D66 wil discussie over bedrijf dat privénummers LinkedIn-gebruikers verkoopt
D66 wil een discussie over het Amerikaans-Israëlische bedrijf Lusha dat e-mailadressen en privénummers van LinkedIn-gebruikers verkoopt. Vanochtend besteedde Trouw aandacht aan het in 2016 opgerichte bedrijf. Lusha biedt een browserextensie die bij het bekijken van een LinkedIn-profiel verschillende contactgegevens en andere informatie toont. Volgens het bedrijf is de data afkomstig van publiek beschikbare bronnen.
"Lusha laat gebruikers alleen informatie over personen ontvangen die al vrijwillig informatie over zichzelf op internet hebben geplaatst. Een Lusha-gebruiker kan geen zoekopdracht uitvoeren om informatie op te vragen. De Lusha-diensten zijn gebaseerd op het "toevoegen" van informatie aan een bestaand sociaal profiel, die een persoon op het internet heeft aangemaakt. De oplossing van Lusha geldt alleen voor internetgebruikers die zichzelf "publiek beschikbaar" hebben gemaakt door informatie op internet te delen", zo laat het bedrijf in een uitleg weten.
Waar de data precies vandaan komt is echter onduidelijk. Lusha zegt dat het aan de AVG voldoet, maar privacy-advocaat en -hoogleraar Gerrit-Jan Zwenne heeft daar zijn twijfels over. "Als je persoonsgegevens verwerkt en aanbiedt, moet je de eigenaren hebben geïnformeerd", stelt hij tegenover Trouw. Bij Lusha is dat het niet geval. Het bedrijf zegt dat het niet over toestemming van individuen hoeft te beschikken om hun gegevens te verwerken. Het zou namelijk een "gerechtvaardigd belang" hebben voor de dataverwerking.
De Autoriteit Persoonsgegevens zegt daar het volgende over: "Dat is zo als u een belang heeft dat de samenleving zó zwaarwegend vindt dat het erkenning heeft gevonden in het recht. En u dit belang alleen kunt behartigen door persoonsgegevens te verwerken. We noemen zo’n belang een gerechtvaardigd belang." De privacytoezichthouder heeft nog geen onderzoek naar het bedrijf gedaan en kan dan ook niet zeggen of het bedrijf de AVG overtreedt.
Wanneer de privacytoezichthouder stelt dat Lusha binnen de regels van de AVG opereert wil D66-Kamerlid Kees Verhoeven een discussie over het bedrijf in de politiek. "Als je een nummer niet kunt vinden via netwerk of openbare bronnen, is dat niet voor niets. Ik zie geen meerwaarde, maar alleen schaduwkanten in een dienst die nummers openbaar maakt van mensen die dat niet weten én niet willen. We zouden er schriftelijke vragen over kunnen stellen. Dit is typisch een rechttoe rechtaan privacyvraagstuk waar de minister voor Rechtsbescherming iets over zou moeten zeggen."
Het is niet voor het eerst dat Lusha in het nieuws komt. De dienst werd vorig jaar genoemd in een artikel van The New York Times. En begin dit jaar klaagde een LinkedIn-gebruiker over het feit dat zijn data via Lusha was te vinden. Lusha biedt mensen wel de optie om hun data te laten verwijderen.
Reacties (20)
Appending dus. Illegaal en dat buitenlandse bedrijf maakt geen schijn van kans.
Dit is overigens ook in Nederland aan de hand, bij bedrijven die informatie verkopen over andere bedrijven. Daar zit vaak persoonlijke informatie tussen en dat mag niet zonder toestemming.
De oorzaak is het doorsluizen van dit soort informatie van social media, webshops en dergelijke bronnen. Die zullen moeten worden vervolgd met straffen en grote boetes. Sluit de bron af.
Dit is overigens ook in Nederland aan de hand, bij bedrijven die informatie verkopen over andere bedrijven. Daar zit vaak persoonlijke informatie tussen en dat mag niet zonder toestemming.
