Spaanse toezichthouder beboet Google voor verzamelen wifidata Street View-auto's

De privacytoezichthouder in Spanje, het Spaanse Agentschap voor gegevensbescherming, heeft Google een boete van 300.000 euro opgelegd voor het verzamelen van wifigegevens met de speciale Street View-auto's, terwijl daar geen toestemming voor was.

Volgens de Spaanse privacywaakhond is er sprake van een ernstige schending van de wet op de gegevensbescherming. Deze Spaanse wet schrijft voor dat er eerst toestemming van de getroffen partij nodig is, voordat de gegevens mogen worden verzameld. De toezichthouder stelt dat daar geen sprake van was, toen Google persoonlijke gegevens verzamelde en opsloeg via open wifinetwerken, zo schrijft de Spaanse krant El País.

Google heeft volgens de toezichthouder onder meer informatie over e-mailadressen, gebruikersnamen en wachtwoorden en ip-adressen verzameld. Het agentschap stelt uitdrukkelijk dat het feit dat er bij open wifinetwerken geen beveiliging is ingesteld, niet betekent dat er zomaar persoonsgegevens mogen worden verzameld en gebruikt.

De boete is opgelegd voor het handelen van Google in de periode mei 2008 tot en met mei 2010. De toezichthouder heeft de hoogst mogelijke wettelijke boete opgelegd die staat voor de categorie van 'ernstige overtredingen' van de wet. Er is nog een zwaardere categorie waar zeer zware overtredingen onder vallen; daarbij kan de toezichthouder een maximale boete van 600.000 euro opleggen. Het is niet duidelijk waarom de toezichthouder heeft geoordeeld dat de praktijk van Google niet in deze zwaarste categorie valt.

De privacywaakhond kwam tot deze maximale boete omdat de overtreding gedurende lange tijd plaatsvond, er een enorme hoeveelheid persoonlijke gegevens werd verzameld, omdat deze data werd gekoppeld aan de activiteit van gebruikers op Google, en omdat het om een groot bedrijf gaat.

In Nederland werd er al in 2011 opgetreden tegen het verzamelen van persoonsgegevens door Street View-auto's van Google. Het toenmalige College bescherming persoonsgegevens, de huidige Autoriteit Persoonsgegevens, legde toen geen boete op; de toezichthouder legde Google een last onder dwangsom op, waarmee het bedrijf werd gedwongen om binnen drie maanden de betrokkenen te informeren over de verzameling van gegevens over wifirouters met Street View-auto’s. Ook werd Google gedwongen om een online opt-outmogelijkheid aan te bieden waarmee mensen zich konden verzetten tegen de verwerking van gegevens over hun wifirouters.

IT-banen

Reacties (72)

David Mulder 7 november 2017 12:33

Wat context is ook wel fijn: Google had dus auto's rondrijden en was bezig wifi netwerken in kaart te brengen om te helpen met (GPS, en aGPS) locatie bepaling. Hoe dan ook, ze besloten toen gewoon alles op te slaan wat hun receiver opving om het dan later te analyseren. Het idee was: 'het kost een fortuin om deze autos rond te laten rijden, laten we proberen te voorkomen dat we maanden aan het rond rijden zijn en dan plots bedenken dat we per ongeluk ons filter beter hadden kunnen instellen'. Probleem is dat bij open wifi netwerken de zaken die werden opgeslagen een stuk privacy gevoeliger waren dan wat acceptabel is om op te slaan (ook ergens wel fout van mensen om hun data via een open wifi netwerk over onbeveiligde HTTP verbindingen te sturen... maar goed

). Dus Google heeft daar ZEKER een fout gemaakt, maar het is niet zo dat Google rond aan het rijden was met het doel om die gegevens van mensen op te slaan.

Op zich een goede zaak dat Google daarover op de vingers is getikt, maar heb wel vaak het gevoel dat het een beetje is opgeblazen.

Edit: Zit nu door het report van de FCC te lezen wat ik nog niet eerder had gelezen en waar nog wat extra informatie in staat. Nuttige toevoeging is dus dat 'Engineer Doe' een eerste versie heeft gemaakt van hun wifi tracking software en dat in die versie er de bedoeling was om alles behalve the body van elk frame op te slaan. Alhoewel dat de bedoeling was is dat nooit gebeurd en werd het hele frame opgeslagen. 'Engineer Doe' geloofde dat dit geen probleem was, omdat de auto's rond reden en nooit lang genoeg bij dezelfde gebruiker zouden zijn om privacy gevoelige informatie op te vangen (samen met het feit dat privacy gevoelige informatie nooit unencrypt verstuurd zou horen te worden). Er waren mensen binnen Google die er zich bewust van waren dat deze informatie werd opgeslagen, maar de overtuiging was er dat dit gegevens waren die potentieel voor analyse waardevol waren, maar niet privacy inbreuken waren. De reden dat er zo veel gevoelige data is gevonden is simpelweg omdat er zo bizar veel met die streetview autos is rondgereden.

