Minister wil Uitvoeringswet AVG op aantal punten aanpassen
Minister Dekker voor Rechtsbescherming wil de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) op een aantal punten aanpassen, waaronder de tekst over het gebruik van biometrische gegevens en een mogelijk uitgebreider gebruik van het Burgerservicenummer (BSN).
De AVG beschrijft de belangrijkste regels voor het omgaan met persoonsgegevens in Nederland. Waar de AVG ruimte laat voor nationale keuzes bij de uitvoering van de AVG, zijn deze ingevuld in de Uitvoeringswet AVG. Nu de UAVG al meer dan een jaar in gebruik is stelt Dekker in een brief aan de Tweede Kamer dat de wet op bepaalde punten moet worden aangepast. Voor een aantal andere punten wordt gekeken of dit nodig is.
In het geval van biometrische toegangscontrole, verwerking van gezondheidsgegevens door patiëntenverenigingen voor intern gebruik, verwerking van bijzondere categorieën van persoonsgegevens door het Huis voor klokkenluiders en verwerking van bijzondere categorieën persoonsgegevens door accountants is het volgens Dekker 'voldoende duidelijk' dat zij een (explicietere) grondslag moeten krijgen.
Zo verbiedt de UAVG het verwerken van biometrische gegevens, tenzij dit noodzakelijk is om iemand voor authenticatie of beveiligingsdoeleinden te identificeren. In de tekst van de UAVG staat het zwaarwegend algemeen belang waarvoor een uitzondering in de verwerking van biometrische gegevens mag worden gemaakt niet vermeld, tot onvrede van de Europese Commissie.
"Om tegemoet te komen aan deze kritiek is het wenselijk in artikel 29 UAVG expliciet het belang te benoemen dat in de rechtspraktijk noodzakelijk kan maken om biometrische gegevens te verwerken voor authenticatie en beveiligingsdoeleinden. Het betreft hier het belang van een rechtmatige toegang tot bepaalde plaatsen, gebouwen, informatie- of werkprocessystemen, diensten of producten. Een dergelijke aanvulling van artikel 29 zou bijdragen aan de rechtszekerheid bij het verwerken van biometrische gegevens voor genoemde doeleinden", aldus Dekker.
Mogelijke aanpassingen
Naast de eerder genoemde punten die Dekker in de UAVG wil aanpassen zijn er ook verschillende punten waarvan nog wordt gekeken of een aanpassing nodig is. Het gaat onder andere om het gebruik van het BIG-nummer van zorgverleners buiten de wet BIG, geautomatiseerde besluitvorming en profilering door banken om witwassen en fraude te voorkomen, cross-sectorale gegevensdeling en het breder gebruik van het BSN.
VNO-NCW en MKB-Nederland willen dat een breder gebruik van het BSN wordt toegestaan. Overheidsinstanties kunnen bij het verwerken van persoonsgegevens in het kader van de uitvoering van hun publieke taak gebruikmaken van het BSN, zonder dat daarvoor nadere regelgeving vereist is. Dit staat in de de Wet algemene bepalingen burgerservicenummer (Wabb) beschreven. Voor instellingen die geen beroep op deze wet kunnen doen moet het gebruik in sectorale wetgeving zijn voorgeschreven.
"Uitbreiding van het gebruik is mogelijk als het geregeld kan worden in sectorale wetgeving", stelt Dekker. De minister merkt op dat er ook zal worden gekeken of instellingen zoals banken, advocaten, notarissen en accountants het BSN mogen gaan gebruiken om hun "poortwachtersfunctie" te vervullen in het voorkomen van het financieren van terrorisme en witwassen. "Gebruik van het BSN kan deze taak vergemakkelijken", laat Dekker weten. De minister wil het wetsvoorstel voor het aanpassen van de UAVG in het eerste kwartaal aanbieden.
Ik zou zeggen dat dit toch wel duidelijk is? Er is geen verbod op gebruik van biometrie, als je het gebruikt noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Het kan natuurlijk op worden geschreven als een positieve zin, i.p.v. een dubbel negatief. Dus: "Je mag het wel gebruiken voor authenticatie en beveiligingsdoeleinden", i.p.v. "Het is niet verboden om..."
Dus: "Je mag het wel gebruiken voor authenticatie en beveiligingsdoeleinden"
als je het gebruik noodzakelijk is voor authenticatie of beveiligingsdoeleinden
Wanneer is het echt noodzakelijk ? Niet omdat het makkelijker is. Er is altijd een alternatief.
Dus verboden.
Uiteraard niet ten gunste van de burger.
