Databescherming en corona-apps

    Maxim Februari over die corona-apps en databescherming in Gruwelijk misverstand: ‘privacy’ is het punt niet:

    Nu snapte ik het gruwelijke misverstand pas. Ik roep al eeuwen dat databescherming niet om privacy gaat. Maar nu begrijp ik pas dat je die bescherming, door haar wel onder de noemer ‘privacy’ op te voeren, als een private kwestie kunt beschouwen. Ten onrechte! Databescherming is niet een privaat, maar een algemeen belang en ligt in het hart van de rechtsstaat. Als je het land gaat besturen met data, en dat zal in deze nieuwe coronasituatie versneld gaan gebeuren, moet je goed bedenken wat dat betekent voor de fundamentele beginselen van de rechtsstaat. Voor het legaliteitsbeginsel, de toegang tot de rechter, de betrouwbaarheid van de overheid en het recht op gelijke behandeling. ‘Privacy’, met zijn associatie van een luxe privéleventje, beschrijft dat terrein in de verste verte niet.

    Coronavirus-registratie op onze telefoons

    Google en Apple voegen half mei nieuwe functionaliteit toe aan Android en iOS om het registreren van mogelijke coronavirus-contacten mogelijk te maken. Contact tracing, noemen ze het. En het wordt een privacy-vriendelijker optie gebaseerd op Bluetooth LE (nerdy PDF alert).

    De Nederlandse corona-apps

    Die gedeelde aankondiging sluit natuurlijk perfect aan op het nieuws van afgelopen dinsdag dat de Nederlandse overheid twee corona-apps gaat ontwikkelen. Want de eerste daarvan zou moeten gaan bijhouden bij wie je in de buurt bent geweest. Zodat je een signaal kan krijgen, of geven, als je mogelijk contact hebt gemaakt met iemand die (later) positief getest wordt.

    “Maar hoe gaat dat dan werken?”, vroeg men zich af. En zullen veiligheid en privacy voldoende gegarandeerd zijn? Tech-journalisten Daniël Verlaan (RTL) en Joost Schellevis (NOS) legden toen allebei uit hoe die apps kunnen gaan werken:

    1. Centrale data-opslag: de eerste optie -is- was het bijhouden van GPS-locaties van telefoons met een app. Die locatiedata zou centraal in een database worden opgeslagen, zodat bij een besmetting iedere persoon die in de buurt van de besmetting was geweest geïdentificeerd en gewaarschuwd kon worden. Daarmee weet de beheerder van de database waar iedereen is geweest.
    2. Decentrale data-opslag: iedere telefoon registreert met behulp van Bluetooth bij welke andere apparaten je in de buurt bent geweest. Die gegevens worden versleuteld opgeslagen op de telefoon, en periodiek wordt een lijst met besmette ‘telefoons’ opgevraagd en vergeleken met jouw lokale registratie. Op die manier worden jouw bewegingen dus niet centraal gedeeld. Zo’n app is in Singapore ingezet (meer info).

    Nederlanders verplichten zo’n app te installeren lijkt juridisch trouwens wel mogelijk. Maar dat terzijde.

    Techniek & privacy

    Google en Apple kiezen voor de decentrale optie, die op termijn zelfs op besturingssysteem-niveau in Android en iOS geïmplementeerd wordt. Apple verwoordt het zo:

    First, in May, both companies will release APIs that enable interoperability between Android and iOS devices using apps from public health authorities. These official apps will be available for users to download via their respective app stores. Second, in the coming months, Apple and Google will work to enable a broader Bluetooth-based contact tracing platform by building this functionality into the underlying platforms. This is a more robust solution than an API and would allow more individuals to participate, if they choose to opt in, as well as enable interaction with a broader ecosystem of apps and government health authorities.

    In eerste instantie moet iedereen dus apps van overheden installeren, waarmee onze telefoons kunnen gaan bijhouden bij wie we in de buurt zijn geweest. In de tweede fase wordt de contactregistratie ingebouwd in de mobiele besturingssystemen, waarna overheidsapps toegang kunnen krijgen tot die data.

