Een vrouw in Amerika heeft de fabrikant van een op afstand bestuurbaar ‘massage’-apparaat aangeklaagd wegens het schenden van haar privacy. De smartphone-applicatie waarmee je het aparaat kan besturen, schijnt namelijk zonder medeweten van de gebruiker zeer ‘intieme en gevoelige data’ naar de fabrikant te sturen.
Volgens Frank Ferrari, de directeur van de fabrikant Standard Innovation, verzendt het apparaat alleen data over de temperatuur van de processor en de intensiteit van de trilstand. Dit is volgens hem noodzakelijk voor doeleinden als markt- en productonderzoek om hun producten verder te kunnen optimaliseren. De Amerikaanse vrouw in kwestie vindt dat iets te kort door de bocht. Zij gebruikt de ‘We-Vibe Rave’ en de bijpassende ‘We-connect’ applicatie namelijk al sinds mei en is, ondanks ‘herhaaldelijk’ gebruik van het apparaat, op geen enkel moment op de hoogte gebracht van het feit dat de fabrikant meekijkt en identificeerbare gegevens verzamelt.
Als gevolg hiervan heeft zij een aanklacht ingediend bij de rechtbank in Chicago en wil zij, mede namens tienduizenden andere We-Vibe gebruikers, verhaal halen. Volgens de aanklager kunnen de handelingen van Standard Innovation gezien worden als consumenten fraude en is het apparaat bovendien in strijd met de ‘Federal Wiretap Act’ en de ‘Illinois Eavesdropping Statute’. Als argument daarvoor wordt aangevoerd dat het aparaat moedwillig electronische communicatie onderschept. Of dit hier het geval is, zal nog moeten blijken.
De loslippigheid van de applicatie is overigens niet nieuw voor Standard Innovation. Tijdens een recentelijke Def Con hackers conferentie in Las Vegas hebben twee Nieuw-Zeelandse hackers op een ludieke wijze laten zien dat de communicatie tussen de app en het apparaat zelf, alles behalve veilig is. Tijdens een presentatie ‘Hacking the Internet of Vibrating Things’ lieten de hackers zien hoe je zonder al teveel moeite volledige controle kunt krijgen over het apparaat, inclusief het aan- en uitzetten daarvan.
Sindsdien heeft Standard Innovation slechts in beperkte mate actie ondernomen. Op haar blog is te lezen dat ze alleen gebruik maken van geaggregeerde (niet-herleidbare) gegevens en dat ze privacy en security experts hebben benaderd om naar hun processen te kijken. Dat is natuurlijk leuk en aardig, maar vanuit privacy perspectief moet er nog een hoop gebeuren. Neem hun privacy statement. De enige vorm van gegevensverwerking die daarin genoemd wordt, is het gebruik van NAW gegevens voor het leveren van hun producten. Alle overige hiervoor genoemde praktijken komen daar niet in terug.
Dit komt dus volgens Standard Innovation, omdat zij alleen geaggregeerde gegevens gebruiken die niet langer herleidbaar zijn tot een specifiek persoon. Volgens Nederlandse privacywetgeving betekent dit, geen persoonsgegevens meer en dus niet gebonden aan de wet bescherming persoonsgegevens. De vraag is hier echter in welke mate het om geaggregeerde gegevens gaat. Het mogelijk kunnen terugdraaien van dat proces of een onvoldoende mate van aggregatie is al voldoende om toch gebonden te zijn aan Nederlandse privacy wetgeving. Bovendien kunnen alle handelingen voorafgaand aan de aggregatie, zoals het verzenden van die data naar Standard Innovation, wel degelijk gezien worden als als een verwerking van persoonsgegevens.
Hoe zit dat eigenlijk met passende technische- en organisatorische maatregelen. Verwerk je persoonsgegevens, dan moet je acties ondernemen om de veiligheid van die gegevens te waarborgen. Gezien het gemak waarmee de hackers toegang kregen tot het apparaat, kan aangenomen worden dat dit bij de We-Vibe niet het geval is. Enfin privacytechnisch kan de We-vibe nog wel een boost gebruiken.Wil je toch samen met je partner een spannende avond? Zorg dan wel dat je dit (be)veilig(d) doet.