima dat de AP zich hiervoor inzet. Echter kun je vraagtekens zetten bij de waarde als ze zelf geen onderzoek hebben gedaan. Je gaat dan af op de informatie van de leveranciers zelf. Omdat die nogal gekleurd is krijgt het daarmee misschien status die onterecht is.

Mijn persoonlijke voorkeur gaat uit naar een organisatie als Bits of Freedom (ben ik zelf niet bij betrokken) waar wel mensen technisch onderzoek (voor) verrichten.
16-04-2020, 14:23 door Anoniem
Naast Jitsi, Signal en Nextcloud, is Sylk (https://sylkserver.com) ook een videobelapp die open source is, (binnenkort) versleutelde groepsgesprekken biedt en geen gebruikersgegevens verzamelen. Sylk is een van vele privacyvriendelijke open source tools voor thuiswerken die ngo NLnet ondersteunt -> https://nlnet.nl/news/2020/20200330-WorkRemoteSafely.html
16-04-2020, 17:58 door Anoniem
Fijn dat de AP een lijstje samenstelt met als bron de leverancier zelf.
Wij van wc eend adviseren en daarom is het veilig.

Ik wil de eerste onderzoek na weer een zoom hack zien en dan verwijzen naar dit lijstje van de AP.
Uit de vele security.nl artikelen is allang gebleken dat met name Zoom niet eerlijk is, en gebruikt maakt van zwakke encryptie en sleutels uitgeeft in China.
AP vinkt encryptie zonder voorbehoud gewoon aan (schijnveiligheid). Goed advies AP [sarcasm].
17-04-2020, 10:50 door Anoniem
Door iatomory:
Waarom 'Gegevens blijven in Nederland' staat aangevinkt bij Signal is mij onduidelijk, dat lijkt mij zeker niet het geval.
Voor gebruik van Signal is toch gewoon een account verplicht?

Als je op zoek bent naar Jitsi servers in Nederland, kijk dan eens op https://vc4all.nl

EDIT: Volgens mij is de lijst bijgewerkt dat gegevens van Signal nu zowel in EU als NL blijven. Ik kan echter nergens in de privacy verklaring lezen dat dat het geval is. Technisch gezien lopen de gegevens namelijk via Google servers en die staan niet per se in de EU.

Bij Signal worden de gesprekken lokaal op je device bewaard.
17-04-2020, 12:55 door Anoniem
Ik mis nog cisco webex, en gotomeeting. Cisco is geen chinees, dus geen risico van aftppen daar.
17-04-2020, 14:08 door Anoniem
Iets heel anders: de vormgeving van het overzicht hinkt op twee gedachten en daardoor wordt de boodschap onduidelijk. In de bovenste helft staan dingen die je NIET wilt, in de onderste staan dingen die WEL wilt. Maar ze worden allebei met een paars blokje aangegeven. Een kolom met veel blokjes lees je waarschijnlijk visueel als 'goed' (of misschien juist als 'fout'), terwijl de kolom van de beste apps bovenin zo leeg mogelijk moet zijn en onderin zo vol mogelijk. Gebruik rood en groen en/of kruisjes en vinkjes, dan zie je meteen het beeld op hoofdlijnen.
07-05-2020, 19:24 door Anoniem
Ik mis Kiazala, de WhatsApp killer van Microsoft.
Wordt dit jaar (versneld) geïntegreerd met Microsoft Teams
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.