Wanneer is het echt noodzakelijk ? Niet omdat het makkelijker is. Er is altijd een alternatief.
Dus verboden.
Een fysiek ding wordt een gigantische stapel aan fysieke dingen.
Het enige wat werkelijk correct kan werken is iets wat je bent en hoe he bent. Andere ideeën als alternatief omdat het makkelijker zou zijn moet je zo gauw mogelijk vergeten. Het was iets uit de tijd dat men niet beter wist.
Deze aanleiding is al voldoende om nee te zeggen. Het verzwakken van de AVG om banken met een algoritme mensen te laten profileren. Waar is de menselijke maat gebleven?
Want (kleine) bedrijven hebben een dringende noodzaak om het BSN te moeten verwerken. Hun bedrijfsprocessen komen tot stilstand als ze dit niet mogen? Of is dit alleen maar weer om e.e.a. makkelijker te maken voor bedrijven.
En daar is het T-woord.
Een verzwakking van de AVG, omdat het makkelijker is. Een zwakte bod van de minister.
De AVG is in basis goed en ook noodzakelijk, maar in de praktijk bleek al lang dat de waarborgen en beperkingen makkelijk te omzeilen zijn. In plaats van het dichten van die gaten worden de sluizen juist opengezet. Jammer, maar helaas wel tekenend voor deze tijd.
Wanneer is het echt noodzakelijk ? Niet omdat het makkelijker is. Er is altijd een alternatief.
Dus verboden.
Een fysiek ding wordt een gigantische stapel aan fysieke dingen.
Het enige wat werkelijk correct kan werken is iets wat je bent en hoe he bent. Andere ideeën als alternatief omdat het makkelijker zou zijn moet je zo gauw mogelijk vergeten. Het was iets uit de tijd dat men niet beter wist.
Oh, en (demonstratief en herhaaldelijk gedemonsteerd) onveilige middelen als "security" blijven verdedigen heeft zelf het allerminste van security begrepen. Je verkoopt weer eens bakken slangenolie hier.
Dus: "Je mag het wel gebruiken voor authenticatie en beveiligingsdoeleinden"
als je het gebruik noodzakelijk is voor authenticatie of beveiligingsdoeleinden
Wanneer is het echt noodzakelijk ? Niet omdat het makkelijker is. Er is altijd een alternatief.
Dus verboden.
Tsja, dus ligt het voor de hand om 'noodzakelijk' te schrappen. Maakt uitvoering veel gemakkelijker.
Wanneer is het echt noodzakelijk ? Niet omdat het makkelijker is. Er is altijd een alternatief.
Dus verboden.
Een fysiek ding wordt een gigantische stapel aan fysieke dingen.
Het enige wat werkelijk correct kan werken is iets wat je bent en hoe he bent. Andere ideeën als alternatief omdat het makkelijker zou zijn moet je zo gauw mogelijk vergeten. Het was iets uit de tijd dat men niet beter wist.
Heerlijk dat je met deze reacties nog steeds de advocaat van de duivel speelt. Uiteraard is een wachtwoord, indien goed gebruikt, een sterk authenticatiemiddel dat geen inbreuk maakt op de persoonlijke levenssfeer.
Het had beter geweest als de minister gewoon de handen van de UAVG af zou houden, aangezien deze op de meeste punten al goed is ingevuld. Dat er wordt gekeken naar het verruimen van mogelijkheden dat gaat in tegen het principe waar de hele AVG voor bedoeld is, je zou bijna denken dat nationale lidstaten te veel vrijheid hebben gekregen om hier zelf invulling aan te geven.
Wanneer is het echt noodzakelijk ? Niet omdat het makkelijker is. Er is altijd een alternatief.
Dus verboden.
Een fysiek ding wordt een gigantische stapel aan fysieke dingen.
Het enige wat werkelijk correct kan werken is iets wat je bent en hoe he bent. Andere ideeën als alternatief omdat het makkelijker zou zijn moet je zo gauw mogelijk vergeten. Het was iets uit de tijd dat men niet beter wist.
de persoon die denkt dat bio metrische technieken heden ten dagen de oplossing zijn heeft ook niets van security begrepen.
een biometrische sample kan altijd gekopieerd worden door een derde want het is immers mogelijk de sample te nemen. de biometrische eigenschappen bij een mens die de sample vormen zijn echter niet zo eenvoudig te vervangen als er op dat moment reed misbruik gemaakt wordt van de sample. de sample moet TEN ALLE TIJDEN gepaard gaan met iets dat wel pijnloos eenvoudig door de persoon vervangen kan worden. de controle over de intercatie moet bi-directioneel zijn. beide partijen moetenin het process kunnen ingrijpen. 2FA dus. een ding hebben en een ding weten. als dat niet genoeg is (>2)FA waarbij een ander individu iets moet hebben en de persoon moet kennen: een bewaker die ook nog kijkt en een knopje moet drukken nadat er even gesproken is en een afspraak is gemaakt van te voren.
