Sinds de pandemie gebruiken organisaties en instanties massaal qr-codes. Ze duiken niet alleen op in de corona-apps, maar ook in de horeca (ter vervanging van de menukaart), om betalingen te verrichten, toegangsbewijzen te verschaffen (zoals voor het theater) en op reclameposters. Maar wat zijn nu de privacy-implicaties van het populariteit van QR-codes?
Een qr-code is een soort van streepjes- of barcode zoals we die ook kennen voor producten in winkels of magazijnen. Het grote verschil tussen een qr-code en een ‘reguliere’ streepjes- of barcode is dat in een qr-code zowel horizontaal als verticaal zwarte en witte pixels zijn uit te lezen. Door al deze informatieruimte kan een qr-code veel meer informatie bevatten dan een streepjes- of barcode. Zo kan een qr-code bijvoorbeeld iemands naam en contactgegevens bevatten, de url van een website of een foto. Dit in tegenstelling tot een streepjes- of barcode, waarbij de streepjes enkel staan voor een (beperkte) cijfercode waarmee (veelal) een product in een database is te identificeren.
Persoonsgegevens
Door het gebruik van qr-codes zijn op drie manieren persoonsgegevens te verwerken:
- Door het opnemen van privacygevoelige informatie in de qr-code zelf. Denk aan naam, geboortedatum en contactgegevens (en/of bijvoorbeeld het vinkje in het kader van Covid-19).
- Door het rechtstreeks verzamelen van privacygevoelige informatie uit de online-omgeving waar de persoon die de qr-code scant, terechtkomt. Denk aan het verzamelen van iemands naam, e-mailadres en bankgegevens in het bestelportaal van de koffietent waarmee de klant een bestelling kan plaatsen, en deze vervolgens bij de balie kan ophalen.
- Door het indirect verzamelen van privacygevoelige informatie uit de online-omgeving waar de persoon die de qr-code scant, terechtkomt. Denk aan het plaatsen van tracking cookies op de website waar de persoon die de qr-code scant, terechtkomt, waardoor de handelingen op het betreffende apparaat vervolgens zijn te volgen.
Mag dit?
De verwerking van persoonsgegevens moet volgens de privacywetgeving op een ‘rechtmatige, behoorlijke en transparante wijze’ gebeuren. Dit betekent dat het is toegestaan persoonsgegevens te verwerken middels qr-codes mits:
- Hiervoor een rechtsgrond aanwezig is (bijvoorbeeld toestemming);
- Degene wiens persoonsgegevens via de qr-code worden verwerkt (let op: ook unieke apparaatgegevens zoals ip-adressen vallen hieronder) op begrijpelijke wijze is uitgelegd dat gegevens worden verwerkt, voor welke doeleinden en waar de verwerking precies uit bestaat;
- Waarborgen zijn getroffen om te zorgen dat de persoonsgegevens juist zijn;
- Niet meer persoonsgegevens worden verzameld dan nodig;
- De persoonsgegevens niet zomaar voor andere doelen worden ingezet, dan waarvoor ze zijn verzameld;
- De persoonsgegevens niet langer worden bewaard dan nodig;
- De persoonsgegevens op passende wijze worden beveiligd;
- U een schriftelijke risicoafweging heeft gemaakt (data protection impact assessment) wanneer de verwerking een hoog privacyrisico teweegbrengt.
Privacy-risico’s
Op zichzelf is de verwerking van persoonsgegevens middels qr-codes niet problematisch, mits de verwerking op een rechtmatige wijze plaatsvindt. Het grote privacy-risico bij het gebruik van qr-codes ligt er vaak in dat hierdoor meer persoonsgegevens worden verwerkt dan normaal gesproken het geval is bij het reguliere gebruik van diensten. Zo weet een koffietenthouder bijvoorbeeld normaal niet welke naam, e-mailadres en betaalgegevens zijn gekoppeld aan een cappuccino. Maar denk ook aan de marketeer die normaal niet weet welk device geïnteresseerd is in diens (fysieke) reclameposter, waar dit device zich bevindt en wat deze persoon op het web nog meer interessant vindt.
Het verzamelen van aanvullende informatie middels qr-codes kan waardevolle inzichten opleveren voor een organisatie, waardoor de verleiding kan ontstaan om deze persoonsgegevens voor meer doeleinden in te zetten. Zo zijn met deze extra informatie klantprofielen te maken, zijn advertenties over verschillende websites heen te tonen en zijn gepersonaliseerde aanbiedingen te versturen (zoals een kortingsvoucher voor de klaarblijkelijk favoriete koffie). Dit kan op een volledig legale manier gebeuren, mits er van tevoren goed over is nagedacht en alle benodigde privacy en informatiebeveiligingsmaatregelen zijn getroffen.
