Dat is nog eens sympathiek van Webwereld! Ze zagen hoe BUMA in de rats zat na hun downloaddebacle. Gelukkig werken daar jongens en meisjes die wél weten hoe ICT werkt en hebben ze even 5 mogelijke excuses op een rijtje gezet. Geheel verrassend blijkt IP-spoofing vrijwel godsonmogelijk. Maar gelukkig draait de afdeling damage control van BUMA op volle toeren, want directievoorzitter Hein van der Ree geeft een wanhopige draai aan het geheel in een interview met het NRC (pdf -alert). Daarin gaat hij onmiddellijk voor de Understatement van het Jaar-award met de opmerking "Het vertrouwen in ons is weggeëbd".  Verder blijkt de wet waarop de licentie is gebaseerd 100 jaar oud en piept Van der Ree enigszins benauwd dat concurrentie op de muziekrechtenmarkt slecht voor de artiesten en componisten is. Hahaha, echt... Moet. Stoppen. Met. Lachen. Ehehehehe, right, slechter dan het nu al is kan volgens ons niet. Dus overheid, openbreken die exclusieve licentie, dan gaan wij hier op de retenkoels nog even verder met het bedenken van smoesjes Xaderpen over het downloadgedrag van BUMA in de comments!  

Er is op de retecools al veel over geluld, maar het gaat toch echt gebeuren. Het Europees Parlement stemt binnenkort over uw geliefde ACTA overeenkomst (Anti-Counterfeiting Trade Agreement). Brenno de Winter legde eerder op Webwereld al uit wat er niet deugt aan dit plan. Dat juist de Fransozen hiertegen in actie komen, is misschien niet zo heel raar. Three strikes out. Nu de rest van Europa nog.

Brenno de Winter van Webwereld, heeft deze maand uitgeroepen tot Lektober: “...Elke werkdag onthullen we een ICT-privacylek in een website of overheidsdienst. Webwereld wijst zo op het belang van goede beveiliging van privé-gegevens...”. Na zo'n actie is het natuurlijk een kwestie van wachten tot Brenno de Winter zelf een keer de pineut is. Opmerkelijk is het echter wel dat de initiator achter de hack van de Brenno-server, het IT beveiligingsbedrijf ISSX is. Ronald Kingma van ISSX: “...Dat is het gevaar van dingen als Lektober: dat het mensen ertoe aanzet om actief op zoek te gaan naar hacks bij bedrijven...”. Om vervolgens zelf daad bij het woord te voegen en de server van Brenno te (laten) hacken. Maar daar blijft het niet bij. Waar de Winter slechts het beveiligingslek aantoont en vervolgens NIET naar binnen gaat, halen de hackers van de Brenno-server gegevens van de server en sturen deze vervolgens naar de Telegraaf. En ISSX heeft voor het gemak ook nog eens een enorme lijst met potentiele klanten om zich op te richten. De Winter is not amused, maar kon er op wachten. Alleen weet ik wel met welk beveiligingsbedrijf ik in ieder geval geen zaken ga doen. Wat u? Leuke "ludieke" actie van ISSX, of schande dat een beveiligingsbedrijf tot dergelijke acties overgaat.

Brenno de Winter reist inmiddels al weken met een gehackte OV Chipkaart, zonder gebruik te maken van de incheckpoortjes. En dat kan blijkbaar heel simpel, gewoon de juiste software op je computer zetten, er een goedkoop stukje hardware op aansluiten en je OFAIL chipkaart is zo te programmeren dat het voor elke conducteur lijkt dat je netjes hebt ingecheckt: “...Uw verslaggever probeert de hack al ruim een week uit, waarbij geen enkele conducteur ook maar een moment iets vermoedde. Eén keer maakte een conducteur een opmerking dat het na negen uur voordeliger is om te reizen op een zoutkaartje, dat ‘maar liefst 40 procent korting geeft’...”. (Hoeveel is dat? 40% korting op 0,- eypo). Gerben Nelemans, directeur van Trans Link Systems (TLS), dat de OV-chipkaart exploiteert, was in Nieuwsuur heel duidelijk over het probleem: “...Het is verboden dus waarom zou iemand dat doen?...”... Stop de persen! De ultieme bezuiniging is zojuist gevonden: Doek het volledige justitiële apparaat op! Dus politie, het openbaar ministerie, rechters, echt alles en iedereen kan stoppen! Want waarom zou iemand iets doen dat verboden is? Gebeurt niet, want verboden! Dus ook geen politie nodig! Wat geniaal! Dat niemand daar eerder aan heeft gedacht. Gerben Nelemans FTW!

