Verwijderd schreef op maandag 3 maart 2025 @ 20:50:
Dank voor je uitzoekwerk en toelichting, helder. Het lastige hieraan vind ik het onderscheid tussen de website, backend en randdiensten die los staan van het product. Als de website van FAMAG gebruikt maakt, maar het product of dienst niet, dan zou ik dat persoonlijk kunnen accepteren. Wanneer ze niet transparant zijn of opzettelijk in vaagheden schrijven, dan zijn ze wat mij betreft 'af'.
Ja, dat is precies waar de crux zit: je weet dat ze het gebruiken, maar niet waarvoor. En je moet eigenlijk al dankbaar zijn dat/als ze er überhaupt iets over roepen, want in de praktijk doen ze het dus lang niet allemaal.
Samenvatting: Philips Hue en Netatmo moeten gewieberd worden?!
Dat hangt eigenlijk af van het antwoord op je volgende vraag (zie onder). Als je inderdaad als criteria hanteert dat een product geen FAMAG-clouddiensten mag inzetten en je privacy onderdeel wil maken van de scope (again, zie onder), dan is Philips inderdaad sowieso af gezien die blijkbaar helemaal op AWS IoT leunen en daar met geen woord over reppen. Netatmo weet je niet wat hoe waar wat verbinding maakt, maar onderaan de streep staat het wel in een Microsoft Azure datacentrum, dus uiteindelijk ook ja.
Hoe te vervolgen? Privacy en/of legalstatements van elke dienst of product controleren? Interpretatiegevoelig, tijdrovend, met welke criteria?
De eerste vraag is of je privacy goed/etisch geregeld onderdeel van je scope wil maken. Je kunt namelijk prima aan de wet voldoen ("Veiligheids- en privacyoverwegingen. Denk hierbij aan handhaving AVG (GDPR), Privacy Shield, DSA, e.a. wetten(loosheid).") maar toch ethisch dubieuze keuzes maken.
De AVG biedt enerzijds best veel ruimte (als je het maar netjes toetst, onderbouwt en opschrijft), anderzijds zitten er een aantal open begrippen in die nog niet allemaal door rechters of toezichthouders zijn getoetst. En tot dat dat gebeurt is, is er gewoon een categorie bedrijven die de ruimte daarin neemt - tot iemand een tik op de vingers krijgt dat het (inderdaad) niet de bedoeling is.
Dat zijn dingen waarvan je met gezond verstand best weet dat het niet is hoe de wet bedoeld is, maar waarvan het er niet letterlijk in uitgespeld staat dat het niet mag. Dat je bij de cookiepopups en banners eerst door hoepels moest springen en nu (iig. voor Nederlandse/Europese sites) in de meeste gevallen direct op weigeren kunt klikken, is daar een goed voorbeeld van.
Als je privacy mee wil nemen, zou een vlugge blik op het privacy statement wel het minimum zijn en dat is ook goed te doen: alleen al door even te kijken bij "met wie delen we data" zie je al snel of er sprake is van rode vlaggen. Of omdat er FAMAG-diensten genoemd worden, of omdat ze er vaag en algemeen over blijven. Maar het is en blijft een extra check en zelfs met kennis van zaken zal het eerder uitzondering dan regel zijn dat je helemaal zeker weet wat waar op van toepassing is - zoals de voorbeelden illustreren.
Een eerste indicatie is vaak overigens wel ook al af te leiden uit cookie toestemming: kun je meteen cookies weigeren met 1 klik of moet je door één of meer "dark pattern" hoepeltjes springen? Ook als ze iets roepen als "wij nemen je privacy serieus, graag willen we je toestemming om je gegevens met 879 partners te delen" (nee, ik overdrijf niet, dat komt echt voor). De nieuwste trend is dat zelfs als je doorklikt naar instellingen (omdat je niet gelijk kunt weigeren) dat toestemming-gebasseerde marketing cookies uitstaan (dat moet, want opt-in verplicht), maar er een heleboel onder "legitimate interest" wordt geschoven (goed voorbeeld van iets wat grijs is), want dat is "opt-out" en die moet je dan 1 voor 1 voor alle categorieën uitzetten als je dat echt niet wil.
Lastig... Hou je het bij de waar het bedrijf gevestigd is? Wat als het bedrijf ook een filiaal in de VS heeft? Waar trek je de grens. Als ik een product maakt door een Amerikaanse schroevendraaier te gebruiken, classificeren we mijn product dan als ongewenst?