Als ik de hele dag zou gaan wardriven zal ik mogelijk niet 1 username + password combination weten te vangen (en misschien heb ik geluk). Ach ja, ik ben blij dat Google een boete heeft gekregen, maar de ISP's die unencrypted mail verbindingen aanbieden zouden net zo goed wat mij betreft beboet mogen worden.

[Reactie gewijzigd door David Mulder op 25 juli 2024 11:08]

Blokker_1999

Privacy
Google

@David Mulder • 7 november 2017 12:48

Google reed net doelbewust rond om die data wel op te slaan en potentieel later te verwerken mochten ze er een toepassing voor hebben. Dit is in essentie hetzelfde als gebruik maken van een sleepnet. Als Google niet wenste dat hun filters verkeerd stonden, dan hadden ze die filters kunnnen nakijken na de eerste dagen en zien of ze goed stonden.

En opgeblazen? Ik ben van mening dat ze er nog licht van afkomen. Ze hadden veel zwaarder gestraft mogen worden. Als ik er voor kies om mijn voordeur open te laten staan betekend dat ook nog niet dat je zomaar binnen mag wandellen bij mij. Toch leven we vandaag in een maatschapij waar we dan wel naar mij zouden wijzen met de mededeling: eigen schuld.

David Mulder @Blokker_1999 • 7 november 2017 13:00

De deur open laten staan is 1 ding, maar als ik een speaker pak en m'n username en wachtwoord luid ga afspelen op straat dan is dat toch echt wel iets anders. ZEKER fout als je dat dan hoort op straat en er misbruik van maakt, maar al een stuk minder fout als je dat hoort en opschrijft. Want dat is het ding, een onbeveiligd wifi netwerk gebruiken en dan ook nog een onbeveiligde HTTP verbinding gebruiken (of onbeveiligde POP verbinding) en ook nog eens geen VPN gebruiken... dat is toch echt meer te vergelijken met een speaker waarmee je op straat te horen bent, dan dat het te vergelijken is met een open deur.

dabronsg @David Mulder • 7 november 2017 13:15

Sorry, maar ook deze analogie gaat niet op. Je wifi zendertje in je computer verzend wel alles ota, maar standaard zal een computer frames die niet voor hem bedoeld zijn gewoon laten vallen. Wil je data die niet voor jouw computer bedoeld is wel kunnen inzien dan zal je daar speciale software voor moeten draaien. Dan begeef je je op glad ijs. Zie hiervoor https://www.security.nl/p...Fi-verkeer+afluisteren%3F

http://www.wetboek-online...an%20Strafrecht/139c.html
en daarnaast: http://www.wetboek-online.nl/wet/Sr/139e.html

[Reactie gewijzigd door dabronsg op 25 juli 2024 11:08]

ari3 @dabronsg • 7 november 2017 13:53

Ik ben van mening dat Google uberhaupt geen verbinding met prive access points mag maken. Als je door een woonwijk rijdt is het per definitie not-done om zomaar met ieder SSID te verbinden ongeacht hoe deze beveiligd is. Je gaat toch ook niet door een straat lopen en aan ieder deurklink voelen of je mogelijk naar binnen kan? Dit alles gaat veel te ver en zou mijn inziens bij wet voorboden moeten zijn.

dabronsg @ari3 • 7 november 2017 13:58

Je hoeft natuurlijk geen verbinding te maken met een accesspoint om wifi pakketjes op te vangen. Je router zend zijn ID met grote regelmaat uit om clients te laten weten dat ze binnen bereik zijn van het wifi netwerk. Deze broadcast kan je gewoon opvangen zonder verbinding te maken.

ari3 @dabronsg • 7 november 2017 14:13

Zelfs als het een broadcast is dan mag je het ID nog steeds niet opslaan als je dit combineert met een locatie. Het feit dat je een AP broadcast buiten een privedomein kunt ontvangen wil nog niet zeggen dat je dat moet gebruiken of opslaan. Het gegeven is overduidelijk niet bedoeld voor mensen buiten het privedomein. Net zoals je privegesprekken in de publieke ruimte mischien wel kunt horen, maar vastleggen en gebruiken niet bepaald fatsoenlijk is.

