Dekker: voldoende wetgeving om privacy techgebruikers te beschermen
Bestaande wet- en regelgeving is voldoende om de privacy van gebruikers van techproducten en -diensten te beschermen, zo heeft minister Dekker voor Rechtsbescherming op Kamervragen over Apple Siri laten weten. Wel start de overheid volgend jaar een campagne om burgers bewust te maken van de privacyrisico's bij het gebruik van digitale applicaties.
CDA-Kamerleden Van den Berg en Van Dam hadden de minister vragen gesteld naar aanleiding van berichtgeving dat Apple data van Siri-gebruikers met een extern bedrijf deelt. Net als andere techbedrijven laat Apple opnames die via de eigen spraakassistent Siri zijn opgenomen door mensen beluisteren. Vanwege de ontstane ophef is Apple hier tijdelijk mee gestopt en heeft het beluisteren van opgenomen Siri-audio door mensen opt-in gemaakt.
Van den Berg en Van Dam wilden van Dekker weten of de Autoriteit Persoonsgegevens al eerder bekend was met de vermeende privacyschending door Apple. "Het fenomeen van afluisteren via smart speakers was bij de Autoriteit Persoonsgegevens bekend", antwoordt de minister. Die stelt dat indien het verwerken van opgenomen audio zonder juiste rechtsgrondslag plaatsvindt zoals de berichtgeving suggereert, dat niet alleen kwalijk is, maar ook onrechtmatig.
Dekker voegt toe dat het delen van persoonsgegevens met derden niet per definitie een kwalijke zaak is. "Het is van belang dat bedrijven binnen de geldende wet- en regelgeving persoonsgegevens kunnen delen met derde partijen, zodat zij deze gegevens kunnen analyseren om bepaalde producten of bedrijfsprocessen te optimaliseren."
"Privacyprobleem"
De CDA-Kamerleden vroegen de minister ook of de verschillende incidenten met smart speakers op een "privacyprobleem" in de techsector duiden. Daar is de minister het niet mee eens: "Het feit dat zich een aantal incidenten bij verschillende bedrijven heeft voorgedaan, wijst niet direct op een 'privacyprobleem' in de gehele sector." Wel stelt Dekker dat het erop lijkt dat meerdere bedrijven bij het analyseren van spraakgegevens voor productverbetering niet binnen de wettelijke kaders zijn gebleven.
Afsluitend wilden Van den Berg en Van Dam weten of de huidige wet- en regelgeving op dit moment voldoende is om de privacy van gebruikers van techproducten en -diensten te beschermen. "De wet- en regelgeving acht ik op dit moment in het algemeen inderdaad toereikend om de privacy van consumenten van techproducten en -diensten te beschermen", antwoordt de minister.
Wel ziet het kabinet in dit verband twee onderwerpen waar het juridisch kader mogelijk nog tekortschiet. Het gaat om de grote hoeveelheid data die techbedrijven verzamelen en gebruiken. Het kabinet wil dan ook gaan kijken of dit kan worden ingeperkt. Ten tweede wil het kabinet uitzoeken of de normen uit de AVG wel voldoen om de risico's van profilering tegen te gaan.
Om het privacybewustzijn van burgers te vergroten komt er in het voorjaar van 2020 een publiekscampagne over de privacyrisico’s bij het gebruik van digitale applicaties. De campagne zal aandacht besteden aan de risico’s die burgers lopen als ze persoonlijke data via allerlei apps delen.
maar in het algemeen zitten er ook behoorlijk wat gaten in de hard- en software en (in)direct afgenomen diensten die de privacy toch echt doorbreken.
En de wetgeving is toch toereikend stelt de minister.
Dus minister Dekker gaat die met z'n huidige privacy wetgeving vanuit het maatschappelijke belang vast ook vooooor de publiekscampagne uit even fijn finaal en blijvend verhelpen met Apple, Google, Cisco, Sun, Adobe, Amazon (netflix en icloud hosters) & consorte?
Als dat geregeld is dan volgt een zinnige campagne.
Een overheid die zelf zijn eigen wetten niet opvolgt zoals bij het gebruik bsn dat de verwerker een gedegen controle op de juiste persoon moet doen is daarbij een slecht voorbeeld voor v het opvolgen van wetgeving.
