Inloggen en Registreren
Nu op Retecool Goldmember
Wrong Cops
Quentin Dupieux, ook wel bekend onder zijn muzikantennaam Mr. Oizo (oh ja van dat ene numm...
Mortuarium Everest
Vandaag in Retecool Ontdek Je Plekje: Mount Everest. Berg, vuilnisbelt en knekelhuis. Berg...
WAT zegt u over orka's?
Orka's zijn toch een beetje de panda's van de zee. Het enige is dat deze beesten zichzelf ...
Zo, en dan nu even 40 miljard bij elkaar sprokkelen.
Gefeliciteerd allemaal. Met dank aan uw demissionaire regentenkliek die u sinds 1 juni 200...
Stelling van de dag
15-05-2012: Volkert van der Graaf moet gewoon vrijkomen na twee derde van zijn straf, 68 reactie(s), voor, tegen.
09-05-2012: Maar wat vindt U dan?, 43 reactie(s), voor, tegen.
18-04-2012: Oproep tot boycot door Tweede Kamer van TV programma is prima, 29 reactie(s), voor, tegen.
17-04-2012: Olifanten doodschieten is prima, 39 reactie(s), voor, tegen.
28-02-2012: Journalistiek is oorlog?, 107 reactie(s), voor, tegen.
Nu in het forum
Welkom in Rotterdam!
Als je in Rotterdam-Centrum een parkeerplekje weet te vinden, betaal je 3 (DRIE!) euro per...
Populistisch taalgebruik en insluipers
Er moet me toch even iets van het hart. Niet over RC, maar over stompzinnige taalverloede...
Afschaffen onbelaste reiskostenvergoeding.
Het akkoord gesloten door de Kunduz-partijen is nader ingevuld en uitgewerkt, enwordt vand...
Spamhoer wil aandacht? Spamhoer krijgt aandacht.
U kent het wel, van die youtube spam mailtjes. "Persoon die je niet kent heeft je een vide...
Om een onderschrift toe te voegen moet je geregistreerd en ingelogd zijn.
Het is niet heel raar dat defensie een database aanlegt van hun personeel, inclusief bankrekeningnummer en wat
informatie over hun familie. Dan kunnen ze de wedde overmaken en weten ze wie ze moeten bezoeken als een militair dood gaat, om maar eens wat te noemen. Data verzamelen is op zichzelf een goede zaak.
Het probleem ontstaat pas als die data lekt. Met deze informatie kom je bijvoorbeeld ook door de op privacy gebaseerde "security questions" van bijvoorbeeld webmail, creditcardmaatschappijen en telefoonmaatschappijen als T-Mobile heen. Als je de naam van een klant + adres, woonplaats en geboortedatum
weet, heb je een dikke kans dat T-mobile je vriendelijk helpt met het verlengen van een abonnement.Met andere woorden: Militairen hebben niets te verbergen, maar defensie wèl. Die moeten voorkomen dat die data lekt. En blijkbaar is dat lekken een reëel risico: Het Britse ministerie van Defensie is een harddisk kwijtgeraakt met gegevens over 100.000 militairen en 600.000 sollicitanten. Er is geen reden om aan te nemen dat dat in Nederland niet zal gebeuren. Het wordt daarom tijd dat de Nederlandse privacywetgeving wordt uitgebreid met een aantal maatregelen:
- Het lekken van databases met persoonsgegevens moet strafbaar worden.
- Verbod op het vervoeren van informatie over meer dan 25 personen tegelijk.
- Alle opslag en vervoer van dit soort gegevens moet versleuteld gebeuren.
- De overheid stelt open source systeem plug-ins ter beschikking die er voor zorgt dat data die op cd's en usbsticks wordt geschreven automatisch versleuteld wordt, want nerderige tools als pgp zijn te lastig te gebruiken.
Aanvullingen en goede ideeën zijn welkom.
Retecool.com is powered by Howlin' Wolf
Maar iets opvragen uit een database over een netwerk moet m.i. ook versleuteld gebeuren. Mee eens?
Eventueel zou er voor opsporingsinstanties een uitzondering kunnen gelden, maar verder dienen alle bedrijven in de particuliere sector als ook (semi)overheidsinstellingen zich aan deze regels conformeren.
- bedrijven dienen te melden welke informatie ze over je verzamelen.
En ja, zo kan je het dan wel in een maatregel gieten denk ik.