[Reactie gewijzigd door ari3 op 25 juli 2024 11:08]

David Mulder @ari3 • 7 november 2017 14:04

Maar dat heeft Google ook totaal niet gedaan, dus geen zorgen

. Google was enkel aan het meeluisteren wat er in de publieke ruimte gebeurde. Ze maakte totaal geen verbinding met onbeveiligde routers.

Niet dat Google niks fout deed, maar het meeluisteren an sich was het probleem niet.

[Reactie gewijzigd door David Mulder op 25 juli 2024 11:08]

CAPSLOCK2000

Privacy
Google

@David Mulder • 7 november 2017 15:11

Google was enkel aan het meeluisteren wat er in de publieke ruimte gebeurde.

Het venijn zit in de definitie van "publieke ruimte". De routers die het signaal verzenden staan namelijk grotendeels bij mensen thuis. De data die ze versturen komt ook, voor een deel, van de thuisnetwerken. De ontvanger staat echter wel in de publieke ruimte.

Nu wil ik eigenlijk vergelijkingen gaan maken met iemand die met een verrekijker of een richtmicrofoon op straat gaat staan en kijkt/luistert wat mensen in hun woonkamer doen. Maar ik doe het niet (of heb ik het al gedaan?

) want het gaat weer om balanceren op een mesdunne lijn. Dat het niet de bedoeling is om met een verrekijker in de slaapkamer van de buurvrouw te kijken snapt iedereen wel, maar een foto van een flatgebouw moet kunnen. Dat vind mijn onderbuik in ieder geval. Maar als je met een heelveel megapixel camera een foto van een wolkenkrabber maakt staat er vast wel ergens iemand op die toevallig naakt door z'n eigen appartement loopt.

Het lijkt een beetje op het gedoe rond de afluisterwet. De geheime diensten waren gewend een antenne in de lucht te steken en alles af te luisteren wat er te horen was. Het werd per slot publiek uitgezonden en afluisteren is toch niet tegen te gaan. Praktische grenzen aan de werkelijkheid (zoals dat radiostraling door muren heen gaat) kun je niet veranderen met een wet. Met het voortschrijden van de techniek wordt er steeds meer praktisch mogelijk wat voorheen ondenkbaar was.
Dingen die toch niet mogelijk zijn hoef je ook niet per wet te verbieden. Maar nu zijn ze wel mogelijk, en wij zitten met wetten (en sociale verhoudingen) die daar nog goed mee om gaan.

D11 @ari3 • 7 november 2017 14:14

Dat is ook niet wat Google gedaan heeft. Ze hebben echter wel alle packets die ze konden opvangen opgevangen. Als dit packets zijn op een onbeveiligd netwerk, over een onbeveiligd protocol, dan hebben ze mogelijk dus ook gebruikersnamen en wachtwoorden opvangen.

David Mulder @dabronsg • 7 november 2017 13:33

Ik heb ook nooit gezegd dat Google niet beboet zou moeten worden! Ik zeg enkel dat er wel een groot verschil is tussen 'ik sla alles op wat ik opvang voor latere analyse met het doel m'n locatie bepaling te verbeteren' en 'ik loop binnen bij iemand thuis'.

t link @David Mulder • 7 november 2017 13:46

Je vergelijking vliegt niet omdat je actief moet ontcijferen om die data in handen te krijgen, netzoals een deur binnen lopen. je kan natuurlijk je antenne inzetten om al het verkeer op te vangen en dat op te slaan, maar dat is niet anders dan je verkopers opdragen zover te gaan als ze kunnen, of dat nou binnenshuis is of buitenhuis. De norm is selectief ontvangen, niet alles ontvangen.

[Reactie gewijzigd door t link op 25 juli 2024 11:08]

David Mulder @t link • 7 november 2017 14:03

Geluid (van m'n voorbeeld) of licht moeten beide ook ontcijfert worden in je hersenen. Anders dragen ze geen betekenis. Niet selectief opvangen in de publieke ruimte is de norm. Heb net een minuut of 10 lopen rond te zoeken of we in Nederland legaal mogen luisteren via de walkie talkie naar onbeveiligde zenders (iets wat ik redelijk veel heb gedaan terwijl ik opgroeide), maar kon geen eenduidige bron vinden.

Hetgeen Google fout heeft gedaan is niet zozeer het luisteren en decoderen van deze golflengtes (iedereen is het erover eens dat dat an sich mag), maar dat ze de prive gegevens die ze op deze manier vonden hebben opgeslagen.

t link @David Mulder • 7 november 2017 16:49

Zo werkt het nou eenmaal niet met de wet, de wet volgt vaak geen wetenschappelijke lijnen naar de ethische grondbeginselen, psychologie al helemaal niet. bijvoorbeeld toerekeningsvatbaar is voor de rechter echt heel wat anders dan in de medische industrie. Zoals ik al zei, de norm is dat je niet alles onderschept en ontcijfert, het is ook niet de norm dat je X-ray ogen hebt toch?

