Ik lees in de brief dat het NCSC IP adressen in Japan met Japan heeft gedeeld. En IP adressen in Canada met Canada. Die adressen verwijzen naar de aanbiedeers, maar dat zijn dan bedrijven in Canada en Japan (enz). Die vallen, volgens mij, niet onder de AVG. Dit lijkt mij dus geen datalek.

IANAL.

Peter

Echt te gek voor woorden eigenlijk. In feite doen ze gewoon hun werk: dreigingsinformatie delen. Het is ook niet zo dat er 'gevoelige' info met Rusland is gedeeld, nee... met de US en Japan. Dat zijn nog altijd bondgenoten.

De gehele AVG is doorgeslagen wetgeving. De enigen die er echt baat bij hebben, zijn mensen die het niet zo nauw met de regels nemen, en zich daardoor heel lang voor hun slachtoffers kunnen verbergen.

Weer een mooi voorbeeld van de zotheid binnen de AVG om IP nummers te koppelen aan personen als identificerend nummer.

Maar wacht even...
Huh? Waar is precies dat lek dan begonnen?
Even opnieuw lezen...
Dus het datalek is begonnen nadat de NCSC info over een besmet systeem gedeeld heeft met bondgenoten?

Tja, als ik het zo lees heeft een bondgenoot onrechtmatig inzage gekregen in data die reeds gelekt was.
En ik vermoed dat de NCSC feitelijk niet de verantwoording voor de beveiliging daarvan had.

Anderzijds, wel netjes dat de NCSC zichzelf niet boven de wet plaatst - en transparant is.

Hebben we inmiddels al excuses gemaakt aan de Chinese statelijke actor ...?

Ze kunnen niet uitsluiten dat er IP-adressen tussen zitten die tot personen te herleiden zijn. En ze zeggen dus niet dat er een datalek is maar dat ze het niet uit kunnen sluiten, en daarom hebben ze een melding bij de AP gedaan ervan.

De hele AVG is veel te slap. MIJN data ligt nog steeds op straat omdat het 'mag van de AVG', ondanks dat het MIJN data is. Dat moet een heel stuk strenger!

Naast heel veel zotheid met (hopelijk) onbedoelde neveneffecten natuurlijk...

De AVG noemt helemaal geen IP-adressen. Het gaat erom of een persoon direct of indirect identificeerbaar is met een gegeven. De AVG legt zelf geen koppeling, maar is van toepassing als die koppeling er in de praktijk is. En de praktijk is dat een persoon wel degelijk vaak via een IP-adres identificeerbaar is. Typisch indirect, maar dat telt mee.

Dus NCSC zou onbewust zijn vergeten te checken of er wel een wettelijke grondslag is om gegevens te delen met vier buitenlanden? Totaal ongeloofwaardig. De minister liegt als hij dit met droge ogen suggereert, want hij weet ook wel beter.


Het is voor de AVG niet relevant als een gegeven alleen herleidbaar is tot een organisatie, want dan is het geen persoonsgegeven. Maar wel als het herleidbaar is tot een persoon, dan is het namelijk wel een persoonsgegeven. Wat op zich nog onduidelijk blijft, is of het dan zou gaan om personen binnen of buiten de EU.

De AVG gaat hoe dan ook over de alle verwerking van persoonsgegevens in EU-landen en/of door organisaties die zijn gevestigd in EU-landen, ook als het persoonsgegevens betreft van personen die zich buiten de EU bevinden.


Volstrekte onzin wat @Anoniem hier zegt. De AVG "koppelt" geen IP-adressen aan personen. De AVG schrijft alleen voor dat als een bepaald IP-nummer aan een persoon gekoppeld kan(!) worden (door wie dan ook), er dan dus sprake is van een "persoonsgegeven" zoals bedoeld in de AVG, en dat dan de regels van de AVG m.b.t. de verwerking van persoonsgegevens van toepassing zijn. Dat lijkt mij helemaal niet zot, maar essentieel voor de bescherming van de privacy van personen.

