BLOG
Nu de Algemene Verordening Gegevensbescherming (AVG) van kracht is, moet vorm gegeven worden aan de verschillende verplichtingen. Dit artikel richt zich op die verplichtingen met een direct verband met elektronische identiteiten (eID’s). Kortweg: inzage vereist deugdelijke authenticatie en instemming vereist elektronische ondertekening.
Moet ik nu weer zo'n privacy policy lezen?!
Misschien heb je dat de laatste tijd wel eens geroepen als je weer een mailtje kreeg van een bedrijf met een privacy policy. De nieuwe Algemene Verordening Gegevensbescherming (AVG) is sinds 25 mei van kracht, en dit brengt een aantal veranderingen met zich mee. Ook de rol van mensen wiens data wordt verwerkt (jij en ik, zogeheten betrokkenen), is net iets anders. Hoe zit dat precies?
Gevoelige informatie delen, zonder de voordeur open te zetten
Het informatieschandaal bij Facebook, de nieuwe Europese privacywetgeving met effecten voor grote bedrijven én de lokale voetbalclub, wachtwoorden die op straat liggen … Bescherming van data is vaker in het nieuws dan ooit. Wat nu als je als bedrijf tóch informatie wil delen? Met innovatieve en zeer veilige technieken die de basis vormen van secure multi-party computation is al veel meer mogelijk dan je zou denken.
Self-Sovereign Identities: It Is Going To Happen!
The term ‘Self-Sovereign Identity’ (SSId) has been attracting quite some attention in the (relatively small) world of ‘Internet-and-Identity’, with initiatives such as Sovrin and uPort as examples (and, of course, the Self-Sovereign Identity Framework (SSIF) that has been kicked-off in the synonymous project of the Techruption consortium). The basic drivers for these initiatives are privacy (we want to control our own data) and business benefits (just for the Netherlands, cost savings alone are estimated to exceed 1 Billion euro’s). Here is what it is all about.
Certification and the new General Data Protection Regulation
In less than a month, the long-awaited General Data Protection Regulation starts applying to the EU Member States. While the GDPR follows the rationale, principles, and structure of the previous regime, that is the Data Protection Directive, one cannot but highlight several promising novelties: accountability coupled with elements such as data protection impact assessments and data protection officers, a new European Data Protection Board equipped with legal personality and of course high fines. Certification is among the novelties of the new data protection law. The new Regulation introduces certification mechanisms, seals, and marks in art. 42-43.
Hoe politiek gekleurd is ons medialandschap?
Sinds Eli Parisers presentatie “Beware online filter bubbles” in 2011 weten we dat we online grotendeels in een filterbubbel leven: niet alleen Facebook selecteert automatisch de berichten die je ziet op basis van je klikgedrag, ook bijvoorbeeld de zoekresultaten van Google zijn afhankelijk van je locatie, je zoekgeschiedenis en vele andere factoren. Met als gevolg dat je vooral informatie ziet die past in je eigen gedachtenstraatje en (te) weinig andere meningen.
It seems unavoidable to give away a lot of personal information while interacting through the
internet. We are obliged to register and log in to services in order to use them. While it may
seem counterintuitive, communication and transactions can be privacy friendly; the technology
exists to achieve that! In this blogpost, we discuss a recent technical proposal we put forward
for webshopping with a high level of privacy. We emphasize that such an approach has
advantages not only for the buyers but also for other stakeholders, including the webshops, the
banks and the delivery companies.
Pattern Systems for Data Protection: Informed User Control
Software, programs, applications (or 'apps'), on any device, are information systems. System developers (programmers) use various tools to create these systems [1]. Some of the tools help to form the basis of the system, and some improve it. A non-functional improvement is often called a software quality [2]. Unlike functional requirements, software quality is less 'does it work?', and more 'how well does it work?'.
Wordt het veiliger door de nieuwe Wet op de Inlichtingen en Veiligheidsdiensten?
Terwijl het politieke debat rond de gemeenteraadsverkiezingen van 21 maart in volle gang is, speelt de discussie rond de nieuwe Wet op de Inlichtingen- en Veiligheidsdiensten zich in de luwte af. Politieke partijen bezigen wat algemeenheden over een balans tussen veiligheid en privacy, mensenrechtenvoorvechters geven toe dat er de nodige waarborgen in de wet zijn getroffen en Rob Bertholee, de Directeur van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD), stelt zich op als streng maar empathisch vaderfiguur dat de natie behoedt voor dreiging van buitenaf.
Notes on cybersecurity vigilantism and data protection risks
The spread of Mirai, the first large-scale IoT botnet made public, spawned a turmoil in the cybersecurity community in 2016. IoT devices had long been reported as a ticking bomb: the level of security embodied in the technology was questionable. Even then, the repercussion and strength of Mirai was greater than envisioned; in less than a year, Mirai had already compromised a total of 5 million devices (Costello, et al. 2016). Mirai emerged as a powerful, remote network affecting cameras and routers, causing massive disruptions worldwide. The insufficient security mechanisms deployed in mass IoT devices were captured by botherders and used to perpetrate potent DDoS attacks.
