Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 43 reacties

Zesentwintig internetbedrijven, waaronder Google, Facebook en Spotify, hebben woensdag een klacht ingediend bij de Franse Raad van State. Ze zijn tegen de plicht om gebruikersgegevens, zoals wachtwoorden, een jaar lang te bewaren.

De klacht bij de Conseil d'Etat is ingediend door de French Association of Internet Community Services, Asic, waarbij zesenwintig grote internetbedrijven zijn aangesloten. De organisatie zegt geschokt te zijn door de omvang van de retentieregeling, die begin maart door de overheid werd bekendgemaakt.

De regeling eist van internetbedrijven, zoals e-commercesites, videosites en maildiensten, dat ze gebruikersgegevens een jaar lang opslaan. Het gaat hierbij om gegevens als naam, adres en woonplaats, maar ook telefoonnummer, mailadressen, comments en zelfs wachtwoorden. Ook zouden de ondernemingen deze gegevens moeten verstrekken aan Franse overheidsdiensten als politie, douane en fiscale opsporingsdienst, als hier verzoeken voor zijn.

Het steekt de Asic daarnaast dat de regelingsteksten niet ter consultatie zijn voorgelegd aan de Europese Commissie. "Zelfs de Amerikaanse Patriot-act gaat niet zo ver als deze regeling", zei de woordvoerder van Asic, Benoît Tabaka.

Asic

Moderatie-faq Wijzig weergave

Reacties (43)

Goed dat ze dit met zo'n grote groep doen. Zal verder wel aan mij liggen, maar ik vind het ook nogal onzin dat je een jaar lang alle gegevens moet opslaan. Wie gaat dit overigens controleren? En ook een beetje apart dat ze dit gewoon moeten afstaan als ze erom vragen. Waar gaat het heen.. :?
En ook bizar dat ze wachtwoorden moeten afstaan. Wat nu als een wachtwoord zo gecodeerd is opgeslagen dat het originele wachtwoord niet meer bepaald kan worden?
(een goede beveiliging slaat het wachtwoord gecodeerd op, bij invoer wordt dezelfde codering nog een keer toegepast en wordt het ingevoerde gecodeerde wachtwoord vergeleken met het opgeslagen gecodeerde wachtwoord)
Inderdaad. Het niet gecodeerd opslaan van wachtwoorden is een enorm beveiligings risico.
Als Frankrijk bedrijven verplicht om de wachtwoorden op te slaan in een afstaanbare vorm (dus ongecodeerd), dan zijn er mensen die daarbij kunnen, en dat is sowiso een slechte zaak.
Al is het alleen maar om de wachtwoorden tegen hackers of tegen jezelf te beschermen, gecodeerd opslaan is een must en dit is gewoon belachelijk.
Beter nog zou zijn als deze bedrijven gewoon per direct zich uit Frankrijk terug zouden trekken. Kost minder geld, en zorgt uiteindelijk dat deze wederom uit frankrijk uitermate stomme domme idiote maatregel teruggedraaid wordt.
Ik denk niet dat het minder geld kost. De gegevens die de overheid wil worden nu ook al opgeslagen, dus de bedrijven hoeven alleen maar de overheid/politie/douane er toegang tot geven. Het zou zeer cool zijn als al deze bedrijven zich onmiddellijk terugtrekken uit Frankrijk zodra de regel in gaat. Maar ik denk dat ze toch voor het geld kiezen (zie google in China).
Dat werkt toch niet. in het ene land moeten ze alles zo snel mogelijk verwijderen en voor frankrijk moeten ze alles weer bewaren voor een jaar lang.
Tja, wetten van verschillende landen terwijl het internet internationaal is. Misschien moeten we met zijn allen daar maar eens collectief wat regels voor op gaan stellen. Voornamelijk om de gebruiker te beschermen. Bijvoorbeeld door het strafbaar te maken een andere identiteit aan te nemen. Vieze oude mannen die naakt voor hun webcam in zo'n chatkanaal voor kinderen hangen en zich voordoen als 14 jarig meisje bijvoorbeeld. Lijkt mij toch niet helemaal de bedoeling.

