image

Mag je je adresboeken openstellen voor diensten als Meta of WhatsApp?

woensdag 23 november 2022, 09:54 door Arnoud Engelfriet, 11 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Vorige week werd in mijn column voor Security.nl een terechte vraag opgeworpen: "Hoe zit het eigenlijk überhaupt met gebruik van whatsapp (en soortgelijke apps) op zakelijke mobiele toestellen? De toestellen bevatten persoonsgegevens van collega’s in je adresboek en veel van die apps hebben de “gewoonte” om je hele adresboek leeg te lepelen en naar de maker van de app te sturen. Naar mijn mening is dat een datalek wat bij het AP gemeld moet worden, klopt dat?"

Antwoord: Dit is natuurlijk waar, en niet alleen voor zakelijke toestellen maar ook bij privégebruik van de dienst WhatsApp. En de feature “upload je adresboek en ontdek wie van je contacten ook bij ons zit” is natuurlijk bij vele sociale netwerken bekend, het is een handige en snelle manier om mensen te leren kennen – en om je potentiële klantenbestand te verruimen.

Het is natuurlijk ook problematisch onder de AVG, maar ook onder de oude Wbp overigens. De kern is dat jij geen toestemming kunt geven voor de verstrekking van die gegevens, alle mooie woorden in de terms of service ten spijt. Een dienstverlener mag er dus ook niet vanuit gaan dat jij toestemming hebt gehaald bij alle mensen in je adresboek. Dat is dus een probleem.

Er is ook geen echte noodzaak om die gegevens te verstrekken voor het gebruik van die dienst. Je kunt zelf prima mensen toevoegen of buiten het systeem om ze benaderen en hun contactgegevens bij de dienst verkrijgen (of de jouwe geven). Dan is er voor juristen nog één optie, en dat is het legitiem belang: het is op zich handig om in een keer al je vrienden (contacten) gevonden te hebben. Dat biedt de basis voor een beroep op het gerechtvaardigd belang (artikel 6 lid 1 sub f AVG), maar je moet dan vervolgens een privacy-afweging maken: hoe erg is het voor die mensen om zo in het systeem te komen, en wat kan ik doen om dat nadeel te verminderen tot vrij dicht bij nul?

Voor mensen die ook de dienst gebruiken is dat vrij makkelijk, zij zitten er al en willen dus kennelijk benaderd worden. Maar de mensen die niet op (in dit geval) WhatsApp willen, die willen waarschijnlijk ook niet bij WhatsApp bekend staan als een mogelijk contact. (Ik herinner me menig dienst die je dan ging mailen “Je vrienden missen je op XYZ.example, word je ook lid”, nee dacht het niet.) Alleen weet jij op voorhand niet welke mensen er al op die dienst zitten, dat is immers het hele punt van je adresboek delen.

Gelukkig is er een oplossing, en nog goedgekeurd door onze eigen Autoriteit Persoonsgegevens ook. De app leest je adresboek uit en stuurt een hash van alle contactgegevens naar de dienst. Die kan dat vergelijken met het gebruikersbestand. Wie gebruiker is, geeft een match op de hash. En wie geen gebruiker is, blijft zo anoniem want de hash is dan niet te herleiden tot zijn telefoonnummer (of mailadres, bij andere diensten). Met die constructie is het dus legaal om je adresboek te uploaden. Het enige is: je moet wel vooraf weten dat dit zo werkt, en daar zijn de meeste diensten nogal kortaf over.

In theorie kun je, zeker bij telefoonnummers, een set rainbow tables uitrekenen waarmee de hashes terug te herleiden zijn. Er zijn in Nederland bijvoorbeeld maar zestig miljoen 06-nummers* en dat is een triviale set om alle hashes van uit te rekenen. Maar een bedrijf dat zegt “bij ons kun je veilig je adresboek uploaden want wij matchen alleen gehashed” en dat vervolgens toch de nummers gaat gebruiken, is natuurlijk keihard in overtreding.

