Door Anoniem: Hier ook wat extra context: https://wballiance.com/t-mobile-netherlands-deploys-lifemote-for-home-network-assurance/
Nog een plek die ik gevonden had waar hetzelfde gemeld wordt, dezelfde tekst zelfs als ik het goed zie:
https://marketingreport.one/news/t-mobile-netherlands-deploys-lifemote-for-home-network-assurance.htmlT-Mobile is in Odido opgegaan, natuurlijk. Als je in het privacystatement van Odido kijkt, waar al uit geciteerd is (de klikbare link is
https://assets.odido.nl/x/e0ddb64757/01092025-privacy-statement.pdf — doe die piepkleine moeite van een url-tag intypen toch even, mensen!) dan zie je dat de al geciteerde tekst uit een tabel komt. In de linkerkolom kan je doeleinden lezen die zo te zien overeenkomen met wat die artikelen melden. In de rechterkolom staan verwerkingsgrondslagen: uitvoering van de overeenkomst, gerechtvaardigd belang en toestemming. Terug naar de linkerkolom zie je dat die toestemming is voor iets dat Extra Veilig Online heet. Je weet dus als het goed is of je voor dat onderdeel toestemming hebt gegeven. Maar die andere twee grondslagen zijn er ook.
Door slartibartfast: Dan ontbreekt dus eigenlijk alleen de opt-out.
Nee hoor, de voorwaarden vermelden (weer in de linkerkolom):
Als je bezwaar hebt tegen het feit dat we gegevens uit je modem gebruiken, kun je ons vragen je gegevens hiervoor te blokkeren.
Op zich mag een bedrijf van de AVG een verwerkersovereenkomst afsluiten met een ander bedrijf en die iets laten doen. Als die verwerkersovereenkomst er is dan is daar op zich weinig tegen te beginnen, het is niet zo dat zoiets niet mag, ook zonder jouw toestemming.
Wat ik hier wel zorgwekkend vind is dat er kennelijk een bash-script over een onversleutelde verbinding wordt opgehaald en dat curl met de optie -k wordt gebruikt, wat de korte naam is voor de optie --insecure, die TLS-verificatie uitschakelt en waar de man page van curl terecht tegen waarschuwt: het is onveilig. Dat wekt niet de indruk dat Lifemote de bescherming van de gegevens en van je modem/router zelf erg serieus neemt. Houdt Lifemote zich dan wel aan de verwerkingsovereenkomst die het met Odido heeft?
Een punt dat in het algemeen afbreuk doet aan de bescherming die de AVG nastreeft is dat softwareleveranciers vaak eigenlijk verwerkingsleveranciers zijn geworden, de verwerking wordt voor de klanten uitgevoerd op systemen van de leverancier. Daar krijg je dan onvermijdelijk een concentratie van gegevens van al die klanten van die leverancier. Hoe groter die concentratie, hoe interessanter voor aanvallers, hoe meer moeite die ervoor willen doen, en dus hoe hoger de lat qua beveiliging moet liggen. Zo hoog dat vermoedelijk heel wat leveranciers de lat in de praktijk niet hoog genoeg leggen of zelfs kunnen leggen. Dat blijkt alleen pas als er een datalek is, of als (zoals hier) iemand zwakheden zichtbaar maakt. Die concentraties van data bij leveranciers op de achtergrond zijn in mijn ogen geen goede zaak voor de bescherming van persoonsgegevens.
Ik zou iedereen die bij Odido zit aanbevelen om het delen van die gegevens te laten stoppen en daarbij expliciet als reden te geven dat Odido verwerking uitbesteed heeft aan een partij die, afgaande op die Sipke Mellema, de indruk wekt de beveiliging niet serieus te nemen. Als genoeg mensen dat doen wil een bedrijf nog wel eens wakker schrikken.
