Door EersteEnigeEchte M.J. - EEEMJ: Je vraagt mij dus om te vertrouwen op informatie die Google verstrekt via zijn Play Store. Maar Google is vaak niet transparant over de informatie die dit bedrijf verzamelt en gebruikt. Ik heb wel eens privacy-statements van Google doorgewerkt. Google geeft zichzelf een carte-blanche om alles met persoons- en andere gegevens te doen.
Een app bevat een declaratie van de ontwikkelaar van die app voor de rechten die die app in Android wil gebruiken. Op basis daarvan wordt de gebruiker gevraagd of die dat toestaat. Als een app niet op die manier aangeeft dat die toegang tot locatiedata wil krijgen dan krijgt die app dat ook niet. Android zelf heeft sowieso toegang tot de locatiedata, dat is het besturingssysteem. Google heeft de app van een ander echt niet nodig om bij die gegevens te kunnen. Als je Google niet vertrouwt moet je om te beginnen Android niet gebruiken.
Zelfs als er in theorie sprake is van open source software als de app wordt geladen vanaf een Google-site, is het mogelijk dat de software in de praktijk extra features bevat.
Zoals al gemeld is het mogelijk om zelf uit de broncode het pakket te bouwen en om vervolgens een hulpmiddel als diffoscope te gebruiken om de verschillen met de officiële versie te inspecteren. Er zijn dingen die per "build" anders zullen zijn als niet zogenaamde "reproducible builds" zijn toegepast, maar dat zullen steeds kleine verschillen als een andere datum/tijd zijn. Dit is specialistisch en ongetwijfeld heel bewerkelijk om te doen, maar het kan, en er lopen genoeg mensen rond die dit soort dingen ook doen om het risico om door de mand te vallen heel reëel te maken voor een overheid die dit soort dingen flikt.
Zelfs als er werkelijk sprake is van niet-aangepaste open source-software, vraag je mij om te vertrouwen op de uitspraken van technische nerds die dat verkondigen op platforms waar alleen die nerds de weg weten,
Daar wringt de schoen, je vertrouwt niets of niemand. Als je zelf de expertise niet hebt om iets te beoordelen dan vertrouw je niet op mensen die die expertise wel hebben maar ga je ondanks de beperkingen van je eigen inzicht in de materie voortdurend toeredeneren naar dat het wel niet zal deugen.
en op de uitspraken van reguleerders (bijv. ministers, ambtenaren of parlementariërs) die op een enkele uitzondering na zelf ook niet beschikken over de kennis of de tijd om dat zelf te kunnen verifiëren.
Ik vertrouw liever op mezelf. Informatie die ik niet geef, daar kan ook niets mee gebeuren.
Mee eens, dat klopt.
Dat is het echte principe van zero-knowledge en gegevensminimalisatie.
Je loopt ook geen kans op een aanrijding als je nooit de deur uit gaat. Het idee van dataminimalisatie is dat het beoogde doel met een minimum aan data wordt gerealiseerd, niet dat het beoogde doel wordt overgeslagen.
Kun je uitleggen hoe zo'n "kill switch" werkt, en wat de activering daarvan triggert?
[...]
Begrijp ik het goed dat de scanner-app die verificatiebundel ophaalt van (bijvoorbeeld?) een Google-site?
Nee, de gegevens worden van de CoronaCheck-server van de overheid opgehaald en de killswitch komt daar ook vandaan. Het komt erop neer dat als de overheid besluit dat de app niet meer gebruikt moet worden de app het dan ook niet meer doet. Het ligt voor de hand dat dat gebeurt als de toegangscontrole weer wordt afgeschaft.
Wat zijn de implicaties daarvan voor de veiligheid van de gegevens die met behulp van zo'n bundel worden gescand?
Geen. Om de gegevens te verifiëren is de publieke sleutel nodig waarmee die verificatie kan worden gedaan. Het is niet zo dat zo'n verificatiebundel op magische wijze allerlei onvolledige persoonsgegevens volledig gaat maken.
Kan er bijvoorbeeld uit het soort verificatiebundel dat er wordt opgehaald iets worden afgeleid over de QR-code die er wordt gescand?