[Reactie gewijzigd door t link op 25 juli 2024 11:08]

Tintel

Privacy

@David Mulder • 7 november 2017 14:59

Systematisch aanhoren en opschrijven is toch echt wel fout...
En het excuus dat ze het niet wisten dat het werd opgeslagen of verwachten dat het 'hoorbaar' was horen we ook te vaak.

nils83 @Blokker_1999 • 7 november 2017 13:22

Als ik er voor kies om mijn voordeur open te laten staan betekend dat ook nog niet dat je zomaar binnen mag wandellen bij mij. Toch leven we vandaag in een maatschapij waar we dan wel naar mij zouden wijzen met de mededeling: eigen schuld.

Ik geef je 100% gelijk, maar denk eraan dat het artikel niet over Nederland gaat. Er zijn verschillende Europese landen waar bvb je autodeur of voordeur van je huis niet op slot doen een overtreding is en je dus beboet kan worden. In sommige gevallen kan je zelfs uitlokking verweten worden met alle gevolgen vandien.

Zo is het bvb in Belgie strafbaar om je autodeur niet op slot te doen. In Spanje weet ik het niet, maar de situatie kan er dus anders zijn.

tERRiON @David Mulder • 7 november 2017 12:47

Als je het mij vraagt, heeft Google hier gewoon een gecalculeerd risico genomen. Ze hadden de filters ook uitvoeriger kunnen testen en strakker kunnen zetten, dan was dit waarschijnlijk niet aan de orde geweest.

Misschien heb ik er iets te weinig kennis van, maar ik zie niet hoe je per ongeluk gebruikersnamen e.d. kunt opslaan tijdens het verzamelen van SSID, BSSID en eventueel wat MAC-adressen.

The Zep Man

Privacy
Google

@tERRiON • 7 november 2017 12:57

Misschien heb ik er iets te weinig kennis van, maar ik zie niet hoe je per ongeluk gebruikersnamen e.d. kunt opslaan tijdens het verzamelen van SSID, BSSID en eventueel wat MAC-adressen.

In Nederland kunnen MAC adressen gezien worden als persoonsgegevens, omdat zij indirect herleidbaar zijn naar een persoon. Moderne smartphones hebben wel dynamische MAC adressen, maar dat zijn dus niet alle smartphones. Effectief verwerk je dus persoonsgegevens, en zodra je daaraan begint moet je voldoen aan de daarvoor geldende wetgeving.

[Reactie gewijzigd door The Zep Man op 25 juli 2024 11:08]

David Mulder @tERRiON • 7 november 2017 12:58

Ze sloegen de hele frames op. Maar goed, dat is ook waarom ik het met je eens ben dat het goed is dat Google beboet wordt. Ik deel echter niet de mening dat het een mega boete zou moeten zijn. Een 'kleine' boete + de negatieve PR is genoeg dat Google een stuk meer zal opletten in de toekomst, zonder dat het een buiten proportionele boete is voor een redelijk kleine fout.

polthemol Moderator General Chat @David Mulder • 7 november 2017 14:28

ik betwijfel of ze daardoor gaan opletten. Hun corebusiness is data, dus ze hebben er alle belang bij om zoveel mogelijk data te hamsteren op welke manier dan ook. Het is dan extreem bedenkelijk dat de software die men gebruikte niet deed wat het moest doen (conform de uitleg dan), dat er een rechtzaak voor te pas moet komen om het op te lossen, dat men niet zelfstandig dit ontdekte, enz.

Uit alles spreekt dat ze het wel prima vonden die extra gegevens. Ook het argument dat het zo veel geld kost om die wagen rond te laten rijden, dus dat men maar wat ruimer kijkt qua data om te voorkomen dat de wagen nog eens moet rijden is totale bullshit en totaal een serieus disrespect voor privacy issues. Ze hebben op elk vlak gefaald in hun beleid.