    Terug naar de uitleg van The Verge:

    The system also takes a number of steps to prevent people from being identified, even after they’ve shared their data. While the app regularly sends information out over Bluetooth, it broadcasts an anonymous key rather than a static identity, and those keys cycle every 15 minutes to preserve privacy. Even once a person shares that they’ve been infected, the app will only share keys from the specific period in which they were contagious. Crucially, there is no centrally accessible master list of which phones have matched, contagious or otherwise. That’s because the phones themselves are performing the cryptographic calculations required to protect privacy. The central servers only maintain the database of shared keys, rather than the interactions between those keys.

    Op papier klinkt het goed. Een vraagteken voor mij was of en hoe een telefoon kan schatten hoe dichtbij een andere telefoon is gekomen. Warempel is dat via Bluetooth enigszins mogelijk met RSSI:

    RSSI staat voor received signal strength indicator. Het is een indicatie van het ontvangen (in dit geval) Bluetooth signaal. Het zegt iets over het ontvangen bereik. Zo ongeveer ieder apparaat heeft een ander zendvermogen. Op basis van de RSSI value kan je alleen iets zeggen over hoe goed het bereik is. Wanneer je het te verwachten zendvermogen (op basis van een vooraf samengesteld profiel per apparaat) toevoegt aan de berekening kan je een nauwkeurige schatting maken van de afstand tussen de twee apparaten.

    Al lijkt dat niet heel precies (technische uitleg).

    Technisch en maatschappelijk is dit enorm interessant. Ik ben benieuwd waar het de komende weken en maanden naartoe gaat.

    SyRI werkte niet, en mag nu niet meer

    NRC:

    De overheid moet stoppen met het gebruik van Systeem Risico Indicatie (SyRI) om fraude op te sporen. Het systeem is in strijd met het Europese Verdrag voor de Rechten van de Mens (EVRM) en privacywetgeving. Dat heeft de rechtbank in Den Haag woensdag bepaald in een principiële rechtszaak over het gebruik van data van burgers door de overheid.

    De inzet van het fraudebestrijdingssysteem werd aangevochten door een ‘privacycoalitie’ die zeker niet tegen fraudebestrijding was. Maar die de manier waarop dit met SyRI werd gedaan buitenproportioneel vond.

    Want SyRI ging vrij ver. Hoe ver? Arnoud Engelfriet legt het uit:

    SyRI is bedoeld voor gemeenten om fraude met sociale voorzieningen op te sporen. Dat gebeurt door gegevens van burgers uit allerlei overheidsdatabases te koppelen. Via een algoritme komen vervolgens risicoprofielen en personen met een verhoogd risico op fraude naar voren. Grof gezegd: als in het weekend je waterverbruik hoger is dan normaal en je staat als alleenstaand bekend, dan ben je een mogelijke fraudeur, pardon een risico want kennelijk woont je partner in het weekend bij jou. Dus dan krijg je een onderzoek en moet je aantonen dat je in het weekend gewoon graag in bad gaat. (Let op dat jij de bewijslast hebt want jij moet alle relevante feiten melden, dus ook bewijzen dat je alles hebt gemeld. Ja dit is raar.)

    Daarbij werden heel veel gegevens verzameld en gekoppeld, waarbij niet transparant was hoe die data werd vertaald naar risicoprofielen. En dat was in strijd met met artikel 8 lid 2 van het Europees Verdrag van de Rechten voor de Mens. Tweakers:

    Daarin staat dat er 'een redelijke verhouding' moet zijn tussen het maatschappelijk belang van een wet en de inbreuk op iemands privéleven. "De wetgeving is wat betreft de inzet van SyRI onvoldoende inzichtelijk en controleerbaar. De wetgeving is onrechtmatig want in strijd met hoger recht en dus onverbindend", staat in het vonnis. SyRI bevat te weinig waarborgen waarmee het privéleven van de burgers wordt beschermd en is daarmee buitenproportioneel voor het doel om fraude tegen te gaan. Zo wordt er te weinig gedacht aan dataminimalisatie en is er geen onafhankelijke toetsing van een derde partij om naar de proportionaliteit en de inzet te kijken.