Arnoud: * Ik weet dat er acht cijfers na 06 komen, dus in theorie 100 miljoen nummers, maar diverse ranges zoals 06-0 en 06-9 en ik meen ook de range 06-11 worden niet uitgegeven. Zie deze bron voor alle beschikbare nummers.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (11)
23-11-2022, 10:33 door Anoniem
Punt is wel dat het niet zo werkt als je wellicht denkt! Als je de functie “upload je adresboek en ontdek wie van je contacten ook bij ons zit” gebruikt dan wordt niet je adresboek letterlijk geupload (dus de telefoonnummers en namen van je contacten) maar er wordt een lijst van one-way hashes van je telefoonnummers geupload, en deze wordt dan door WhatsApp vergeleken met de hashes van telefoonnummers van andere klanten.
Is er een match dan replied de service met "het telefoonnummer met deze hash zit ook bij ons" en dan wordt lokaal op jouw telefoon het nummer en de naam van dat contact getoond en in je contactenlijst voor die app gezet.

Het is dus NIET zo dat er allerlei persoonlijke info geupload wordt voor die functie. Dat was ooit wel zo maar na eerdere opmerkingen van de autoriteiten daarover is dat aangepast. Uiteraard kun je wel je vraagtekens hebben bij het hashen van een telefoonnummer, het moet niet zo moeilijk zijn om een rainbow table te maken van alle mogelijke telefoonnummers en hashes en daarmee zo terug te zoeken welk voor WhatsApp onbekend nummer hoort bij iedere hash. Maar ze hebben beloofd dat niet te gaan doen. En de naam hebben ze dan nog steeds niet!

De hele nummer-naar-naam mapping van contacten gebeurt lokaal op je telefoon, niet bij WhatsApp. Als jij het nummer van je collega in je telefoon had staan met de naam Sinterklaas, dan toont WhatsApp je dat contact als Sinterklaas, niet de naam van je collega.
23-11-2022, 11:37 door Anoniem
Ben het niet helemaal eens met de mensen die er al opzitten. Misschien zijn die er ook niet blij mee. En daarnaast help je door toegang te geven met het creeren van een social graph. Je levert dus meer data aan en niet alleen data die er al is. Dat is een grote misvatting in dit artikel.
23-11-2022, 12:06 door Anoniem
Mijn advocaat heeft Instagram. Ikzelf niet, maar moest wat testen dus had een account aangemaakt en niet mijn telefoonnummer gedeeld met Instagram. Toch kwam ik in het lijstje van voorgestelde vrienden mijn advocaat tegen.
24-11-2022, 07:40 door Anoniem
GDPR is niet van toepassing voor privé personen. (Technisch is de GDPR wel van toepassing, maar de meeste verplichtingen/verboden zijn niet van toepassing.)

Ik mag dus zonder enig probleem als privé persoon privé gegevens (adresgegevens) bijhouden in mijn adressenboek en hoef daar geen toestemming voor te vragen.
Ik mag deze ook delen met anderen, zoals een Facebook, etc...

Facebook e.d. zijn geen private personen en zij hebben zich wel vele verplichtingen/verboden onder de GDPR.
24-11-2022, 08:37 door Anoniem
Je kunt je telefoonnummer laten "verwijderen" bij Facebook.


https://www.businessinsider.com/facebook-has-hidden-tool-to-delete-your-phone-number-email-2022-10
24-11-2022, 13:48 door Anoniem
Door Anoniem: GDPR is niet van toepassing voor privé personen. (Technisch is de GDPR wel van toepassing, maar de meeste verplichtingen/verboden zijn niet van toepassing.)
Je noemt het technisch, maar het doet ertoe: wat buiten de AVG valt is verwerking van persoonsgegevens door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit. Dus niet privépersonen zelf vallen erbuiten, wat ze doen kan erbuiten vallen, maar dat kan er ook wel onder de AVG vallen.

Ik mag dus zonder enig probleem als privé persoon privé gegevens (adresgegevens) bijhouden in mijn adressenboek en hoef daar geen toestemming voor te vragen.
Mee eens.
Ik mag deze ook delen met anderen, zoals een Facebook, etc...
Mij lijkt het duidelijk dat de verwerking ophoudt zuiver persoonlijk en huishoudelijk te zijn als je persoonsgegevens over anderen op een social mediaplatform gooit. Facebook beperkt zich niet tot je eigen huishouden, je voegt persoonsgegevens toe aan een platform dat gegevens juist grootschalig verwerkt en exploiteert. Bescherming daartegen bieden is een van de hoofdredenen waarom de AVG in het leven is geroepen. Natuurlijk is die van toepassing als je dat doet.

