Posts

While discussing Coordinated Vulnerability Disclosure I often experience that people strongly focus on coordinating the vulnerability information with organizations, while the disclosure part is often ignored or even actively discouraged. The last blog I wrote here was actually about a company that argued I had agreed to an enforceable non-disclosure agreement just by visiting their website and reporting a breach. Like my other CVD-related posts, this too is mainly focussed on lessons about the disclosure process. To better understand the decisions I made I feel like it will help if I discuss multiple issues I have reported to the Dutch DPA in the past. While this post lacks an explicit central message, it serves mainly as a brain-dump so people can pick and choose specific points to learn from. ...

Op 27 september 2021 heeft de gemeente Den Haag samen met Cybersprint het evenement Hack the Hague georganiseerd. Hackers van over de hele wereld konden zich inschrijven en onder gecontroleerde omstandigheden de beveiliging van verschillende systemen testen zodat de gemeente en de leveranciers van de gemeente de beveiliging kunnen verbeteren. Dat zorgt voor goede PR voor de gemeente, lost de (meeste) gemelde beveiligingsproblemen op, laat de gemeente en de leveranciers oefenen met het snel oplossen van problemen en is voor de hackers een leuk evenement met een kans op prijzen. ...

Recently I have investigated online tracking on the websites of Dutch Political Parties. Read more about that investigation here: Dutch English Included in that investigation is my request to remove the unlawfully collected personal data. Today I received a response stating that the platform is ‘unable to action a request without verifying the identity of the requester’. While that response is more than three months too late and doesn’t request any further identification, I will assist the identification effort through this blogpost. ...

Pieter Sabel van de Volkskrant heeft een kort artikel gepubliceert waarin ik uitleg hoe toestemming voor online tracking werkt.

Vincent Manancourt of Politico has published an article including my research into unlawful online tracking on the websites of Dutch political parties.

Voor de privacyjuristen heb ik een interessant besluit van Autoriteit Persoonsgegevens (Dutch DPA) over o.a. de interpretatie van het begrip persoonsgegeven en de noodzaak van PostNL om handtekeningen te vragen aan ontvangers van brieven en pakketten. Er zijn een hoop interessante standpunten van de AP uit het besluit op te maken, maar ik wil er twee uitlichten. Als een bezorger in het veld “handtekening voor ontvangst” de tekst “F Terra” schrijft is dat volgens de AP niet noodzakelijkerwijs mijn persoonsgegeven. Ook al schrijft PostNL op haar eigen website over de dienstverlening “Je weet precies wie je pakket in ontvangst neemt”, en zegt het interne beleid ook dat de identiteit van de ontvanger geverifieerd moet worden; als ontvanger is het niet noodzakelijk dat ik een handtekening zet. De AP ondergraaft daarmee ook de noodzaak en daarmee de rechtmatigheid van het vragen om een handtekening bij het ontvangen van aangetekende post of post met “handtekening voor ontvangst”. De AP publiceert zelf het besluit niet. PostNL heeft aangegeven geen bezwaar te maken tegen mijn publicatie. De AP heeft niet gereageerd op mijn verzoek.

Op de site van de Autoriteit persoonsgegevens is een techblog van mij gepubliceert. De blog is hier te lezen.

Vandaag heeft het Minister Opstelten (Veiligheid en Justitie) een leidraad gepubliceert over het verantwoord melden van beveiligingslekken. Na een periode van veel media-aandacht voor beveiligingslekken en arrestaties van hackers heerst er veel onzekerheid. Hackers durven niet meer bedrijven te helpen en bedrijven reageren vaak in paniek. Ik zou graag zien dat het onderlinge vertrouwen weer hersteld wordt. Het initiatief van Opstelten is een goede stap vooruit. Door als overheid aan te geven dat je de hulp van hackers goed kan gebruiken en duidelijke richtlijnen te geven voor wat acceptabel is en wat niet verwacht ik dat het vertrouwen tussen overheid en hackers versterkt kan worden. Ik hoop ook dat het bedrijfsleven dit voorbeeld volgt. ...

Zoals verschenen op Alert Online. Het is 4 uur en het rapport waar je zo lang aan hebt zitten werken is bijna af. Je moet het alleen nog even langs je collega sturen zodat hij nog een laatste keer alles kan doorlezen om de laatste foutjes er uit te halen. Je maakt een nieuw mailtje aan, voegt het rapport als bijlage toe en klikt op verzenden. Tijd voor een kopje koffie. ...