De oorzaak is het doorsluizen van dit soort informatie van social media, webshops en dergelijke bronnen. Die zullen moeten worden vervolgd met straffen en grote boetes. Sluit de bron af.
Trouw meldt ook het volgende: Lusha is niet het enige bedrijf dat via LinkedIn contactgegevens achterhaalt. Snovio (populair onder journalisten) doet het bijvoorbeeld ook. Snovio verkoopt alleen mailadressen, geen telefoonnummers.
Deed mij denken aan 123people.com GmbH, een deep web persoonsgegevens aggregator die in 2014 werd opgedoekt:
https://en.wikipedia.org/wiki/123people
Deed mij denken aan 123people.com GmbH, een deep web persoonsgegevens aggregator die in 2014 werd opgedoekt:
https://en.wikipedia.org/wiki/123people
En je zal zien.. De Autoriteit Persoonsgegevens grijpt alweer niet in. Window-dressing. Het zijn nietsnutten!
Hoe bedoelt D66... Prive nummer op linked in? Dat is net zoiets als een prive nummer bij choochel of veesboek.
Verder zijn er zat sites als sync.me en helaas ook zal droeftoeters die dat gebruiken. Je hebt er maar 1 nodig die je telefoonnummer en je naam daarheen jast en zie daar...
Verder zijn er zat sites als sync.me en helaas ook zal droeftoeters die dat gebruiken. Je hebt er maar 1 nodig die je telefoonnummer en je naam daarheen jast en zie daar...
"Als je persoonsgegevens verwerkt en aanbiedt, moet je de eigenaren hebben geïnformeerd", stelt hij tegenover Trouw. Bij Lusha is dat het niet geval. Het bedrijf zegt dat het niet over toestemming van individuen hoeft te beschikken om hun gegevens te verwerken.
Het is duidelijk dat Lusha hier om het probleem heen praat. Het informeren van betrokennen, Artikel 14 GDPR, staat los van de vraag wat de wettelijke grondslag is waarop een verwerking plaatsvindt. Mijn inziens is er weinig aandacht voor deze informatie plicht, die los staat van een privacy verklaring. Organisaties die persoonsgegevens verwerken die niet direct van een persoon komen zijn namelijk verplicht om je als nog op de hoogte te stellen van het feit dat ze je gegevens verwerken. Er zijn wat uitzonderingen, maar het lijkt mij vrij duidelijk dat het als gaat om gestructureerde (digitale) contactgegevens zoals telefoonnummers, je daar absoluut geen beroep op kunt maken. Een privacy beleid online publiceren lijkt mij in alle gevallen noodzakelijk, maar ontslaat een organisatie niet van de plicht om je ook persoonlijk te contacteren. Onder de voorwaarde dat dit geen onevenredige inspanning is, wat duidelijk niet het geval kan zijn als je al (digitale) contactgegevens hebt. Dat gaat niet alleen op voor Lush maar ook voor callcenters die lijsten met telefoonnummers opkopen, mensen die KVK gegevens scrapen waar het duidelijk om een ZZP'er gaat etc. Er zijn nog te veel bedrijven die persoonsgegevens verwerken zonder dat de betrokkenen daarvan op de hoogte zijn.
En dat is nog los van de vragen of het scrapen van data wel was toegestaan, het niet gaat om gegevens verkregen via een misdrijf/datalek, of er wel een beroep gedaan kan worden op een 'gerechtvaardigd belang', etc.
Het lijkt mij vrij simpel. Lusha vraagt geld aan haar gebruikers om die data beschikbaar te maken, dus ze gebruiken dit als verdienmodel. Als ze mijn data willen gebruiken, moeten ze mijn expliciete toestemming hebben. Het beroep op gerechtvaardigd belang is niet rechtmatig, ook het feit dat de gegevens via google vindbaar zouden zijn, is niet relevant. Wil iemand die gegevens gebruiken, dan moet die persoon dat zelf maar proberen te vinden. Doet die dat niet, heeft die het ook niet nodig.
