image

Ministerie van Justitie lekt gegevens 58.000 gebruikers NL-Alert-app

donderdag 30 april 2020, 18:23 door Redactie, 36 reacties

Locatiegegevens en mogelijk andere persoonsgegevens van zo'n 58.000 mensen die de NL-Alert-app hebben gedownload zijn gelekt, zo laat het ministerie van Justitie en Veiligheid weten. De app, die los staat van de NL-Alerts die via cell broadcast worden verstuurd, kan in het geval van ernstige incidenten pushberichten naar gebruikers sturen.

Daarnaast biedt de app de mogelijkheid om ook NL-Alerts voor bepaalde voorkeurslocaties in te stellen en toont het een overzicht van de NL-Alerts van de afgelopen zeven dagen. In de app is ook te lezen hoe gebruikers zich kunnen voorbereiden op noodsituaties en calamiteiten zoals griepepidemieën, stralingsincidenten en grote branden. De app is dan ook vooral bedoeld als aanvulling op de standaard berichtgeving via de NL-Alertmeldingen op de telefoon.

Eind maart ontdekten medewerkers van het ministerie dat de app gebruikmaakt van een externe notificatiedienst die mogelijk niet voldoet aan de vereisten van de Algemene verordening gegevensbescherming (AVG). Uit onderzoek dat werd ingesteld bleek er sprake van een datalek te zijn. Locatiegegevens van gebruikers en mogelijk andere persoonsgegevens zoals informatie over het besturingssysteem en andere geïnstalleerde apps zijn namelijk zonder toestemming van gebruikers bij de externe dienst terechtgekomen.

Minister Grapperhaus van Justitie en Veiligheid heeft de aanbieder van de externe dienst verzocht het verzamelen van data via de app per direct te staken en de al verzamelde data te vernietigen. Gebruikers krijgen het advies van het ministerie om de app te verwijderen. Dit heeft geen gevolgen voor het ontvangen van alarmberichten van NL-Alert zelf, want dat gaat zoals gezegd via cell broadcasts.

Het datalek is inmiddels bij de Autoriteit Persoonsgegevens gemeld. Gebruikers van de app zullen via de website van NL-Alert worden geïnformeerd over de voortgang van het onderzoek naar aard en omvang van het datalek. Dit onderzoek loopt nog.

Reacties (36)
30-04-2020, 18:32 door [Account Verwijderd]
Locatiegegevens van gebruikers en mogelijk andere persoonsgegevens zoals informatie over het besturingssysteem en andere geïnstalleerde apps zijn namelijk zonder toestemming van gebruikers bij de externe dienst terecht gekomen.
Waarschuwde ik niet voor iets soortgelijks i.v.m. die Corona-app, waarbij je patiëntendossier in handen van een derde partij terecht kon komen? Waarom worden deze apps niet eens zorgvuldig doorgespit? Dan kon een debacle als deze worden voorkomen.
https://www.security.nl/posting/653408#posting653464
30-04-2020, 18:47 door Anoniem
Je regelt een "app" en je weet niet waar dat ding allemaal nog meer de data heenschiet? Man man man.
30-04-2020, 18:48 door Anoniem
Binnen een maand al een advies kunnen geven, lekker snel hoor. Voorlopig hebben 58.000 mensen hun data weer gelekt.
30-04-2020, 18:59 door Anoniem
Door Advanced Encryption Standard:
Locatiegegevens van gebruikers en mogelijk andere persoonsgegevens zoals informatie over het besturingssysteem en andere geïnstalleerde apps zijn namelijk zonder toestemming van gebruikers bij de externe dienst terecht gekomen.
Waarschuwde ik niet voor iets soortgelijks i.v.m. die Corona-app, waarbij je patiëntendossier in handen van een derde partij terecht kon komen? Waarom worden deze apps niet eens zorgvuldig doorgespit?

Ja als je een homecomputer computer uit 1980 hebt, of bijvoorbeeld een Stemcomputer zoals we die hadden, dan kun
je het hele ding tot op het bit binnenstebuiten keren en PRECIES vaststellen wat die doet en waar die informatie heen
gaat.

Maar tegenwoordig is dat niet zo simpel meer omdat iedereen gebruik maakt van bouwblokken die anderen al gemaakt
hebben voor andere doeleinden. Zo'n app is niet meer dan een samenraapsel van bestaande bouwblokken die op hun
beurt weer gebruik maken van andere bouwblokken. Je kunt niet "even de app doorspitten" om te onderzoeken wat
die precies allemaal doet, want wat die doet bestaat ook weer uit wat al die bouwblokken doen. En dan zit je al snel
tegen miljoenen lines of code aan te kijken.
Het is niet voor niets zo dat een OS image voor zo'n telefoon 2 gigabytes is. Wat daarin gebeurt (buiten de app) dat
weet je helemaal niet.
30-04-2020, 19:01 door Anoniem
Komt weer op "de grote hoop" van gelekte data terecht. Niets vreemd aan.
Wat je deelt met Interwebz, deel je dus feitelijk met Jan en Alleman in Globalania.