De GDPR voorziet gewoon in uitzondering regel voor een dienst als NCSC omdat het om veiligheid situatie gaat door een overheid organisatie met andere veiligheid organisaties. Dus er is helemaal geen datalek. IP informatie delen voor veiligheid is ook gewoon toegestaan los daarvan je mag het niet doen voor marketing etc maar je mag wel je informatie ophalen en delen als het netwerkveiligheid betreft ander kon elk cyber security bedrijf en ISP wel opdoeken.

Het is niet de doorgeslagen wetgeving maar de stupide niveau van kennis van leidinggevende die niets snappen van de wetgeving. paniek voetbal om niks.

De AVG is niet doorgeslagen, die is er omdat het internet is doorgeslagen wat overboord gooien van privacy betreft. Je sluit je ogen voor een probleem en doet of een maatregel tegen het probleem is wat er misgaat, omdat je daar ook wel eens last van hebt.

Dat er partijen zijn die zich er succesvol aan weten te onttrekken geeft niet aan dat de AVG is doorgeslagen maar dat hij tegen die partijen nog niet voldoende is. Dat heeft vooral te maken met hoe handhaving door de EU-lidstaten wordt ingevuld: al die Amerikaanse dataslurpers hebben hun EU-vestiging in het soepele Ierland; en onze AP krijgt maar de helft van het budget dat die nodig heeft om zijn werk naar behoren te kunnen doen. Mede daarom heeft de EU de DMA en DSA ingevoerd, met toezicht op Europees niveau.

Dit is helemaal geen issue met de AVG, en dat is ook geen doorgeslagen regelgeving. De primaire bedoeling van de AVG is niet en nooit geweest om inlichtingendiensten die bezig zijn met de verdediging tegen Chinese statelijke actoren in de weg te zitten. Als het is in zo'n casus noodzakelijk is om bepaalde gegevens te delen met landen buiten de EU zoals Japan of de VS, dan moet dan natuurlijk kunnen, maar dan wel volgens de jusite procedure, met inachtneming van bepaalde waarborgen, op zo'n manier dat de persoonlijke informatie van onschuldige burgers zoveel als mogelijk buiten die data gehouden wordt en dat alles binnen de grenzen die de wet aangeeft. Mogelijk moet dus wetgeving aangepast worden. Dat is ook logisch; de maatschappij en de techniek ontwikkelt zich en wetgeving moet ook als een iteratief proces van tijd tot tijd herzien worden om aan te blijven sluiten bij de wensen van de volksvertegenwoordiging en de eisen die uit de praktijk komen.

Dat in dit specifieke geval de noodzaak evident is (ik heb de gehele brief niet gelezen, maar laten we "for the sake of argument" even aannemen dat dat zo is, en dat iedereen het daar mee eens is) betekent niet dat de NCSC dat dan zomaar zou mogen doen. Het kan namelijk niet zo zijn dat instanties zoals politie, justitie, of veiligheidsdiensten zelf, zonder benodigde wettelijke basis, gaan bepalen wat wel en niet noodzakelijk is en wat ze ondanks het ontbreken van een bij wet vereiste grondslag toch zouden mogen doen. Dat is het kenmerk van een politiestaat. Als we een rechtsstaat willen zijn, dan moeten we zorgen dat de overheid en overheidsinstanties zich aan de wet houden, ook al lijkt de noodzaak evident. Dit betekent niet dat het hele veiligheidssysteem dan maar tot stilstand moet komen. Het betekent wel dat als ze iets willen waar de wet niet in voorziet dit eerst langs de kamer gaat zodat er gekeken kan worden of het proportioneel is en welke waarborgen nodig zijn.
En bij zeer urgente echt spoedeisende gevallen zijn er ook procedures die de mogelijkheid geven en om te handelen, en daarna daarover verantwoording af te leggen. Zomaar echter dingen doen die van de wet niet mogen, zou niet moeten kunnen en daarom is het goed dat er een melding is gemaakt. Dat is geen doorgeslagen AVG; dat is een hiaat in de wettelijke kaders waaronder de NCSC opereert, en is hoe het zou moeten werken in een rechtsstaat in plaats van een politiestaat.