Je snapt (kennelijk expres) helemaal niets van het argument tegen SoFi/BSN: Omdat alle instanties (en binnenkort ook alle bedrijven) hetzelfde indexnummer voor deze zak botten gebruikt ben ik triviaal over alle instanties te volgen. En niet alleen voor instanties. Ook voor iedereen die graag misbruik maakt van gelekte gegevens. Daar bescherm je tegen door niet alle partijen precies hetzelfde nummer te laten gebruiken.
Oh, en (demonstratief en herhaaldelijk gedemonsteerd) onveilige middelen als "security" blijven verdedigen heeft zelf het allerminste van security begrepen. Je verkoopt weer eens bakken slangenolie hier.
Wat links voor je:
https://www.ad.nl/den-haag/kamerverhuur-in-den-haag-wordt-nauwelijks-gescreend-op-witwassen~ab6137c2/
https://nos.nl/artikel/2288609-politieman-die-huizen-verhuurde-verdacht-van-lekken-en-witwassen.html
https://www.rvig.nl/documenten/publicaties/2007/07/19/memorie-van-toelichting-voorstel-wet-burgerservicenummer
Criminelen en oplichters maken heel handig gebruik van het privacy argument dat ze niet gevolgd mogen worden.
Het zou me niets verbazen als er een verband te leggen zou zijn tussen die groepen en de privacy voorvechters.
Het verband zou al kunnen zijn dat beïnvloeding met opinies en stemmingmakerij hun wel zo goed uitkomt (lobbyen) .
…….
……..
Heerlijk dat je met deze reacties nog steeds de advocaat van de duivel speelt. Uiteraard is een wachtwoord, indien goed gebruikt, een sterk authenticatiemiddel dat geen inbreuk maakt op de persoonlijke levenssfeer.
Het had beter geweest als de minister gewoon de handen van de UAVG af zou houden, aangezien deze op de meeste punten al goed is ingevuld. Dat er wordt gekeken naar het verruimen van mogelijkheden dat gaat in tegen het principe waar de hele AVG voor bedoeld is, je zou bijna denken dat nationale lidstaten te veel vrijheid hebben gekregen om hier zelf invulling aan te geven.
Nee een smartphone als bewijs hanteren lijkt me fundamenteel fout. Een bankpas is ook geen bewijs van de juiste persoon.
…..
De persoon die denkt dat bio metrische technieken heden ten dagen de oplossing zijn heeft ook niets van security begrepen.
Een biometrische sample kan altijd gekopieerd worden door een derde want het is immers mogelijk de sample te nemen. de biometrische eigenschappen bij een mens die de sample vormen zijn echter niet zo eenvoudig te vervangen als er op dat moment reed misbruik gemaakt wordt van de sample. de sample moet TEN ALLE TIJDEN gepaard gaan met iets dat wel pijnloos eenvoudig door de persoon vervangen kan worden. de controle over de intercatie moet bi-directioneel zijn. beide partijen moetenin het process kunnen ingrijpen. 2FA dus. een ding hebben en een ding weten. als dat niet genoeg is (>2)FA waarbij een ander individu iets moet hebben en de persoon moet kennen: een bewaker die ook nog kijkt en een knopje moet drukken nadat er even gesproken is en een afspraak is gemaakt van te voren.
Met biometrie moet je enkel zeker weten dat je sample van de persoon tegenover je correct afgenomen wordt. Dat is wat er met de bewijsvoering mee moet. Vervanging is volledig ongewenst juist dat onvervangbare is de juiste eigenschap.
De tweede fout die je maakt is dat het achterliggende materiaal als vergelijkingsreferentie een niet geencrypte versie moet zijn. Als je met passwords - sleutels niet geencrypt ergens over heen gaat niet geencrypt wat opslaat en dat als de regel uitdraagt hoe het zit dan snap je het echt niet.
Alleen voor aparte doelen, (identificatie van personen strafzaken vermissingen, is er een ander doel andere benadering. Dat verwerken is heel wat anders dan het huis en tuin en keuken gebeuren.
Twee fundamentele fouten die je maakt in iets wat op zich zo eenvoudig is.
Het helpt niet bij de noodzakelijke verbeteringen in het huis tuin en keuken spul.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
