I’m privacy advisor with a special interest in working on high impact projects that improve the protection of data subjects by combining technical an organisational solutions.
Supply chains in GDPR enforcement
Supervisory authorities should view supply chains as an asset to use in their enforcement activities instead of an obstacle in their investigations. Let’s use two examples by the Dutch data protection authority (AP) as an example: Locatefamily.com and Clearview AI. Locatefamily.com On December 10 2020 the AP fined the website Locatefamily € 525.000,- for violations of the GDPR. Locatefamily.com did not end the violation and bluntly refused to provide information about the identity of the controller and refused to pay the fine....
Social media monitoring door Politie
Meer dan een jaar geleden heb ik een blogpost geschreven over twee bedrijven die veel gebruikt worden voor het monitoren van sociale media. Daarin heb ik beschreven dat het gebrek aan transparantie een probleem is. Ik wil meer schrijven over het monitoren van mensen op het internet, maar mede vanwege het gebrek aan transparantie heeft het zo lang geduurt om met een update te komen. Hieronder wil ik het hebben over OBI4wan (tegenwoordig Spotler Engage), de Belgische en Nederlandse Politie....
Hâck The Hague 2023 Coordinated Vulnerability Disclosure (deel 3)
Deze blogpost is deel vier van een serie en de derde over specifieke issues met betrekking tot Hâck The Hague 2023 en dat geeft gelijk al een hint over het verloop van het CVD proces: langdurig en moeizaam. Dat is niet te wijten aan individuele medewerkers van de gemeente die ik heb gesproken. Zeker als ik ze buiten e-mail om spreek, zijn het stuk voor stuk vriendelijke mensen die dit goed willen oplossen....
Tracking-pixels in politieke nieuwsbrieven
Nadat ik de websites van politieke partijen heb bekeken zijn nu ook de nieuwsbrieven van de partijen aan de beurt. Ik heb tracking pixels in de nieuwsbrieven van de volgende partijen aangetroffen: VVD D66 GROENLINKS / Partij van de Arbeid (PvdA) PVV (Partij voor de Vrijheid) SP (Socialistische Partij) Forum voor Democratie Partij voor de Dieren ChristenUnie Volt JA21 BBB Deze tracking pixels gaan niet altijd samen met cookies....
Tracking tijdens Tweede Kamerverkiezingen 2023
Net als vorige Tweede Kamerverkiezingen houdt ik in de gaten of politieke partijen onrechtmatig mensen volgen op hun websites. De tijdlijn ziet er op hoofdlijnen als volgt uit: 23 oktober 2023 Eerste reproduceerbare scan van de websites van de 26 partijen die meedoen. 26 oktober 2023 Ik vul het tipformulier van de AP in met een samenvatting van mijn bevindingen uit de eerste scan. 1 november 2023 De AP publiceert de waarschuwingsbrief aan politieke partijen....
Stripchat reprimanded for 64.694.953 account breach
What happened? Stripchat is a website owned by Technius Ltd. in Cyprus that hosts a large amount of aduld webcam operators. The owner has been reprimanded by the Cyprus data protection authority for a breach of over 64 million user accounts and not informing them properly about the breach. I didn’t know the website before, but on Oktober 22 2019 I get an e-mail from the website that an account has been created on this website....
Hâck The Hague 2023 Coordinated Vulnerability Disclosure (deel 2)
Op 31 juli heb ik bij de gemeente Den Haag een aantal issues gemeld. Het hele proces is nogal moeizaam verlopen. Elke keer als ik telefonisch of persoonlijk contact heb met medewerkers van de gemeente heb ik het gevoel dat we elkaar begrijpen, maar van de geschreven communicatie krijg ik het idee dat er gigantische miscommunicatie is of dat de gemeente terugkomt op toezeggingen. Pogingen om in te gaan op de uitnodiging om te overleggen over wat er fout gaat en hoe het beter kan worden door de gemeente genegeerd....
Oeps! Cookies. Wat nu?
Vandaag heeft Ron Roozendaal een blogpost geschreven over politieke partijen die onrechtmatig allerlei tracking cookies gebruiken op hun websites. En ik moet eerlijk bekennen dat ik er een beetje moe van wordt. Alleen al bij politieke partijen blijft de AP keer op keer op keer op keer bezig met zelfs een waarschuwingsbrief tot gevolg. Zelfs als hele concrete overtredingen worden aangereikt is handhaving door de AP niet zichtbaar aanwezig. En het speelt heus niet alleen bij politieke partijen, maar die politieke context maakt de verwerkingen natuurlijk wel extra gevoellig....
Hâck The Hague 2023 Coordinated Vulnerability Disclosure
“Wij zullen jouw gegevens niet aan derden verstrekken zonder jouw voorafgaande toestemming, …” jokt de gemeente Den Haag in het privacybeleid van de 2023 editie van Hâck The Hague. Tijdens de 2021 editie van het evenement van de gemeente Den Haag heb ik een paar issues gemeld waarbij de (partner van de) gemeente juist wel zonder toestemming persoonsgegevens aan derden verstrekte en dat proces is behoorlijk slecht bevallen. Dit jaar wilde ik controleren of er geleerd is van de vorige melding....
Are bug bounties harmful?
TLDR: It depends. People who discover bugs and security vulnerabilities and want to improve security by publishing about their findings generally have a substantial task managing competing interests in the process. Publishing your findings can help others learn from that single mistake by installing a known patch, learning what mistakes not to make when building systems, knowing what vendors to avoid or taking other measures. However publishing can also introduce risks by informing people how to abuse vulnerabilities....