Tintel

Privacy

@David Mulder • 7 november 2017 15:15

Klinkt ook als de inbreker die bij elk huis, waar hij langs komt, probeert in te breken en zich daarna verantwoord (als hij wordt betrapt) met dat het al zoveel kost om al die huizen langs te gaan dat hij daarom maar meteen het slot probeert. Zijn core-business is tenslotte ook iets meenemen wat niet van hem is en hij moet er ook veel moeite voor doen. Dat rechtvaardigt alles</Sarcasme>

Dooxed @David Mulder • 7 november 2017 12:38

"Het idee was: 'het kost een fortuin om deze autos rond te laten rijden, laten we proberen te voorkomen dat we maanden aan het rond rijden zijn en dan plots bedenken dat we per ongeluk ons filter fout hadden staan'." [sarcasme]Ja hoor.[/sarcasme]

Stoelpoot @Dooxed • 7 november 2017 12:49

Als Google kan je kiezen. Of je pakt alles wat je pakken kan, en haalt daarmee langzaam maar zeker de woede van overheden en gebruikers op de hals, of je gaat goed om met gegevens van je klanten om het lang uit te kunnen houden. Ik geloof niet dat Google zomaar grote fouten maakt qua data-harvesting. Zodra de GDPR in werking treedt, is zelfs Google dan niet meer veilig voor superboetes die ze echt wel beschadigen.

Verwijderd @Dooxed • 7 november 2017 12:42

"Het idee was: 'het kost een fortuin om deze autos rond te laten rijden, laten we proberen te voorkomen dat we maanden aan het rond rijden zijn en dan plots bedenken dat we per ongeluk ons filter fout hadden staan'." ~[sarcasme]Ja hoor.~[/sarcasme]

Dat klinkt alsof jij denkt dat Google kwaadaardige opzet had. Om te beginnen is daar werkelijk geen enkele aanleiding voor maar het is ook moeizaam om een reden te bedenken waarom Google graag een lijst met Wifinetwerken wilde hebben. Wat denk jij dat ze daar mee hadden kunnen doen?

CorbataGames

@Verwijderd • 7 november 2017 12:47

Voor apparaten zonder GPS toch navigatie kunnen mogelijk maken doordat ze weten welk WiFi netwerk waar zit. Niet dat dat heel geweldig werkt.

ari3 @CorbataGames • 7 november 2017 14:03

Ik heb een wifi access point voor eigen gebruik, niet om klanten van Google of geheime diensten te helpen met locatiebepaling zodat ze iedereen kunnen volgen. Als Google en hun klanten van mijn hardware gebruik wensen te maken was het wel zo fatsoenlijk geweest om toestemming te vragen. Dit is echter niet gebeurd.

Bovendien staat identificerende informatie van mijn wifi access point gekoppeld aan mijn woonadres nu in de database van Google, met het risico dat zij -al dan niet opzettelijk- voor doeleinden gebruikt worden waar ik geen zeggenschap over heb of ongewenst in handen van derden komen.

Hier moet z.s.m. wetgeving tegen komen met hoge boetes op overtredingen.

Verwijderd @Verwijderd • 7 november 2017 12:53

"Lijst met wifinetwerken"

"Google heeft volgens de toezichthouder onder meer informatie over e-mailadressen, gebruikersnamen en wachtwoorden en ip-adressen verzameld."

Dat zijn toch wat gevoeligere zaken.

bigbadbull @Verwijderd • 7 november 2017 13:17

. Om te beginnen is daar werkelijk geen enkele aanleiding voor maar het is ook moeizaam om een reden te bedenken waarom Google graag een lijst met Wifinetwerken wilde hebben. Wat denk jij dat ze daar mee hadden kunnen doen?

Wat dacht je van positiebepaling aan de hand van de zichtbare wifi netwerken. Dit is een methode dat zelfs door meer dan Google alleen effectief gebruikt wordt.
Microsoft doet net hetzelfde en Apple maak ook gebruik van deze informatie, dus ja dit was nuttige informatie.
wat minder was, is e-mailadressen, gebruikersnamen en wachtwoorden

jpsch @Dooxed • 7 november 2017 15:53

Ze kunnen ook roepen dat ze meteen onderzoek deden naar buitenaards leven, het is gewoon een bewuste actie.

raro007 @David Mulder • 7 november 2017 12:38

maar na elk rit woord de data toch gecheckt of mogen normale medewerkers niet bij die data dus woord alles geincrypt?

Stoelpoot @David Mulder • 7 november 2017 12:46

Dat is wel een mooi stukje context. Ik kan ook alleen maar geloven dat Google niet zomaar grove fouten maakt op dat gebied (reputatie en dergelijke).

Toch is het nog steeds jammer dat de boete zo laag is, omdat het gericht is op 'normale' bedrijven. Het zou nuttig zijn als er net als bij de belastingen een boeteschaal komt, waarbij in ieder geval bedrijven, als ze een boete krijgen, een boete krijgen die proportioneel is aan de jaaromzet.