Enfin, over hoeveel data hebben we het hier? Dat moeten etterlijke terrabytes zijn.
Enfin, over hoeveel data hebben we het hier? Dat moeten etterlijke terrabytes zijn.
Zoals ik het lees gaat het om informatie die websites sowieso jaren in een database laten staan:
Het gaat hierbij om gegevens als naam, adres en woonplaats, maar ook telefoonnummer, mailadressen, comments en zelfs wachtwoorden.
Gevens van klanten verwijderen webshops echt niet een maand na een bestelling. En al helemaal niet als iemand een profiel heeft aangemaakt.

Comments oftewel reacties verwijderen ze over het algemeen ook niet.

Dus wat betreft extra data zal het -mits het artikel op Tweakers volledig is- niet bijzonder veel zijn.

Ik denk dat de bedrijven met name moeite hebben met onderstaande:
Ook zouden de ondernemingen deze gegevens moeten verstrekken aan Franse overheidsdiensten als politie, douane en fiscale opsporingsdienst, als hier verzoeken voor zijn.
Dus zonder tussenkomst van een rechter gegevens afstaan.

Ander probleem is wat websites volgens die wet moeten doen als iemand zijn eigen reactie aanpast? Of wat als een website een forumtopic wil verwijderen? Of wat als een bepaald product uit een webshop wordt gehaald inclusief de bijbehorende gebruikerservaringen?

Aan de andere kant, als bepaalde data niet meer in de database staat hoe kunnen Franse overheidsdiensten dan weten dat die data er wel zou moeten zijn als de Franse overheidsdiensten die data niet tot hun beschikking hadden?
Ander probleem is wat websites volgens die wet moeten doen als iemand zijn eigen reactie aanpast? Of wat als een website een forumtopic wil verwijderen? Of wat als een bepaald product uit een webshop wordt gehaald inclusief de bijbehorende gebruikerservaringen?
Dat zullen ze dus moeten bewaren, tot minimaal een jaar lang. Maar ook de gebruikte wachtwoorden moeten dus opgeslagen worden tot minimaal een jaar na dato, en moeten dus omgezet kunnen worden naar plaintekst, en ik denk dat dat het grootste probleem is.
Ja klopt, ik doelde er op dat die punten de meeste impact zullen hebben als het gaat om de hoeveelheid extra data die ten opzichte van normaal moet worden opgeslagen.

Wat betreft het plaintext op moeten slaan van wachtwoorden, ik denk dat dit helemaal niet de bedoeling is. Misschien foutieve vertaling ofwel interpretatie van de retentieregeling? Een overheidsinstelling heeft immers helemaal niets aan een wachtwoord.

Wellicht dat er in die retentieregeling staat dat een overheidsinstelling toegang moet kunnen krijgen tot een account van een willekeurige gebruiker. Om dit mogelijk te maken kun je ook gewoon een wachtwoord resetten. Daar heb je het oorspronkelijke wachtwoord niet voor nodig.

Nu ik er over langer over nadenk, misschien wil men via de retentieregeling en de opgevraagde gegevens iemand zijn account kunnen monitoren/volgen ofwel inloggen op iemand zijn account terwijl de betreffende persoon dat niet weet. Dus dan heb je het wachtwoord nodig. Alhoewel daar natuurlijk ook andere oplossingen voor te bedenken zijn (toegang krijgen tot account met ander wachtwoord dan die van de gebruiker)

Ik ben eigenlijk wel benieuwd naar een vertaalde versie van die retentieregeling om te kunnen lezen wat er nou eigenlijk precies in staat.

[Reactie gewijzigd door Dlocks op 6 april 2011 12:59]

Veel mensen gebruiken vaak het zelfde wachtwoord, dus aan die geschiedenis van plain text ww hebben ze meer baat dan je denkt.
Ander probleem is wat websites volgens die wet moeten doen als iemand zijn eigen reactie aanpast? Of wat als een website een forumtopic wil verwijderen? Of wat als een bepaald product uit een webshop wordt gehaald inclusief de bijbehorende gebruikerservaringen?
Dat doet helemaal niets...

Er moeten hier gebruikers gegevens bewaard worden. Maar niet alles wat de gebruiker ooit gedaan heeft. Komt er dus op neer dat het profiel opgeslagen wordt. Bij een webshop vermoedelijk ook de transacties. Maar niet iedere letter die iemand op een forum intikt....