    Het systeem is dus onvoldoende uitgedacht, niet proportioneel, er is geen controle en je kunt automatische risico-beoordelingen niet aanvechten. Maar erger nog, het werkt niet. Ton Zylstra:

    SyRI is sinds 2015 toegepast in Eindhoven (G.A.L.O.P. II), de Afrikaanderwijk te Rotterdam, Capelle aan den IJssel, Rotterdam Bloemhof & Hillesluis en Haarlem Schalkwijk. Altijd in sociaal zwakkere wijken. En in contrast met alle verhalen over cutting edge dingen die je met big data en algoritmen kunt doen, werkt SyRi geheel niet. Het vonnis gaat daar verder niet op in, want het was geen onderdeel van de zaak. De Volkskrant achterhaalde vorig jaar echter dat er nog géén énkel fraudegeval is opgespoord sinds SyRI in 2014 wettelijk mogelijk werd.

    Terwijl men toch als eerste de mogelijke baten en verwachtte kosten had moeten inschatten.

    Hopelijk zal hierdoor het heersende paradigma dat data goud waard is, en meer data overal en altijd beter, langzamerhand een beetje terrein verliezen. Want data meestal niet het grootste probleem…

    12 miljoen telefoons, 1 dataset, 0 privacy

    Stuart A. Thompson en Charlie Warzel beschrijven in Twelve Million Phones, One Dataset, Zero Privacy hoe allerlei (gratis) apps continu jouw locatie bijhouden:

    Every minute of every day, everywhere on the planet, dozens of companies — largely unregulated, little scrutinized — are logging the movements of tens of millions of people with mobile phones and storing the information in gigantic data files.

    Het bijhouden van de locatie van smartphones via apps is gewoon legaal. Er zijn niet of nauwelijks regels die dat beperken. En de bedrijven die locatiegegevens bijhouden vinden dat ook geen probleem: gebruikers hebben er toestemming voor gegeven, de data is ‘anoniem’ en wordt veilig opgeslagen. Zeggen ze. Maar:

    In most cases, ascertaining a home location and an office location was enough to identify a person. Consider your daily commute: Would any other smartphone travel directly between your house and your office every day?

    Het kan dus iedere ‘gewone’ burger raken. Maar in het tweede deel van de serie identificeerde de NY Times simpel een lid van de geheime dienst die de president van de V.S. bewaakt.

    The vulnerability of the person we tracked in Mr. Trump’s entourage is one that many if not all of us share: the apps (weather services, maps, perhaps even something as mundane as a coupon saver) collecting and sharing his location on his phone.

    Dat is schering en inslag. Technologieverslaggever Nic Nguyen van Buzzfeed schreef vorig jaar al over hoe marketingbedrijven de ontwikkelaars van apps proberen te overtuigen om locatiegegevens van gebruikers met hen te delen:

    When you consent to sharing your data with many popular apps, you’re also allowing app developers to collect your data and sell it to third parties through trackers that supply advertisers with detailed information about where you live, work, and shop.
    In November 2017, Yale Privacy Lab detected trackers in over 75% of the 300 Android apps it analyzed. A March 2018 study of 160,000 free Android apps found that more than 55% of trackers tried to extract user location, while 30% accessed the device’s contact list. And a 2015 analysis of 110 popular free mobile apps revealed that 47% of iOS apps shared geo-coordinates and other location data with third parties, and personally identifiable information, like names of users (provided by 18% of iOS apps), was also provided.

    Kijk dus gelijk even de instellingen op je telefoon na. Zo doe je dat. Maar zelfs als je een app geen toegang geeft tot je locatie kunnen ze die op een indirecte manier achterhalen:

    Even restricting location access on an app won’t necessarily prevent it from revealing your location. Abbas Razaghpanah, a researcher at Stony Brook University, found 581 Android apps, including dozens geared toward preschool-age children made by a developer called BabyBus, shared Wi-Fi access point names and MAC addresses (a unique identifier assigned to all network devices, like your router), which can be cross-referenced with a public database to pinpoint your location.