Op zich best boeiend om te lezen hoe ze zelf uitleggen waarom ze vinden dat wat ze doen in lijn met GDPR is:
"Legal Basis for processing
The biggest myth about the GDPR is that consent is the ONLY way to lawfully process personal information concerning EU data subjects. While consent is one basis for lawful processing, it is not the only one.
Lusha’s lawful basis for processing is its legitimate interest in providing its services to its users, empowering the users to fight fraud online and verifying and authenticating online identities."
https://www.lusha.co/gdpr/
Voer voor advocaten...
"Legal Basis for processing
The biggest myth about the GDPR is that consent is the ONLY way to lawfully process personal information concerning EU data subjects. While consent is one basis for lawful processing, it is not the only one.
Lusha’s lawful basis for processing is its legitimate interest in providing its services to its users, empowering the users to fight fraud online and verifying and authenticating online identities."
https://www.lusha.co/gdpr/
Voer voor advocaten...
Niet alleen wordt je tegenwoordig op sluwe wijze van je privé-gegevens beroofd, vroeger, zo'n 15 jaar geleden belden onbekenden je op en stelden de meest idiote vragen die je ook nog moest beantwoorden:
Dat ging ongeveer als volgt:
Vreemde: “Goedemorgen. Bent u 50 jaar en ouder, heeft u last van verschillende lichamelijke klachten, bent u ooit wel eens ziek geweest, verdient u voldoende... voldoet u hier aan?”
Ik: “Meneer, dat gaat u helemaal niets aan!”
Vreemde: “DAT GAAT MIJ WÉL AAN!!!”
Ik gooi meteen de hoorn op de haak.
Ben ook nooit meer teruggebeld.
Dat ging ongeveer als volgt:
Vreemde: “Goedemorgen. Bent u 50 jaar en ouder, heeft u last van verschillende lichamelijke klachten, bent u ooit wel eens ziek geweest, verdient u voldoende... voldoet u hier aan?”
Ik: “Meneer, dat gaat u helemaal niets aan!”
Vreemde: “DAT GAAT MIJ WÉL AAN!!!”
Ik gooi meteen de hoorn op de haak.
Ben ook nooit meer teruggebeld.
Ook wel interessant dat hun privacy contact in Duitsland zit - vaak een van de strengere landen als het gaat om privacy:
=======================
individuals from the EU may contact our EU representative according to Art. 27 GDPR regarding all requests related to data protection and privacy:
DP-Dock GmbH
Lusha Systems Inc
Ballindamm 39
20095 Hamburg
Germany
=======================
=======================
individuals from the EU may contact our EU representative according to Art. 27 GDPR regarding all requests related to data protection and privacy:
DP-Dock GmbH
Lusha Systems Inc
Ballindamm 39
20095 Hamburg
Germany
=======================
Interessant leesvoer over hoe Lusha werkt:
https://wwws.nightwatchcybersecurity.com/2020/02/20/another-tale-of-personal-data-harvesting-alsid-lusha-co-and-simpler-apps/
https://wwws.nightwatchcybersecurity.com/2020/02/20/another-tale-of-personal-data-harvesting-alsid-lusha-co-and-simpler-apps/
10-08-2020, 17:46 door
karma4
Door Anoniem: Op zich best boeiend om te lezen hoe ze zelf uitleggen waarom ze vinden dat wat ze doen in lijn met GDPR is:
"Legal Basis for processing
The biggest myth about the GDPR is that consent is the ONLY way to lawfully process personal information concerning EU data subjects. While consent is one basis for lawful processing, it is not the only one.
Lusha’s lawful basis for processing is its legitimate interest in providing its services to its users, empowering the users to fight fraud online and verifying and authenticating online identities."
https://www.lusha.co/gdpr/
Voer voor advocaten...
Artikel 6 van de GDPR is helder en deze bewering daarover klopt. Ik weet niet of dat onderwerp wel relevant is."Legal Basis for processing
The biggest myth about the GDPR is that consent is the ONLY way to lawfully process personal information concerning EU data subjects. While consent is one basis for lawful processing, it is not the only one.