Vergelijk het met het bewaren van telefoon gegevens. Daar worden ook de verbinding gegevens bewaard, dus naar wie, en wanneer. Maar het telefoontje zelf wordt niet opgeslagen.
Komt er dus op neer dat het profiel opgeslagen wordt. Bij een webshop vermoedelijk ook de transacties. Maar niet iedere letter die iemand op een forum intikt....
Onder 'comments' versta ik commentaar en reacties. In het artikel staat:
Het gaat hierbij om gegevens als naam, adres en woonplaats, maar ook telefoonnummer, mailadressen, comments en zelfs wachtwoorden.
Onzedelijke handelingen richting minderjarigen zijn al strafbaar, daar hoeft geen internetwet voor te worden gemaakt. Je haalt je alleen maar meer ellende op de hals, zoals hierboven al creatief aangegeven door Foamy.
De mogelijkheid een andere identiteit aan te nemen is net de kracht van het internet die het volk een stuk macht teruggeeft. Mensen die in een regime leven waar men als dissident snel uitgeschakeld wordt hebben er alle baat bij dat ze anoniem, of onder een pseudoniem, commentaar kunnen leveren op hun overheid. Die mogelijkheid wegnemen omdat er sommige mensen zich voordoen als iets onwenselijks is een hele school kinderen met een bodempje badwater weggooien.
Bijvoorbeeld door het strafbaar te maken een andere identiteit aan te nemen.
* Foamy is schuldig

De identiteit in een mmorpg ben ik zelf namelijk niet.
Die identiteit is gekoppeld aan een mailadres of serienummer. Niet aan de profielsettings daarvan.
offtopic:
En hoe zit het dan met mensen met een gespleten persoonlijkheid? Dan zijn die ook illegaal?

Evil zee: Zwijg, jij, lapzwans. Verklap ons geheim niet! Gollum!
Good zee: Uh, sorry. Het was niet mijn bedoeling om...
Evil zee:Gollum! Kom hier, dan zal ik je...
Good zee: Aaaahhhhhh....
Evil zee: Nu ben ik de enige persoonlijkheid.

In bovenstaande voorbeeld duidt aan dat de identiteit van de persoon wordt aangepast. Is Evil Zee nu illegaal en bestaat Good Zee nog ergens of is Evil Zee volkomen legaal bezig? Graag een antwoord.

zeemeerman2

[Reactie gewijzigd door zeemeerman2 op 6 april 2011 11:31]

Zijn ze daar niet schromelijk laat mee? Daar hadden ze toch eerder gelegenheid genoeg voor.
Valt wel mee toch?
De organisatie zegt geschokt te zijn door de omvang van de retentieregeling, die begin maart door de overheid werd bekendgemaakt.
Het is nu begin april. De stukken lezen, door laten dringen, feedback van aangesloten leden vergaren, klacht op papier zetten etc. etc. en je bent zo 4 weken verder.

[Reactie gewijzigd door Dlocks op 6 april 2011 10:55]

Goede zaak dat zelfs internetbedrijven zelf nu in opstand komen tegen dit soort idiote maatregelen. Deze regel gaat dan ook echt nergens over. Als er niks aan wordt gedaan zou ik mijn services gewoon niet meer in Frankrijk aanbieden. Jammer van die paar miljoen gebruikers die je misloopt, maar het scheelt ook enorm veel kosten. Daarnaast zal zo'n internet embargo een van de weinige dingen zijn die op zo'n moment nog hebben.
Hier sluit ik me bij aan. Ik denk dat de Franse overheid dan ineens op hangende pootjes op die wet terugkomt als ze ineens geen google, twitter, feestboek, wikipedia, ebay kunnen gebruiken.
Gewoon block all in from *.fr :)
Google die aan dit soort acties mee doet? Ik dacht dat die juist vůůr het bewaren van gegevens waren... :D

Lijkt me overigens een goed initiatief, ik zie een aantal zeer grote bedrijven die echt wel invloed uit kunnen oefenen op een overheid. Overigens had ik tegen deze maatregel al wel acties van de EU verwacht...
Er zit een verschil tussen de statistieken en gegevens die google verzamelt over een gebruiker waarmee, via een computersysteem, advertenties etc. getoond kunnen worden, en deze verregaande privacy-schendende maatregel.