Ook het mensen op de hoogte brengen van gegevens die worden geregistreerd lijkt me geen goed idee, je zou gillend gek worden van alle berichten die je dan ontvangt ('Geachte heer Pepex, hierbij delen wij u mede dat bij PABO GmbH sinds [datum] de volgende gegevens over u zijn geregistreerd').
Een idee dat ik eens ergens las, is het opslaan van data op/in personen zelf (onderhuidse chip o.i.d.). Jij bepaalt dan zelf wie wanneer toegang krijgt tot welke data, beveiligd met bijvoorbeeld irisscan, gegevens worden niet meer centraal opgeslagen. Lost niet alles op, maar wel veel.
ad1. zouden we de grens dan op moeten voeren naar 500?
ad2. iets dergelijks is ook mee te sturen met een contract, en in algemene voorwaarden van webwinkels te zetten, etc.
ad3. dergelijke gedecentraliseerde opslag gebeurt al: Ik heb bijvoorbeeld een paspoort bij me. Maar die wordt te pas en te onpas opgevraagd, waarbij dus ook te zien is waar ik zoal heen gereisd heb, de laatste jaren.
Het leger afschaffen?
/Tox is weigeryup.
Tis volgens mij niet zozeer een gebrek aan "weten hoe", maar eerder een gebrek aan "burger-respect" en "bewustzijn". Uiteraard zal aangewend worden "wat dat nie allemaal kost!". Een typisch nederlandse reactie. Om vervolgens te vergeten met welke argumenten de database eerst wordt opgezet: "weet je wat dat nie allemaal oplevert aan voordelen". Eenzijdigheid ten top dus.
Leuk bedacht, maar hier laat behanger zien dat-ie niet op de hoogte is van hoe de overheid werkt en denkt. Als ambtenaren nameiljk ergens bang voor zijn, dan is het het idee dat ze geen verantwoordelijkheid kunnen afschuiven. Daarom moet alle meuk bij de meeste overheidsinstellingen van Microsoft zijn. Als er dan iets misgaat, kun je namelijk support bellen (en da's vaak nodig, want microsoft is prima voor kantoorautomatisering, maar niet voor grote databases etc, plus dat de IT'ers bij de overheid niet altijd even kundig zijn), plus, je kunt iemand aansprakelijk stellen voor schade enzo. Niet dat de ambtenaren van onze overheid zoiets ooit zouden kunnen: daar zijn ze veel te labbekakkerig voor.
En daarnaast, de opensource-jongens kunnen niet van die gelikte diners geven als de microsoft's, IBM's en andere grote jongens. Hele andere mindset.
Ad1.1: Ja-ig
Ad2.1: Geen mens leest die dingen, is dus een schijnoplossing.
Ad3.1: In een paspoort kun je vrijelijk bladeren, terwijl je alleen toegang krijgt tot díe gegevens in mijn onderhuidse chip waarvoor ik je expliciet toestemming geef. Mijn huisarts mag wel mijn medische gegevens uitlezen, een douanier niet. En andersom.
T.a.v. de afschuifmentaliteit en het schrijnend gebrek aan verantwoordelijkheidszin moet ik je, als ex-ambtenaar, helaas wel gelijk geven.
@eikeltje Ik denk ook dat bedrijven nu al moeten vertellen wat ze verzamelen, en het is opeisbaar, en te wissen in opdracht. Ik wil bovendien het accent in de discussie verleggen van data-vergaren en de reflex-reactie 'ik heb toch iets te verbergen!' naar data-lekken, met de bijbehorende reactie: 'dit kan niet'. Privacy gaat in mijn ogen niet om data die klanten verborgen houden, maar om het data die terechtkomt op een plek waar deze niet thuishoort.
Als bold niet mag, sloopt blues het wel uit de code.
Juist met een chip zie je niet wat ze lezen en schrijven. Bovendien sluit dat het vergaren van data aan de bedrijvenkant niet uit.
Wat wel zou helpen is het koppelen van een database aan een netwerkomgeving, misschien in combinatie met encryptie zodat decryptie alleen werkt indien server en client zich binnen eenzelfde (gecertificeerde) omgeving bevinden.
Kopie op een stick gezet? Pindakaas, andere omgeving en geen certificaat te vinden dus geen decryptie voor de jattert.
Not gonna happen.
Ik citeer behanger even: "Practische bezwaren en hoe daar mee te dealen is fase 2". Maar dan praktisch met een 'k'.
Wij zijn de baas van de overheid, dus als wij zeggen dat het afgelopen moet zijn met dat labbekakkerige 'doe dan maar microsoft'-gedoe, is het afgelopen met dat... Vandaar hulde voor behanger's pots, die dit weer eens aanzwengelt.