Origin64 @David Mulder • 7 november 2017 13:15

Er waren mensen binnen Google die er zich bewust van waren dat deze informatie werd opgeslagen, maar de overtuiging was er dat dit gegevens waren die potentieel voor analyse waardevol waren, maar niet privacy inbreuken waren.

Je mag best genuanceerd zijn maar dit soort goedpraten vind ik niet okee. Natuurlijk wisten mensen binnen Google best dat als je wifi netwerken afluistert dat je prive gegevens opvangt. Ze zijn niet dom. Het boeide ze gewoon niet.

[Reactie gewijzigd door Origin64 op 25 juli 2024 11:08]

Rex 7 november 2017 13:01

Het is niet duidelijk waarom de toezichthouder heeft geoordeeld dat de praktijk van Google niet in deze zwaarste categorie valt.

Oh, het is wel duidelijk hoor. Het staat gewoon letterlijk in de wet wat er onder de zwaarste categorie valt:

Het opslaan van beschermde data (religie, ideologie, etc)
Op een frauduleuze manier gegevens opslaan.
Het illegaal doorspelen van gegevens naar derden.
Het opslaan van de gegevens in landen waar het niet mag
etc

Het opslaan van gegevens zonder toestemming valt onder "ernstige schending" en de boete is daarbij tussen de 40001 en 300000 euro. De boetes waren eerst nog hoger, maar zijn in 2011 een stukje verlaagd.

[Reactie gewijzigd door Rex op 25 juli 2024 11:08]

mdommel 7 november 2017 12:31

"Google heeft volgens de toezichthouder onder meer informatie over e-mailadressen, gebruikersnamen en wachtwoorden en ip-adressen verzameld."
Hoe kan zo'n street view auto wachtwoorden verzamelen?

Verwijderd @mdommel • 7 november 2017 13:11

Vraag is denk ik meer hoe je dat "per ongeluk" verzamelt...
Ze indexeren dus niet alleen wifi netwerken en hun geografische locatie maar loggen ook in op het netwerk en slaat traffic packets op.

Ik wil toch wel eens iemand zien uitleggen hoe je dat allemaal per-abuis doet, zeker wetende dat er gewoon tig privacytoezichthouders in je nek gaan hangen op het moment dat je weet ik hoeveel auto's met weet ik hoeveel apparatuur de weg op gaat sturen ga je denk ik toch wel een beetje opereren vanuit een dataminimalisatieprincipe.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 11:08]

burne @Verwijderd • 7 november 2017 13:54

Vraag is denk ik meer hoe je dat "per ongeluk" verzamelt...

De software die google gebruikt in hun auto's (een afgeleide van kismet) heeft een diagnostische mode waarin 'ie alle ontvangen ongecrypte data opslaat. Die mode heeft onbedoeld jarenlang aangestaan.

En voor de beeldvorming: Google had er voor kunnen kiezen debug-mode uit te zetten en de gecapturde data te wissen en dan had niemand er iets van geweten. In plaats daarvan hebben ze het nette ding gedaan en gemeld welke fout ze gemaakt hebben en wat de gevolgen daarvan zijn.

bazs2000 @burne • 7 november 2017 14:03

En dan nog, al deze 'extra' opgevangen gegevens moet toch zijn opgevallen tussen alle andere data? Mij kun je niet wijsmaken dat je jarenlang per ongeluk meer data hebt verzamelt. Als ik een logger aanzet die onbedoeld veel meer logt dan ik voor ogen heb, dan zie ik dit direct terug in de hoeveelheid extra gegevens die er worden opgeslagen.

Vervolgens stel ik de logger anders in en is het opgelost.

Google heeft jarenlang rondgereden met een groot sleepnet en geeft achteraf aan dat het een 'verkeerde' instelling was. Jaja, verkeerde instelling maar toevallig wel een die hele waardevolle informatie bijeen harkte. Bovendien hebben ze het heel lang zo gelaten want ze wisten dit echt wel.

Verwijderd @burne • 7 november 2017 14:41

Ik weet niet of je wel eens packetcapture hebt gedaan met wireshark ofzo, maar de data die je daarmee naar een file streamt loopt bijzonder rap uit de klauwen als er een beetje traffic is.
Ik geloof er gewoon niet zo veel van dat je dat niet ziet tussen de macadressen en coordinaten.

Denk ook dat ze niet veel keuze hadden dan het naar buiten te brengen. Afgezien van een wettelijke verplichting. Dit soort fouten schijf je in zo'n groot bedrijf en zo'n groot product niet even onder het vloerkleed zonder dat mensen dat waarnemen.

