Onderzoekers Radboud en Princeton maken excuses voor privacyonderzoek
Een onderzoeksteam van de Radboud Universiteit en Princeton University heeft na felle kritiek excuses gemaakt voor een privacyonderzoek naar de manier waarop websites omgaan met inzageverzoeken en zal alle reacties die zijn ontvangen vernietigen.
Artikel 15 van de Algemene verordening gegevensbescherming (AVG) stelt dat een persoon aan organisaties kan vragen of er persoonsgegevens van hem worden verwerkt, om welke gegevens het gaat, waarom en op welke manier de verwerking plaatsvindt. De onderzoekers wilden onderzoeken welke processen websites toepassen voor het omgaan met inzageverzoeken.
Om de websites en webmasters te benaderen gebruikten de onderzoekers een geautomatiseerd systeem dat e-mails naar publieke websites verstuurde met het verzoek om informatie. De verstuurde e-mails werden echter gezien als juridische dreigementen en beveiligingsrisico's, zegt teamleder Jonathan Mayer. Ook op internet kreeg het privacyonderzoek allerlei kritiek te verduren. "De bedoeling van het onderzoek was om privacywerkwijzes te onderzoeken, niet om een last voor webmasters, e-mailbeheerders of privacyprofessioneels te zijn", zo laat Mayer weten. Hij maakt ook excuses voor de verstuurde e-mails.
Vanwege de kritiek op het onderzoek hebben de onderzoekers besloten om geen nieuwe geautomatiseerde e-mails te versturen. Daarnaast zullen alle reacties die op de e-mails zijn binnengekomen voor 31 december worden vernietigd en zullen de onderzoekers een e-mail versturen waarin ze het onderzoek uitleggen en oproepen de eerdere e-mail te negeren.
Mayer zal ook een evaluatie naar het onderzoek doen, waarin de gemaakte keuzes en de achterliggende redenen worden uitgelegd, en hoe onderzoekers met dergelijke onderzoeken in de toekomst kunnen omgaan. Ook zal Mayer het onderzoek en de reacties daarop in zijn lessen meenemen. "Hoewel ik de klok voor dit onderzoek niet kan terugdraaien, kan ik er wel voor zorgen dat toekomstige onderzoekers ervan leren."
Het gaat denk ik om die laatste regel. Dat kan snel verkeerd worden opgepakt, zeker als je in een land als Amerika met wet- en regelgeving gaat schermen. Het doel van het onderzoek is denk ik wel goed, alleen de gekozen communicatie-opzet niet. Geautomatiseerde mails in een mailbox dumpen en antwoorden eisen onder bestaande wet- en regelgeving is niet slim.
Daar kan je een verkapt dreigement in zien, want wat als het bedrijf in kwestie niet of niet op tijd kan reageren? Genoeg kleine bedrijfjes waar men geen tijd heeft voor dit soort onzinverzoeken.
- Geen uitleg over de reden/achtergrond van het verzoek
- Toevoegen deadline bij verzoek om druk uit te oefenen
- Ongegrond juridisch dreigement (deadline alleen van toepassing bij gebruikers wiens data verwerkt is)
Dit is een behoorlijk knullige email, en het had een stuk beter gekund.
De vraag of men ''tijd heeft'' is juridisch volstrekt irrelevant. Een andere vraag is, of het toevoegen van de deadline gegrond is. Die is van toepassing op een data access request van personen wiens gegevens zijn verwerkt. Bij vragen over het proces, gaat die wet niet op en is er geen sprake van een plicht om te antwoorden, en ook niet van een deadline.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