Lusha’s lawful basis for processing is its legitimate interest in providing its services to its users, empowering the users to fight fraud online and verifying and authenticating online identities."
https://www.lusha.co/gdpr/
Voer voor advocaten...
- Israelisch bedrijf niet gericht op EU consumenten (contacten B2B).
- Nergens te vinden dat ze binnen de EU opereren met gegevens van EU burgers.
Er is een uitspraak van de EU dat het verwijderen van ongewenste zoekresultaten van EU burgers alleen voor binnen de EU geldt. Google US mag alles verhandelen en laten zien over EU burgers. Google Ierland mag dat niet.
Tja, D66, tja..
Laten ze in eigen land beginnen en wat aan de telefoon terreur van de energie verkopers doen. Die negeren massaal het bel me niet register, halen je telefoon nummer ook her en der vandaan....
Dus kom op D66, ga je hoofd eens wassen, de boter druipt er vanaf
Laten ze in eigen land beginnen en wat aan de telefoon terreur van de energie verkopers doen. Die negeren massaal het bel me niet register, halen je telefoon nummer ook her en der vandaan....
Dus kom op D66, ga je hoofd eens wassen, de boter druipt er vanaf
11-08-2020, 10:07 door
Reinder
Tja. Ik zeg niet dat ik het goed vind of er gelukkig mee ben, wel dat het iets is wat je met een beetje gezond verstand had moeten verwachten als je op social media (zeker het op zakelijk gebruik georienteerde LinkedIn) informatie zoals je prive-telefoonnummer achter laat. Ik bedoel.. als je je telefoonnummer op LinkedIn achterlaat, dan wil je toch graag gebeld worden door zakelijke contcten en zo? Waarom dat anders gedaan? Misschien begrijp ik niet goed wat nu precies het issue is waartegen geageerd wordt door d66, dan hoor ik het graag.
Door Anoniem: Interessant leesvoer over hoe Lusha werkt:
https://wwws.nightwatchcybersecurity.com/2020/02/20/another-tale-of-personal-data-harvesting-alsid-lusha-co-and-simpler-apps/
https://wwws.nightwatchcybersecurity.com/2020/02/20/another-tale-of-personal-data-harvesting-alsid-lusha-co-and-simpler-apps/
De data komt waarschijnlijk uit meerdere bronnen. Die app als bron is illegaal in de EU aangezien de gegevens dan worden misbruikt (bedrieglijk etc).
@ Vandaag, 08:35 door Anoniem
Dus omdat iemand anders de wet overtreed mag D66 het niet aankaarten? Vind je dat een rationele benadering?
En je zal zien.. De Autoriteit Persoonsgegevens grijpt alweer niet in. Window-dressing. Het zijn nietsnutten!
Leg uit, waarom is het de AP die moet optreden tegen dit Amerikaans/Israelische bedrijf. En op basis waarvan ? Ik heb niets gelezen over Nederlandse slachtoffers die zich hebben gemeld bij de AP, en wiens klachten niet in behandeling zijn genomen.
Ben je van mening dat de AP alle mogelijke privacy schendingen wereldwijd, ook buiten Nederlandse jurisdictie, moet aanpakken ?
als je je telefoonnummer op LinkedIn achterlaat, dan wil je toch graag gebeld worden door zakelijke contcten en zo?
En wat nou indien jij mijn contact bent, en ik door hun plugin jouw gegevens bij hen achter laat ? Denk je ook aan gegevens van derden, in jouw contact lijst ?
Tja, D66, tja.. Laten ze in eigen land beginnen en wat aan de telefoon terreur van de energie verkopers doen. Die negeren massaal het bel me niet register, halen je telefoon nummer ook her en der vandaan....