2. during a priority audit EDS are conducting to comply with the Cabinet Office data handling review
Oftwel: het Cabinet Office had al eisen gesteld aan data handling, EDS voldeed daar niet aan, om een of andere reden (vermissingen? de maat vol?) werd een controle met hoge prioriteit geëist en inderdaad: er was iets weg. Ik vermoed wel meer dan alleen deze portable harddisk.
Gezien de aard van de data kan er heel goe opzet in het spel zijn. En dan kom je niet ver met wetgeving.
Ik wil toch ook even datavervoer via communicatielijnen en via hardware van elkaar loskoppelen. Via netwerken kan je SSL verplichtstellen en WPA2 encryptie op bedrijfswifi eisen. Maar op dat vlak gaat het op een andere manier dan dat geëikel met verloren laptops, cd's, harddrives en usb-sticks. Dat vergt dus een andere aanpak. Je kunt dan eisen dat een vertegenwoordiger zijn laptop vol klantgegevens versleutelt. En je kunt een rechercheur die gegevens mee naar huis neemt beperken. Dus die mag niet de hele database met hoerenlopers meenemen, maar alleen de records die hij wil bestuderen (kwam ik op 25, voordat ik werd gewezen op het telefoon-probleem).
Voor de duidelijkheid: Ik ben doordrongen van het feit dat mijn persoonsgegevens bij een onoverzienbare hoeveelheid bedrijven en instanties liggen. Daarmee heb ik geen probleem, het is logisch. Niets te verbergen, jadajada. Mijn doel is tot een set maatregelen te komen die lekken tegengaat.
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
Ook het vooraf melden dat je persoonsgegevens gaat vastleggen is op grond van de Wbp verplicht.
Aan overtreden van de Wbp zijn ook sancties verbonden, alleen is het dan meestal al te laat.
Het CBP heeft voor bedrijven een heel aantal doe-het-zelf audits gemaakt, waarmee je (op vrijwillige basis) kan zorgen dat je op een goede manier omgaat met persoonsgegevens. Het verplicht stellen van die audits zou al een stap in de goede richting zijn.
Wat meer actieve controle zou trouwens ook geen kwaad kunnen. Bij het bedrijf waar ik werk komen AFM, OPTA en belastingdienst geregeld langs om moeilijke vragen te stellen, maar van het CBP heb ik nog nooit iets gehoord.
Op het gebied van privacy gaat dus niets veranderen.
/ras-cynist
Hoezo? Camouflage!
Het hele topic en hardware kwijt, wat dacht je van een drietonner of meer?
Waarom zou die meneer niet die truck gewoon volduwen met plof en terugparkeren op een militair terrein?
/tv-kijker
Als je een afslag van een snelweg bekijkt, zie je dat de afrit 3x wordt aangekondigd. Over 1200 meter, 600 meter, 300 meter, UIT ->
En dan nog zijn er lieden die de afslag niet optijd nemen en zo tussen de hoofdweg en de afrit terecht komen. Daarom begint de vangrail eerst met 10 meter opfrommelbaar metaal, en zijn de eerste lantaarnpalen extramakkelijk afbreekbaar, zodat je het overleven kan als je met 120km/u tegen de rimop klapt.
En dan nu het de relevantie ervan: die rimops zijn vaak blinkend nieuw. Ze worden kennelijk gebruikt.
Zo moet het dus ook met data.
Iemand gaat een keer een domme fout maken en alle klantgegevens lekken. O, OEPS. Op dat moment wil je dus dat die gegevens encrypt zijn.
Iemand neemt een usbstickje met alle personeelsgegevens me naar huis om daar eens op zijn gemakkie te kijken naar die data. Hij verliest het stickje. O OEPS. Als het nou encrypted is, boeie. Maar mensen doen dat, niet, dus daar moet dan maar wat dwang achter. Datahygiene, noemt Karin Spaink dat.
Maar goed. Bak daar maar eens een goeie wet van. Aan de reacties hierboven zie je dat dat niet eenvoudig is. Als je de wet eerlijk en afgewogen hebt geformuleerd, dan volgen nog de praktische bezwaren, en moet je nog even herzien. En dan moet het publiek het nog gaan begrijpen.
Ik definieer privacy als "data out of place".
Natuurlijk zijn die er, maar als je die niet goed overdenkt en formuleert kun je die de test van het debat niet laten doorstaan. Ik geef een voorbeeld:
"Je wil niet dat een ander persoonlijke dingen van jou weet, omdat ie je daarmee zou kunnen schaden."
