Blog

BLOG

AVG & eID

 

Nu de Algemene Verordening Gegevensbescherming (AVG) van kracht is, moet vorm gegeven worden aan de verschillende verplichtingen. Dit artikel richt zich op die verplichtingen met een direct verband met elektronische identiteiten (eID’s). Kortweg: inzage vereist deugdelijke authenticatie en instemming vereist elektronische ondertekening.


Lees verder →

Moet ik nu weer zo'n privacy policy lezen?!

 

Misschien heb je dat de laatste tijd wel eens geroepen als je weer een mailtje kreeg van een bedrijf met een privacy policy. De nieuwe Algemene Verordening Gegevensbescherming (AVG) is sinds 25 mei van kracht, en dit brengt een aantal veranderingen met zich mee. Ook de rol van mensen wiens data wordt verwerkt (jij en ik, zogeheten betrokkenen), is net iets anders. Hoe zit dat precies?


Lees verder →

Gevoelige informatie delen, zonder de voordeur open te zetten

 

Het informatieschandaal bij Facebook, de nieuwe Europese privacywetgeving met effecten voor grote bedrijven én de lokale voetbalclub, wachtwoorden die op straat liggen … Bescherming van data is vaker in het nieuws dan ooit. Wat nu als je als bedrijf tóch informatie wil delen? Met innovatieve en zeer veilige technieken die de basis vormen van secure multi-party computation is al veel meer mogelijk dan je zou denken.


Lees verder →

Self-Sovereign Identities: It Is Going To Happen!

 

The term ‘Self-Sovereign Identity’ (SSId) has been attracting quite some attention in the (relatively small) world of ‘Internet-and-Identity’, with initiatives such as Sovrin and uPort as examples (and, of course, the Self-Sovereign Identity Framework (SSIF) that has been kicked-off in the synonymous project of the Techruption consortium). The basic drivers for these initiatives are privacy (we want to control our own data) and business benefits (just for the Netherlands, cost savings alone are estimated to exceed 1 Billion euro’s). Here is what it is all about.


Lees verder →

Certification and the new General Data Protection Regulation

 

In less than a month, the long-awaited General Data Protection Regulation starts applying to the EU Member States. While the GDPR follows the rationale, principles, and structure of the previous regime, that is the Data Protection Directive, one cannot but highlight several promising novelties: accountability coupled with elements such as data protection impact assessments and data protection officers, a new European Data Protection Board equipped with legal personality and of course high fines. Certification is among the novelties of the new data protection law. The new Regulation introduces certification mechanisms, seals, and marks in art. 42-43.


Lees verder →

Hoe politiek gekleurd is ons medialandschap?



Sinds Eli Parisers presentatie “Beware online filter bubbles” in 2011 weten we dat we online grotendeels in een filterbubbel leven: niet alleen Facebook selecteert automatisch de berichten die je ziet op basis van je klikgedrag, ook bijvoorbeeld de zoekresultaten van Google zijn afhankelijk van je locatie, je zoekgeschiedenis en vele andere factoren. Met als gevolg dat je vooral informatie ziet die past in je eigen gedachtenstraatje en (te) weinig andere meningen.


Lees verder →

Webshopping with privacy



It seems unavoidable to give away a lot of personal information while interacting through the

internet. We are obliged to register and log in to services in order to use them. While it may

seem counterintuitive, communication and transactions can be privacy friendly; the technology

exists to achieve that! In this blogpost, we discuss a recent technical proposal we put forward

for webshopping with a high level of privacy. We emphasize that such an approach has

advantages not only for the buyers but also for other stakeholders, including the webshops, the

banks and the delivery companies.


Lees verder →

Pattern Systems for Data Protection: Informed User Control



Software, programs, applications (or 'apps'), on any device, are information systems. System developers (programmers) use various tools to create these systems [1]. Some of the tools help to form the basis of the system, and some improve it. A non-functional improvement is often called a software quality [2]. Unlike functional requirements, software quality is less 'does it work?', and more 'how well does it work?'.


Lees verder →

Wordt het veiliger door de nieuwe Wet op de Inlichtingen en Veiligheidsdiensten?



Terwijl het politieke debat rond de gemeenteraadsverkiezingen van 21 maart in volle gang is, speelt de discussie rond de nieuwe Wet op de Inlichtingen- en Veiligheidsdiensten zich in de luwte af. Politieke partijen bezigen wat algemeenheden over een balans tussen veiligheid en privacy, mensenrechtenvoorvechters geven toe dat er de nodige waarborgen in de wet zijn getroffen en Rob Bertholee, de Directeur van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD), stelt zich op als streng maar empathisch vaderfiguur dat de natie behoedt voor dreiging van buitenaf.


Lees verder →

Notes on cybersecurity vigilantism and data protection risks



The spread of Mirai, the first large-scale IoT botnet made public, spawned a turmoil in the cybersecurity community in 2016. IoT devices had long been reported as a ticking bomb: the level of security embodied in the technology was questionable. Even then, the repercussion and strength of Mirai was greater than envisioned; in less than a year, Mirai had already compromised a total of 5 million devices (Costello, et al. 2016). Mirai emerged as a powerful, remote network affecting cameras and routers, causing massive disruptions worldwide. The insufficient security mechanisms deployed in mass IoT devices were captured by botherders and used to perpetrate potent DDoS attacks.