Zoals je in het schema zelf kan zien wordt de bundel opgehaald
voordat de QR-code wordt gescand. Dan kan die QR-code onmogelijk beïnvloeden wat voor bunder er wordt opgehaald.
Wat kan er worden afgeleid uit het tijdstip waarop de verificatiebundel wordt opgehaald?
Dat iemand een scanner-app heeft gestart. Daar kunnen vervolgens ongetwijfeld ettelijke QR-codes mee gescand worden.
Kunnen er in zo'n verificatiebundel stukjes code zitten die leiden tot enige vorm van herleidbaarheid van de gescande gegevens?
Ik zie niet in hoe. De scanner-app ontvangt de initialen en geboortemaand en -dag. Als die dat kan verrijken tot herleidbare persoonsgegevens dan moet de QR-code zelf al een persoon uniek identificeren. Maar de doorgegeven persoonsgegevens zijn juist bewust zo onvolledig gehouden dat dat niet kan.
Als de app van de bezoeker die gegevens al heeft, waar komen die gegevens dan vandaan?
Er is een punt dat de app het test- of vaccinatieresultaat ophaalt. Dat gebeurt niet op het moment van de controle, maar op het moment dat de gebruiker dat laat ophalen.
Kan het zijn dat die gegevens ook beschikbaar blijven aan de bron waar ze vandaan komen? Welke waarborgen zijn er aan die bron?
Die gegevens haalt de CoronaCheck-server op uit de systemen van de GGD's of een andere zorgverlener die een test of vaccinatie heeft uitgevoerd. Daarvoor gelden de eisen die aan medische informatieverwerking worden gesteld, in algemene termen in de AVG en uitgewerkt in NEN-normen.
We weten dat het met callcentermedewerkers die voor de GGD's werkten mis is gegaan. We weten ook dat dat tot ophef en aanpassingen heeft geleid.
Het is op zich enigszins geruststellend ALS alleen een mens een zichtcontrole doet op die gegevens, want verreweg de meeste mensen zijn niet in staat zulke gegevens lang te onthouden. Maar:
(1) hoe kan ik zelf controleren dat de scanner-app die gegevens (op dat moment) niet vastlegt? Of moet ik daarvoor vertrouwen op de adequaatheid en volledigheid van een architectuurbeschrijving?
Je kan dat niet zelf controleren, en de architectuurbeschrijving garandeert het niet. Het is namelijk open source en iemand kan een aangepaste versie van de app draaien die het wel vastlegt.
Maar hoe groot is de kans daarop? Waarom zou een kroegbaas of een theaterdirecteur ook maar een begin van interesse in jouw initialen en je geboortemaand en -dag hebben? En waarom zouden al die kroegen, restaurants, theaters enzovoorts met elkaar gaan samenwerken om te kunnen achterhalen dat je bij een Chinees restaurant op de Zeedijk hebt gegeten voordat je naar het Muziekgebouw ging voor een concert? Dat advertentiebedrijven als Google en Facebook alles van je willen weten is duidelijk, hun verdienmodel is gebaseerd op het profileren van mensen. Maar kroegen? Theaters? Restaurants? Denk je werkelijk dat die zich daarmee bezig houden?
En voor het risico dat de overheid erin geïnteresseerd is en het stiekem vastlegt kom je weer terug bij het feit dat het open source is en dat het in principe controleerbaar is of de versies van de apps die via de app-stores voor de verschillende platforms verspreid worden kloppen met dezelfde versies in de publieke repository's (de GitHub-account van VWS dus).
(2) wat als ik niet wil dat mijn persoonsgegevens door een mens worden gezien als ik bijvoorbeeld een café of nachtclub betreed? Voorheen hoefde ik me niet te identificeren, nu wel. Stel dat de mens die mijn persoonsgegevens controleert, mij ergens anders van (her)kent en op enige wijze iets wil doen met die gegevens (initialen, geboortedag en -maand), of weet dat iemand anders daar belangstelling voor heeft? Het gaat hier natuurlijk maar om een klein aantal gevallen. Maar daar gaat het bij privacy elke keer om.