Google moet het juist hebben van het goede imago dat ze je privacy hoog houden, en alles gepersonaliseerd wordt door automatisering, en er geen mensenhand aan te pas komt. Dat is iets heel anders dan dit.

Maar als frans burger, moet je gewoon meer dan ooit oppassen wat je via het internet doet, dat blijkt wel weer :)
Google's verzamelwoede is juist veel meer privacy schendend dan deze Franse maatregel.

Google verzamelt de inhoud van alles wat je doet op internet, en gebruikt dat altijd en overal, voor commerciele doelen. Deze Franse regeling verzamelt alleen de algemene gebruikers gegevens, en zal dat alleen voor justititiele doelen gebruiken.
Zijn ze volgens mij ook, maar niet in zulke mate.
Ik denk eerder niet zo publiekelijk.
Stel je eens voor dat je zelf 10 euro per jaar verdient met een leuk noob bullshitje, maar om legaal te blijven vraag je het franse equivalent van een KvK nummer aan. Dan ben je opeens officieel 'een bedrijf'.

Moet je dan opeens een dik dataretentiesysteem bouwen om je 2 cent shoutbox te complementeren?

Die fransen zijn wel van internet bshen en oorlogje spelen de laatste tijd zeg.
Vreemde ontwikkeling zou je zeggen, maar ik heb het idee dat dit al jaren het geval is in vele andere landen. We weten het alleen niet....
Wat niet duidelijk is uit het artikel: bedoelt men nu dat de wachtwoorden een jaar lang onge-encrypteerd moeten worden bijgehouden? En vanaf wanneer vervalt dat jaar? Vanaf de laatste activiteit die werd geregistreerd bij die account?
Het probleem met deze regels, en alle andere data-retentie regels is dat deze geen enkel bewijs vormen dat diegene over wie het gaat ook daadwerkelijk diegene is die de dingen gedaan heeft. Je kan namelijk nooit achter de computer kijken op dat moment dat er iets gebeurt of het wel echt die persoon is geweest, want dat soort dingen wordt niet onderzocht, er wordt gewoon aangenomen dat de verzamelde gegevens kloppen, en dat de bedrijven die ze verzameld of in bezit hebben betrouwbaar zijn. Dus weer een geval van iedereen is schuldig, en bewijzen dat het niet zo is, kan je niet.

[Reactie gewijzigd door Wody op 6 april 2011 13:50]

Frankrijk houdt er uberhaupt rare ideeen op na. met betrekking tot internet.

Maar een jaar lang alle gegevens bewaren? Is dit dan gecentraliseerd, of gedecentraliseerd? Hoe word de veiligheid van deze gegevens gewaarborgd? Want als deze gegevens of uitlekken, of op een orechtmatige manier vekregen worden, je HELE priveleven ligt dan op straat. Men kan je bankgegevens, immers worden je wachtwoorden opgeslagen, men kan al je emails lezen, transacties volgen, je forum accounts compleet nalopen, om maar een paar voorbeelden te noemen.

Zo kunnen ze van het gerechtelijke bevel afstappen, lijkt me wel. Wilt men je bankgegevens inkijken? Geen probleem. Wilt men weten met wie je hebt gechat op MSN? Gewoon de logs opvragen. Zo zou een gerechterlijke instantie met jouw gegevens in kunnen loggen en zich voordoen als die gebruiker om zo een ander in problemen te brengen. Er rust namelijk geen enkele controle hierop.

Ja de overheid houdt het in de gaten, wie zegt dat deze te vertrouwen is? Zeker een overheid die maar wat graag echt alle gegevens wilt opslaan.
Alles wat je hier schrijft geldt helaas ook voor Nederland :(
Nee, wachtwoorden worden al niet opgeslagen, en er zijn nog altijd gerechterlijke bevelen nodig voor een veel aantal zaken (ook lang niet alles meer, dat moet ik je wel nageven), maar zo erg als Frankrijk het voorsteld, is hier gelukkig nog niet aan de orde.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True