Dutch

Op sociale media zijn er allerlei partijen die meelezen. Dat is precies waar het voor bedoeld is. Maar wie er meelezen is vaak niet zichtbaar en dat levert soms onzekerheid en discussie op. Zo volgt de NCTV volgens de NRC verschillende mensen op Twitter. Maar ook overheidsinstellingen die niet direct aan het werk van inlichtingendiensten en Politie raken lezen mee blijkt uit een rapportage van AG Connect en Trouw. Vanuit een AVG-perspectief is de maatschappelijke discussie erg ongemakkelijk. Een belangrijk uitgangspunt van de AVG is dat iedereen in principe kan weten wie hun persoonsgegevens verwerken en waarom. Bijvoorbeeld omdat het in de wet staat dat het gebeurt of omdat je zelfs de persoonsgegevens hebt afgegeven of omdat organisaties actief informeren over de persoonsgegevens die verzameld worden. Toch zou ik niet zo makkelijk kunnen vertellen welke organisaties bijvoorbeeld mijn Twitter-berichten verwerken. Ik grap wel eens dat de Politie mij stelselmatig volgt op Twitter. ...

Op 27 september 2021 heeft de gemeente Den Haag samen met Cybersprint het evenement Hack the Hague georganiseerd. Hackers van over de hele wereld konden zich inschrijven en onder gecontroleerde omstandigheden de beveiliging van verschillende systemen testen zodat de gemeente en de leveranciers van de gemeente de beveiliging kunnen verbeteren. Dat zorgt voor goede PR voor de gemeente, lost de (meeste) gemelde beveiligingsproblemen op, laat de gemeente en de leveranciers oefenen met het snel oplossen van problemen en is voor de hackers een leuk evenement met een kans op prijzen. ...

Pieter Sabel van de Volkskrant heeft een kort artikel gepubliceert waarin ik uitleg hoe toestemming voor online tracking werkt.

Voor de privacyjuristen heb ik een interessant besluit van Autoriteit Persoonsgegevens (Dutch DPA) over o.a. de interpretatie van het begrip persoonsgegeven en de noodzaak van PostNL om handtekeningen te vragen aan ontvangers van brieven en pakketten. Er zijn een hoop interessante standpunten van de AP uit het besluit op te maken, maar ik wil er twee uitlichten. Als een bezorger in het veld “handtekening voor ontvangst” de tekst “F Terra” schrijft is dat volgens de AP niet noodzakelijkerwijs mijn persoonsgegeven. Ook al schrijft PostNL op haar eigen website over de dienstverlening “Je weet precies wie je pakket in ontvangst neemt”, en zegt het interne beleid ook dat de identiteit van de ontvanger geverifieerd moet worden; als ontvanger is het niet noodzakelijk dat ik een handtekening zet. De AP ondergraaft daarmee ook de noodzaak en daarmee de rechtmatigheid van het vragen om een handtekening bij het ontvangen van aangetekende post of post met “handtekening voor ontvangst”. De AP publiceert zelf het besluit niet. PostNL heeft aangegeven geen bezwaar te maken tegen mijn publicatie. De AP heeft niet gereageerd op mijn verzoek. ...

Op de site van de Autoriteit persoonsgegevens is een techblog van mij gepubliceert. De blog is hier te lezen.

Vandaag heeft het Minister Opstelten (Veiligheid en Justitie) een leidraad gepubliceert over het verantwoord melden van beveiligingslekken. Na een periode van veel media-aandacht voor beveiligingslekken en arrestaties van hackers heerst er veel onzekerheid. Hackers durven niet meer bedrijven te helpen en bedrijven reageren vaak in paniek. Ik zou graag zien dat het onderlinge vertrouwen weer hersteld wordt. Het initiatief van Opstelten is een goede stap vooruit. Door als overheid aan te geven dat je de hulp van hackers goed kan gebruiken en duidelijke richtlijnen te geven voor wat acceptabel is en wat niet verwacht ik dat het vertrouwen tussen overheid en hackers versterkt kan worden. Ik hoop ook dat het bedrijfsleven dit voorbeeld volgt. ...

Zoals verschenen op Alert Online. Het is 4 uur en het rapport waar je zo lang aan hebt zitten werken is bijna af. Je moet het alleen nog even langs je collega sturen zodat hij nog een laatste keer alles kan doorlezen om de laatste foutjes er uit te halen. Je maakt een nieuw mailtje aan, voegt het rapport als bijlage toe en klikt op verzenden. Tijd voor een kopje koffie. ...

Op maandag 29 oktober komt ICT~Office met het bericht dat telecomproviders in Nederland met een responsible disclosure beleid komen. Dat vind ik een erg goede ontwikkeling, maar dat is geen reden om niet kritisch te zijn. In deze blogpost vergelijk ik het responsible disclosure beleid van deze telecombedrijven en leg ik voor elk punt uit waarom dat belangrijk is. Deze pagina zal voorlopig regelmatig updates krijgen. Zowel inhoudelijk als voor het aanvullen van ontbrekende bedrijven. (Update: er komen geen updates meer) ...

Met enige regelmaat beland ik in een discussie waarin ik probeer uit te leggen dat er gevallen zijn waarin hacken wel illegaal is, maar niet meteen onethisch. Dat kunnen hele leuke filosofische discussies zijn, maar het kan heel verhelderend zijn om jezelf daadwerkelijk in zo’n dilemma te plaatsen. Dat is dus precies wat ik gedaan heb. Ik heb bewust de naam van de leverancier weggelaten. Op Twitter lees ik de tweets van @ntisec met veel plezier. Een van de zaken die af en toe langskomen zijn slecht beveiligde SCADA-systemen. Wat mij opviel is dat 1 bepaald merk wel heel vaak langskomt. Ik heb voor veel van deze systemen nu al best vaak contact proberen op te nemen met het bedrijf dat de eigenaar is of het bedrijf dat ze geïnstalleerd heeft. Opvallend vaak hebben deze machines nog het wachtwoord staan op de fabrieksinstelling. Dit wachtwoord is voor alle apparaten van deze fabrikant hetzelfde en is te vinden in de handleidingen die online te vinden zijn. ...