Boete is ook vrij mals voor wat in feite uitgelegd kan worden als een MITM attack.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 11:08]

walteij @mdommel • 7 november 2017 12:34

Onbeveiligd network, betekend dus ook dat de data onbeveiligd wordt rondgestuurd.
Als je dus naar een website gaat waar geen HTTPS wordt gebruikt en daar je gebruikersnaam en wachtwoord invult, deze dus gewoon gelezen kunnen worden door een packetsniffer.

SinergyX @mdommel • 7 november 2017 12:32

Geen encryptie op de wifi en 'plain text' meelezen? Https is pas iets van afgelopen maanden

theduke1989 @mdommel • 7 november 2017 12:35

Je logt in op hun systemen, waar alle data op wordt opgeslagen.

Ik log nooit op zulk soort wifies ook al is het gratis. Beter dan mijn 4g gebruiken.

[Reactie gewijzigd door theduke1989 op 25 juli 2024 11:08]

Alxndr

@theduke1989 • 7 november 2017 12:55

Volgens mij is het omgekeerd: Google logt in op jouw onbeveiligde systeem. 4G is leuk, maar als je dan alsnog geen HTTPS hebt, is het volgens mij ook alleen schijnveiligheid, ja 4G kom je moeilijker op dan wifi, maar onversleutelde data is onversleutelde data

theduke1989 @Alxndr • 7 november 2017 13:00

Dan heb ik het verkeerd gelezen.

Ik dacht de auto's zenden een wifi netwerk uit. De users loggen in OP dat netwerk en zo verzameld Google dan de nodige informatie.

Daarom dat ik zei beter blijf ik dan bij mijn 4G van me provider en hoef dan niet ingelogd te zijn op een WiFi

Alxndr

@theduke1989 • 7 november 2017 15:16

misschien heb je ook wel gelijk, maar ik moest hier aan denken (wow, zes jaar geleden alweer)

Verwijderd @Alxndr • 7 november 2017 13:13

Als data in transit niet beveiligd is kan er op elk punt in de route inderdaad in principe iemand onderscheppen, maar gericht traffic afvangen van een persoon lijkt me op een andere plek dan op een wifi router/AP van je doelwit toch wel een aantal machten lastiger.

Bardman01 7 november 2017 12:30

Boete veel en veel te laag. Zou gewoon een percentage van de winst moeten zijn. Zoals ze zelf altijd groots meedelen.

k995 @Bardman01 • 7 november 2017 12:36

Waarom? Dit lijkt effectief per ongeluk .

Armin @k995 • 7 november 2017 19:31

Google is nu al talloze keren betrapt op het verzamelen van exact deze WiFi gegevens en ook al diverse malen beboet. WiFi gegevens verzamel je ook niet toevallig bij het maken van foto's. Geen toeval dus.

Inmiddels heeft Google haar leven gebeterd. Besef dat dit uit 2010 is.

k995 @Armin • 7 november 2017 20:05

Dit is oud, google verzamelde ook wifi gegevens omdat het dat gebruikt bij positiebepaling. Men verzamelde enkel teveel op dat moment volgens de bestaande privacy wetgeving. Dit was echt niet opzettelijk .

Armin @k995 • 7 november 2017 20:39

bestaande privacy wetgeving. Dit was echt niet opzettelijk .

Men verzamelde al die gegevens wel degelijk opzettelijk.

Men was echter wellicht niet op de hoogte dat deze gegevens verzamelen in strijd was met wetgeving in diverse landen op minstens 3 continenten. Of je dat geloofd is een persoonlijke keuze uiteraard

k995 @Armin • 7 november 2017 21:37

IK zal het zo zeggen ; met het verzamelen van deze gegevens wist men niet dat men de wet brak, het verzamelen van die specefieke gegevens was ook geen doel op zich, ze verzamelde alles met de bedoeling het later wel te bekijken.

Vergeet niet dit was openbaar beschikbare info.

tERRiON @Bardman01 • 7 november 2017 12:49

Zie hier het manco van verouderde wetgeving. In de Algemene Verordening Gegevensbescherming en diverse andere (nieuwere) wetgeving zitten al mogelijkheden om een bepaald percentage van de wereldwijde omzet als boete op te leggen.

Bardman01 @tERRiON • 7 november 2017 15:31

Kijk dat lijkt er meer op misschien k995 zegt. per ongeluk

tERRiON @Bardman01 • 7 november 2017 15:43

Ik kan ook per ongeluk door rood licht fietsen. Dat neemt niet weg dat ik toch een boete riskeer.

k995 @tERRiON • 7 november 2017 20:06

Maar zou die dan 10% van je inkomen moeten zijn?

B00st3r @Bardman01 • 7 november 2017 15:13

Hoe wil je berekenen hoeveel winst er is gemaakt met het verzamelen van deze gegevens?