Facebook e.d. zijn geen private personen en zij hebben zich wel vele verplichtingen/verboden onder de GDPR.
Klopt. Maar dat ontslaat je niet van verantwoordelijkheden die jij als natuurlijke persoon hebt.

Vervang in hoe jij het toetst privépersoon eens door privégebruik, of beter nog door hoe de AVG het formuleert: verwerking van persoonsgegevens door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit. Bedenk dat zuiver huishoudelijk binnen je eigen huishouden betekent. Bedenk dat zuiver persoonlijk betekent dat het voor en door jezelf is en niet je hele netwerk van goede vrienden tot vage kennissen omvat, en zeker niet bedrijven als Facebook.
24-11-2022, 17:51 door Anoniem
@Arnoud: Als de vraagsteller onder je vorige column wil ik je graag bedanken voor het antwoord :-)

Ik vind de hash-methode wel wat dubbel. Zoals je zelf ook al opmerkt is de hoeveelheid mogelijke input voor het algoritme zo beperkt dat je -zeker met de compute power die de big-tech'ers beschikbaar hebben- zo te achterhalen wat het nummer was. Of ze dat daadwerkelijk doen weten uiteraard alleen de insiders, maar de reputatie van Meta spreekt tegen ze.
25-11-2022, 01:42 door Anoniem
Hash domain is te klein voor een md5, shaq etc.
Als de hash een lenhte zou hebben van max 4 a 5 tekens zou het voldoende anonimiserend werken.
Met een hash van 32 of meer tekens zijn er geen colissions en blijft identificatie mogelijk.
25-11-2022, 03:12 door Anoniem
Het is correct dat als op wat voor manier verkregen software op mijn eigendom toegang nodig heeft tot mijn prive gegevens, zoals bijvoorbeeld mijn contacten, dat die software dat vraagt. Of andersom dat mijn contacten dat anders niet toelaten.

So far so good.

Maar dat met diezelfde toestemming mijn hele contactenbestand naar de maker van die software worden gestuurd, daar zijn diverse ciminele woorden voor. Misleiding. Diefstal. Oplichting. Afluisteren. Het gaat ook nog naar buitenlandse mogendheden. Dus je kunt spionage en staatsgevaarlijk ook nog op het lijstje toevoegen. Of je kunt het ook gewoon de boel naaien en in de maling nemen noemen. Met wat ze daarna met die gepikte data doen zijn overigens nog wat meer criminele woorden voor. Maar laten we het wat kristelijk houden hiero. Je begrijpt eigenlijk niet goed waarom fatsoenlijke bedrijven zulke dingen doen. Ah, ja. Om aandelen voor miljarden weg te zetten. Dan komt er ook nog pyramide ponzi systemen draaien bij. En nog niet eentje van dat zooitje in de bak. Nog geen vijf minuten. Wie is hier eigenlijk gek dan? Jij of ik?
25-11-2022, 10:17 door Anoniem
Door Anoniem: Hash domain is te klein voor een md5, shaq etc.
Als de hash een lenhte zou hebben van max 4 a 5 tekens zou het voldoende anonimiserend werken.
Met een hash van 32 of meer tekens zijn er geen colissions en blijft identificatie mogelijk.
In deze toepassing mogen er ook (vrijwel) geen collisions zijn... dus die oplossing is niet mogelijk.
Als je regelmatig collisions had zou je ook regelmatig "false positives" zien, nummers die wel dezelfde hash hebben
maar niet de eigenschap dat ze ook klant zijn bij Whatsapp. Dan zou er een extra validatieslag nodig zijn waarbij
alsnog het nummer of een langere hash met Whatsapp gedeeld wordt om zeker te stellen dat het de juiste match is.
Daarmee maak je het nummer dan toch weer bekend.
28-11-2022, 12:13 door Anoniem
Ik gebruik geen standaard adresboek maar een ander adresboek dat geen contact heeft met alle apps die toegang willen tot mijn adresboek. En die toegang geef ik ook niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.