Neen, iets veiliger kan het niet, want dan kom je in aanvaring met het dominantiestreven
van de grote elitaire spelers van het Data Grab Imperium bij uitstek.

En zij laten zich geen strobreed in de weg leggen. Ze gaan door roeien en ruiten desnoods.

Het hele internet is dus "completely and utterly holed".
Velen vinden het kennelijk niet erg, dus gaat het van kwaad tot erger.

#sockpuppet
30-04-2020, 19:20 door karma4
Het heeft wel wat met dit soort zaken. Hoe vaak heb ik het nu gehad dat het AP de cookie effecten vergeet.
Zit het in de overheids NL-Alert … Ze (het AP) faalt wel erg vaak op zaken wat ze hadden kunnen weten en waar ze preventief wat aan gedaan zouden moeten hebben.
30-04-2020, 19:23 door Anoniem
want met verwijderen van de app is al je data weer veilig?

wat zouden we denken van die 58.000 mensen gratis en voor niets op kosten van grappighuis's wachtgeld regeling te verzekeren tegen ID fraude?
30-04-2020, 19:27 door Anoniem
Het is precies dit soort geklungel, want iets anders is het niet, dat ik huiverig ben mijn gegevens, vaak nog verplicht ook, bij de overheid onder te moeten brengen.
30-04-2020, 19:29 door Anoniem
Gelukkig heeft de overheid hiervan geleerd en hoeven we nieuwe datalekken in de Corona apps niet te verwachten. Wat een opluchting zeg.
30-04-2020, 19:29 door Anoniem
Door karma4: Het heeft wel wat met dit soort zaken. Hoe vaak heb ik het nu gehad dat het AP de cookie effecten vergeet.
Zit het in de overheids NL-Alert … Ze (het AP) faalt wel erg vaak op zaken wat ze hadden kunnen weten en waar ze preventief wat aan gedaan zouden moeten hebben.

Jij heb het zo vaak ergens over maar meestal slaat het nergens op. Ook nu weer, het gaat over een app die data lekt naar een 3e partij niet over koekjes.
30-04-2020, 19:42 door Anoniem
Vermoedelijk OneSignal, in de VS
30-04-2020, 19:52 door Anoniem
Door karma4: Het heeft wel wat met dit soort zaken. Hoe vaak heb ik het nu gehad dat het AP de cookie effecten vergeet.
Zit het in de overheids NL-Alert … Ze (het AP) faalt wel erg vaak op zaken wat ze hadden kunnen weten en waar ze preventief wat aan gedaan zouden moeten hebben.

Kom eens van dat stokpaardje af.
Het AP faalt als ze iets verbied, het AP faalt als ze iets niet verbied.
Het is ook nooit goed.

Als het AP alles moet controleren, dan zal het budget en de personeelscapaciteit sterk uitgebreid moeten worden.
Het AP reageert mn als er meldingen gedaan worden. Proactief alles kunnen controleren is absurd.

Het is de verantwoordelijkheid van de opdrachtgever (het ministerie) en de bouwer om aan de wet te voldoen. De overheid staat niet boven haar eigen wetten, ook al denken ministers dat nog al eens.

Pak het begin van het proces aan. De opdrachtgever en de bouwer. Die zijn de fout in gegaan.


Eind maart ontdekten medewerkers van het ministerie dat de app gebruikmaakt van een externe notificatiedienst.
[...]
Minister Grapperhaus van Justitie en Veiligheid heeft de aanbieder van de externe dienst verzocht het verzamelen van data via de app per direct te staken en de al verzamelde data te vernietigen. Gebruikers krijgen het advies van het ministerie om de app te verwijderen. Dit heeft geen gevolgen voor het ontvangen van alarmberichten van NL-Alert zelf, want dat gaat zoals gezegd via cell broadcasts.

Het lek is eind maart gevonden, maar het kost het ministerie een maand om de gebruikers te informeren dat hun data op straat ligt. Lekker snel.

En hoe lang heeft dat lek er in gezeten. Sinds de oplevering?
Er heeft dus blijkbaar een slechte (of geen) code-review plaatsgevonden door de opdrachtgever, voordat de app vrijgegeven werd aan het publiek.