Besef dat voor de mensheid met grootschalige gegevensverwerking op wereldwijd met elkaar verbonden computers begon de risico's zo klein waren dat we helemaal geen wetgeving als de AVG nodig hadden. Wat je nu doet (en dat zie ik meer mensen doen, ook op deze site) is die kleine risico's angstaanjagend vinden omdat er ook grote risico's zijn. Alleen klopt het niet, mensen die je initialen zien staan voeden dat niet volautomatisch aan het internet of aan Google of zo, het is niet zo dat omdat een mens het ziet er opeens risico op grootschalige verwerking is. Blijf met je voeten op de grond staan.
In 99,9% van de gevallen levert een privacy-inbreuk geen schade op. Maar inmiddels hebben we wel een situatie gecreëerd waarin er 999 keer per dag een privacy-inbreuk plaatsvindt.
Er is een hoop aan de hand, ja. Daarom wordt zo gehamerd op privacy by design, dataminimalisatie etc. Maar de CoronaCheck-app en het systeem eromheen lijken nou juist een voorbeeld te zijn van een toepassing die goed in elkaar zit. Of die nou echt zijn doel waarmaakt is voor mij nog een open vraag, als de initialen en geboortemaand en -dag vaak niet gecontroleerd worden in de praktijk dan is dat twijfelachtig, maar ik vind wat men gedaan heeft om privacy-inbreuken te voorkomen er goed uitzien.
(3) bestaat er een risico dat er na het scannen sporen van die scan achterblijven op het device (de smartphone) waarop de QR-code zichtbaar is die wordt gescand? Zo nee, waarom niet? Zo ja, welk risico?
De informatie waaruit de QR-code wordt gegenereerd staat erop. Hier geldt weer: als je je smartphone niet vertrouwt moet je hem niet gebruiken.
Wat jij van mij vraagt, is dat ik mijn zeggenschap over mijn eigen data opgeef en vertrouw op "de GitHub-account van het Ministerie van VWS", het ministerie dat onder leiding staat van een leugenaar die vooroordelen tegen andersdenkenden aanwakkert.
Snap je niet dat ze iets verdomd goed doen door het zo te publiceren? Als je alleen de signalen verwerkt dat er iets niet goed zit en alle goede signalen buitensluit dan zet je jezelf in de positie dat je alles en iedereen alleen nog maar negatief kan beoordelen. Dan is het je negatieve oordeel zelf dat maakt dat je telkens negatieve oordeel bevestigd ziet worden.
En ik moet mij van jou aan de studie zetten om broncodes te leren lezen. Waarom zou ik dat moeten willen doen?
Ik verwees naar de architectuurbeschrijving, en naar een specifiek schema erin waar je belangrijke informatie uit kan halen zonder de broncode te lezen. En ja, ik wees erop dat ook de broncode van de apps daar te vinden is. Niet omdat ik denk dat iedereen dat ook door gaat spitten, maar omdat het wel verdomd relevant is dat dat
kan.
Als je het zelf niet kan kan je wel beseffen dat er anderen rondlopen die het wel kunnen, en dat er ook werkelijk naar gekeken wordt omdat het onderwerp sterk in de belangstelling staat. Maar als je wantrouwen zo algemeen is dat je al die nerds ook niet vertrouwt en uiteindelijk alleen je eigen wantrouwen overhoudt om op af te gaan, dan heb je een probleem, ja.
Ik wil alleen maar een café in.
Dat kan ook. Druk die QR-code af en neem hem mee. Wat jou vooral tegenhoudt is je eigen wantrouwen.
Jij zegt eigenlijk dat ik me moet onderwerpen aan de ideeën van IT'ers, of er zelf één moet worden, om nog een café in te mogen. Daar ben ik het niet mee eens. Ik wil niet dat IT'ers onze nieuwe Brahmanen worden, een kaste die niet kan worden tegengesproken.
Kijk, daar heb je je wantrouwen. Het spijt me, maar je hebt er nou eenmaal mee te leven dat een mens onmogelijk overal zelf deskundig in kan zijn en daarom regelmatig afhankelijk is van de kennis en expertise van anderen.
