Categorie op Privacy

Google Chrome en privacy: moet je de browser dumpen of houden?

Ondanks zijn niet al te beste reputatie op het gebied van privacy, tiert de Chrome-browser van Google welig. De webbrowser heeft een marktaandeel van ongeveer 65 procent en twee miljard mensen gebruiken hem regelmatig. Zijn naaste concurrent, Apple’s Safari, blijft ver achter met een marktaandeel van minder dan 20 procent. Dat is erg dominant, zelfs als je de gegevensverzamelings-praktijken van Chrome buiten beschouwing laat.

Is Google te groot en dominant, en zou je Chrome voorgoed moeten dumpen? Privacy experts zeggen van wel. Chrome is namelijk strak geïntegreerd in de gegevens-verzamelingsinfrastructuur van Google, inclusief diensten zoals Google Zoeken en Gmail. Door de marktdominantie van Chrome is moederbedrijf Google zelfs in staat om nieuwe webstandaards op te leggen. Chrome is een van Google’s krachtigste tools voor het verzamelen van gegevens.

Google krijgt meer en meer macht

Google ligt momenteel onder vuur van privacyactivisten, waaronder rivaliserende browsermakers en regelgevers, om wijzigingen in Chrome doorgevoerd te krijgen. Deze moeten het einde betekenen voor cookies van derden – de trackers die je volgen terwijl je surft. Google is van plan om cookies te vervangen door zijn eigen ‘privacy behoud’-trackingtechnologie genaamd FLoC. Hiervoor zijn echter nog geen concrete plannen voor Europa. Die zou het bedrijf volgens critici echter nóg meer macht geven ten koste van zijn concurrenten. De oorzaak daarin is te vinden in de enorme userbase van Chrome.

Chrome’s forse gegevensverzamelings-praktijken zijn een andere reden om de browser te dumpen. Volgens de iOS-privacylabels van Apple kan Chrome een waslijst aan gegevens verzamelen. Daaronder bevinden zich je locatie, zoek- en browsegeschiedenis, gebruikers-ID’s en productinteractie-gegevens voor ‘personalisatie’-doeleinden. Google zegt dat dit je de mogelijkheid geeft om functies in te schakelen. Denk aan de optie om je bladwijzers en wachtwoorden op te slaan in je Google-account. Maar in tegenstelling tot rivalen Safari, Microsoft’s Edge en Firefox, koppelt Chrome deze gegevens aan jou als persoon en het apparaat dat je gebruikt.

Ook in privémodus houdt Google Chrome je scherp in de gaten

Lees hier verder. © OneMoreThing

Hoogleraren waarschuwen universiteiten voor Amerikaanse cloudproviders

Hoogleraren cybersecurity hebben Nederlandse universiteiten in een open brief gewaarschuwd voor het gebruik van Amerikaanse cloudproviders. Volgens de hoogleraren, verenigd in de vereniging ACCSS (ACademic Cyber Security Society), besluiten ook universiteitsbesturen steeds vaker om het onderhoud van ict-diensten aan Amerikaanse cloudgiganten uit te besteden.

“Blijkbaar verliest het lange termijn strategisch denken het van de korte termijn operationele problemen. Maar is dat wel verstandig, en zal de rekening van een falend strategisch handelen ons op termijn niet opbreken? Voordat er onomkeerbare besluiten worden genomen is er een aantal aandachtspunten waar bestuurders en universiteitsraden zich eerst over zouden moeten buigen”, laten de hoogleraren weten in hun brief, die getiteld is: “Overstappen naar de Cloud, bezint eer ge begint“.

De hoogleraren stellen dat het voor studenten belangrijk is om in veilige leeromgeving te kunnen werken, waarbij hun privacygevoelige data niet voor andere doeleinden kan worden misbruikt. Commerciële bedrijven die clouddiensten aanbieden kunnen data echter voor meerdere doeleinden gebruiken, zo waarschuwen de briefschrijvers. “Met bijvoorbeeld het Cambridge Analytica-schandaal in het achterhoofd, moeten we constateren dat de veiligheid en privacybescherming van onze studenten bij commerciële cloudproviders niet altijd gegarandeerd is.”