De schroevendraaier vind ik persoonlijk wat ver gaan, maar materialen die een substantieel onderdeel uitmaken van het product (dus niet dat ene schroefje, maar wel het printplaatje of de behuizing) zou ik al relevanter vinden.
Vestigingen zijn wel relevant: een bedrijf moet voor de AVG een Europees vertegenwoordiger hebben (zitten vaak in Ierland ivm de belasting, maar bijv. Anker/Eufy heeft een kantoor in Duitsland als ik het me goed herinner). Anderzijds: als een bedrijf een Amerikaanse vestiging hebben, zijn ze kwetsbaar voor de CLOUD-act. Dus vestigingslocaties zijn relevant voor de FAMAG-scope - maar dat wisten jullie al, want uit Jerie's reactie begrijp ik dat dat de primaire reden is om Chinese bedrijven uit de lijst te weren.
En dan kijk je dus wel automatisch ook naar de vestigingen van de dienstverleners waarmee data wordt gedeeld, maar verder dan dat moet je denk ik niet willen gaan (kun je denk ik ook niet gaan). Ik kan je uit ervaring vertellen dat alleen al de hele verwerkers-keten in kaart brengen een klus van jewelste is (en geen leuke). Bij mijn laatste werkgever deden we dat, maar als je het echt serieus neemt, moet je dan dus ook kijken naar de verwerkers van je verwerkers zitten (en diens verwerkers, en wie die weer inzetten, etc).
/u/217510/crop660db19c1cf7b_cropped.png?f=community)
heb je geprobeerd een toetsenbord eraan te hangen?)
:strip_exif()/u/538031/crop652e3e3c323d9_cropped.webp?f=community)
). Dat zou prima met CalyxOS moeten kunnen. De laatste keer dat ik CalyxOS gebruikte was in 2023 op een werkgerelateerde telefoon. Werkte fantastisch. Maar ik kan niet zeggen of /e/ of iodeOS beter of slechter werken, behalve dus dat onderzoek hierboven.
/u/141385/r4.PNG?f=community)
:strip_icc():strip_exif()/u/19260/crop64627314cf9cf_cropped.jpg?f=community)
/u/46804/crop5f989efcbb253.png?f=community)
/u/73249/crop621645f964331.png?f=community)
/u/257315/crop682f06187fef6_cropped.png?f=community)
/u/17901/glenfiddich.PNG?f=community)
?
):strip_icc():strip_exif()/u/82549/crop64401053a760e_cropped.jpg?f=community)
:strip_exif()/u/37145/T_net-logo.gif?f=community){kind=logo}
:strip_icc():strip_exif()/u/335233/crop5f0f0ae82352b_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/36378/crop5a3f931ecfec0_cropped.jpeg?f=community)
pijnlijk. Ik heb het aangepast. Hoe zit het met andere merken? Konica Minolta, Kyocera?
:strip_icc():strip_exif()/u/183132/crop62bc05b858324_cropped.jpg?f=community)
:strip_exif()/u/5722/ocf81_avatar_3.gif?f=community){kind=avatar}
/u/99529/crop5db493c811c0d_cropped.png?f=community)
:strip_icc():strip_exif()/u/23872/Y2.jpg?f=community)
/u/80569/sheep_by_teocava.png?f=community)
:strip_exif()/u/248854/rudolph3.gif?f=community)
:strip_icc():strip_exif()/u/75091/cgl213_rage_face.jpg?f=community)
:strip_icc():strip_exif()/u/78598/radiohead.jpg?f=community)
) altijd gebruik gemaakt van Shokz OpenRun oortjes. Mét boneconduction.:strip_icc():strip_exif()/u/222579/crop58e660ba93218_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/269825/crop59b99a05143d4.jpeg?f=community)
/u/363743/crop61aa1329d36b8_cropped.png?f=community)
/u/425988/crop609bf2a70d73c_cropped.png?f=community)
/u/237439/kerstmuts02.png?f=community)
:strip_exif()/u/48651/e-3_rotor_spins.gif?f=community)
:strip_icc():strip_exif()/u/66454/crop5c65e6f868639_cropped.jpeg?f=community)
/u/7909/crop64ea0de8a6e55_cropped.png?f=community)
/u/354/crop65cb4a8488664_cropped.png?f=community)
/u/93590/crop67ea71d56a5e4_cropped.png?f=community)
