About me

Als auteur van een vaak gekopieerde tekst ben ik het gewend dat niet iedereen even zorgvuldig omgaat met auteursrechten. De tekst die ik heb geschreven heb ik gepubliceerd onder een Creative Commons Naamsvermelding licentie. Kortgezegd komt dat erop neer dat ik iedereen wil aanmoedigen om de tekst te kopieren, aan te passen en her te gebruiken, maar wel met naamsvermelding. Ik wil niet dat anderen claimen zelf de tekst te hebben geschreven en (voor mij belangrijker) daarbij dan de schijn wekken dat anderen de tekst niet mogen hergebruiken. Niet iedereen gaat daar even zorgvuldig mee om. Hergebruik is makkelijk, maar niet iedereen denk even goed na over de voorwaarden die daaraan verbonden zitten. Af en toe stuur ik een vriendelijk mailtje om daarop te wijzen en dat is eigenlijk zelden een probleem. Soms suggereren mensen dat ik een vergoeding moet vragen voor onrechtmatig hergebruik van mijn tekst. Maar daar heb ik geen zin in. Hergebruik is het doel en ik wil niemand tot last zijn. Bovendien gaat mij een dergelijk proces mij veel meer tijd en geld kosten dan het oplevert. ...

Vanaf het begin van het Nederlandse algoritmeregister ben ik een enthousiast voorstander. Sinds de (met ruime meerderheid aangenomen) motie van Klaver waarin wordt opgeroepen tot de oprichting van het register, kijk ik uit naar de mogelijkheid voor burgers om toezicht te kunnen houden op algoritmegebruik door de overheid. MOTIE VAN HET LID KLAVER C.S. Voorgesteld 19 januari 2021 De Kamer, gehoord de beraadslaging, […] verzoekt de regering, voorts een algoritmeregister op te zetten waarin beschreven wordt welke algoritmen de overheid gebruikt, voor welk doel en op basis van welke datasets opdat iedereen toezicht kan houden op al dan niet discriminerende algoritmen, en gaat over tot de orde van de dag. ...

Het datalek bij Odido maakt een hoop discussie en emotie los bij mensen. Hackers hebben een grote Salesforce-database van Odido leeggeroofd en houden de data gegijzeld voor losgeld. Odido heeft besloten om de criminelen niet te betalen en de criminelen publiceren nu stukje bij beetje de gestolen data. Dat doen ze vrij slim in stukjes om de ophef in de media maximaal te benutten. De media werken daar ook vrij goed aan mee. Het is nieuws, dus terecht dat ze daar verslag van doen, maar al die aandacht helpt de criminelen ook. ...

This post is about the reason I will probably never try to warn any organisation in Belgium about any vulnerability again. Recently I have been dealing with an attempt at coordinated vulnerability disclosure (CVD) with an organisation in Belgium. This post is not about that, because I’m not allowed to write about it. This post explains why I believe Belgium is unsafe for people trying to do CVD. I believe it’s important to warn others so that they know what to expect and can decide for themselves. ...

Op 22 januari heeft de Autoriteit Persoonsgegevens met de lancering van een nieuwe vacature-website een vertrouwde traditie van het crowdsourcen van compliance controles voortgezet. De nieuwe vacaturewebsite van de AP maakt namelijk gebruik van cookies van Google Analytics en Vimeo/Cloudflare. Ik heb direct dezelfde dag de FG gemaild met deze observatie. Vandaag heeft de AP het mogelijk gemaakt voor betrokkenen om een pagina op te zoeken op de website van de AP om te achterhalen wat er is gebeurd. Dat beschrijf ik bewust wat omslachtig omdat de informatie best lastig te vinden is als je niet al weet dat de AP deze fout heeft gemaakt. ...

Ik krijg af en toe vragen over het gebruik van Google Analytics. Mag dat wel (zonder toestemming) onder de AVG? De Autoriteit Persoonsgegevens heeft in het verleden een handleiding gepubliceerd. Deze handleiding is een paar keer bijgewerkt. Maar op een gegeven moment zijn alle handleidingen zonder uitleg van de website van de AP verdwenen. Ook het archief van de AP is onvolledig. De AP geeft ook tot nu toe ook geen uitleg waarom het archief onvolledig is. Omdat ik al meerdere maanden wacht op de AP die me zou terugbellen over het archief heb ik maar een Woo-verzoek ingediend voor de Google Analytics handleiding. Dat is in ieder geval binnen vier weken geregeld. Ik denk dat het efficiënter kan. ...

Supervisory authorities should view supply chains as an asset to use in their enforcement activities instead of an obstacle in their investigations. Let’s use two examples by the Dutch data protection authority (AP) as an example: Locatefamily.com and Clearview AI. Locatefamily.com On December 10 2020 the AP fined the website Locatefamily € 525.000,- for violations of the GDPR. Locatefamily.com did not end the violation and bluntly refused to provide information about the identity of the controller and refused to pay the fine. In an interview dated August 26 2024, the AP explained that it made an effort to find out who hosted the website in order to find out the address of the company behind Locatefamily.com but failed in its effort and the AP, practically admitting defeat, closed the case. ...

Meer dan een jaar geleden heb ik een blogpost geschreven over twee bedrijven die veel gebruikt worden voor het monitoren van sociale media. Daarin heb ik beschreven dat het gebrek aan transparantie een probleem is. Ik wil meer schrijven over het monitoren van mensen op het internet, maar mede vanwege het gebrek aan transparantie heeft het zo lang geduurt om met een update te komen. Hieronder wil ik het hebben over OBI4wan (tegenwoordig Spotler Engage), de Belgische en Nederlandse Politie. ...

Deze blogpost is deel vier van een serie en de derde over specifieke issues met betrekking tot Hâck The Hague 2023 en dat geeft gelijk al een hint over het verloop van het CVD proces: langdurig en moeizaam. Dat is niet te wijten aan individuele medewerkers van de gemeente die ik heb gesproken. Zeker als ik ze buiten e-mail om spreek, zijn het stuk voor stuk vriendelijke mensen die dit goed willen oplossen. Maar zodra er iets moet worden afgestemd is dat bijna een garantie voor miscommunicatie, vertraging en het verbreken van afspraken. ...

Nadat ik de websites van politieke partijen heb bekeken zijn nu ook de nieuwsbrieven van de partijen aan de beurt. Ik heb tracking pixels in de nieuwsbrieven van de volgende partijen aangetroffen: VVD D66 GROENLINKS / Partij van de Arbeid (PvdA) PVV (Partij voor de Vrijheid) SP (Socialistische Partij) Forum voor Democratie Partij voor de Dieren ChristenUnie Volt JA21 BBB Deze tracking pixels gaan niet altijd samen met cookies. Maar ook tracking pixels zonder cookies vallen onder wat (onterecht) de ‘cookiewet’ wordt genoemd. Geheel toevallig heeft de EDBP eergisteren de Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive gepubliceerd ter publieke consultatie waarin hoofdstuk 3.1 wat meer achtergrond geeft hierover. ...