Tamelijk vreeemd artikel. Iedereen kan een qr-kode scannen en de inhoud daarvan bekijken.
Er zijn genoeg (gratis) apps die de inhoud tonen.
Ik ben benieuwd hoe mevrouw Wijnant aan deze uitspraken komt:
“Zo weet een koffietenthouder bijvoorbeeld normaal niet welke naam, e-mailadres en betaalgegevens zijn gekoppeld aan een cappuccino. Maar denk ook aan de marketeer die normaal niet weet welk device geïnteresseerd is in diens (fysieke) reclameposter, waar dit device zich bevindt en wat deze persoon op het web nog meer interessant vindt”
Voor dat er privacy gegevens naar de eigenaar van een poster met QR-Kode gaat meot je je Mobil zu ingericht hebben dat die zo lek is als een mandje.
Mijn raad aan mevrouw Wijnant:
schoenmaker houdt je bij je leest.
Inderdaad geeft het artikel enige onduidelijkheid tussen privacy en QR-codes maar of Jan geheel gelijk heeft over de mobiele telefoon is nogal betrekkelijk als we kijken naar het proces. Want zolang we dus apparaten nodig hebben om de ‘machinetaal’ van een QR-code te decoderen in informatie is er binnen het proces een risico dat er gegevens verkregen worden die helpen om een bezoeker te identificeren.
Aangaande de aanvullende informatie zijn er namelijk nogal wat technische kenmerken die misschien niet direct als PII gezien worden maar het uiteindelijk wel zijn omdat bijvoorbeeld een rekeningnummer net zo onlosmakelijk aan de persoon is gebonden als de IMEI van een telefoon. En nee, het maakt niet uit of je Google Analytics of Matomo gebruikt want je verzameld informatie met als doel om daar wat mee te doen.
Denk dat mevrouw WC-eend dan ook meer doelt op de rechtmatigheid van de informatieverwerking welke zeker interessant is als we kijken naar het ongevraagd verzamelen van gegevens welke tot op de persoon te herleiden zijn voor zoiets als marketing.
Hartelijk dank voor de reacties en adviezen. Zoals in de blog beschreven, kunnen via een QR-code en de omgevingen waarop je via de QR-code terechtkomt persoonsgegevens worden verwerkt. Dit omvat bijvoorbeeld de persoonsgegevens zoals in het citaat in de reactie aangehaald. Het gaat hierbij niet om het enkele voorbeeld dat een persoon een poster met hierop een QR-code scant, maar om de situaties waarin met behulp van QR-codes en de bijbehorende omgevingen persoonsgegevens kunnen worden verzameld.
Daarbij is het begrip ‘persoonsgegeven’ vrij breed en omvat dit zowel alle gegevens waarmee een betrokkene direct als indirect kan worden geïdentificeerd. Denk hierbij ook aan de meer technische gegevens zoals bijvoorbeeld IP-adressen en (gedrag gekoppeld aan) cookie ID’s.
Nogal harde reacties op een nogal summier artikel van mevrouw Wijnant.
QRCs hebben reeds sinds een jaar of twee de aandacht getrokken van privacy-organisaties en -deskundigen.
Het internationaal gebruik ervan tijdens de COVID-epidemie heeft die aandacht intussen versterkt.
En terecht. De QRC kan gebruikt worden voor het opnemen van persoonsgegevens en voor tracking, en leent zich voor misbruik.
September 2020 verscheen een interessant overzichtsartikel van Kapersky (https://www.kaspersky.com/resource-center/definitions/what-is-a-qr-code-how-to-scan). Juli 2021 gevolgd door een artikel in de New York Times (https://www.nytimes.com/2021/07/26/technology/qr-codes-tracking.html), en een artikel door de American Civil Liberties Union (https://www.aclu.org/news/privacy-technology/diners-beware-that-meal-may-cost-you-your-privacy-and-security). In Oktober 2021 nog een stukje in The Washington Post (https://www.washingtonpost.com/technology/2021/10/07/are-qr-codes-safe/).
De CTO van Firefox reageerde in zijn blog op het artikel in de NYT (https://educatedguesswork.org/posts/qr-code-menus/). En in Nederland deed Security.NL dat (https://www.security.nl/posting/713952).
Dat de ACLU zich ermee bemoeit zegt genoeg.
In de VS gebeurt op IT-juridisch gebied alles 1 jaar eerder.
Beter een reactie dan geen reactie omdat juist de interactie leerzaam kan zijn want Michelle lijkt me niet een techie waardoor het artikel voor sommigen misschien wat summier is. En weer anderen zullen hun schouders erover ophalen want
de term rechtsgrond lijkt me nogal ruim uitlegbaar als je niet weet waar je toestemming voor geeft. Tenslotte willen organisaties zelf nog weleens het gerechtvaardigde belang van bepaalde gegevensverzamelingen bepalen zoals dat ook de Jaarbeurs doet als we kijken naar hun privacy statement.