Het College Bescherming Persoonsgegevens heeft onderzoeken uitgevoerd bij de Centrale Huisartsenpost Gorinchem en de Stichting Schakelpunt Informatie Transmurale Zorg Midden-Holland. Die zijn nu op hun vingers getikt omdat de informatie te toegankelijk is voor derden en de patiënten niet op de hoogte waren gebracht dat hun gegevens er werden opgeslagen c.q. tentoongesteld.
Het CBP noemt deze vormen van lokaal gekeutel voor het gemak maar even "regionale Elektronisch Patiënten Dossiers (EPD')". Het CBP legt nog wel even uit dat het landelijk EPD iets anders is, maar dat wordt niet overgenomen door onze geweldige journalisten, want die tikken er graag even een EVERYBODY PANIC stukje over Het EPD. De term EPD is nu besmet. Een van de redenen om een landelijk Elektronisch Patiënten Dossier (EPD) aan te leggen, was juist om het geklooi eens aan te pakken.
Alle ziekenhuizen en huisartsen houden patiëntgegevens bij in hun computers. Patienten met de complexere problemen gaan vaak naar meerdere artsen. Datatransport is dan cruciaal, maar vaak erg slecht geregeld. Zo kan het Maxima Ziekenhuis in Veldhoven niet bij de gegevens van hun tweede filiaal in Eindhoven.
Tegelijk is er bij allerlei "zelfgemaakte" systemen te weinig tijd besteed aan veiligheidsmaatregelen. Zo kunnen de zusters bij de balie vaak alle gegevens zien. Ze loggen ze niet met hun eigen persoonlijke login in, maar met "balie" wachtwoord "geheim" en laten die computer doorlopend aan en ingelogd. Dat is data out of place. Logbestanden over wie wat bekeken heeft, zijn dan zinloos. Aan dat soort praktijken wil het landelijk EPD ook een einde maken. In het EPD wordt heel precies geregeld wie wat mag zien. Toestemming van de patiënt is ook helder geregeld.
Eerder al constateerden we dat de naam EPD heel slecht gekozen is, omdat het landelijk EPD geen centrale database is, maar dat je gegevens gewoon bij je eigen arts en specialist blijven staan. Het landelijk EPD is een filesharingsprotocol.

70% van de mensen vertrouwt de overheid in privacy-aangelegenheden, 30% vreest dat data in verkeerde handen kan komen. Dat staat op Webwereld. Dit soort cijfers (pdf) zeggen niets zonder vervolgvragen. Wie zijn die mensen die de overheid niet vertrouwen? Zijn die privacy-vrezers computernerds of juist digibeten? En hoe is deze verdeling onder ambtenaren?

De onderzoekers, en Webwereld in hun verlengde, nemen het Elektronisch Patienten Dossier als voorbeeld. Het EPD gaat wel over zeer persoonlijke en gevoelige gegevens, maar toch is de EPD-kwestie geen goed voorbeeld voor de privacy-discussie. Het EPD is immers geen database, maar een verbindingsprotocol. Bovendien kun je niet zomaar zeggen, dat mensen die vrezen dat hun gegevens op straat komen te liggen, tegen het EPD zouden moeten zijn, want het EPD regelt een hoop privacy-gevoelige gegevensstromen zeer strak, terwijl die gegevens nu door de medische wereld op uiterst amateuristische wijzen worden verstuurd.

Wat wel leuk is, is dat de onderzoekers hebben gevraagd naar de gegevens die mensen zelf publiceren op profielsites. Daarmee krijg ik gratis een kwantitatief antwoord op een vraag die ik al vaker op Retecool heb besproken.
De helft van de Hyvers wil niet dat die foto's verder worden verspreid. Dat hebben we hier wel eens gemerkt, als we de foto's van een hyves of andere persoonlijke webpagina in de comments plaatsten. Daarom roep ik wel vaker dat privacy niets te maken heeft met verbergen. Een foto die voor iedereen te zien is op een Hyves is okee, maar als we hem op Retecool zetten, gaat er iets fout in hun brein. Het gaat dus om de context waarin de gegevens worden bekeken. Privacy gaat over data out of place.

Daaruit volgt dat de reflex "ik heb niets te verbergen" eigenlijk niet van toepassing is op privacyvraagstukken. Het gaat er in privacyvraagstukken om of de informatie die je aan Instantie A geeft zonder jouw toestemming bij Instantie B kan en mag komen.

Hyves illustreert dat zelf door haar gegevens aan Google door te gaan spelen, vanaf 30 januari. Dat kun je voorkomen door een vinkje weg te halen in je hyves, mijn menu, privacy. Doe je dat niet, dan ben je binnenkort goed vindbaar op achternaam in Google. Leuk voor als je gaat solliciteren.
Update: Dit was gisteren. Per vandaag is die instelling niet meer te veranderen!
_{(thx teringbibber)}

De politieke discussie over privacy dient niet zozeer te gaan over het vergaren van gegevens, want dat kan de burger zelf redelijk overzien en daar zit de pijn ook niet. De politieke discussie dient te gaan over de vraag hoe overheden en bedrijven met onze gegevens omgaan, want dat kunnen we niet overzien en daar zit de pijn wel.

Linkdump
deze voldoet niet aan het profiel.