Handhaving loopt helaas 20 jaar achter.
Ja, de wetgeving is er. Maar net als jij, vraag ik me wel eens in alle gemoede af,
of in de bestaande chaos nog wel handhaving mogelijk is?
Of is het wachten op de onontkoombare grote cyber-FAIL?
Daar helpt dan op dat moment vandaag of morgen in elk geval geen lieve moederen meer aan.
Geen back-end en front-end specialist en consultant a 100 euro per uur.
Voorbeeldje uit het zorgdomein. Wachten op inlog code via 'n SMS-je.
Dan zou je ze wel willen toeschreeuwen:
"The default SMS protocol (SMPP) is inherently insecure (by design)!".
Hallo, hoort u mij? Onveilig wegens S777 protocol.
Hackers en trackers kunnen dus txt berichtjes meelezen.
Fijn? Neen, zeker niet fijn.
En sommige banken kiezen ook voor SMS-2F authorisatie, overigens wel niet in ons land der Onwetenden,
maar toch. Je ontvangt een speciaal opgesteld SMS-je van een of andere dienst en je bent al gezien.
Dat weten we overigens al vanaf 2014:
https://www.theguardian.com/world/2014/jan/16/nsa-collects-millions-text-messages-daily-untargeted-global-sweep en nog is deze rommel niet afgeserveerd van de infrastructuur. Want de NSA frustreren, dat kan toch niet. "Doggy sit!".
Waar zijn we toch mee bezig. Doorslepen aan een onveilig dood protocol-paard?
Zelf ik, als "oud belegen" 3rd party cold recon website security knakker, ben niet te aftands om dit allemaal te weten.
Oud-belegen, dat dan wel, maar toch pittig alert gebleven tussen de oren.
De goegemeente aangevoerd door degenen, die deze kennis van hen weghouden, slaapt rustig door - snurk, snurk.
In welk "land met de naam Ignorantia" leven we dan met z'n allen?
luntrus
Handhaving loopt helaas 20 jaar achter.
Goed punt. De wetgeving schiet inderdaad tekort.
De overheid slaapt.
Eigenlijk al minimaal 20 jaar+de duur van de wetgeving fase.
Briefgeheim, maar dan niet voor email.
Omdat het internet een "virtuele" omgeving is zeker.
Handhaving loopt helaas 20 jaar achter.
Het is opgepakt maar het gaat nog even duren: NOS OP3 • POLITIEK • 13-04-2017, 22:04 • AANGEPAST 18-04-2017, 19:24 Briefgeheim gaat ook voor e-mail en WhatsApp gelden (maar dat duurt nog wel even) -https://nos.nl/op3/artikel/2168145-briefgeheim-gaat-ook-voor-e-mail-en-whatsapp-gelden-maar-dat-duurt-nog-wel-even.html
Handhaving loopt helaas 20 jaar achter.
https://www.denederlandsegrondwet.nl/id/vklvhp6rtbad/modernisering_brief_telefoon_en
"Briefgeheim" wordt "brief- en telecommunicatiegeheim". Omdat het een grondwetswijziging betreft duurt het even, dat moet niet door één maar door twee opeenvolgende parlementen worden aangenomen.
En dat wil niet zeggen dat e-mail vogelvrij is tot dat is ingevoerd, in de praktijk is het wel degelijk beschermd. Het wetboek van strafrecht verbiedt het in artikel 139c:
https://wetten.overheid.nl/BWBR0001854/2019-08-01#BoekTweede_TiteldeelV_Artikel139chttps://wetten.overheid.nl/BWBR0001854/2019-08-01#BoekTweede_TiteldeelV_Artikel139c
Telecom-aanbieders mogen het ook niet. Werknemers moeten namelijk van gegevens afblijven van gegevens die niet voor hun zijn bestemd (artikel 273d) en het ook een ander niet toelaten te doen (artikel 273e), en dat laatste betekent dat de baas er ook niet aan mag meewerken zonder het zelf te doen. Dit geldt trouwens niet alleen voor openbare telecomdiensten maar ook voor bedrijfsnetwerken.
https://wetten.overheid.nl/BWBR0001854/2019-08-01#BoekTweede_TiteldeelXVII_Artikel273d
Dit zijn misdrijven waar gevangenisstraf op staat. Het stond nog niet in de grondwet, maar in het strafrecht is het geregeld.
