Door Anoniem:
Proest! Je loopt de autiteit uit te hangen op kennisgebieden waar je helemaal niet voor door hebt geleerd en je zet iemand die dat wel heeft gedaan even aan de kant met de mededeling dat dat maar een mening is? Op basis waarvan zou ik moeten accepteren dat jij meer dan jouw meningen loopt te verkondigen? Hoe arrogant kan je wezen, karma4!
Het is mijn werkveld waar ik voor geleerd heb en met veel ervaring heel goed weet wat er speelt en gebeurt.
Het is een toonbeeld van arrogantie als een advocaat, de koning van Siam dan wel een thuishobbyist dat probeert aan te vechten en denkt het zelf te beter te weten. Gezien je reactie geloof ik niet dat je enige notie hebt.
Terug naar het AP Zie mijn post 12 oktober (Gisteren) , 12:33 door karma4.
Dat zijn wetten waarbij het AP die overtreedt, heb je daar een weerlegging van dan zie ik daar graag een onderbouwing van.
Onderbouw zelf eerst eens waarom de AP wél die wetten overtreedt.
De hele onderbouwing met de verwijzing naar de WABB artikel 12 (lees ook artikel 18) staat hierboven.
Je weigering om daarop in te gaan dan wel te ontkennen
Bij je
mening dat het BSN in het BTW-nummer van ZZP'ers niet strookt met artikel 12 WABP negeer je dat opnieuw. Dat de wetgever restricties stelt aan het verwerken van het BSN wil niet zeggen dat de wetgever daarmee aanneemt dat het altijd goed gaat. Het is een gegeven dat in de imperfecte werkelijkheid het BSN voor identiteitsfraude wordt misbruikt. Maatregelen om de schade te beperken zijn legitiem en zinvol, zelfs als je op basis van bepaalde wetten terecht kan stellen dat het eigenlijk niet mis zou moeten gaan. … [/quote]Je ontken weer de inhoud van dat artikel 12 wabb. En geeft zelf aan dat de foute praktijk dat het niet houden aan de wet goed is. Hoe tegenstrijdig kan je zelf nog zijn. …
Dat gedrag van de nederlandse overheid is via de EHRM zaak bromet 7094/06 de Nederlandse overheid fout verklaard maar er is door NL overheid geen verandering aangebracht. Ken je die zaak niet … op zijn minst schandelijk.
Zal ik die zin even afmaken? Een in dit kader totaal irrelevant schijnargument dat niets met het onderwerp te maken heeft.
Het zich niet aan de wet door bijvoorbeeld het AP wil je niet als probleem maar hoort wel degelijk bij het onderwerp.
De GDPR stelt de verwerkingsverantwoordelijke verplicht om passende en effectieve maatregelen te nemen en te kunnen aantonen dat die goed zijn toegepast. De AP doet niets meer of minder dan eisen dat de Belastingdienst zich daaraan houdt.
Dan zouden ze zich moeten melden bij degeen die de CSO rol heeft dan wel CSO functie heeft. Dan vandaar verder.
Ik heb nog geen antwoord daarop gezien. Het AP heeft dat gemist. In het ADR rapport staan fraaie aanwijzingen.
Daarmee gaan ze niet op de stoel van de verwerkingsverantwoordelijke zitten maar op de stoel van de toezichthouder die een verwerkingsverantwoordelijke op zijn plichten wijst. AP doet precies wat AP moet doen.
...
Het valt binnen de bevoegdheden van om de Belastingdienst daarop aan te spreken. Daarmee gaan ze niet op de stoel van een rechter zitten, daarmee voeren ze hun taak als toezichthouder uit. De rechter komt eraan te pas als een van de betrokken partijen naar de rechter stapt hierover.
Ze gaan wel degelijk op de stoel van de verwerkingsverantwoordelijke zitten ze doen uitspraken over deelprocessen terwijl ze context nog samenhang overzien. Ik heb vaak genoeg de ISO27001 (hbb A) en ISO27002 (hbb b) en bir tnk aangehaald. De inhoud ken ik door en door en ik weet waar de problemen in het veld gewoonlijk optreden.
https://www.earonline.nl/index.php/BIR-Baseline_Informatiebeveiliging_Rijksdienst is een open ingang
https://www.nationaleombudsman.nl/system/files/bijlage/BIR_TNK_1_0_definitief.pdf Geeft je wel wat houvast. Het volgt de iso27002 maar heeft specifieke zaken voor operationele invulling.
Kijk even naar 7.2, dat is de basis en daarmee ga je verder. Met 10.2 en 10.3 wordt het interessanter daar staat welke afspraken en met welke details er gewerkt moet worden.
De details met auditing, 10.10 beschrijft dat die aangemaakt horen te worden etc . etc . Er staat overal dat het gedocumenteerd hoort te worden. 11.2 betreft de toegangsrechten 11.2.2 is een specifiek deel let even goed op 1,2,3.
Dat is het stuk waar ik de OS nerds gewoonlijk gebrek aan besef van de beveiligingsvraag verwijt.
12.5.3 is een problematische als die gebruikt wordt om alle andere richtlijnen als niet relevant te beschouwen. De externe leverancier geeft aan dat we niet aan de beveiligingsnorm hoeven te voldoen.
Met als deze achtergronden ervaring en kennis en dan het weinige wat het AP loslaat kan ik er niets anders van maken dat het AP gewoon fout zit. Ergens een detail er uit gehaald en dat als het enige kunnen bevatten en het geheel missen.
Je hebt echt persoonlijke accounts nodig in de hele keten van de verwerkingen om behoorlijk logs te kunnen krijgen.
Daarbij is het password/toegangs beheer voor die systemen op een achterliggend iets wel van belang bij het uitgeven maar niet als opschoning als gebruikers weg gaan.
Het is een voorbeeld waar het AP het foute gedrag toont om als verwerkersverantwoordelijke op te willen treden en als handhaver en als rechter. Vermoedelijk zijn er nog wel meer.