Goh, ook dat zijn zaken waar ze aandacht voor hebben. Net als dit soort zaken -
https://www.rtlnieuws.nl/editienl/artikel/4663706/stop-reclameterreur-pvda-en-d66-pleiten-voor-bel-me-nietregister-voor-post
Dus kom op D66, ga je hoofd eens wassen, de boter druipt er vanaf
Niet bepaald. De traantjes druipen misschien van jouw wangen af; er is geen partij in Nederland die meer oog heeft voor dit soort zaken dan D66 (behalve misschien de helaas geflopte piraten partij).
Domme reactie, weinig inhoud.
Door Anoniem: Op zich best boeiend om te lezen hoe ze zelf uitleggen waarom ze vinden dat wat ze doen in lijn met GDPR is:
"Legal Basis for processing
The biggest myth about the GDPR is that consent is the ONLY way to lawfully process personal information concerning EU data subjects. While consent is one basis for lawful processing, it is not the only one.
Lusha’s lawful basis for processing is its legitimate interest in providing its services to its users, empowering the users to fight fraud online and verifying and authenticating online identities."
"Legal Basis for processing
The biggest myth about the GDPR is that consent is the ONLY way to lawfully process personal information concerning EU data subjects. While consent is one basis for lawful processing, it is not the only one.
Lusha’s lawful basis for processing is its legitimate interest in providing its services to its users, empowering the users to fight fraud online and verifying and authenticating online identities."
Het is wel interessant welke opvatting AP daartegenover zet:
Maar als organisatie kunt u ook het recht aan uw kant hebben. Dat is zo als u een belang heeft dat de samenleving zó zwaarwegend vindt dat het erkenning heeft gevonden in het recht. En u dit belang alleen kunt behartigen door persoonsgegevens te verwerken. We noemen zo’n belang een gerechtvaardigd belang.
Dat is geen citaat uit een wettekst, dus dit zal niet direct de doorslaggevende tekst zijn, maar het geeft wel aan hoe ver de opvattingen uiteen liggen hier. Maar zo laag als Lusha de drempel voor gerechtvaardigd belang legt kan niet kloppen, want als bedrijfsbelang per definitie een gerechtvaardigd belang is (en dat is waar het Lusha-citaat op neerkomt) dan heeft de hele AVG geen zin omdat alles bij voorbaat geoorloofd is. De AVG is duidelijk bedoeld om wel zin te hebben.
Door karma4:
Wat klopt is dat er andere grondslagen zijn. Dat hun bedrijfsbelang ook meteen een gerechtvaardigd belang is volgens de AVG lijkt me stug. De AVG maakt duidelijk dat bij een gerechtvaardigd belang van de verwerkingsverantwoordelijke een afweging moet worden gemaakt tussen dat belang en de belangen van de betrokkenen, en deze zin uit overweging 47 lijkt mij volledig van toepassing hier:Door Anoniem: Op zich best boeiend om te lezen hoe ze zelf uitleggen waarom ze vinden dat wat ze doen in lijn met GDPR is:
"Legal Basis for processing
The biggest myth about the GDPR is that consent is the ONLY way to lawfully process personal information concerning EU data subjects. While consent is one basis for lawful processing, it is not the only one.
Lusha’s lawful basis for processing is its legitimate interest in providing its services to its users, empowering the users to fight fraud online and verifying and authenticating online identities."
https://www.lusha.co/gdpr/
Voer voor advocaten...
Artikel 6 van de GDPR is helder en deze bewering daarover klopt."Legal Basis for processing
The biggest myth about the GDPR is that consent is the ONLY way to lawfully process personal information concerning EU data subjects. While consent is one basis for lawful processing, it is not the only one.
Lusha’s lawful basis for processing is its legitimate interest in providing its services to its users, empowering the users to fight fraud online and verifying and authenticating online identities."
https://www.lusha.co/gdpr/
Voer voor advocaten...
De belangen en de grondrechten van de betrokkene kunnen met name zwaarder wegen dan het belang van de verwerkingsverantwoordelijke wanneer persoonsgegevens worden verwerkt in omstandigheden waarin de betrokkenen redelijkerwijs geen verdere verwerking verwachten.