Waarom zouden wij als burgers nog vertrouwen moeten hebben in apps die iov de overheid gebouwd zijn of gaan worden?
- 1e poging tot ontwikkelen van een Corona app (mislukt)
- Nu de NL-Alert app (datalek)
- What's next?
30-04-2020, 19:53 door Anoniem
Door Anoniem: Ja als je een homecomputer computer uit 1980 hebt, of bijvoorbeeld een Stemcomputer zoals we die hadden, dan kun
je het hele ding tot op het bit binnenstebuiten keren en PRECIES vaststellen wat die doet en waar die informatie heen
gaat.
Dat van die knoppenbakken van nedap weet ik zo snel niet. Homecomputers ook maar als je of de broncode erbij krijgt (en kan verifiëren dat die broncode ook tot die firmware leidt) of de boel stevig gaat doorspitten. Dat eerste is al geen lekenwerk, dat laatste nog minder. En je zal de chipjes moeten nalopen over wat er verder nog inzit. Ook met "oude" hardware is daarmee te sjoemelen, zoals die electronerd deed door een simpel telchipje uit te hollen en er een microcontroller in te proppen, zodat hij in inbewaakte momenten hele andere teksten dan enkel cijfertjes op 8-segment-displays wist te zetten.

Maar tegenwoordig is dat niet zo simpel meer omdat iedereen gebruik maakt van bouwblokken die anderen al gemaakt
hebben voor andere doeleinden. Zo'n app is niet meer dan een samenraapsel van bestaande bouwblokken die op hun
beurt weer gebruik maken van andere bouwblokken. Je kunt niet "even de app doorspitten" om te onderzoeken wat
die precies allemaal doet, want wat die doet bestaat ook weer uit wat al die bouwblokken doen. En dan zit je al snel
tegen miljoenen lines of code aan te kijken.
Het is niet voor niets zo dat een OS image voor zo'n telefoon 2 gigabytes is. Wat daarin gebeurt (buiten de app) dat
weet je helemaal niet.
De logische conclusie is dan dat al die bergen software, firmware, en hardware samen eigenlijk [x] Ongeschikt zijn voor om het even welke gevoelige taak.

Je zal dus met iets simpelers moeten komen. LISP-machines, zeker die draaiden op een er speciaal voor ontworpen chip, hadden de eigenschap dat je zonder veel moeite met het systeem zelf in het systeem kon kijken, tot op het bot of nouja de chip. FORTH-systemen kunnen het vaak ook. Dus het kan best.

Maar dan moet je vrij radicaal andere dingen doen dan "de industrie" pleegt te doen tegenwoordig. Dat kan, er zijn best mogelijkheden, en als je weet waar te zoeken is dit ook nog wel in te kopen voor een voldoende grote partij, een overheid bijvoorbeeld. Dus je hoeft niet eens alles opnieuw uit te vinden.
30-04-2020, 20:02 door Anoniem
Kunnen Apple en Google niet samen een dergelijke app maken? (maar dan eentje waarbij de privacy in orde is)
30-04-2020, 20:10 door Anoniem
"Gebruikers krijgen het advies van het ministerie om de app te verwijderen."

Als security-community kunnen we hier toch slechts zeggen: Goed dat het gezien is, Goed dat er meteen melding wordt gemaakt, Goed dat er een helder advies ligt.

En dat alles, omdat slechts gegevens ergens zijn gekomen waar ze niet hadden gemoeten, maar er verder nog niets aan de hand is. Dus gewoon op tijd gespot. Op tijd actie. Op tijd handelsperpectief.

Tuurlijk, het had niet gemoeten, maar ja, Windows ME had ook niet gemoeten, Windows Vista ook niet :P.
30-04-2020, 20:16 door linux4
Door Anoniem: Je regelt een "app" en je weet niet waar dat ding allemaal nog meer de data heenschiet? Man man man.

Nou dit geeft weer echt vertrouwen in een Corona app die één of ander ministerie in elkaar gaat sleutelen... NOT!
30-04-2020, 20:19 door linux4
Door Anoniem: Gelukkig heeft de overheid hiervan geleerd en hoeven we nieuwe datalekken in de Corona apps niet te verwachten. Wat een opluchting zeg.

https://www.ad.nl/binnenland/nederlanders-niet-bang-voor-corona-app-vooral-jongeren-zien-geen-probleem~a88ca2e9/ Eens kijken of iedereen nu nog steeds zo enthousiast is...
30-04-2020, 20:39 door Anoniem
Door Anoniem:
Door Advanced Encryption Standard:
Locatiegegevens van gebruikers en mogelijk andere persoonsgegevens zoals informatie over het besturingssysteem en andere geïnstalleerde apps zijn namelijk zonder toestemming van gebruikers bij de externe dienst terecht gekomen.
Waarschuwde ik niet voor iets soortgelijks i.v.m. die Corona-app, waarbij je patiëntendossier in handen van een derde partij terecht kon komen? Waarom worden deze apps niet eens zorgvuldig doorgespit?