    Het blijft wachten op regelgeving die consumenten op dit vlak enigszins gaat beschermen.

    Linklijst: 5x digitale vrijheid

    ‘Het internet is stuk’ is de titel van het boek van internetpionier Marleen Stikker. NRC interviewde haar:

    Er is een ander internet mogelijk. Met die boodschap in het hoofd begon internetpionier Marleen Stikker vorig jaar haar eerste boek te schrijven. Want het lijkt soms alsof er geen alternatief is voor wat wij nu aantreffen als we online gaan. Alsof het inherent is aan internet dat gebruikers moeten betalen voor gratis diensten met hun privacy, alsof de privacyschandalen, het nepnieuws, de monopolies, de oplichters, de fraude, de polarisering en de manipulerende algoritmes nu eenmaal onherroepelijk bij internet horen.

    Één van die manieren waarop wij betalen is via onze smart-tv’s. The Washington Post onderzocht hoe:

    Ever wondered why TV sets are getting so cheap? Manufacturing efficiency plays a role. But to paraphrase political commentator James Carville, it’s the data, stupid. TVs have joined the ranks of websites, apps and credit cardsin the lucrative business of harvesting and sharing your information. Americans spend an average of 3½ hours in front of a TV each day, according to eMarketer, the market research company. Your TV records may not contain sensitive search queries or financial data, but that history is a window to your interests, personality, joys and embarrassments.

    Interessante ontwikkeling is dat er meer besef lijkt te ontstaan van de mogelijk negatieve effecten van technologieën. Zoals gezichtsherkenning. In het opiniestuk ‘Gezichtsherkenning is snel aan het ontsporen’ wordt expliciet om duidelijke kaders vanuit de overheid gevraagd:

    Hoe verdere wildgroei en ontsporing van gezichtsherkenning te voorkomen? Het plan dat D66 vorige week presenteerde om gezichtsherkenning door overheden grotendeels te stoppen totdat er een maatschappelijke en politieke discussie over is geweest, klinkt verstandig. Dat debat is nu namelijk nog te weinig gevoerd.

    Maar discussiëren is niet genoeg. Er zou snel meer duidelijkheid moeten komen over onder welke voorwaarden bedrijven en overheden gezichten mogen herkennen en welke data ze mogen verzamelen, zoals CDA en D66 deze week in een aangenomen motie voorstelden.

    Maar aangezien die regelgeving er nog lang niet is, moet je vooral als individu je eigen digitale privacy en veiligheid bewaken. Bijvoorbeeld met de producten en diensten uit TechCrunch’s Gift Guide: Essential security and privacy gifts to help protect your friends and family. (Zie ook Laat je niet Hack maken.nl)

    En als je dat voor elkaar hebt kun je nog even verder dromen over een eerlijker internet.

    Wat is CNAME Cloaking?

    CNAME Cloaking is een techniek die online trackers hebben ontwikkeld om mensen die een ad blocker of content blocker hebben geïnstalleerd toch te kunnen volgen. De BBC, Arstechnica.com, The Washington Post, Liberation en Le Monde gebruiken het al.

    Het werkt zo:

    CNAME Cloaking (..) is used to disguise a third-party tracker as first-party tracker. In this case, they are also purposely obfuscating this behind a random subdomain, with a CNAME to a generic and unbranded domain.

    Vervolgens proberen de grote trackers die algemene domeinnaam zo te registreren dat deze niet of nauwelijks naar hen herleidbaar is.

    Waarom werken ad/content blockers dan niet meer?

    Nu blokkeren onze content blockers bepaalde inhoud in webpagina’s op basis van een set regels. Iedere regels bevat de domeinnaam van een tracker, en iedere verwijzing naar zo’n tracking domeinnaam (bv. facebook.com/mensen_volger.js of google.com/analytics.js) in een webpagina die jij opent wordt geblokkeerd. Daardoor worden advertenties en tracking code niet geladen. En surf jij veiliger en sneller.