Door data bij Amerikaanse cloudproviders onder te brengen wordt die niet alleen buiten Europees grondgebied geplaatst, maar ook binnen ‘ommuurde tuinen’ van deze cloudproviders, die onder Amerikaanse wet- en regelgeving vallen. En niet alleen wordt de opslag van data uitbesteed, ook de autorisatie om toegang tot deze diensten te krijgen. “We verheffen daarmee de Facebooks, Googles, Amazons en Microsofts van deze wereld niet alleen tot beheerder van onze data, maar ook tot grenspolitie van die data”, waarschuwen de hoogleraren.

Die vinden dat universiteitsbesturen en universiteitsraden een strategische visie moeten ontwikkelen voor de omgang met clouddiensten. Op de korte termijn kan het uitbesteden voordelig zijn, maar wat zijn de kosten wanneer universiteiten bijvoorbeeld van de rechter geen gebruik van Amerikaanse cloudproviders meer mogen maken en alle data moeten migreren. Iets wat in het geval van grote techbedrijven lastig kan zijn. “You can check-in anytime you like, but you can never leave”, besluiten de hoogleraren hun brief. Die is onder andere ondertekend door Aiko Pras, Bart Jacobs, Herbert Bos, Joris van Hoboken, Michel van Eeten en Tanja Lange.

Lees hier verder. © Security.nl

‘Grote EU-boete dreigt voor Amazon om privacyschending’

Amazon hangt een boete van 425 miljoen dollar, omgerekend 349 miljoen euro, boven het hoofd wegens schending van de privacyregels.

Dat zeggen bronnen tegen The Wall Street Journal. De Luxemburgse toezichthouder op de Europese privacyregelgeving (in Nederland bekend als AVG) zou deze hoogste boete voor het schenden van de privacywet tot nu toe hebben voorgesteld aan de andere 26 toezichthouders van de Europese Unie.

Amazon is in de EU gevestigd in Luxemburg en valt daarom in eerste instantie onder de Luxemburgse toezichthouder CNPD.

Amazon zou persoonlijke gegevens hebben verzameld en gebruikt van individuen, aldus de krant, maar de bron wilde niets zeggen over de specifieke beschuldigingen tegen het bedrijf. De zaak zou niet met data-opslag in de clouddiensten van Amazon Web Services te maken hebben.

Europese Commissie

Tegen Amazon lopen bij de Europese Commissie ook onderzoeken vanwege vermeend misbruik van zijn machtspositie, doordat het bedrijf een dubbele rol heeft. Amazon is zowel zelf verkoper als marktplaats voor andere verkopers. Dat heeft geleid tot allerlei zorgen over het oneerlijk beperken van de concurrentie.

Techreuzen worden aangepakt

De pijlen van de Europese Commissie waren de afgelopen jaren vooral gericht op Google. Ook dat bedrijf maakte zich volgens Europa schuldig aan oneerlijke concurrentie, en kreeg al meerdere miljardenboetes opgelegd. Brussel zou opnieuw onderzoeken naar Google willen beginnen.

Ondertussen werkt Europa aan nieuwe regelgeving, om de steeds machtigere techreuzen aan te kunnen pakken.

© RTL Nieuws

Adverteerders combineren Googles FLoC-id’s al met persoonlijke data

Bedrijven voor advertentietechnologie zijn bezig Google FLoC-id’s te verzamelen om deze te combineren met persoonlijke gegevens en internetters gerichter advertenties te kunnen voorschotelen. Critici waarschuwden hier al voor.

Onder andere de databedrijven voor advertenties GroupM, ID5, NeuStar, Criteo en MightHive zijn bezig om FLoC-id’s te verzamelen of van plan dat te doen om accurater internetters te kunnen profileren voor gerichte advertenties. Dat schrijft Digiday op basis van uitlatingen van de bedrijven. “Hoe meer signalen we hebben, hoe accurater we zijn, en FLoC-id’s zal uit de signalen bestaan die we gebruiken”, meldt bijvoorbeeld ID5. Dat bedrijf gebruikt daarnaast ip-adressen, url’s en timestamps.