Ja als je een homecomputer computer uit 1980 hebt, of bijvoorbeeld een Stemcomputer zoals we die hadden, dan kun
je het hele ding tot op het bit binnenstebuiten keren en PRECIES vaststellen wat die doet en waar die informatie heen
gaat.

Maar tegenwoordig is dat niet zo simpel meer omdat iedereen gebruik maakt van bouwblokken die anderen al gemaakt
hebben voor andere doeleinden. Zo'n app is niet meer dan een samenraapsel van bestaande bouwblokken die op hun
beurt weer gebruik maken van andere bouwblokken. Je kunt niet "even de app doorspitten" om te onderzoeken wat
die precies allemaal doet, want wat die doet bestaat ook weer uit wat al die bouwblokken doen. En dan zit je al snel
tegen miljoenen lines of code aan te kijken.
Het is niet voor niets zo dat een OS image voor zo'n telefoon 2 gigabytes is. Wat daarin gebeurt (buiten de app) dat
weet je helemaal niet.
Je hebt helemaal gelijk. Maar laten we dan niet de suggestie wekken dat we in staat zijn een privacy veilige app te maken.
30-04-2020, 20:44 door linux4
Door Anoniem: Kunnen Apple en Google niet samen een dergelijke app maken? (maar dan eentje waarbij de privacy in orde is)

NL Alert zit al ingebouwd in iOS en Android, geen idee waarom er nog een extra app bij moet. Met de privacy is het bij Apple en Google op veel fronten niet in orde.
30-04-2020, 21:44 door Anoniem
Door Anoniem:
Door Anoniem: Ja als je een homecomputer computer uit 1980 hebt, of bijvoorbeeld een Stemcomputer zoals we die hadden, dan kun
je het hele ding tot op het bit binnenstebuiten keren en PRECIES vaststellen wat die doet en waar die informatie heen
gaat.
Dat van die knoppenbakken van nedap weet ik zo snel niet. Homecomputers ook maar als je of de broncode erbij krijgt (en kan verifiëren dat die broncode ook tot die firmware leidt) of de boel stevig gaat doorspitten.

Broncode dat is voor watjes. Een computer uit 1980 of een Stemcomputer van Nedap uit die tijden die kun je heel makkelijk
helemaal uitpluizen door te disassembleren. Ik wist in die tijd precies hoe mijn computer werkte.
Dat kan tegenwoordig niet meer omdat het allemaal veel te veel geworden is (niet meer 8K of 16K aan software maar
een paar G) en dan kom je er met broncode ook niet meer omdat het gewoon veel te veel is om nauwkeurig te bekijken.
Dat is een van de redenen dat het zo dom was om die stemcomputers neer te sabelen: zo iets simpels zal er nooit meer
komen, en als er straks nieuwe stemcomputers zijn kunnen ze nooit meer zo uitputtend geaudit worden. In plaats van
het puur imaginaire scenario van de hardware sabotage (die nooit praktisch op grote schaal uit te voeren zou zijn geweest)
krijgen we de mogelijkheden van ondoorzichtige software met onbekende features, onbekende bugs, en onbekende
veiligheidsfouten.

Je ziet het met zo'n app als hier genoemd wordt. Even simpel een app maken die in plaats van cell broadcasting
gebruikt kan worden en meteen gebeuren er allerlei dingen die er niks mee te maken hebben.
30-04-2020, 21:56 door Anoniem
Door Anoniem: Ja als je een homecomputer computer uit 1980 hebt, of bijvoorbeeld een Stemcomputer zoals we die hadden, dan kun je het hele ding tot op het bit binnenstebuiten keren en PRECIES vaststellen wat die doet en waar die informatie heen gaat.

(Off topic)

De hardware misschien wel, maar de software was zeker niet controleerbaar.
Ik beheerde die apparaten bij een gemeente indertijd. (in de pre-historie)

Twee weken voor een verkiezing kreeg je nog een software update (binaries) voor die apparaten toegestuurd. (Op floppies)
Geen release notes oid.
Dus gebeld met Nedap met de vraag wat er veranderd was.
Ze waren verbaasd dat ik daar over belde. Dat kon men mij namelijk niet vertellen. Dat wist alleen de programmeur.
Of ik het maar even blind wilde installeren. Dat deden andere gemeenten ook.
Dat was het niveau van Nedap.


