In de deze week te verschijnen versie van Firefox krijgen gebruikers de mogelijkheid hun verzamelde telemetriegegevens te verwijderen. Mozilla voegt deze optie toe omdat een nieuwe wet in Californië een brede definitie van persoonlijke data hanteert. Overdrijft de browserbouwer?
Mozilla neemt met dit besluit het voortouw in wat de organisatie beschouwt als persoonlijke data. In een blog zegt topman van het bedrijf Alan Davidson dat telemetrische data ook is te zien als persoonlijke data, al is dat niet de definitie die de meeste techbedrijven hanteren.
In Firefox worden niet heel veel telemetrische data verzameld en biedt het sowieso de mogelijkheid het verzamelen van de gegevens uit te schakelen. Nu is het dus zo dat het ook mogelijk is om de data helemaal te verwijderen.
De California Consumer Privacy Act of CCPA geeft bewoners van de staat Californië meer ruimte om dataopslag te ontwijken en te weten wat voor data bedrijven verzameld hebben over de gebruikers. Technisch gezien geldt de act alleen voor inwoners van de Golden State, maar dat is natuurlijk niet haalbaar. Het is voor bedrijven makkelijker dezelfde eisen te implementeren voor iedereen.
Maar vindt u dat telemetrische data daar ook bijhoren?
Een beetje verkeerde vraagstelling dit, Krijn, denk ik. Je bedoelt met “privé data” hier “privacy gevoelige data”? Zoals wij dat voelen of zoals de GDPR/AVG dat bedoelt? Met name deze 3 zaken zie je volgens mij over het hoofd:
1. Dat telemetrie data die publieke cloudproviders verzamelen wel degelijk privacy gevoelige data betreft, is o.a. keihard aangetoond bij de DPIA die NLM-Rijk in 2018 door Privacy Company heeft laten uitvoeren voor Office365 en Windows10. Bij de cloudgebaseerde spraakassistenten is het voor iedereen wel duidelijk dat random verzamelde gespreksfragmenten die als telemetrie worden verzameld om de spraakalgoritmen te verbeteren ook privacy gevoelige informatie kan en op de toegepaste schaal ook zal bevatten. Maar waar en hoe vaak jij ergens browsed en op klikt lijkt me al snel behoorlijk persoonlijk worden in combinatie met locatie en IP-adres en dat is zo’n beetje de baseline van telemetriedata op bij webtoepassingen.
2.De telemetrie-data “voor productverbetering” zoals Apple, Microsoft en Google die verzamelen bij haar cloudtoepassingen gaat over versleutelde verbindingen rechtstreeks naar servers in de USA en je kunt dus zelf niet zien en controleren wat er verzameld wordt. Zet in Windows 10 alle vinkjes over data versturen naar Microsoft voor productverbetering uit, zet de firewall van Windows 10 dicht voor uitgaand verkeer naar alle ip-adressen van Microsoft en dan nog gaat die versleutelde datastroom gewoon door. In principe kunnen de Amerikaanse veiligheidsdiensten er dan ook grootschalig (sleepwet-achtig) bij, zonder dat iemand maar te weten komt dat het gebeurt en zonder dat er gebruik wordt gemaakt van de CLOUD-act, die nog alleen zeer specifiek data opvragen bij Amerikaanse bedrijven op hun buitenlandse servers mogelijk maakt (en desondanks strijdig blijft met de GDPR).
Ook huren de cloudproviders externe partijen in die toegang krijgen tot die privacygevoelige telemetrie data en kunnen ze deze data ook domweg direct verkopen, zonder dat je dat zelfs maar weet. Dat laatste beloven ze vaak om niet te doen, geef ik toe. Maar te controleren valt het niet. De GDPR legt ook vast dat er verwerkersovereenkomsten worden afgesloten die waarborgen dat de afspraken die jij met een partij als Google of Microsoft maakt, ook gelden voor die derde partijen die toegang krijgen tot jouw data, ook wat betreft inzage, wijzigen, weghalen, proportionaliteit, etc. Ga jij maar eens zoeken in de privacy statements van de publieke cloudproviders met wie ze wat overeen zijn gekomen op dat gebied. Dat hebben Amerikaanse bedrijven niet, omdat totdat Californië er aan begon, er helemaal geen privacybescherming via wetgeving bestond in de USA, die consumenten tegen bedrijven beschermt. Alleen de overheden kenden tot voor kort wettelijke beperkingen op dat gebied.
Voor kinderen onder de 13 moeten de wettelijke vertegenwoordigers voordat er gebruik kan worden gemaakt van de toepassing toestemming geven voor verzamelen, nog lastiger. Die weten vaak niet eens wat hun kinderen allemaal “doen” op internet. De cloudproviders wel, dus.
3. Het is met name het recht om de data die over jou en je documenten, media en internetgebruik die worden verzameld zelf te kunnen inspecteren, wijzigen en eventueel te verwijderen, dat door de GDPR voor Europa en recenter in de CCPA voor Californië nu zo problematisch wordt bij de telemetriedata. Daar gaat de Mozilla blog ook vooral over, dat ze daar bij voorbaat aan willen voldoen.