[tl;dkd: Today is liberation day in the Netherlands, but I don’t really feel free after all the freedom we lost since 9/11. What can be done to counter the ongoing decrease in civil liberties?]

Vandaag is het dus bevrijdingsdag in Nederland. Een dag van feesten, bevrijdingsfestivals en hippe artiesten die zelfs Henk Krol inspireren om in een helikopter door het land te gaan vliegen. Maar om eerlijk te zijn voel ik me al jaren niet echt vrij meer in Nederland.

Al sinds 2003 maak ik me zorgen over de inperkingen van onze vrijheden om ons te ‘beschermen’ tegen terrorisme, kinderporno en “nationale veiligheid” in het algemeen. Toen er in 2009 een voorstel kwam om alvast preventief eenieders vingerafdrukken in het paspoort en een landelijke database te stoppen, was dat voor mij het signaal om te kijken wat ik hiertegen kon doen. Na omzwervingen via Bits of Freedom, Vrijbit, Privacy First en Privacy Barometer ben ik bij die laatste twee blijven hangen.
Ik wil niet de hele geschiedenis opsommen, maar sinds oktober vorig jaar ben ik druk bezig geweest met het lezen van verkiezingsprogramma’s voor een aantal artikelen en een samenvatting hierover.
Ondanks dat momenteel D66 en GroenLinks meepraten voor een nieuw kabinet, stemt dit mij niet per sé gunstig voor de toekomst. Privacy lijkt bij D66 nog redelijk hoog in het vaandel te staan – behalve in de zorg, want innovatie – maar is bij GroenLinks voor een groot deel verdwenen uit het programma. En hoewel we druk in de formatie zitten, gaan de privacyschendingen door.

Ik voel mij momenteel een beetje als deze tweets van Privacy First, maar ik denk niet dat dit soort gedachten de burgerrechtenbeweging verder helpt. Het initiatief van de mobiele wasstraat dat Bits of Freedom de afgelopen jaren houdt op bevrijdingsdag is dan een veel beter idee, maar richt zich vooral op de individuele burger terwijl het echte probleem in de politiek lijkt te liggen.

Dat blijft dus de vraag waar ik mee blijf zitten, hoe kunnen wij als burgers die nog begrip hebben voor iets abstracts als burgerrechten op een dag als 5 mei duidelijk maken aan de politiek dat de premier meer moet doen dan festivals openen op deze dag? Kopieën van “The Circle” aanbieden aan Kamerleden? Zoals Jesse Frederiks deed bij de schuldhulpverlening aantonen hoeveel mensen last hebben van privacyschendingen? Een onderzoek (laten) uitvoeren zoals het NVJ deed? Een enquete doen zoals het comité 4 en 5 mei?

Mocht u constructieve ideeën hebben, dan hoor ik dat graag! Tot die tijd blijf ik nog even broeden, maar ook genieten van de vrijheid die we nog wel hebben 🙂

Open letter to Whatsapp

Dear sirs,

On the 25th of August you announced that you would share people’s phone numbers with your parent company, Facebook. However, much remained unclear about the privacy implications of your new policy. Since contacting your firm directly does not result in any meaningful response, I decided to write you this open letter hoping you could clarify the following issues:

  • What gets shared with Facebook about the phone numbers of non-user like me?
  • Will you share other data from user’s address books too (name, physical address, comments, etc)?
  • How much are you really committed to user privacy if you require uploading address books, didn’t enable SSL until 2012 and end-to-end encryption until 2016?
  • Will you share phone numbers with Facebook of users that stopped using your service before the new policy became active?
  • How long do you keep that data after people terminate the use of your service?

Data of non-users

My main concern is that none of these new terms specify what you’re going to do with the phone numbers (and possible other data in address books that you acquired) of non-users. Are you going to share those with Facebook too? Am I correct in assuming that Facebook will use this data to build profiles of non-Facebook and/or non-WhatsApp users? What’s the legal basis for this new policy of yours?

After an investigation by the Canadian and Dutch data protection commissioners you agreed to store the data of non-users separately, although they were not allowed to verify this. In what way do you use this information for your company’s goals?

Privacy

You made a statement that “you want to know as little as possible about our users”, which sounds contrary to the way you seem to work. You require users to upload their whole address book, and have no data retention policy according to your own terms. If you really wanted to collect as little as possible, why don’t you select only necessary data from the address book concerning existing users and discard the rest? Why is it necessary to store data indefinitely?

It worries me that you didn’t offer end-to-end encryption until after many competitors did. You didn’t even offer an SSL connection to users in the first two years of your service. If privacy is a main concern of yours, why don’t you implement data protection measures more proactively?

Data of regular users

I was tempted to start using your service when you offered end-to-end encryption because many of my relatives are using it already. Unfortunately, it turned out to be to good to be true, when you announced only 4 months later the sharing deal with Facebook. From my perspective this looks like a trade-off deal with Facebook. You get the end-to-end encryption, Facebook gets access to your phone number database.

What would happen to the data of users that decide to remove the app or delete their account after you published these changes? Your help pages suggest that their data will be deleted from your servers, however, your privacy statement says something entirely different.

 

I am looking forward to hearing from you soon.

Kind Regards,

Rogier.