Om even aan te haken op de vorige bijdrage van Michelle betalen we tenslotte allemaal met onze data als we denken dat het gratis is. Niemand weet dat ik Repelsteeltje heet is mogelijk een wat te cryptische uitleg voor het probleem maar het geven van persoonsgegevens en privacy zijn nog twee verschillende dingen. Aangaande ‘Wie ben ik?’ hoef je alleen maar Google te gebruiken in combinatie met de juiste termen. Want het probleem met privacy begint namelijk als e.e.a. met elkaar gekoppeld wordt, een social credit systeem is tenslotte niet veel anders als de goodies via marketing of het systeem hier bij Computable.
Uiteindelijke vraag is wat nu precies privacygevoelige informatie is want aangaande de opmerking over het achterlopen op IT juridisch gebied in Nederland vrees ik dat het meer dan 1 jaar is als ik kijk naar een deplorabele staat van het ‘privacy-by-design’ principe door alle technische schuld in systemen. Tel daarbij op het feit dat organisaties nog te vaak zelf het gerechtvaardigde belang bepalen met een te groot digitaal optimisme waardoor ik me niet zo’n zorgen maak over de voorkant van inname maar om de achterkant van koppelen. Nu is dat gelijkertijd ook weer een interessant domein als we kijken het digitale rechercheren wat er zit bijvoorbeeld nog een schat aan informatie in alle PST bestanden.
Wat betreft de vraag over betalen is het antwoord steeds vaker de digitale equivalent van Polaroid en aangaande de olifant van ongestructureerde data lijkt vanuit het perpectief om vergeten te worden ransomware me eerder een zegen dan een last.
Ik zie het probleem niet zo. Het gebruik van een QR-code is toch niet anders dan een andere manier om een app te starten. Wat er na het starten van de app gebeurd ligt toch niet aan de QR-code. Of mis ik nou iets?
Het gebruik van een QR-code is hetzelfde als het starten van de booking.com-app waarmee je een kamer reserveert in je favoriete hotel. Idem voor de Netflix-app of welke andere app dan ook. Met allemaal die apps worden stukjes code opgehaald die meer kunnen/zullen doen dan op het eerste gezicht lijkt!
Maar dat is allemaal inherent aan het gebruik van een Android of iOS toestel met al zijn apps. Dat alles is ontwikkeld om na het starten zoveel mogelijk persoonsgegevens te verzamelen. Bij de eerste keer starten ben je akkoord gegaan met het onvoorwaardelijk beschikbaar stellen van alles wat er opgehaald wordt – bewust of onbewust.
Doe je dat niet, dan kom je na het starten niet verder dan een paar schermen tekst waarin beschreven is dat “ze” vrij mogen rondsnuffelen, verzamelen en beschikbaar stellen aan “partners”.
En ja – dat alles leent zich prima voor misbruik. Maja… zonder die toestemming kun je er niks mee.
ironie-on | Dus op dit moment zit er niets anders op dan het risico op misbruik te accepteren. Want zonder smartfoon en zijn apps heb je immers geen bestaansrecht… toch? | ironie-off
😉
Will,
Als ik je goed begrijp zeg je dat als je NIET de QR-code met je smartphone scant je ook geen gegevens geeft wat volgens mij grotendeels al de essentie van het artikel raakt als we kijken naar de keuze die we hebben. Een beetje zoals dat we vaak alleen nog maar digitaal kunnen betalen waardoor wat er in die code zit eigenlijk niet zo relevant meer is als het gaat om de ‘randgegevens’ welke bepaalde informatie geeft zonder dat er expliciete toestemming voor is gegeven zoals allerlei machine gegenereerde data welke onlosmakkelijk aan de persoon zijn verbonden. Neem het digitaal stempelen van de bonnetjes (QR-code?) waarbij deze digitale handtekening om de identificatie van een kassa gaat maar hetzelfde idee kan natuurlijk ook op een andere manier gebruikt worden.
Hmmm…. iemand al QR-codes in combinatie met cryptogeld genoemd? Want het bestaansrecht in hedendaagse (westerse) maatschappij wordt niet bepaalt door je smartphone maar door je bankrekening, bij een priverekening veelal een aan de persoon gekoppelde cijferreeks welke bij digitale betaling gekoppeld is aan de transactie welke vervolgens weer gekoppeld is aan de garantietermijn. Elk nadeel heb uiteindelijk zijn voordeel want ik hoef hierdoor het bonnetje niet meer als garantiebewijs te bewaren alleen is niet duidelijk wat er daarna met de data gedaan wordt. Want nee, er is uiteindelijk geen sprake van een onvoorwaardelijke toestemming over het gebruik van klant- en betaalgegevens alleen heb je als consument weinig invloed hierop omdat er onduidelijkheid is over wie nu precies de eigenaar is van deze data.