Nee, je kan niet elke IT'er vertrouwen. Maar kijk om je heen naar de mensen die je persoonlijk meemaakt, niet online maar in het echt. De mensen die je in de kroeg tegenkomt, je familie, je vrienden, je collega's. Tenzij je het wel bijzonder slecht hebt getroffen in het leven zullen er een paar mensen tussen zitten die echt niet te vertrouwen zijn, zijn er een paar mensen die indrukwekkend betrouwbaar zijn, en zullen de meeste mensen daartussen zitten en redelijk betrouwbaar zijn zonder dat ze perfect zijn. Bedenk dat dat beeld bij alle mensen die je niet kent net zo is. Het is niet alleen maar kommer en kwel.
Juist omdat hier dingen tot in het kleinste detail (namelijk de broncode) openbaar zijn gemaakt en er onafhankelijke IT'ers rondlopen die ernaar kunnen kijken, waaronder IT'ers die gelieerd zijn aan digitale burgerrechtenorganisaties, journalisten als Brenno de Winter, noem maar op, is de kans heel groot dat als er hier dingen ernstig mis mee zijn die ook aan het licht komen.
Het gaat hier ook NIET over een noodzaak van het overhandigen van persoonsgegevens omwille van de volksgezondheid, want met het oog op volksgezondheid zijn er andere maatregelen vereist. Bijv. een verplichte toegangstest (sneltest) voor IEDEREEN die een disco binnen wil en/of handhaving van de 1,5 meter-regels in café's en restaurants. Maar dat soort beperkingen heeft het Ministerie juist afgeschaft.
Is er dan een sneltest beschikbaar die praktisch toepasbaar is bij de ingang van een café of theater? Het werkt niet als je een kwartier of zelfs maar 5 minuten op de uitslag moet wachten. Wat men heeft gedaan is zorgen dat je die test vooraf kan doen en bij de ingang snel kan laten zien dat het gebeurd is en het resultaat goed is.
Zoals aangegeven, ben ik zelf niet geschoold in IT. Maar ik heb wel genoeg gelezen om overtuigd te zijn van de vindingrijkheid van heel veel handige IT'ers die allerlei wegen weten te vinden om "waarborgen" en "obstakels" te omzeilen. Hackers zijn daarvan maar één voorbeeld.
Ja, maar je geeft er duidelijk blijk van dat je hierop reageert met een algeheel wantrouwen waardoor je geen enkel oordeel dat er iets goed zit nog vertrouwt. Als je op basis van je wantrouwen alleen nog maar signalen die dat wantrouwen bevestigen tot je door laat dringen dan blokkeer je bij jezelf elke mogelijkheid om er nog achter te komen dat dat wantrouwen soms niet gerechtvaardigd is.
Goed dat je toegeeft dat er een risico in algemene zin bestaat.
-- En ja, als het "in algemene zin" bestaat, dan is het dus ook in dit geval van toepassing, tenzij het tegendeel wordt aangetoond. Dat heb jij tot nu toe niet gedaan.
Je legt de bewijslast bij degene die moet aantonen dat iets er niet is maar vertrouwt iemand die zegt dat het meevalt per definitie niet. Precies wat ik al aangaf: je wantrouwen bevestigt je wantrouwen.
Met "in algemene zin" bedoelde ik niet dat het altijd overal van toepassing is, maar dat het heel algemeen voorkomt dat er dingen misgaan. Het komt ook heel algemeen voor dat het goed gaat, maar dat haalt het nieuws niet.
-- En nee, je weet best dat ik die aanhalingstekens niet gebruik als "onderbouwing". Ik gebruik de aanhalingstekens bij "niet de bedoeling" omdat het inmiddels duidelijk is dat function creep telkens optreedt bij data-systemen.
Nee, dat weet ik niet. Aanhalingstekens worden, als ze niet gebruikt worden om letterlijke citaten weer te geven, typisch gebruikt om aan te geven dat (naar de mening van de schrijver) iets
zogenaamd zo is. Daardoor kwam je over alsof je er bij voorbaat van overtuigd bent dat je bedonderd wordt.