Het electronsich stemmen van die tijd was niet controleerbaar. Want de code was niet controleerbaar (voor willekeurige mensen).

( / Off topic)
30-04-2020, 22:23 door Anoniem
Door karma4: Het heeft wel wat met dit soort zaken. Hoe vaak heb ik het nu gehad dat het AP de cookie effecten vergeet.
Zit het in de overheids NL-Alert … Ze (het AP) faalt wel erg vaak op zaken wat ze hadden kunnen weten en waar ze preventief wat aan gedaan zouden moeten hebben.

Wat heeft de AP hier in hemelsnaam fout gedaan? Het is niet haar taak elke app te beoordelen zonder asnleiding. In dit geval kan de AP pas in actie komen na een melding.
30-04-2020, 22:39 door Anoniem
Door linux4:
Door Anoniem: Gelukkig heeft de overheid hiervan geleerd en hoeven we nieuwe datalekken in de Corona apps niet te verwachten. Wat een opluchting zeg.

https://www.ad.nl/binnenland/nederlanders-niet-bang-voor-corona-app-vooral-jongeren-zien-geen-probleem~a88ca2e9/ Eens kijken of iedereen nu nog steeds zo enthousiast is...

Echter:
(uit het AD artikel)

"Het Rotterdamse onderzoek werd uitgevoerd door Erasmus School of Health Policy & Management en het Erasmus Choice Modeling Centre, beiden onderdeel van de Erasmus Universiteit. De mensen die meededen, mochten bij het invullen van de antwoorden uitgaan van een app die aan alle privacy- en veiligheidseisen voldoet."

Een twijfelachtige uitgangspunt, blijkt nu maar weer eens.
De 900 deelnemers waren niet op de hoogte van dit lek. Als ze dat wel waren, wat zouden ze dan geantwoord hebben?

Wat zou er gebeuren als dezelfde groep of een andere willekeurige groep van 900 mensen opnieuw zo'n onderzoek zouden invullen?


Verder:
Afhankelijk van de beschikbare achtergrond informatie en de wijze waarop vragen gesteld worden, kan er gestuurd worden door de onderzoekers in een onderzoek/enquete:

https://www.youtube.com/watch?v=G0ZZJXw4MTA&feature=emb_logo
01-05-2020, 01:14 door Anoniem
58.000 gebruikers is equivalent aan 0.3% van de Nederlandse bevolking.

Waarom bestaat die app sowieso?
01-05-2020, 03:32 door Anoniem
Door linux4:
Door Anoniem: Je regelt een "app" en je weet niet waar dat ding allemaal nog meer de data heenschiet? Man man man.

Nou dit geeft weer echt vertrouwen in een Corona app die één of ander ministerie in elkaar gaat sleutelen... NOT!

We zijn het denk ik eens over de gebrekkige start van de Appathon, onder hoge tijdsdruk, en misschien ook wel onnodig hoog opgevoerd. Maar het belang is ook enorm groot: een "intelligente verlichting van de lockdown".

Diverse goede aspecten van de Appathon zijn zeker ook wel aan te wijzen. Bijvoorbeeld de relatie die is gelegd tussen "open source" en het "vertrouwen" in de Corona-app. Dat is een nieuw aspect.

Ik vond ook de controle door de AP op privacy-aspecten, en de audit door de KPMG van de broncode, zeker wel onderdelen die navolging verdienen bij een volgend bouwproces. Behoud het goede.
https://www.accountancyvanmorgen.nl/wp-content/uploads/sites/2/2020/04/RapportageministerievanVWScorona-apps19042020.pdf
Op bladzijde 24 staat onderzoeksvraag 9 met het antwoord :
Q: Zijn er andere data-uitgangen (inclusief logging) in de broncode te vinden die niet in het ontwerp zijn gedefinieerd?
A: Er zijn geen data-uitgangen aangetroffen die niet werden verwacht. Wel zijn er, met name, locatiegegevens beschikbaar in de apps, en soms zelfs doorgegeven aan het back-end systeem, waar verder (nog) niets mee wordt gedaan; dit kan het vertrouwen van gebruikers in de app schaden. Daarnaast is het in theorie mogelijk dat de leverancier deze gegevens in de toekomst wél verwerkt zonder dat de gebruiker daarvan op de hoogte gesteld wordt – de permissie om de gegevens vanuit de app benaderbaar te maken is immers reeds gegeven bij de initiële installatie.
Goede onderzoeksvraag, en de app waarin deze locatiegegevens door KPMG waren aangetroffen voldoet automatisch niet aan de gestelde eisen.
In het verlengde hiervan is de volgende vraag natuurlijk voor de hand liggend: is de broncode van de NL-Alert App voor de lancering ook op dezelfde wijze geaudit? En wat waren daarvan de uitkomsten?
01-05-2020, 07:21 door Anoniem
Eind maart ontdekten medewerkers van het ministerie
Hoezo ontdekt? Je bedoelt dat voordat dat kreng 'live' ging niemand gewoon eens ff gekeken heeft wat het doet en hoe het werkt???
01-05-2020, 08:19 door karma4
Door Anoniem: Vermoedelijk OneSignal, in de VS
Dat is het meest voor de hand liggende of een andere overeenkomstige dienst. Het gaat om een Locatie gebonden alert..