P.S.
Repelsteeltje accepteert ook Kudo’s
@Ewout
Niet helemaal – het punt dat ik wil(de) maken is dat eventuele risico’s op het weglekken van (persoons)gegevens bij het scannen van een QR-code bij de gebruikte app ligt. Oftewel je kan een QR-code prima scannen zonder dat er verder iets gebeurd – tis maar net welke app je gebruikt, welke rechten je die geeft en hoe je die verder instelt/gebruikt. De text achter de QR-code heeft hier helemaal geen invloed op.
Een voorbeeld: ik gebruik een QR-scanner waarvan de ontwikkelaar beweerd geen advertenties te laten zien – anders dan van de andere apps die ze zelf bouwen. Tot nu toe heb ik inderdaad geen enkele advertentie gezien – ook niet van de andere apps die ze bouwen.
Ik heb de app toegang gegeven tot de camera en lokale opslag. Hierdoor kan er een scan gemaakt worden en het resultaat kan (optioneel) weggeschreven worden in een text-bestandje.
De app is zo ingesteld dat het alleen de tekst laat zien zoals verwerkt in de QR-code. Er wordt verder niks mee gedaan; ook niet als het een URL of een oneliner aan code is. Het wegschrijven naar een text-bestandje is iets wat ik zelf moet starten.
Met de aanname dat er verder binnen de scanner-app (of ergens anders) geen achterdeurtjes verwerkt zijn: hiermee kan ik de QR-codes wel scannen en inzien. Maar zonder dat er verder iets mee gebeurd en dus zonder dat er gegevens weglekken.
De werkwijze is dan zo dat ik afhankelijk van het doel en de uitkomst van de scan, de app de text op het clipboard laat zetten voor uitvoering in een andere app. Of ik laat de text wegschrijven in een textbestandje, bewerk dat textbestandje en copieer het eindresultaat naar het clipboard voor uitvoering in een andere app. Maar nogmaals – dit zijn allemaal handelingen die ik zelf start.
=====
Inzake klant- en betaalgegevens:
Noem me paranoia – maar mijn inschatting is dat banken en overheid/belastingdienst zich op dit onderdeel niet veel anders gedragen dan een Google, Microsoft, Facebook of wie dan ook… die partijen zijn er immers bij gebaat om erachter te komen waar nog wat te halen is en hoe dat “verkocht” kan worden. Iets wat prima te doen is als je inzage hebt in alle klant- en betaalgegevens.
Het gaat niet om wat Wilhelmus Leonardus doet maar wat 99,9% van de gebruikers wil en dat is gemak en korting en dus is de QR-code onderdeel geworden van de advertentiestrategie omdat het een manier biedt om sneller toegang te krijgen tot de website van een merk dan door handmatig een URL in te voeren waarbij het lokkertje aan het einde van de conversietrechter de welbekende aanbieding is die je verkrijgt door te betalen met je gegevens. Degene die zijn smartphone als een Remington gebruikt om zich op een klein toetsenbordje RSI te typen wordt uiteindelijk wel op een andere manier in de val gelokt, bijvoorbeeld bij de kassa als er digitaal betaald moet worden omdat er geen kassamedewerk(st)er meer is.
Oja, de ‘kiloliner’ van bijna 3000 karakters (alfa-nummeriek) is heel wat code in een onschuldig lijkend plaatje en ik weet niet of er al virussen mee verspeidt kunnen worden maar er zijn al ‘click baits’ waarbij een exploit geinstalleerd wordt op de telefoon van een argeloze gebruiker die denkt een valide QR-code te scannen op bijvoorbeeld een monument voor meer informatie. Natuurlijk mag dat niet maar wildplassen mag ook niet alleen zolang pakkans klein is en het genot hoog is zal het toch gebeuren maar dat is off-topic want Repelsteeltje gaat geen wedstrijdje ver plassen beginnen aangaande de voor- en nadelen van IoT.
Eens – mijn werkwijze is niet of nauwelijks relevant.
En ook: zolang ik een smartfoon-met-gratis-apps gebruik weet “iedereen” dat ik Repelsteeltje heet; het scannen van een QR-code hoeft niet eens meer.
Alleen het saldo van mijn bankrekening en achterlliggende transacties achterhalen zal wat lastiger zijn… maar gezien de druk op de banken en overheid om derde partijen toegang te geven tot betaalgegevens is dat een kwestie van tijd…
Dus als over een aantal jaren PSD5 in werking treedt en de toestemming daarvoor geautomatiseerd is via het versturen en scannen van een QR-code gaat er een wereld voor je open… 😉