1. een Autoriteit Persoonsgegevens die eindelijk eens durft door te bijten;
2. strafrechtelijke vervolging van bestuurders die ernstig nalatig zijn of de AVG zelfs moedwillig aan hun laars lappen.
1. een Autoriteit Persoonsgegevens die eindelijk eens durft door te bijten;
Handhaving loopt helaas 20 jaar achter.
"Briefgeheim" wordt "brief- en telecommunicatiegeheim". Omdat het een grondwetswijziging betreft duurt het even, dat moet niet door één maar door twee opeenvolgende parlementen worden aangenomen.
En dat wil niet zeggen dat e-mail vogelvrij is tot dat is ingevoerd, in de praktijk is het wel degelijk beschermd. Het wetboek van strafrecht verbiedt het in artikel 139c:
[KNIP]
Hier wordt de term wederrechtelijk gebruikt, wanneer het nodig is voor foutzoeken, onderhoud, enz. is er ineens meer mogelijk.
Ook hier stond vroeger de term "per ongeluk" in de wetgeving ............
In theorie klinkt het goed, maar de praktijk is (helaas bewezen) anders.
Ja, de wetgeving is er. Maar net als jij, vraag ik me wel eens in alle gemoede af,
of in de bestaande chaos nog wel handhaving mogelijk is?
..
Waar zijn we toch mee bezig. Doorslepen aan een onveilig dood protocol-paard?
Zelf ik, als "oud belegen" 3rd party cold recon website security knakker, ben niet te aftands om dit allemaal te weten.
Oud-belegen, dat dan wel, maar toch pittig alert gebleven tussen de oren.
De goegemeente aangevoerd door degenen, die deze kennis van hen weghouden, slaapt rustig door - snurk, snurk.
In welk "land met de naam Ignorantia" leven we dan met z'n allen?
luntrus
Eens lutrus, het is de handhaving waaar het probleem zit niet in een gebrek aan regels.
Het onderzoeksrapport van de twee vuurtorens in de Haag somt dat heel fraai op.
Voor jet SMS verhaal, dat is tenminste nog te volgen en je kan beseffen dat het zichtbaar is. Zolang het niet fout bruikbaar is voor een ander lijkt me dat het minste. Stop het in een app dat het vrij onzichtbaar is, zou het dan beter zijn?
Het is met techniek ook hoe of het ter handhaving wordt ingezet en vervolgens opgevolgd.
Hoofdzaak is, dat het hele traject transparant blijft en het generaal controleerbaar is.
Je ziet het, je kunt het controleren, het is niet te manipuleren door politiek of belangengroeperingen.
Vervolgens kun je vaststellen wat er voor actie is ondernomen. Er is niet met de cijfers gerommeld, etc.
Nu gaat het nog vaak zo dat de cijfers een vooraf geagendeerd verhaal moeten ondersteunen.
Bepaalde overtreders worden weggelaten of niet opgenomen, de betrouwbaarheid rammelt.
De goegemeente moet maar aannemen of het achteraf zo is, als het wordt gepresenteerd.
Dat is mijn grootste bezwaar en niet het technisch verhaal, dat is verifieerbaar (scan resultaten,
research, etc.). Wat je beeldscherm toont hoeft geen representatie van de echte realiteit te zijn.
Achter een security researcher kan een cybercriminel schuilgaan. Techniek is een grote tovenaar.
Het gaat fout als er spelletjes worden gespeeld, net zoals bij het Opstelten bonnetje
verhaal, waardoor nu iemand op de bus zit. Betrouwbare overheid, daar gaat het om
en betrouwbaar bedrijfsleven, natuurlijk ook.
Listeria bacterie, weggeprivatiseerde controleurs, ga je lekker mee. Vaststellen pas na ziektegevallen,
schandalig. Dus aan de vruchten kent men de boom!
Jodocus Oyevaer
1. een Autoriteit Persoonsgegevens die eindelijk eens durft door te bijten;
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