Lees verder →

Reason yourself out of blockchains



Elektronisch cryptogeld, zoals bitcoin, heeft de laatste jaren sterk tot de verbeelding gesproken. Aan de basis hiervan staat de blockchaintechnologie. Het heeft geleid tot een waar geloof in het vermeende revolutionaire karakter en de onvermijdelijkheid van deze nieuwe technologie: geen enkele organisatie zou zich kunnen veroorloven die te missen. Tegenover deze bluff your way into blockchains biedt dit artikel enig tegenwicht.


Lees verder →

De toekomst vraagt om eerlijk ontwerpen


Email kennen we allemaal. In het icoontje van elk email programma staat een gesloten envelop. En dat is grove leugen. Want email werkt helemaal niet hetzelfde als een brief versturen in een gesloten envelop!


Het is eerder vergelijkbaar met het sturen van een briefkaart. De postbodes, of in het geval van email alle tussenliggende computers die de email naar de ontvanger doorsturen, kunnen meelezen.


Lees verder →


Denk eens verder vooruit.


Je zou het gezien de naam niet zeggen, maar New College is een van de oudste colleges in Oxford. Het werd opgericht in 1379 en heeft, als zoveel colleges in de Britse universiteitsstad, een grote eetzaal waarvan het dak gedragen wordt door een aantal gigantische eikenhouten balken.


Lees verder →



Klantverraders


In de uitzending van 9 dec. 2015, en ook in de eerdere uitzending van 2 dec, heeft het televieprogramma Zembla uit de doeken gedaan hoe (Amerikaanse) databrokers van miljarden mensen wereldwijd velerlei persoonlijke gegevens verzamelen om daarvan profielen samen te stellen. Zulke profielen kunnen gekocht worden, bijvoorbeeld door een financiële instelling om te gebruiken voor als u een hypotheek aanvraagt, of door een verzekeringsmaatschappij wanneer u zich als nieuwe klant meldt. Zembla toonde aan dat men bij deze databrokers ook lijsten kan kopen met medische gegevens van Nederlanders.


Lees verder →



The data protection impact assessment


Many policymakers and academics see informational privacy and data protection as being about the ability to control your data. Consent plays a central role in data protection law and data subjects are supposedly empowered through a number of rights, including the right to receive information and to access and rectify data about them. We now know that this does not always play out well in practice. Most people mindlessly click on “I Agree”; we can’t all be like privacy activist Max Schrems all the time. The current data protection reform tries to strengthen the control of users in a number of ways. It might help to actually empower individuals to some extent, but at least as important is the responsibility of controllers – those who collect, use and share the data – to respect the rights of individuals when they process personal data. It should not be up to individuals to ensure that their rights are not violated online. Controllers should offer such protection by default.


Lees verder →

An Assessment of a Privacy Impact Assessment: Idensys under review


We krijgen in Nederland een nieuw systeem om online in te loggen, als opvolger en uitbreiding van DigiD. Hiervoor is de oostbloknaam Idensys gekozen. Met Idensys moet je niet alleen bij de overheid, maar ook bij private partijen — zoals webwinkels, banken, sociale media, zorgverleners etc. — kunnen inloggen. De juiste term voor dit inloggen is overigens authenticeren: bewijzen wie je bent.


Lees verder →



Het internet der ondingen


Moderne informatie en communicatie-technologie (ICT) is een onlosmakelijk deel geworden van ons sociale en maatschappelijke leven. Door de vele fouten en zwakheden in deze technologie zijn we ons ook pijnlijk bewust geworden van nieuwe kwetsbaarheden. De geringe mate waarin de ICT-sector verantwoordelijkheid neemt wordt een acuut probleem in het internet der dingen, en vraagt om actie.


Lees verder →



Preface from: Marcel Becker, Ethiek van de digitale media, 2015


Follow the money! Deze aansporing is bekend uit films en wordt traditioneel gebruikt om zicht te krijgen op verborgen machten. Maar om de machtsverhoudingen in de hedendaagse informatiemaatschappij te begrijpen zou je moeten zeggen: Follow the information! Kamerleden vragen regelmatig, en terecht: beste minister, waar gaat het geld naartoe? De vraag die ze echter vaker moeten stellen is: minister, waar gaan de gegevens naartoe?


Lees verder →



(Nederlands) Fittie met BuZa


Hoe ik door gesteggel met Buitenlandse Zaken niet heb deelgenomen

aan de Global CyberSafety conferentie. Op 16 en 17 april 2015 vond in Den Haag de Global Conference on CyberSpace 2015 (GCCS) plaats. Bij het onderwerp van de conferentie ben ik nauw betrokken, als hoogleraar computerbeveiliging in Nijmegen, maar ook als lid van de Cyber Security Raad. Ik ben bij de voorbereiding betrokken geweest, ihb. via bijdragen aan het magazine van Cyber Security Raad dat aan alle deelnemers van de conferentie uitgedeeld is.


Lees verder →



(Nederlands) Op weg naar een Datawet?


Maandag 30 maart organiseerde ECP.nl een bijeenkomst die gewijd was aan de Datawet. De Datawet? Nou ja, het pad in de richting van een Datawet. Dat pad is voorbereid door een initiatiefnota van twee Kamerleden, Jeroen Recourt en Astrid Oosenbrug, beiden van de Partij van de Arbeid. De initiatiefnota pleit voor het opstellen van een Datawet. Zo’n Datawet verenigt een groot aantal losse wetten die op dit moment het economische en maatschappelijke verkeer van gegevens regelen in Nederland. Dat zijn nogal wat wetten. En daarmee is ook sprake van een ambitieus project.


Lees verder →