    Maar door CNAME Cloaking:

    1. Kunnen content blockers niet achterhalen wat er gebeurt. Content blockers hebben namelijk geen toegang tot de DNS.
    2. Wordt de tracking-domeinnaam (3rd party tracker) onzichtbaar gemaakt voor jouw browser. De tracking-code 'lijkt' ingeladen te worden vanaf een subdomein van de website die jij bezoekt, waardoor het een 1st party tracker wordt.
    3. Omdat die subdomeinnamen compleet willekeurig zijn, zullen content blockers voor iedere website die dit gaat toepassen een individuele blokregel moeten opnemen. Heel veel werk. Wat websites met tracking code kunnen ondervangen door de CNAME automatisch te veranderen.
    4. Extra complicerende factor is dat content blocking API's op iOS en Android maar maximaal 50.000 en respectievelijk 30.000 blokregels ondersteunen, wat nooit genoeg zal zijn als iedereen CNAME Cloaking gaat gebruiken.

    Wat nu?

    Tsja, lastig. Alleen Firefox op de desktop ondersteunt nu extensies die zelf DNS queries maken. NextDNS, de schrijver van het gelinkte artikel, biedt een oplossing. En misschien leidt het er uiteindelijk toe dat we meer mogelijkheden krijgen om javascript uit te zetten? Dat zou het ook kunnen oplossen.

    (Via Michael Tsai.)

    Pew Research: Amerikaanse burgers & dataverzameling

    Pew research internet amercans privacy 2019 11 14Het Pew Research Center onderzocht hoe Amerikanen tegenwoordig aankijken tegen privacy en dataverzameling.

    • Overal gevolgd. Van de geraadpleegde Amerikanen gelooft 62% dat het niet mogelijk is hun dagelijkse leven te leiden zonder dat bedrijven en overheden data over hen verzamelen.
    • Risico's overstijgen de voordelen. En 81% is van mening dat de potentiële risico's van die dataverzameling door bedrijven niet opwegen tegen de voordelen (veelal: gemak). Bij dataverzameling door overheden vindt nog steeds 66% dat.
    • Bezorgd. Meer dan de helft van de Amerikanen, 79% (bedrijven) respectievelijk 64% (overheden), is bezorgd over de manier waarop bedrijven en overheden hun data gebruiken.
    • Geen controle. 82-83% Heeft het gevoel niet of nauwelijks controle te hebben over hoe overheden en bedrijven die persoonlijke informatie inzetten.
    • Weinig vertrouwen in dataverzamelaars. Een flinke meerderheid (79%) heeft bovendien weinig vertrouwen in dat bedrijven de verzamelde persoonlijke informatie goed zullen beheren.

    Goede privacyregelgeving en heldere informatievoorziening zou bij dat laatste punt kunnen helpen. Want:

    There is also a general lack of understanding about data privacy laws among the general public: 63% of Americans say they understand very little or nothing at all about the laws and regulations that are currently in place to protect their data privacy.

    Dat is vermoedelijk hetzelfde in Nederland. Misschien is dit percentage tegenwoordig zelfs hoger sinds de AVG in weinig is getreden? Vrienden en bekenden die ik daar de afgelopen jaren over sprak zien het als een extra last.

    Wat me verder opviel is dat Amerikanen erg verdeeld zijn over dataverzameling voor specifieke doelen. Voor publieke zaken wordt dit meer acceptabel gevonden:

    Despite their broad concerns about data collection and use by companies and the government, pluralities of U.S. adults say it is acceptable for data to be used in some ways. For instance, by a 49%-27% margin, more Americans find it acceptable than unacceptable for poorly performing schools to share data about their students with a nonprofit group seeking to help improve educational outcomes. Similarly, 49% say it is acceptable for government to collect data about all Americans to assess who might be a potential terrorist threat. That compares with 31% who feel it is unacceptable to collect data from all Americans for that purpose.

