About me

I’m privacy advisor with a special interest in working on high impact projects that improve the protection of data subjects by combining technical an organisational solutions.

Are bug bounties harmful?

TLDR: It depends. People who discover bugs and security vulnerabilities and want to improve security by publishing about their findings generally have a substantial task managing competing interests in the process. Publishing your findings can help others learn from that single mistake by installing a known patch, learning what mistakes not to make when building systems, knowing what vendors to avoid or taking other measures. However publishing can also introduce risks by informing people how to abuse vulnerabilities....

August 9, 2023 · 7 min · Floor Terra

Identificatieplicht op sociale media

Op sociale media zijn allerlei mensen te vinden die uit frustratie, met kwaadaardgie bedoelingen, of anderszins allerlei misinformatie en haat verspreiden. Omdat dat behoorlijk ernstige vormen kan aannemen door zowel de ernst van indivuduele berichten als de soms constante stroom aan berichten kan de impact enorm zijn. Het is dan ook volkomen begrijpelijk dat mensen hier iets aan willen doen. Daarbij komt opvallend vaak de gedachte langs dat omdat mensen denken dat mensen anoniem zijn op sociale media ze daarom ander gedrag tonen en misdragingen niet aangepakt kunnen worden....

June 14, 2023 · 4 min · Floor Terra

Tracking without consent at zerocopter

A common theme when trying to report unlawful tracking on websites and apps is that it can be ambiguous whether CVD is meant for these kinds of issues. Is it really a security vulnerability or even a breach of security? My assumption is that generally security policies dictate that security measures are in place to protect against unauthorised and unlawful disclosures of personal data. If that’s the case, when I find unlawful disclosure of personal data I assume there has been a breach of security policy or even technical measures and that it’s fair to report under CVD to allow the organisation to stop the breach and take appropriate measures to prevent further breaches....

May 21, 2023 · 7 min · Floor Terra

Transparantie in Social Media Monitoring

Op sociale media zijn er allerlei partijen die meelezen. Dat is precies waar het voor bedoeld is. Maar wie er meelezen is vaak niet zichtbaar en dat levert soms onzekerheid en discussie op. Zo volgt de NCTV volgens de NRC verschillende mensen op Twitter. Maar ook overheidsinstellingen die niet direct aan het werk van inlichtingendiensten en Politie raken lezen mee blijkt uit een rapportage van AG Connect en Trouw. Vanuit een AVG-perspectief is de maatschappelijke discussie erg ongemakkelijk....

January 19, 2023 · 15 min · Floor Terra

Coordinated Vulnerability Disclosure at the Dutch DPA

While discussing Coordinated Vulnerability Disclosure I often experience that people strongly focus on coordinating the vulnerability information with organizations, while the disclosure part is often ignored or even actively discouraged. The last blog I wrote here was actually about a company that argued I had agreed to an enforceable non-disclosure agreement just by visiting their website and reporting a breach. Like my other CVD-related posts, this too is mainly focussed on lessons about the disclosure process....

November 21, 2022 · 18 min · Floor Terra

Hack the Hague 2021 Responsible Disclosure

Op 27 september 2021 heeft de gemeente Den Haag samen met Cybersprint het evenement Hack the Hague georganiseerd. Hackers van over de hele wereld konden zich inschrijven en onder gecontroleerde omstandigheden de beveiliging van verschillende systemen testen zodat de gemeente en de leveranciers van de gemeente de beveiliging kunnen verbeteren. Dat zorgt voor goede PR voor de gemeente, lost de (meeste) gemelde beveiligingsproblemen op, laat de gemeente en de leveranciers oefenen met het snel oplossen van problemen en is voor de hackers een leuk evenement met een kans op prijzen....

November 5, 2021 · 10 min · Floor Terra

My Cookie

Recently I have investigated online tracking on the websites of Dutch Political Parties. Read more about that investigation here: Dutch English Included in that investigation is my request to remove the unlawfully collected personal data. Today I received a response stating that the platform is ‘unable to action a request without verifying the identity of the requester’. While that response is more than three months too late and doesn’t request any further identification, I will assist the identification effort through this blogpost....

August 18, 2021 · 1 min · Floor Terra

De Volkskrant: Waarom vragen websites steeds opnieuw welke cookies je toestaat?

Pieter Sabel van de Volkskrant heeft een kort artikel gepubliceert waarin ik uitleg hoe toestemming voor online tracking werkt.

June 21, 2021 · 1 min · Floor Terra

Politico: For Dutch election, Big Tech takes a breather

Vincent Manancourt of Politico has published an article including my research into unlawful online tracking on the websites of Dutch political parties.

March 17, 2021 · 1 min · Floor Terra

Besluit op bezwaar klacht PostNL

Voor de privacyjuristen heb ik een interessant besluit van Autoriteit Persoonsgegevens (Dutch DPA) over o.a. de interpretatie van het begrip persoonsgegeven en de noodzaak van PostNL om handtekeningen te vragen aan ontvangers van brieven en pakketten. Er zijn een hoop interessante standpunten van de AP uit het besluit op te maken, maar ik wil er twee uitlichten. Als een bezorger in het veld “handtekening voor ontvangst” de tekst “F Terra” schrijft is dat volgens de AP niet noodzakelijkerwijs mijn persoonsgegeven....

February 18, 2021 · 1 min · Floor Terra