Volgens Nishant Desai van GroupM’s divisie voor advertentietechnologie Xaxis, gaat FLoC-id’s als persistent identifiers gebruikt worden, net als ip-adressen: “Het idee dat FLoC-id’s een additionele dimensie zijn voor hoe je achter identiteiten komt, is zeker correct”. Niet alle bedrijven die Digiday sprak sluiten zich bij deze uitlatingen aan. Mediavine liet bijvoorbeeld weten dat het geen plannen heeft om FLoC te linken met first-part-data

Dat er advertentiebedrijven zijn die wel de identifiers van FLoC verzamelen, analyseren en gebruiken om profielen op te bouwen met gegevens die al bekend zijn over internetters, is koren op de molen van critici. Bennett Cyphers van de Electronic Frontier Foundation waarschuwde hier in maart al voor. “Als een tracker met je FLoC-cohort start, hoeft deze alleen je browser te onderscheiden van enkele duizenden anderen, in plaats van een paar honderdmiljoen anderen”, schreef de privacy-activist.

FLoC staat voor Federated Learning of Cohorts en is onderdeel van Googles Privacy Sandbox. Het doel is om de privacy van gebruikers te beschermen en third-party cookies uit te kunnen faseren. Gebruikers worden samen met duizenden anderen opgedeeld in cohorten, gebaseerd op hun interesses op basis van websites die ze bezoeken. Adverteerders krijgen daarmee de mogelijkheid dergelijke cohorten van gerichte advertenties te voorzien. Google test de techniek in Chrome, maar meerdere browseraanbieders hebben al aangegeven FLoC niet te gaan ondersteunen. “Chrome geeft het FLoC-id vrij aan elke site die ik bezoek, de eerste keer dat ik die bezoek”, beschrijft Cyphers.

Lees hier verder. © Tweakers.net

Is een hash van een vingerafdruk nog steeds een biometrisch persoonsgegeven?

Juridische vraag: Ik weet dat onder de AVG het gebruik van biometrie strikt beperkt is tot hele specifieke toepassingen. Ik wil als security officer biometrie inzetten en heb daarvoor een oplossing die met templates en hashes werkt, zodat er geen vingerafdrukken hoeven te worden opgeslagen. Een nieuw genomen vingerafdruk wordt tot een hash omgezet die wordt gematcht tegen een database. Dat lijkt mij veilig en bovendien buiten de AVG vallen. Onze FG zegt dat dit nog steeds biometrische gegevens zijn en dat het dus niet mag. Klopt dat?

Antwoord: Het klopt dat ook zo’n systeem met templates biometrische persoonsgegevens verwerkt, maar het klopt niet dat de AVG dan automatisch zegt dat het dus niet mag.

Een vingerafdruk is een biometrisch persoonsgegeven volgens de definitie uit de AVG, “fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon” (artikel 4 lid 14). Of je die kenmerken nou opslaat als een plaatje of als een feature vector, dat maakt niet uit. Je blijft die kenmerken van die vinger bewaren.

De meeste systemen die werken met vingerafdrukken of andere biometrie, verwijzen naar hashes en roepen dan dat het anoniem is. Dat is AVG-technisch niet waar. Een gegeven is pas anoniem als het niet meer tot een persoon te herleiden is, maar het is niet genoeg dat namen ontbreken of iets dergelijks. Een toegangscontrolesysteem dat vingerafdrukken opslaat met enkel daarbij “mag naar binnen ja/nee” zonder namen of rugnummers valt gewoon onder de AVG.

De AVG zegt dat je geen biometrische persoonsgegevens mag gebruiken behalve in uitzonderlijke gevallen. De relevante uitzondering is in Nederland opgenomen in de Uitvoeringswet AVG, artikel 29:

… het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken [is] niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

Die noodzaak is een hoge eis. Kort gezegd, je hebt eigenlijk geen andere reële optie – en je kunt onderbouwen dat andere opties niet goed genoeg werken. Vaak zie je dat men volstaat met “het is algemeen bekend dat biometrie heel veilig is” of “de kosten voor sleutels zijn hoog” maar dat is niet genoeg.

Voor mij zijn belangrijke factoren dat het echt nodig is dat je weet wélke personen naar binnen mogen (of toegang hebben), dat menselijk toezicht onhaalbaar is (bijvoorbeeld omdat men maar zelden naar binnen gaat) en dat alternatieven (zoals pasjes) geprobeerd zijn en vanwege een concreet probleem niet werken. Dus niet “we denken dat vingerafdrukken het beste zijn” maar “de rest werkt niet, zie hieronder waarom”.

Lees hier verder. © Security.nl

© MeT-Groep