Door linux4: NL Alert zit al ingebouwd in iOS en Android, geen idee waarom er nog een extra app bij moet. Met de privacy is het bij Apple en Google op veel fronten niet in orde.
Dat is de SMS type 0 functie en één op de basisfuncties via telco's (bepaald gebied). Het kan zelfs buiten IOS en Android om. Ooit werden we lastig gevallen met SMS verkeer op die wijze lastig gevallen. Je maakt het plaatje fraai rond.

Door Anoniem: ...Jij heb het zo vaak ergens over maar meestal slaat het nergens op. Ook nu weer, het gaat over een app die data lekt naar een 3e partij niet over koekjes.
Een app op een telefoon is gebaseerd op webverkeer als hij ergens contact mee moet maken. Een voorbeeld:
https://www.touch.com.lb/autoforms/portal/touch/business/sms-advertising/geo-targeted-sms
Als je een app maakt en je wilt of mag niets met SMS (GSM) en de telco;s en je wilt locatiegebonden informatie dan zal je de positie waarover het gaat moeten uitwisselen. Laat een smartphone tegenwoordig aardig zijn positie weten dankzij apple google en GPS. Dit zo voor de hand liggend zoals je bij een transactie moet weten over wat wie wanneer en hoe de afwikkeling - betaling gaat.

Laten we eens kijken wat er moet gebeuren als je elke locatie elke handeling tot in detail zou willen uitwerken en beschrijving en er toestemming voor moet zien te hebben. Deze discussie is al gevoerd rond netwerkdiensten en de GDPR. Netwerkdiensten hoeven niet als verwerkers meegenomen te worden wegens de trivialiteit.
01-05-2020, 08:33 door karma4
Door Anoniem: ….
Het AP faalt als ze iets verbied, het AP faalt als ze iets niet verbied. Het is ook nooit goed.
..
Als het AP alles moet controleren, dan zal het budget en de personeelscapaciteit sterk uitgebreid moeten worden.
Het AP reageert mn als er meldingen gedaan worden. Proactief alles kunnen controleren is absurd.
….
Waarom zouden wij als burgers nog vertrouwen moeten hebben in apps die iov de overheid gebouwd zijn of gaan worden?
- 1e poging tot ontwikkelen van een Corona app (mislukt)
- Nu de NL-Alert app (datalek)
- What's next?
What is next?
- Schaf alle netwerkdiensten af want onvoldoende beschreven als verwerking door telco's. Dan is het een privacyinbreuk
- verbied weerberichten want die zijn locatie specifiek en dus een privacyinbreuk
- schaf de politie en handhaving af met het politiehandboek is niet goedgekeurd door het AP,
- stop met het betalingsverkeer want niet elke transactie is volledig met alle verwerker en subverwerkers uitgewerkt.
- Je weet nit wat er naar de VS en china gaat.
Dat klinkt niet echt proportioneel, is het ook niet. Maar ja die richting en toon lijkt gezet te worden

Waar het AP faalt is dat er geen duidelijke handvatten zijn wat wel en wat geen werkbare situaties zijn. Ik heb het niet eens over iets verbieden of niet verbieden ze falen op die basis.
Ter vergelijking. "niet te hard rijden" als onderdeel van "anderen niet in gevaar brengen" is zeer specifiek uitgewerkt.

Mag een lokale ondernemer zich op werving van lokale klanten richten? Dat lijkt me een grechtvaardigd belang.
Mag een internationale ondernemer lokale ondernemers de das omdoen door de klanten om te leiden (cookies)? Daar gaat iets mis waar het AP heel hard wegkijkt.