Nee hoor, ik veeg niks nonchalant van tafel, maar geef jou de gelegenheid dingen uit te leggen. En daar heb jij nu ook een begin mee gemaakt. Prima, maar zoals je ziet, heb je mijn zorgen hiermee nog niet kunnen wegnemen.
Dan zou ik je aanbevelen om voortaan ook om die uitleg te vragen in plaats van het zo te formuleren zoals je deed.
Er is geen dataminimalisatie toegepast in dit systeem, maar datamitigatie. Dat is iets anders.
Nou mag jij mij iets uitleggen: wat is datamitigatie? Het verzachten of lenigen van data?
In dit geval is het voor de bescherming van de volksgezondheid helemaal niet nodig om persoonsgegevens te verwerken. Daarom zou "dataminimalisatie" in dit geval betekenen dat er helemaal geen persoonsgegevens worden verwerkt.
Er is zelfs een wettelijke plicht om bij medische gegevens het BSN te gebruiken. Bij de CoronaCheck is er een legitieme behoefte om te kunnen controleren dat mensen niet de QR-code van iemand anders gebruiken, en men heeft juist dataminimalisatie toegepast door niet een set identificeerbare gegevens te gebruiken maar juist iets waarbij dat niet lukt en sjoemelen toch heel lastig wordt - of zou worden als de vergelijking met identiteitsbewijzen goed zou worden uitgevoerd.
Ik sprak die iemand (@Rotsmoel) daarop pas aan nadat hij/zij zelf op neerbuigende wijze had aangegeven dat anderen niet logisch redeneerden. En ik legde daarom uit wat logisch redeneren volgens mij in het specifiek door hem/haar genoemde geval zou inhouden.
Waarbij je een aantal heel algemene dingen zei die ik weer op jou betrok.
Ik accepteer in mijn eigen denken dat ik niet alles weet, en ga uit van de beste informatie die ik heb. Ik maak inzichtelijk op welke informatie ik me baseer, en blijf luisteren naar anderen als die aanvoeren dat mijn informatie (in meer of mindere mate) "garbage" is.
Sorry, maar lees nog eens je eigen reacties terug, je kan behoorlijk definitief klinken over de "echte doelen" van het systeem, zet "experts", "volksvertegenwoordigers" en "rechters" tussen aanhalingstekens alsof enige integriteit daar bij voorbaat onmogelijk is. Je komt niet over alsof je zo open bent in je denken als je hier nu doet voorkomen.
Dan hoor ik graag in een respectvolle dialoog wat zij te zeggen hebben en welke betere informatie zij kunnen aanvoeren. Zoals jij in deze forum-thread ook hebt kunnen zien, ben ik volledig bereid om te erkennen als informatie die ik als uitgangspunt nam, incorrect blijkt te zijn.
Ik krijg alleen de indruk dat je als dat gebeurt je ook regelmatig op zoek gaat naar argumenten om vooral niet van je standpunt af te hoeven wijken. Je respect komt over als vrij oppervlakkig.
En dan ga ik op basis van de nieuw voorhanden gekomen info opnieuw nadenken en (indien van toepassing) redeneren. Dat heb ik @Rotsmoel nog niet op die manier zien doen.
Nee? Zie bijvoorbeeld 10-06-2021, 22:56 door Rotsmoel.
Er is een term voor als je anderen aanspreekt op een norm of principe waar je je zelf niet aan houdt: hypocrisie.
En hoppa, daar komt weer een nodeloze beschuldiging. Hypocrisie bestaat, maar dit is daar geen voorbeeld ervan. Ik zou zeggen: kijk even in de spiegel als het gaat om hoe jij met anderen omgaat.
Kijk ook nog eens goed in de spiegel die ik jou voorhield.
Als jij beschikt over informatie die anderen niet hebben, kun je die ook aan anderen ter beschikking stellen zonder ze meteen een veeg uit de pan te geven. Dat zou het voor anderen ook makkelijker en prettiger maken om met de inhoud van jouw informatie aan de slag te gaan.