Als iemand daar tegenover zet, dat je daar niet bang voor hoeft te zijn omdat we een rechtstaat hebben die dergelijk misbruik straft, of dat het waarschijnlijk toch jouw schuld is dat je verwondbaar was. Dan moet je wel weten hoe je daarmee omgaat.
Als ik bij een bedrijf opvraag welke gegevens ze over mij bewaren, verwacht ik de bende onversleuteld maar gezipt met een apart, liefst via een ander medium, verzonden wachtwoord.
Nogmaals, dat gaat over het vergaren van data. We hebben het hier over data waarvan we hebben besloten dat het okee is dat ze worden vergaard en bewaard. ik ga er bijvoorbeeld van uit dat mijn ISP mijn mail bewaart, want ik heb "leave on server" aangevinkt in mijn mailprogramma. En ik wil dat mijn telefonie-provider weet waar ik ben, zodat ze mijn mobieltje over kunnen laten gaan als iemand mij belt. Maar ik wil niet dat die gegevens op straat komen te liggen. Dus dat wil ik voorkomen.
Je hebt gelijk dat risicobeperking niet goed geregeld is. Het lijkt me ook hard nodig om dat goed te regelen, en volgens mij is dat ook best mogelijk. Ik denk echter niet dat het echt helpt om domme fouten te voorkomen.
Onwetendheid en desinteresse zijn heel moeilijk uit te bannen. Ik zorg er binnen mijn bedrijf voor dat het proces rondom onze gegevensbeveiliging in orde is, maar kan niet altijd controleren of die processen ook gevolgd worden. Kwam deze week nog een mailing tegen voor bedrijven waar mee wij samenwerken, met het verzoek om klantgegevens van een paar duizend klanten even te mailen in een excel bestandje.
Om dat enigszins tegen te gaan zou je wettelijk verplicht kunnen stellen dat omgang met bepaalde gegevens alleen mag als je daarvoor een opleiding / training gevolgd hebt. Voor bijna elke functie heb je allerlei certificaten nodig, maar voor het omgaan met klantgegevens hoef je niets te laten zien. Hoeft geen zware opleiding te zijn, het gaat er meer om dat mensen beseffen wat er mis kan gaan en wat de gevolgen kunnen zijn.
Op mijn werk geef ik zulke trainingen aan nieuwe medewerkers, met vooral veel concrete voorbeelden, en volgens mij werkt dat beter dan wetgeving / sancties.
En de gevoeligheid ligt denk ik vooral aan het misbruik dat er mee mogelijk is. Verder is ook de combinatie van gegevens relevant. Als alleen mijn rekeningnummer bekend is, is dat niet zo'n probleem. Als mijn NAW gegevens en geboortedatum erbij staan is het al makkelijker om er wat mee te doen.
Misschien kan dit uit aard van de materie wel helemaal niet en zijn we gedoemd om in drijfzand te blijven discussiëren, met als gevolg allerlei complottheoriën en bijbehorende theoretici. Of je zegt, waar jij denk ik op doelt, dat zoiets van geval tot geval bekeken moet worden. Maar door wie dan? Met welke uitangspunten?
Probleem is dat thans in feite iedere verzameling doorzoekbaar is. Beperkingen stellen aan het bezitten ervan is dus niet voldoende; er moeten ook waarborgen ingebouwd worden omtrent het gebruik en het beheer.
*tucht, orde, discipline en lubberskampen!
Voordelen:
- closed source
- redelijk veilig
- duur, dus uitstapjes en een idioot hoog uur tarief dat je zonder problemen kunt verantwoorden.
In een marketingmaatschappij zijn we steeds minder burgers en steeds meer elkaars leveranciers en klanten. En daarin sta je zwakker als je onderhandelingsmarges bekend zijn.
de PTT vond dat zij auteursrecht hadden op die verzameling gegevens
Het auteursrecht van een schilderij ligt bij de schilder, het auteursrecht van de tentoonstelling bij het museum. Een telefoonboek is een tentoonstelling van naamadrestelefoon records. Die analogie doortrekkend zou een individu het auteursrecht moeten hebben op zijn eigen record/dossier.
Aan de andere kant; mensen gaan dan wel eindelijk eens beseffen wat er met hun gegevens gebeurt.
Klinkt leuk, maar niet zo simpel om uit te voeren
is een nadeel als het om security en versleuteling gaat.