Het brave rapport over de toezichthouders ingekeken. Het AP krijgt relarief 6 miljoen meer dan de oosterburen maar ze heeft maar 4 fte op technisch vlak waar dat verhoudingsgewijs er 20 zouden moeten zijn. Let wel, bijna 200 fte niet technisch.
01-05-2020, 09:26 door Anoniem
Door karma4: Waar het AP faalt is dat er geen duidelijke handvatten zijn wat wel en wat geen werkbare situaties zijn. Ik heb het niet eens over iets verbieden of niet verbieden ze falen op die basis.
Ter vergelijking. "niet te hard rijden" als onderdeel van "anderen niet in gevaar brengen" is zeer specifiek uitgewerkt.

De specifieke uitwerking bij jou voorbeeld, is in de wet uitgwerkt. Door de politiek.
Het AP voert alleen maar de wet uit (controleert bij meldingen). De politiek bepaalt de wet.
Wil jij een duidelijkere of concretere regelgeving, richt je dan tot de politiek. Die zijn dan te vaag geweest.
01-05-2020, 10:45 door Anoniem
Door Anoniem: Broncode dat is voor watjes. Een computer uit 1980 of een Stemcomputer van Nedap uit die tijden die kun je heel makkelijk
helemaal uitpluizen door te disassembleren. Ik wist in die tijd precies hoe mijn computer werkte.
Dat kan tegenwoordig niet meer omdat het allemaal veel te veel geworden is (niet meer 8K of 16K aan software maar
een paar G) en dan kom je er met broncode ook niet meer omdat het gewoon veel te veel is om nauwkeurig te bekijken.
Dat moet dus (veel) simpeler voor kritieke toepassingen die we desondanks toch zonodig vercomputeriseerd willen hebben.

Dan wil je dus een OS van een paar duizend lijnen geschreven in een taaltje dat makkelijk te doorzien is. Dit kunnen faciliteren is waarom FORTH-systemen zo'n geheimtipp zijn in de embedded software-wereld. Het meeste werk wordt gedaan in C op een C-machine-chip, maar het kan efficienter en met minder code als je daar vanafstapt.

(Zeg ik zelf terwijl ik op verschillende Unix-achtige systemen werk en over het algemeen in C schrijf, of shell ofzo. Merk op dat dat nog steeds veel minder code is dan "apps" bouwen met de gangbare app-bouw-gereedschappen.)

Dat is een van de redenen dat het zo dom was om die stemcomputers neer te sabelen: zo iets simpels zal er nooit meer
komen, en als er straks nieuwe stemcomputers zijn kunnen ze nooit meer zo uitputtend geaudit worden.
Ik denk dat de conclusie was en dat die ook wel correct is dat je stemmen gewoon niet electronisch of electrisch of wat-dan-ook anders dan op papier moet willen proberen te doen.

Ook omdat werkelijk alle argumenten ten faveure van iets anders dan papier ofwel niet waar ofwel niet relevant bleken te zijn. Goedkoper? Niet waar. Beter? Nee. Transparanter? Hoe dan. Sneller? En dan 100+ dagen "formeren", dus niet relevant. Kosteneffectief? Ook al niet want die dingen worden maar een paar keer per jaar gebruikt, maar zijn opgeslagen nog vatbaarder voor manipulatie. En zo voort, en zo verder. Het is zo'n ontzettende beerput ongeacht wat je doet, dat je altijd weer terugkomt bij papier. Nou, dan doen we dat wel. Horses for courses.
01-05-2020, 12:12 door PJW9779
De NL-Alert app is ontwikkeld in opdracht van het Ministerie van Justitie en Veiligheid, in samenwerking met de Veiligheidsregio’s.
4 maart 2020 geïntroduceerd, zgn. in 'testfase', en heeft vanaf het begin al kuren.
De app zou vanaf eind maart gepromoot gaan worden.

En eind maart ontdekten medewerkers van het ministerie dat de app gebruik maakt van een externe notificatiedienst die mogelijk niet voldoet aan de vereisten van de Algemene verordening gegevensbescherming (AVG).
En pas 30 april wordt de buitenwereld geïnformeerd, o.a. via een brief aan de Tweede Kamer.

Ze hebben helemaal niets 'ontdekt'. Het gaat om Onesignal, die op verzoek van de overheid gebruik heeft gemaakt van een externe partij.
MvJV heeft aangegeven dat Onesignal niets te verwijten valt.

Misschien moet al die 'Anoniempjes' hier zich eerst wat beter informeren alvorens hier de discussie te vervuilen.
01-05-2020, 12:24 door PJW9779 - Bijgewerkt: 01-05-2020, 12:24
Door karma4:
Mag een lokale ondernemer zich op werving van lokale klanten richten? Dat lijkt me een grechtvaardigd belang.