Opera, de browser, heeft 7 lekken gedicht.
Over 1 lek heeft webwereld bericht
dat Opera er heel geheimzinnig over doet.
Bij gedimd licht gebaart Thomas Ford dat je fluisteren moet
en dan begint hij over XSS te orakelen,
een woordenstroom van jargon te kakelen.
De journalisten hangen aan zijn lippen
en beginnen zachtjes op hun PDA's te tikken.
Als het niet rijmt is het een lek gedicht.

Webwereld heeft op mijn verzoek het rapport "Freedom, Security, Privacy - European Home Affairs in an open world" (pdf), waar ze gisteren over schreven aan me toegestuurd. (thx R. van Hek!) Het is een leesbaar schrijfsel in tegenstelling tot de meeste andere teksten uit Europa. Gisteren schreef ik vooral over het dataverkeer naar de VS. De manier waarop het uitwisselen van data in het rapport wordt aanbevolen is lachwekkend: “Besides the areas of counter-terrorism and border security, current cooperation between the European Union and the US includes the fight against international crime, cybercrime, drug trafficking and trafficking in human beings. As to data protection, our common goals are clear: to protect our citizens' security by making sure law enforcement authorities have the information they need to do their work and to protect our citizens' fundamental rights and privacy.”
Maar het gaat niet alleen om samenwerking met de VS, ook met Rusland. “Russia is, together with the US, our main strategic partner in the field of justice, freedom and security.” Dat is een beetje opmerkelijk. Maar samenwerking is op zichzelf goed. Het maakt de spanning rond het raketschild en de oorlog in Georgie interessanter!
Verder is internet natuurlijk het medium wat angst inboezemt en er worden voorstellen gedaan om het te beteugelen. Dat gaat niet persé via afluisteren en censuur, ook inhoudelijk: “At the same time, the Group holds that the fight against terrorism itself has to make the most efficient and pro-active use of the Internet with the aim of de-radicalisation. 'Cultural intelligence' needs to fight radicalisation over the Internet and the media, thereby especially taking into consideration the special characteristics of 'cyber-language.”
En OLO @ “In the 'digital tsunami' environment the traditional measures to protect privacy will become less and less effective unless appropriate technological measures are used as an essential complement to legal means.” Maar afijn. Veel leesplezier, dus!

Eindelijk erkenning en repsect: “...Wie denkt dat je het land met een wiki kunt besturen, heeft het verkeerd begrepen. En rekent bovendien buiten de reaguurders van Retecool...”. Maarten Reijnders schrijft in z'n column op Webwereld over de teloorgang van de Ritawiki (niet te verwarren met de Retewiki). U heeft naar aanleiding van Deze linkdump, de Ritawiki stampvol gevuld met geweldige ideeën (zie ook "Ons zijn de Verdonk-Aenhangers"): "internationale erkenning van het sjoelen", "Hans Klok moet de Nederlandse identiteit worden ontnomen vanwege zijn optredens in Las Vegas" en "altijd van je aflossen". Inmiddels is de Ritawiki niet meer openbaar en heeft er een grote schoonmaak plaats gevonden, maar gelukkig hebben we de mirror nog (thanx to Bas Taart).
Update: De Ritawiki wordt nog steeds gevuld met briljante ideeën. Oh ja, Harrie Weggelaar for President.  

De voorbereidingen voor de SalonBloggies zijn in volle gang en inmiddels is het ook tijd voor de eerste Stemronde. Om het extra onduidelijk te maken kunt u zowel hier als op Sargasso stemmen. Goed, daar gaan we. De eerste stemronde gaat over de best betaalde Advertorial. In deze categorie is het weblog GeenStijl uiteraard titelverdediger. De jury is na ampel beraad gekomen tot twee volwaardige nominaties.

1) GeenStijl voor het plaatsen van de anti-rook campagne van hun gezworen aartsvijand Stivoro. Als je eerst een organisatie helemaal kapotschrijft en het leven van haar directrice tot een living hell maakt, maar een paar jaar later je laat betalen door diezelfde organisatie om een grote advertentie te plaatsen en je archief te wissen ben je commercieel-technisch goed bezig.

2) Cozzmoss, een bureautje van premiejagers dat inmiddels wereldberoemd met de slogan: “Uw auteursrecht beschermen en tegelijkertijd meer aan uw artikelen verdienen?” dwong weblogger Cinner op de knieën onder bedreiging van een boete en genereerde hiermee enorm veel gratis publiciteit. Inmiddels weet iedere freelance journalist dat hij via Cossmozz zijn inkomen kan opkrikken door kleine kwetsbare weblogs aan te spreken op de Auteurswet uit 1912.

De jury kwam tot deze selectie vanwege de intrigerende relatie tussen de partijen in een spanningsveld van wederzijdse economische afhankelijkheid en kwetsbaarheid waarbij publiciteit een dubbelrol speelt. Voor u de lezer en kiezer is het geen gemakkelijke keuze, maar niemand heeft ooit gezegd dat de Salonbloggies makkelijk werden.

Tot zo ver het eerste Salonbloggies stemgeweld. Binnenkort trouwens Wereldschokkend nieuws aangaande één van de initiatiefnemers van de SalonBloggies. Want ook bij de Salonbloggies is niet alles Pais en Vree.