Bardman01 @B00st3r • 7 november 2017 15:29

Bedrijfswinst, het is beleid van het bedrijf. Dus niet alleen de winst op het verzamelen. En die winsten geven ze zelf regelmatig in de trant van; "kijk mij eens"

Zer0 7 november 2017 13:00

Nu nog boetes voor de beheerders van de netwerken. Zij hebben immers verzaakt voor een goede beveiliging te zorgen.

Verwijderd @Zer0 • 7 november 2017 13:10

Veelal particulieren.....
Die hebben toch niets te verbergen roepen ze altijd

bartb56 7 november 2017 13:08

Normaal als google een boette krijgt geven ze 300000 euro fooi ;p

SSDtje

7 november 2017 15:22

"Deze Spaanse wet schrijft voor dat er eerst toestemming van de getroffen partij nodig is, voordat de gegevens mogen worden verzameld."

Oké, leuk allemaal, maar als we het stukje hierboven nu eens heel letterlijk nemen, komt het dus hier op neer, dat er eerst toestemming van de getroffen partij nodig is, alvorens dit te mogen doen, en das prima natuurlijk, maar dan moet er dus wel eerst een partij getroffen worden lijkt mij (wat opzich al krom is, maar staat dus letterlijk zo in de wet, als je deze heel zwart wit interpreteert)
Of had Google eerst alle Spanjaarden moeten navragen of zij het wel oké vinden dat zij dit doen, ik bedoel zal kunnen natuurlijk, hoe wil je anders de getroffen partij hierin mee krijgen.
Maar nu heeft Google dit dus inmiddels gedaan (een partij getroffen) voordat deze gegevens eigenlijk mochten worden verzameld.

"De toezichthouder stelt dat daar geen sprake van was, toen Google persoonlijke gegevens verzamelde en opsloeg via open wifinetwerken, zo schrijft de Spaanse krant El País."

En dat heeft de toezichthouder dus helemaal goed, aangezien er dus eerst een partij getroffen dient te worden, wat nu dus inmiddels gebeurt is. (Dit staat immers letterlijk zo in hun wet, dat er dus eerst toestemming van de getroffen partij nodig is, alvorens dit te mogen doen)
En nu mag Google daar even 300.000 euro voor gaan betalen, een boete dus.
Oké....

[Reactie gewijzigd door SSDtje op 25 juli 2024 11:08]

JohnKarma 7 november 2017 19:02

Was het niet zo dat de toevoeging van _nomap aan het SSID voorkomt dat je opgenomen wordt in de wifi-database van google?

https://tweakers.net/nieu...fi-database-te-komen.html

Verwijderd 7 november 2017 19:14

Denk niet dat ze van 3ton wakker liggen. Wat een onzin allemaal. Beetje schijnvertoon.

pelle888

7 november 2017 12:30

Deze boete is een lagertje voor Google, 300.000 is niks voor hun. De boetes zouden gebasseerd moeten worden op de beurswaarde van het moederbedrijf. Dat Google de volgende keer wel na denkt voordat ze zo'n actie uitvoeren.

Superkanjo @pelle888 • 7 november 2017 13:03

Waarom zou een boete gebaseerd moeten worden op de beurswaarde? Dat slaat kant, noch wal.

Rex @pelle888 • 7 november 2017 13:18

Op zich heb je enigszins gelijk, maar het is gewoonweg veelte moeilijk om te bepalen wat de waarde is van een bedrijf. Mijn bedrijf draait verlies. Krijg ik dan een negatieve boete?

En waarom is de minimumboete voor ernstige feiten in Spanje 40.000 euro? Er wordt bij je ingebroken, je deelt de video online, en de dief geeft je aan voor privacyschending, en dan word je bestraft met minstens 40k boete.

lighton @pelle888 • 7 november 2017 12:38

Volgens mij heeft Google niets van doen met een klein lager en bedoel je heel iets anders

Bender @pelle888 • 7 november 2017 15:23

Waarom? Vind jij ook dat iemand minder hoeft te betalen voor jouw auto of je brood als die persoon schoonmaker is 16 uur per week?

pelle888

@Bender • 7 november 2017 15:48

Dat een bedrijf met zoveel kennis dit waarschijnlijk niet onbewust doet. Daarbij kan zo'n bedrijf een heleboel met zulke informatie, wat al in het artikel staat dat dit bijvoorbeeld werd gekoppeld aan de activiteit van google gebruikers.

Bender @pelle888 • 7 november 2017 16:50

Wat heeft dat te maken met boetes op leggen op basis van inkomsten/omzetten?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (72)

Sorteer op:

Weergave: