Het AP houdt zich bezig met technische evaluatie dat voorbehouden is aan het NCSC en doet niets een privacy voor burgers (overdreven gesteld). Trackers op websites door derde partijen bij zorg financials en meer is geen probleem.
Ik mis elke technische onderbouwing waarom het AP het niet voldoende vindt en wat die specifiek maatregel dan zou zijn.
Uit de vorige post over NSIS stelt het AP dat logbestanden en veelvuldig gemaakt en goed gecontroleerd moeten worden. Dat is een pofilering en bij voorbaat verdacht stelling van de politieambtenaar.

Het verhandelen van persoonlijke opnamen bij sportbonden is geen probleem. Politiek partijen met microtargetting is geen probleem. Die zaken zou ik nu wel van het AP verwachten.

Wie zegt dat het geen probleem voor hun is, ik denk dat ze vooral prioritiseren en kijken naar de grootste overtreders en zo hun weg naar beneden werken van de enorme lijst van overtreders.
Het NCSC is er niet om de privacy borging te controleren, de AP wel.

Als het AP zich opstelt om technische invullingen op te leggen omdat ze denken dat ze het beter weten, dan is het niet goed.
Gezien zaken die ze vrijgeven over dat monitoring en logging niet naar hun zin is dan zitten ze op dat pad.
In he kader van NSIS II zit er een vreemde dubbele petten rol bij het AP. De politiek heeft het AP aangewezen om de technische beoordeling te doen voor NSIS. Dat is wat anders dan een privacy GDPR evaluatie. Zoiets is fout in de basis.
20-09-2018, 21:33 door karma4
N SIS II is een eu verordening net zoals de GDPR. Lees even artikel 10 en 16.
https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32006R1987&from=NL
Er staat veel over het inbrengen van de gegevens de controle op correctheid en bewaartermijnen..
Nergens staat dat elke bevraging gelogd moet worden.
Het NCSC zou veel beter zijn om technische invullingen te beoordelen.

Dat heeft niets meer met de GDPR dan wel privacy te maken maar neigt meer naar activisme invloeden bij het AP. Dan komt de priorisering komt niet overeen met doel waarvoor ze ooit ontstaan zijn.

@security.nl
van mijn part een knop om geen enkele reactie te hoeven zien.

Gewoon niet lezen (en niet scrollen) als je er problemen mee hebt. Je hebt jezelf toch wel in de hand wat dat betreft? Het staat iedereen vrij om te reageren en te schrijven wat zij willen. Mits er geen strafbare zaken worden geschreven, maar dat staat in de wet.

Het is geen technische evaluatie maar een juridische. De Wet politiegegevens (waarvoor AP de aangewezen toezichthouder is) schrijft voor dat met technische en organisatorische maatregelen een passend beveiligingsniveau van gegevens moet worden gegarandeerd, waar onder meer ongeoorloofde toegang onder valt. Het systeem waar het over gaat legt dat in logbestanden vast, de politie gebruikt dat alleen niet om de zaak te monitoren maar kijkt er pas naar als op heel andere manieren duidelijk wordt dat er mogelijk iets mis is gegaan. Het gaat niet technisch mis maar organisatorisch.

AP houdt de situatie tegen de eisen die in de Wet politiegegevens en een aantal andere toepasselijke wetten en verordeningen en komt tot de conclusie dat de politie niet aan de eisen voldoet. Dat is een juridisch oordeel, niet een technisch oordeel. Dat bij de evaluatie naar techniek en organisatie gekeken is is onvermijdelijk, de wet schrijft namelijk voor dat het technisch en organisatorisch in orde moet zijn. Je kan dat niet evalueren als je er niet naar mag kijken. AP heeft als taak dat te evalueren en moet er dus wel naar kijken. Als dat voorbehouden was aan het NCSC zou AP zijn werk als toezichthouder niet kunnen uitvoeren.

Dus je vindt dat AP niet technisch mag evalueren maar wel technisch moet onderbouwen? Je stelt onmogelijke eisen, een technische onderbouwing kan helemaal niet zonder technische evaluatie.

Maar er is helemaal geen technische onderbouwing nodig omdat het organisatorisch misgaat: dat systeem plaatst de informatie die je nodig hebt om te zien dat het fout gaat in logbestanden en het probleem is niet dat die er niet zijn maar dat ze niet in de gaten worden gehouden. Het probleem is dat men dingen mis kunnen gaan zonder dat het opgemerkt wordt, niet omdat de gegevens waaraan het te zien zien er niet zijn maar omdat men er niet naar kijkt.

Security.NL Huisregels
Om de kwaliteit te bewaken en de website en het forum voor iedereen een prettige omgeving te maken zijn er huisregels opgesteld waar iedere bezoeker van Security.NL zich aan dient te houden. In het algemeen verwachten wij dat iedere bezoeker zijn of haar gezond verstand gebruikt en respect toont voor anderen. Door het plaatsen van een reactie of forumtopic op Security.NL ga je automatisch akkoord met de huisregels. Hou er rekening mee dat publieke uitingen op de website geheel voor eigen rekening zijn.

Algemeen
Wees respectvol richting andere bezoekers en moderators
Blijf bij het onderwerp, reageer niet off-topic
Reageer alleen inhoudelijk
Reacties en Forum
Kies het forum dat het beste bij je topic past
Formuleer een duidelijke titel bij je topic
Controleer eerst of er over jouw vraag of opmerking al een topic is aangemaakt
Inhoudelijk
Plaats geen persoonlijke informatie, zoals bijvoorbeeld naam, telefoonnummer, e-mailadres of creditcardgegevens
Plaats geen illegale content of links naar deze content
Plaats geen commerciële posts zoals reclame, enquêtes, etc.
De redactie behoudt zich het recht voor een forumtopic te sluiten of reacties te verwijderen indien deze strijdig zijn met de doelstellingen van de website.

Reageren op Security.NL
Door het plaatsen van een reactie op Security.NL:

Ga je akkoord met de huisregels van Security.NL
Verleen je onherroepelijk toestemming aan Security.NL om deze content zonder vergoeding te publiceren en/of aan te passen
Verleen je toestemming aan andere bezoekers van Security.NL om deze content te raadplegen en daarvan kopieën te maken voor eigen gebruik
Doe je, voor zover wettelijk mogelijk, afstand van de op de content rustende persoonlijkheidsrechten
Je garandeert dat je bevoegd bent om voorgaande toestemmingen te verlenen en dat je de eventueel voor publicatie van deze content benodigde toestemmingen van derden hebt verkregen.

Het aanpassen van geplaatste content, bijvoorbeeld om een typefout te verbeteren, kan tot maximaal één uur na plaatsing.

Account verwijderen
Wanneer je jouw Security.NL account permanent wilt verwijderen dan is dat mogelijk. Als je bent ingelogd vind je onder "mijn account" de optie "Account Verwijderen". Reeds geplaatste content wordt bij opheffing van het account niet verwijderd. Indien er content (reacties of forumtopics) aan het account is gekoppeld wordt dit eerst ontkoppeld zodat de content niet langer naar het account herleidbaar is. Vervolgens worden de accountgegevens volledig uit de database verwijderd. Dit betekent dat je e-mailadres en alias weer voor nieuwe registraties beschikbaar zijn.

Anoniem reageren op Security.NL
Security.NL biedt de mogelijkheid om anoniem te reageren. Anoniem reageren betekent dat er in het geheel geen accountgegevens (e-mailadres of alias) worden opgeslagen voor deze reactie.

Overtreding
Indien je in strijd handelt met de huisregels is Security.NL gerechtigd om met onmiddellijke ingang en zonder ingebrekestelling:

De door jou geplaatste content aan te passen of te verwijderen
Je al dan niet tijdelijk de toegang tot Security.NL te ontzeggen
Je account op te heffen
Vragen
Vragen omtrent de huisregels dienen te worden gericht aan klachten@security.nl. Je ontvangt binnen 5 werkdagen een reactie. Over het sluiten van topics en het verwijderen van reacties wordt niet gecorrespondeerd.

Ik blijf het een heel vaag verhaal vinden wat het AP geeft. Alles is eigenlijk opgelost, alleen niet:
Ze schrijven niet dat er teveel gelogd wordt. Is het dat er teveel mensen toegang hebben tot het log en niet alleen de admins?

De stentor gaat iets dieper in op de logbestanden:
Daar zie ik eigenlijk ook niets geks in omdat het over de namen van de medewerkers gaat. Maar dat is toch juist de bedoeling van zo'n log. Wat wil het AP en is dit wel oplosbaar als je niets meer kunt loggen. Want dan heb je weer een ander probleem dat je niet weet wie wat bekijkt.

Want logging & monitoring is niet inets wat in de AVG staat?

ok, dat is terug te vinden onderhttps://autoriteitpersoonsgegevens.nl/nl/nieuws/beveiliging-politieregisters-nsis-onvoldoende-registratiekamer-onderzocht-schengen
Het is dus geen GDPR privacy onderzoek waarmee wel de indruk gewekt wordt via de boete alsof het om de gdpr gaat..
Het is technisch onderzoek nar de inrichting van het NSIS systeem waarvoor de politiek een instantie nodig had.
Dat zijn twee verschillende taken die nu door elkaar gehaald worden. Dat lijkt me gewoon principieel erg fout.

Nu worden logbestanden bijgehouden wat de werknemers doen. Als we dat telemetry noemen dan zijn de privacyvoorvechters in rep en roer dat het verboden is. Het AP geeft aan dat voordat men zoiets doet eerste moet kijken of er geen betere minder ingrijpende opties zijn. https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/werk-uitkering/controle-van-personeel. Ik zie dat het AP met tegenstrijdige eisen werkt en niet consistent is.
Voor het toezicht als NSIS willen ze proactieve volledige monitoring van medewerkers wat volgens het AP ongewenst is.

Het lijkt zelfs in de richting te gaan dat voor elke handeling van een handhaver eerst toestemming en overleg met het AP gevoerd moet gaan worden. Ik stel geen onmogelijke eisen is zie iets wat logisch gewoon niet klopt.

logging en monitoring is iets wat je volgens de GDPR niet zo moeten doen. https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&from=NL Ik zie geen logging en met monitoring..

"Artikel 35 Gegevensbeschermingseffectbeoordeling
1. Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden.
2. Wanneer een functionaris voor gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een gegevensbeschermingseffectbeoordeling diens advies in.
3. Een gegevensbeschermingseffectbeoordeling als bedoeld in lid 1 is met name vereist in de volgende gevallen:
a) een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen; "
Monitoring van de ambtenaren valt daar zeker onder. Er hoort dan dpia gemaakt te zijn en beoordeeld door FG van de politie. Het AP heeft in dit geval noch de rol van toezichtshouder GDPR noch die van de FG politie.

Als je naar de securityframeworks als ISO2700k reeks de birn-tnk (nora open standaarden) dan komt logging monitoring zeker wel voor. Echter het moet proportioneel blijven en geen continue proactieve werknemersmonitoring wegens de GDPR. .

Je verwart jouw interpretatie met de realiteit. Het kan ook jouw interpretatie zijn waar iets aan schort, besef je dat?
Zucht. Dat slaat echt nergens op. De politiek had niet een instantie nodig waar ze technisch onderzoek bij nodig hadden, ze hadden een toezichthouder nodig die het naleven van de wet beoordeelt. Naleven van de wet, dat maakt dat het een juridisch onderzoek is. Dat om een situatie te beoordelen je naar de situatie moet kijken maakt dat ook een juridisch onderzoek technisch, organisatorisch en wat er nog meer bij komt kijken is. Net zo goed als politie en justitie forensische naar feitelijke, technische dingen kijken zie je dat bij andere soorten toezicht ook. Je kan een situatie niet beoordelen door wel naar de wet maar niet naar de situatie te kijken, feiten spelen zich niet in het abstracte af, die zijn echt. Dus wordt er om te beoordelen of wetten worden nageleefd gekeken of logbestanden worden bijgehouden en of men ook naar die logbestanden kijkt.

Ik besef wat er speelt, heb je de links EU NSIS gevolgd? hier de verordening: Let op het gaat NIET om de GDPR.
https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32006R1987&from=NL
Artikel 10
Beveiliging - Lidstaten
1. Elke lidstaat neemt voor zijn N. SIS II passende maatregelen, waaronder de vaststelling van een veiligheidsplan, opdat:
a) gegevens fysiek worden beschermd, onder meer door noodplannen voor de bescherming van kritieke infrastructuur;
Waar is dat sirene bureau ondergebracht? bij de politie. Dan is er ook toezicht op vereist volgens die verordening
https://zoek.officielebekendmakingen.nl/kst-25200-7.html 1997 De rekenkamer
Ik kan geen kamerstuk of wat dan ook vinden, wel: https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/politie-justitie/europese-informatiesystemen
Toezicht
Het is de taak van de Europese privacytoezichthouders om toe te zien op de bescherming van de persoonsgegevens die via de systemen worden uitgewisseld. Voor elk informatiesysteem is er een onafhankelijk toezichthoudend orgaan. De Autoriteit Persoonsgegevens maakt namens Nederland deel uit van deze organen.
Het lijkt er op dat ze het technisch toezicht zichzelf toegeeigend hebben. Dat is niet wettelijk.

Artikel 16 lid i: is helder:
i) naderhand kan worden nagegaan en vastgesteld welke persoonsgegevens wanneer en door wie in een geautomatiseerd gegevensverwerkingssysteem zijn opgenomen (controle op de opneming); lid 2 geeft de terugkoppeling van bevindingen aan. Die is niet openbaar maar naar interne commissies.
Naderhand is zeker niet proactief zoals AP het op eigen houtje uitlegd. /f en

Zucht. Dat slaat echt nergens op. De politiek had niet een instantie nodig waar ze technisch onderzoek bij nodig hadden, ze hadden een toezichthouder nodig die het naleven van de wet beoordeelt.

Je hebt de links naar wetten en kamerstukken. Waar zou dat dan nergens op slaan wat ik er uit afleid. Het is gewoon een aantal openbare brongegevens gebruikt en daar een lijn van wie wat hoe waar wanneer van gemaakt..

Naleven van de wet, dat maakt dat het een juridisch onderzoek is. Dat om een situatie te beoordelen je naar de situatie moet kijken maakt dat ook een juridisch onderzoek technisch, organisatorisch en wat er nog meer bij komt kijken is. Net zo goed als politie en justitie forensische naar feitelijke, technische dingen kijken zie je dat bij andere soorten toezicht ook. Je kan een situatie niet beoordelen door wel naar de wet maar niet naar de situatie te kijken, feiten spelen zich niet in het abstracte af, die zijn echt. Dus wordt er om te beoordelen of wetten worden nageleefd gekeken of logbestanden worden bijgehouden en of men ook naar die logbestanden kijkt.

Hier kom je in de knel.
Het AP lijkt zich als wetgever handhaver en rechter tegelijkertijd te willen opstellen. Dat is vragen om grote problemen.
a/ Ze bepaalt zelf wel waar ze wat over gaat zeggen (wetgevend) en hoe ze dat gaat doen.
b/ Bij de handhaving wordt niet zoals bij de politie met een protocol van waarneming vaststellegging met verwijzing naar regelgeving gewerkt. Er wordt ter een idee opgedrongen uit a/ hoe het zou moeten.
c/ Een rechterlijke beoordeling hoor-wederhoor wordt niet gedaan. De handhaver gooit alles als de veroordeling in de publieke kanalen. Dat zou een politiehandhaver niet eens over denken wegens de GDPR.

Heb je de link in het artikel naar de AP gevolgd en van daaruit naar het rapport? De dwangsom wordt opgelegd voor het niet naleven van de Wet politiegegevens (Wpg). Let op, dat is NIET de EU NSIS of de GDPR, al maken die wel deel uit van het beoordelingskader.
Dat je naar echt bestaande documenten verwijst wil nog niet zeggen dat dat die het juiste of het volledige beoordelingskader vormen en ook niet dat jouw interpretatie ervan klopt. De Wpg wijst het CBP, dat tegenwoordig AP heet, aan als toezichthouder op die wet. Als je dat had meegenomen had je gezien dat AP zich niet iets heeft toegeëigend maar dat ze de officiëel aangewezen toezichthouder zijn.
Nogmaals, je verwart jouw interpretatie met de realiteit. De realiteit is dat toezichthouders toezicht moeten houden. De realiteit is dat toezicht op een wet primair een juridisch onderzoek is, maar dat wel degelijk de feitelijke situatie beoordeeld moet worden om te toetsen of die aan de wet voldoet. Dus worden ook toegepaste technische en organisatorische maatregelen onderzocht. Precies wat ik al stelde. Ik zie mezelf niet in de knel komen.
Lees het AP-rapport, het wettelijk kader wordt genoemd. Die wetten heeft AP niet zelf aangenomen, dat doet het parlement. Je kan nog zo hard roepen dat het AP wetgevend bezig is, maar dat kunnen ze helemaal niet. Ze hebben ook niet volautomatisch gelijk, maar daarom kunnen beslissingen nog altijd bij de rechter worden aangevochten.
Er wordt wel degelijk heel secuur naar toepasselijke wetten verwezen, inclusief die waaraan AP zijn bevoegdheden ontleent. Je bent intellectueel oneerlijk als je dat reduceert tot een idee opdringen en zelf bepalen wat ze waarover zeggen. Je negeert gewoon hoe ze opereren en doet of jij kan bepalen dat er iets anders gebeurt. Je kan nog zo hard naar allerlei andere dingen verwijzen, het feit blijft dat AP wel degelijk aangeeft waar hun oordeel op gebaseerd is.
Dan mis je dat de Nationale Politie maatregelen heeft voorgesteld en dat AP die niet vond dat die de overtreding beëindigen. Het vaststellen door AP dat de overtreding nog gaande is is door NP niet betwist. Die dwangsom is nu dus opgelegd maar dat geeft de NP nog altijd 12 weken de tijd om zijn zaken op orde te krijgen. Ze kunnen in die periode stukken indienen waaruit blijkt dat ze wél voldoen en ze hebben ook 6 weken de tijd om tegen de beslissing bezwaar aan te tekenen. En daar is dus ook al het nodige aan vooraf gegaan. Hoe kom je erbij dat er geen wederhoor plaatsvindt? Je negeert voor het gemak de hele procedure die gaande is, die trouwens mede zoveel tijd vergt omdat de onderzochte partij volop de kans krijgt om te reageren.

Behalve aan de eisen van AP te voldoen kan de NP dus ook bezwaar aantekenen, en als dat bezwaar niet gehonoreerd wordt kunnen ze net als ieder ander vervolgens naar de rechter stappen. Dan pas is er sprake van een rechterlijke beoordeling.
Alleen is de Nationale Politie geen natuurlijke persoon en is de GDPR niet bedoeld om organisaties te beschermen. En als het op veroordelingen aankomt anonimiseert de rechterlijke macht ook niet alles, het primaire criterium voor anonimiseren is daar dat iets natuurlijke personen betreft of tot natuurlijke personen herleidbaar is. Bij belastingrecht en strafrecht worden ook rechtspersonen geanonimiseerd. Ik sla in deze korte samenvatting wat uitzonderingen over die hier wel genoemd worden:
https://www.rechtspraak.nl/Uitspraken-en-nieuws/Uitspraken/Paginas/Anonimiseringsrichtlijnen.aspx

Dat gaat over hoe rechtspraak de uitspraken anonimiseert, prima beleid. Het gaat om de onderbouwing van hoe de wet uitgelegd moet worden via jurisprudentie niet om publieke schandpalen in te richten. Soms is het niet te voorkomen omdat overduidelijk is om wie of welk bedrijf het gaat.
Wat nu naar het publiek gepresenteerd wordt is een AP veroordeling. Daarbij de associatie met de GDPR wat niet kan.

De NSIS verordening welke niet uitgewerkt en niet genoemd is, en nu een andere taak die van het WPG. Intussen een boel commotie door alle onduidelijkheid dat de overheid er een rommeltje van maakt. Dat laatste klopt dan weer wel, een overheidsinstantie AP die een andere overheidsinstantie aan de schandpaal zet. Nu Lubach nog en het is compleet.

Het vermengen van taken blijft gewoon onzuiver en problematisch, dus nu zijn het er drie verschillende?

Je bedoelt: https://wetten.overheid.nl/BWBR0025038/2013-01-01 Regeling periodieke audit politiegegevens
Hier staat inderdaad het CBP genoemd https://wetten.overheid.nl/BWBR0022463/2013-01-01#Paragraaf5_Artikel33 Het CBP is officieel opgeheven per 25 mei 2018 om als AP voor de GDPR verder te gaan.

Je ontwijkt gewoon dat handhaving met een proces verbaal los hoort te staan van de veroordeling als rechtspraak,
Nog kwalijker als de handhaver eigen regels eigen invulllingen gaat verzinnen. Soms verbonden aan omkoping en inkomens vergroting. Dat soort beeldvorming moet je zien te voorkomen.

De wettelijke kaders waarna verwezen wordt.... Dat wordt nog even puzzelen of de discrepedantie over proactieve monitoring zoals AP het zou willen zien en wat de NP te ver vind gaan. momentje...
https://autoriteitpersoonsgegevens.nl/nl/nieuws/nationale-politie-beschermt-politiegegevens-nog-steeds-niet-goed-genoeg
Regelmatig en proactief controleren
De tekortkoming betreft de beveiliging van het systeem waarmee inkomende en uitgaande personen en goederen in het Schengengebied worden gecontroleerd, het N.SIS II-systeem. De Nationale Politie heeft wel enige verbeteringen doorgevoerd, maar de AP vindt dat niet genoeg. Dat is via de link in het redactieartikel naar het AP. Geen onderbouwing welke wet of waarom wel/niet. Ze (het AP) vind het niet voldoende. Zelfs die verwoording is een zelfingenomen standpunt.

Wetten kunnen zonder duidelijk meetbaar gegeven behoorlijk uit de hand lopen. Denk aan de IRT affaire.
Ik heb een ander waargenomen dat bij het AP behoorlijk fout zat en ik zie ze de zelfde soort fouten blijven herhalen.
Vertrouwen gaat ter paard komt te voet. Dus totdat er weer voldoende opgebouwd is blijf ik zeer kritisch richting het AP.
Dat intellectuele eerlijkheid, gangbaar voor wetenschap en meer.

Deze zit nu een tijdje door mijn hoofd te gaan. Vooral die laatste zin.

Verdiep je eens in de taken van het NCSC. Immers is de technische evaluatie waarover jij hebt geen taak van het NCSC. Rest van je reactie sla ik dan ook over, vanwege duidelijk gebrek aan kennis.