Lusha doet eigenlijk niet meer dan aangeven dat ze een belang hebben en te doen alsof daarmee alles gezegd is. Ze hebben nog te onderbouwen dat dat belang gerechtvaardigd én dat het zwaarder weegt dan het belang van de betrokkenen.
Ik weet niet of dat onderwerp wel relevant is.
- Israelisch bedrijf niet gericht op EU consumenten (contacten B2B).
- Nergens te vinden dat ze binnen de EU opereren met gegevens van EU burgers.
- Israelisch bedrijf niet gericht op EU consumenten (contacten B2B).
- Nergens te vinden dat ze binnen de EU opereren met gegevens van EU burgers.
Goed punt. Ik vraag me af of er geen lek zit in de formulering van het territoriaal toepassingsgebied van de AVG, artikel 3:
1. Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt.
Dit lid is niet van toepassing als verwerker of verwerkingsverantwoordelijke niet in de EU gevestigd zijn. 2. Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking verband houdt met:
Dat lijkt er meer op, maar: a) het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of
De dienst wordt niet aan de betrokkenen aangeboden van wie gegevens worden prijsgegeven, maar juist aan anderen. b) het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.
Het verwerken van adres- en contactgegevens is geen monitoren van gedrag. 3. Deze verordening is van toepassing op de verwerking van persoonsgegevens door een verwerkingsverantwoordelijke die niet in de Unie is gevestigd, maar op een plaats waar krachtens het internationaal publiekrecht het lidstatelijke recht van toepassing is.
Dat slaat volgens overweging 25 van de AVG op bijvoorbeeld diplomatieke vertegenwoordigingen en consulaire posten, iets heel anders dan waar het hier over gaat.Als ik dit goed interpreteer lijkt het dus mogelijk te zijn om in de EU persoonsgegevens van EU-burgers op straat te gooien zonder dat de AVG erop van toepassing is. Dat lijkt me evident in strijd met de bedoeling van de AVG.
Een vervolg artikel in Trouw over het Lusha-schandaal. Trouw noemt ook de OpenCNAM nummerherkenningsdienst.
https://www.trouw.nl/cultuur-media/waarom-de-handel-in-contactgegevens-ook-u-raakt~b19c1996/
Lusha doet denken aan het Cambridge Analytica-schandaal uit 2018. Cambridge Analytica slaagde erin niet alleen informatie te verzamelen van de gebruikers van zijn diensten zelf, maar ook van hun Facebook vrienden. Volgens de privacy jurist Jeroen Terstegge kan de AVG niet alle spelers in dit verhaal aanpakken, omdat er een lacune in de wet zit.
https://twitter.com/PrivaSense/status/1293480048163463169
https://www.trouw.nl/cultuur-media/waarom-de-handel-in-contactgegevens-ook-u-raakt~b19c1996/
Lusha doet denken aan het Cambridge Analytica-schandaal uit 2018. Cambridge Analytica slaagde erin niet alleen informatie te verzamelen van de gebruikers van zijn diensten zelf, maar ook van hun Facebook vrienden. Volgens de privacy jurist Jeroen Terstegge kan de AVG niet alle spelers in dit verhaal aanpakken, omdat er een lacune in de wet zit.
Jeroen Terstegge
@PrivaSense
Om deze lacune in de #AVG op te lossen, moet art. 3(2)(a) als volgt worden gewijzigd: “(a) het aanbieden van goederen of diensten aan PERSONEN in de Unie...” Dan is de AVG ook van toepassing als iemand anders jouw data in een buitenlandse cloud stopt. #privacy @toezicht_AP
9:30 AM · Aug 12, 2020
@PrivaSense
Om deze lacune in de #AVG op te lossen, moet art. 3(2)(a) als volgt worden gewijzigd: “(a) het aanbieden van goederen of diensten aan PERSONEN in de Unie...” Dan is de AVG ook van toepassing als iemand anders jouw data in een buitenlandse cloud stopt. #privacy @toezicht_AP
9:30 AM · Aug 12, 2020
https://twitter.com/PrivaSense/status/1293480048163463169
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