    Dataverzameling die direct de privésituatie kan raken wordt minder gewaardeerd:

    On the other hand, more find it unacceptable than acceptable for social media companies to monitor users’ posts for signs of depression so they can identify people who are at risk of self-harm and connect them to counseling services (45% vs. 27%). The same pattern arises when it comes to companies that make smart speakers sharing audio recordings of customers with law enforcement to help with criminal investigations: 49% say this it is unacceptable, while 25% find it acceptable.

    Is dit recent in Nederland nog onderzocht?

    Hoe Wechat afbeeldingen censureert

    Cory Doctorow vat op Boing Boing onderzoek van Citizen Lab samen in ‘How Wechat censors images in private chat’:

    Wechat maintains a massive index of the MD5 hashes of every image that Chinese censors have prohibited. When a user sends another user an image that matches one of these hashes, it's recognized and blocked at the server before it is transmitted to the recipient, with neither the recipient or the sender being informed that the censorship has taken place.

    Separately, all images not recognized in the hash database are processed out-of-band. This processing includes checking for bitmaps representing text (to catch things like photos of banned articles) and also to see whether it is a partial match for an already-banned image (if it’s been resized, transformed, etc). Anything that is found to be “harmful content” (including material critical of the Chinese state) is removed from the chat on the sender and recipients' devices and the hash of that image is added to the blocklist.

    In de analyse van Citizen Lab staan meer details:

    • WeChat implements realtime, automatic censorship of chat images based on text contained in images and on an image’s visual similarity to those on a blacklist
    • WeChat facilitates realtime filtering by maintaining a hash index populated by MD5 hashes of images sent by users of the chat platform
    • We compare levels of filtering across WeChat’s Moments, group chat, and 1-to-1 chat features and find that each has different images censored; we find that Moments and group chat are generally more heavily filtered than 1-to-1
    • WeChat targets predominantly political content including images pertaining to government and social resistance
    • WeChat’s image censorship is reactive to news events; we found censored images covering a wide range of events, including the arrest of Huawei’s CFO, the Sino-US Trade War, and the 2018 US Midterm Elections

    Soon, satellites will be able to watch you everywhere all the time. Can privacy survive?

    Commercial satellite imagery is currently in a sweet spot: powerful enough to see a car, but not enough to tell the make and model; collected frequently enough for a farmer to keep tabs on crops’ health, but not so often that people could track the comings and goings of a neighbor. This anonymity is deliberate. US federal regulations limit images taken by commercial satellites to a resolution of 25 centimeters, or about the length of a man’s shoe. (Military spy satellites can capture images far more granular, although just how much more is classified.)

    But that will change soon.

    Stembestuurde gadgets in huis? Ja/Nee

    In onze smartphones zitten al jaren slimme assistenten waar we tegen kunnen praten. Die bijna niemand gebruikt. Omdat het raar is om op straat commando’s te geven aan je telefoon, typen meestal sneller gaat en Siri & Google Assistent regelmatig niet begrijpen wat je zegt.

    Met voice-activated home assistents als de Amazon Echo en Google Home moet dat veranderen. Early adopters en Engelstalige technologie-journalisten zijn al jaren enthousiast. Fabio (@fabiobruna) is dat ook in zijn eerste indruk over de Google Home. Wat mij daarin opviel:

    • Foto van de Google Home slimme speaker voor in huisHij is enorm enthousiast over stembediening in huis. Thuis lijkt daar echt de perfecte plek voor.
    • Het hele gezin gebruikt Google Home. De slimme wifi-speaker met stembediening is misschien wel de makkelijkst te bedienen 'computer' ooit?
    • Google Home is slim genoeg om stemmen te herkennen, en zo gepersonaliseerd te reageren.

    Dat klinkt allemaal fantastisch. Zeker voor een gadget-liefhebber als ik. En toch twijfel ik of ik wel apparaten in huis wil hebben die continu meeluisteren met alles wat we zeggen. Ook al ‘heb ik niets te verbergen’. Dilemma…

    “Surveillance is the business model of the Internet”

    Bruce Schneier vat het veelgedeelde artikel van The Guardian bondig samen.

    En maak je geen illusies: iedereen verzamelt zoveel data over ons. Facebook, Google, Bol.com, Marktplaats, niet alleen Tinder.