Een lokale ondernemer mag zich uiteraard richten op werving van lokale klanten. Maar puur commercieel belang, winstmaximalisatie of lukraak volgen van (potentiëe) klanten is naar oordeel van de AP geen 'gerechtvaardigd belang'.
Dit i.t.t. wat de AVG vermeldt/suggereert, en waarover de discussie nog loopt.
01-05-2020, 17:10 door karma4 - Bijgewerkt: 01-05-2020, 17:15
Door PJW9779:
Een lokale ondernemer mag zich uiteraard richten op werving van lokale klanten. Maar puur commercieel belang, winstmaximalisatie of lukraak volgen van (potentiëe) klanten is naar oordeel van de AP geen 'gerechtvaardigd belang'.
Dit i.t.t. wat de AVG vermeldt/suggereert, en waarover de discussie nog loopt.
Ik was wat te snel … de discussie loopt nog. De tegenstrijdigheid druipt er vanaf.

Door PJW9779:
Ze hebben helemaal niets 'ontdekt'. Het gaat om Onesignal, die op verzoek van de overheid gebruik heeft gemaakt van een externe partij.
MvJV heeft aangegeven dat Onesignal niets te verwijten valt.

Misschien moet al die 'Anoniempjes' hier zich eerst wat beter informeren alvorens hier de discussie te vervuilen.
Die zou echt erg zijn. Een terecht ingeschakelde verwerker die door een onderzoeksjournalist als rare partij en datalek aangemerkt wordt.


De basisfunctionaliteit, een alert krijgen voor het gebied waar je bent, dat is nog te begrijpen. Maakte ik me niet druk om. De mogelijkheid om anderen te volgen is een veel vreemdere. (laatste ontwikkeling)

Al is die zo te zien gekoppeld aan een id dat verdacht veel op ssh-key aanpak lijkt, het hoort niet zo precies te zijn.
Dat de fysieke toegang en bedieningstoegang nodig is veracht het. Het kunnen volgen van locaties in het dataverkeer is niet goed. In dit geval closed source en prima te analyseren zoals aangetoond.
03-05-2020, 10:45 door botbot - Bijgewerkt: 03-05-2020, 11:20
Nou dat gaat dus helemaal goed komen nu ze de corona app, die van te voren al op alle kanten heeft gefaalt zonder dat uberhaupt maar begonnen is met de ontwikkeling, maar dat de apps bij het maken van de specs al werd afgekeurd door privacy waakhonden en technische professionals. En de overheid het wel ok vond om dan *toch* maar zelf door te gaan, met door hun geslecteerde partijen die aan alle kanten worden bekritiseerd. Nee hoor gaat helemaal goed komen. Dit wordt de zoveelste miljarden kosten faal van de overheid.
03-05-2020, 10:52 door botbot
Dat is een van de redenen dat het zo dom was om die stemcomputers neer te sabelen: zo iets simpels zal er nooit meer

Zoeits "simpels" als stemcomputers? Really? Bekijk eens even https://www.youtube.com/watch?v=w3_0x6oaDmI en noem mij 1 goede reden waarom het verstandig is om een jarenlange beproefde manier van stemmen te vervangen door een technische maatregel waarbij de overheid een trackrecord heeft van faalprojecten, miljarden en miljarden kostende faalprojecten, die bijna nergens tot een goed einde komen. Leg mij eens uit waarom "zoiets simpels" (het is niet simpel als je even doordenkt namelijk) moet vervangen. Omdat we dan niet meer hoeven te tellen? Handmatig, want dat kost een paar uur? Terwijl *alle* controle maatregelen daarbij vervallen? Alleen maar omdat het 2020 is?
03-05-2020, 11:26 door botbot

Ze hebben helemaal niets 'ontdekt'. Het gaat om Onesignal, die op verzoek van de overheid gebruik heeft gemaakt van een externe partij.
MvJV heeft aangegeven dat Onesignal niets te verwijten valt

Het is dus *nog* erger bedoel je. De overheid ontwikkeld een app. Voor het waarschuwen van burgers in noodsituaties. En geeft vervolgens een externe, commerciele partij toegang tot deze gegevens. Zonder dat hierbij enig belang mbt de veiligheid van burgers een reden is, maar puur voor de vercommercialisering van de data. En het Ministerie van Justitie en *Veiligeheid* geeft daar opdracht toe. Dat is dus niet alleen een faal, maar dat is pure inompetentie. De overheid zou in allereerste instantie al per definitie *niemand* toegang moeten geven tot die data. Klaar. En nu blijkt dus die commerciele partij ook nog eens lek te zijn mbt die data, dit is du eigenlijk nog erger dan het artikel sugereert. Noem mij 1 reden waarom een externe partij over toegang tot die data moet beschikken?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.