Dat doe ik ook nagenoeg altijd, en ik heb ook al vaker op jou geantwoord. Houd je van jouw kant rekening met de mogelijkheid dat deze reactie niet helemaal zonder basis was?
Ik ervaar jouw houding als eisend en veroordelend. Ik MOET van jou een voor mij (nog) niet inzichtelijk systeem vertrouwen en mijn persoonlijke data daaraan overgeven, anders wordt mij de toegang tot een café of restaurant ontzegd. Ik mag van jou ook nog geen kritiek uiten op dat arrangement, omdat ik van jou eerst een studie moet maken van dat systeem (incl. vaktechnische informatie, de broncode e.d.) voordat ik van jou daarover iets mag zeggen. Hoezo? De bewijslast ligt bij jou.
Als jij beweringen doet die stelliger zijn dan waar je bewijs voor hebt dan is het niet zo dat de bewijslast ligt bij degene die dat onderuit moet halen, dan heb je om te beginnen zelf iets te onderbouwen.
Voorheen kon ik gewoon naar het café zonder mezelf te identificeren en zonder ook maar één persoonsgegeven te laten "scannen". Maar nu, als ik daar niet kritiekloos in toestem, word jij boos en beschuldigt mij van "hypocrisie". Nou, nou, dergelijke bully-methoden wekken bij mij juist geen vertrouwen.
Weet je nog dat het ging over logisch denken, garbage in, garbage out? Ik had het niet over kritiek op CoronaCheck, ik had het erover dat je een ander aansprak op gebrek aan logisch denken terwijl je het zelf ook niet altijd doet.
Een systeem met zulke vertegenwoordigers, dat kan mijn rug op.
Negeer vooral dat het een reactie ergens op was en dat je ook een hoop inhoudelijke informatie kreeg, van mij en van anderen. Je demonstreert weer dat je je oordeel alleen baseert op waar je negatief over kan zijn.
De logica hiervan is dat ik systemen beschouw als zijnde geïntegreerd met de mensen die ze inzetten. Als ik die mensen niet vertrouw, dan vertrouw ik hun instrumenten ook niet.
Nogmaals, ik ben er helemaal niet van overtuigd dat CoronaCheck ook werkt, maar niet vanuit het idee dat ze wel in het geniep allerlei informatie zullen verzamelen die ze niet zeggen te verzamelen, en ook niet vanuit het idee dat degenen die dit hebben opgezet (wat niet Hugo de Jonge persoonlijk is) alleen maar incompetent kunnen zijn.
Juist omdat de uitvoerders niet die meneer met een marketingpraatje zijn maar andere mensen is het niet zo geïntegreerd als jij veronderstelt. En juist omdat de architectuurbeschrijving en de broncode open en bloot beschikbaar zijn en lang niet alle IT'ers op de wereld doortrapte leugenaars zijn is hier controleerbaar of het wel klopt op een manier die je maar zelden meemaakt.
O, en wist je dat onder IT'ers en wetenschappers relatief veel autisten voorkomen? En wist je dat een van de eigenaardigheden van autisten is dat ze typisch een behoorlijke hekel hebben aan leugens en dat alle leugentjes om bestwil van niet-autisten een van de redenen zijn waarom ze zoveel moeite hebben met de omgang met andere mensen? Autisten zijn echt niet immuun voor dingen verkeerd zien en ze kunnen er ook knap eigenwijs in zijn, maar besef wel dat de kans groot is dat als een autist je iets vertelt dat hij dat ook echt meent en er geen verborgen agenda achter zit. Dat geldt ook voor de autisten die wetenschapper of IT'er zijn.
Dus ik zou zeggen: kijk eerst nu maar eens in de spiegel en leer respectvol om te gaan met degenen die worden getroffen door zo'n door jou voorgestaan systeem. Bied bijvoorbeeld je excuses aan voor de kwalificatie "hypocriet". Dan is er daarna misschien weer een betere basis om verder te praten.
Ik bied daar niet mijn excuses voor aan. Je gaf aanleiding ertoe, en je geeft er tot nu toe geen blijk van dat je in de spiegel die ik jou heb voorgehouden wilt kijken.