Reason yourself out of blockchains
Elektronisch cryptogeld, zoals bitcoin, heeft de laatste jaren sterk tot de verbeelding gesproken. Aan de basis hiervan staat de blockchaintechnologie. Het heeft geleid tot een waar geloof in het vermeende revolutionaire karakter en de onvermijdelijkheid van deze nieuwe technologie: geen enkele organisatie zou zich kunnen veroorloven die te missen. Tegenover deze bluff your way into blockchains biedt dit artikel enig tegenwicht.
De toekomst vraagt om eerlijk ontwerpen
Email kennen we allemaal. In het icoontje van elk email programma staat een gesloten envelop. En dat is grove leugen. Want email werkt helemaal niet hetzelfde als een brief versturen in een gesloten envelop!
Het is eerder vergelijkbaar met het sturen van een briefkaart. De postbodes, of in het geval van email alle tussenliggende computers die de email naar de ontvanger doorsturen, kunnen meelezen.
Je zou het gezien de naam niet zeggen, maar New College is een van de oudste colleges in Oxford. Het werd opgericht in 1379 en heeft, als zoveel colleges in de Britse universiteitsstad, een grote eetzaal waarvan het dak gedragen wordt door een aantal gigantische eikenhouten balken.
In de uitzending van 9 dec. 2015, en ook in de eerdere uitzending van 2 dec, heeft het televieprogramma Zembla uit de doeken gedaan hoe (Amerikaanse) databrokers van miljarden mensen wereldwijd velerlei persoonlijke gegevens verzamelen om daarvan profielen samen te stellen. Zulke profielen kunnen gekocht worden, bijvoorbeeld door een financiële instelling om te gebruiken voor als u een hypotheek aanvraagt, of door een verzekeringsmaatschappij wanneer u zich als nieuwe klant meldt. Zembla toonde aan dat men bij deze databrokers ook lijsten kan kopen met medische gegevens van Nederlanders.
The data protection impact assessment
Many policymakers and academics see informational privacy and data protection as being about the ability to control your data. Consent plays a central role in data protection law and data subjects are supposedly empowered through a number of rights, including the right to receive information and to access and rectify data about them. We now know that this does not always play out well in practice. Most people mindlessly click on “I Agree”; we can’t all be like privacy activist Max Schrems all the time. The current data protection reform tries to strengthen the control of users in a number of ways. It might help to actually empower individuals to some extent, but at least as important is the responsibility of controllers – those who collect, use and share the data – to respect the rights of individuals when they process personal data. It should not be up to individuals to ensure that their rights are not violated online. Controllers should offer such protection by default.
An Assessment of a Privacy Impact Assessment: Idensys under review
We krijgen in Nederland een nieuw systeem om online in te loggen, als opvolger en uitbreiding van DigiD. Hiervoor is de oostbloknaam Idensys gekozen. Met Idensys moet je niet alleen bij de overheid, maar ook bij private partijen — zoals webwinkels, banken, sociale media, zorgverleners etc. — kunnen inloggen. De juiste term voor dit inloggen is overigens authenticeren: bewijzen wie je bent.
Moderne informatie en communicatie-technologie (ICT) is een onlosmakelijk deel geworden van ons sociale en maatschappelijke leven. Door de vele fouten en zwakheden in deze technologie zijn we ons ook pijnlijk bewust geworden van nieuwe kwetsbaarheden. De geringe mate waarin de ICT-sector verantwoordelijkheid neemt wordt een acuut probleem in het internet der dingen, en vraagt om actie.
Preface from: Marcel Becker, Ethiek van de digitale media, 2015
Follow the money! Deze aansporing is bekend uit films en wordt traditioneel gebruikt om zicht te krijgen op verborgen machten. Maar om de machtsverhoudingen in de hedendaagse informatiemaatschappij te begrijpen zou je moeten zeggen: Follow the information! Kamerleden vragen regelmatig, en terecht: beste minister, waar gaat het geld naartoe? De vraag die ze echter vaker moeten stellen is: minister, waar gaan de gegevens naartoe?
Hoe ik door gesteggel met Buitenlandse Zaken niet heb deelgenomen
aan de Global CyberSafety conferentie. Op 16 en 17 april 2015 vond in Den Haag de Global Conference on CyberSpace 2015 (GCCS) plaats. Bij het onderwerp van de conferentie ben ik nauw betrokken, als hoogleraar computerbeveiliging in Nijmegen, maar ook als lid van de Cyber Security Raad. Ik ben bij de voorbereiding betrokken geweest, ihb. via bijdragen aan het magazine van Cyber Security Raad dat aan alle deelnemers van de conferentie uitgedeeld is.
(Nederlands) Op weg naar een Datawet?
Maandag 30 maart organiseerde ECP.nl een bijeenkomst die gewijd was aan de Datawet. De Datawet? Nou ja, het pad in de richting van een Datawet. Dat pad is voorbereid door een initiatiefnota van twee Kamerleden, Jeroen Recourt en Astrid Oosenbrug, beiden van de Partij van de Arbeid. De initiatiefnota pleit voor het opstellen van een Datawet. Zo’n Datawet verenigt een groot aantal losse wetten die op dit moment het economische en maatschappelijke verkeer van gegevens regelen in Nederland. Dat zijn nogal wat wetten. En daarmee is ook sprake van een ambitieus project.