Even iets anders nog: Als het duidelijk de Chinese staat is die cyberaanvallen uitvoert; wanneer kunnen we dan eindelijk eens gaan spreken van een daad van oorlog? We horen al jaren en jaren dat het moderne slagveld ook de online wereld omvat; dus als we daar aangevallen worden door de Chinezen, waneer gaan we dan eindelijk eens erkennen dat ze oorlogshandelingen tegen ons verrichten?

Ik kon het specifieke artikel niet vinden, maar Andrew Cormack heeft hier onderzoek naar gedaan en het delen van deze informatie is gewoon toegestaan onder de de GDPR. Als startpunt is https://regulatorydevelopments.jiscinvolve.org/wp/2021/09/01/csirt-information-sharing-completing-the-legal-framework/ is een goed begin. Let op: veel leesvoer.

Peter

Doel je op artikel 2 AVG ("Materieel toepassingsgebied"), tweede lid aanhef en onder d)? Dat luidt als volgt:


Dit roept twee vragen op:

1) Is het NCSC als het gaat om het delen van willekeurige (d.w.z. alle mogelijke) persoonsgegevens met de VS, het VK, Canada en Japan een "bevoegde" autoriteit? Dit hangt af van de wettelijke taak van NCSC en de precieze omschrijving daarvan. Bestaat er eigenlijk wel een precieze omschrijving van die wettelijke taak, of heeft het NCSC misschien een mandaat gekregen om ALLES te doen zolang het maar op enige wijze kan worden beschouwd als zijnde "met het oog op de nationale cyber-veiligheid"? In dat laatste geval mag NCSC natuurlijk ook meteen camera's plaatsen in de slaapkamer van elke Nederlander.

Een subjectief gevoel van het NCSC dat het delen van bepaalde data met buitenlandse regeringen of instanties "wel eens in het belang zou kunnen zijn van de nationale veiligheid" zou dan al voldoende zijn...

2) Wat zijn in dit geval de "strafbare feiten" met het oog waarop NCSC de betreffende (persoons)gegevens heeft gedeeld met de VS, het VK, Japan en Canada? Zijn die feiten enigszins concreet, of concreet voorzienbaar?

Of gaat het alleen om vage, onduidelijke, nog niet geconcretiseerde "gevaren voor de openbare veiligheid"? Als ik op straat mijn hond uitlaat en de drollen niet opruim, ben ik misschien ook wel zo'n "gevaar voor de openbare veiligheid", want er kan een politie-agent over het spulletje uitglijden, zeker als het vermengd is geraakt met vallende bladeren in de herfst.

NCSC is in 2012 opgericht en maakte tot 2019 deel uit van NCTV, waar Dick Schoof, onze huidige minister-president, destijds als directeur de scepter zwaaide. NCTV is nog steeds "opdrachtgever" van NCSC, en dus bepalend voor wat NCSC feitelijk doet. Op Wikipedia tref ik het volgende aan


Het lijkt er dus op dat het NCSC wordt aangestuurd door een organisatie waarvan de hoogste functionaris nog niet zo lang geleden welbewust het vereiste van een wettelijke grondslag terzijde heeft geschoven, en tevens een organisatie die begrippen zoals "extremisme" en "gevaar voor de nationale veiligheid" zo breed mogelijk opvat en zo ver mogelijk uitrekt.

De echte vraag die hier ligt, is dus eigenlijk: willen we überhaupt nog enige democratische en rechtsstatelijke controle uitoefenen over organisaties zoals NCSC en NCTV, die we destijds officieel hebben opgericht om onze democratische rechtsstaat te "beschermen".

M.J.

“America has no permanent friends or enemies, only interests.” Henry Kissinger.

Lezen gaat blijkbaar nog steeds achteruit...
NCSC heeft niet in het taken pakket om derden buiten nederland te beschermen of derden buiten NL te waarschuwen.
In de wet staat wat NSCS, AIVD en MIVD wel en niet mogen doen.

NCSC zou op z'n bets de minister van buza op de hoogtebkunnen brengen van issues, de minister dan dan met japan en canada overleggen... Er kan evt een verdrag opgesteld worden om het te stroom lijnen. Verdragen gaan boven wetten.
Anders kan aidv in 7 eyes wat melden.

Dat AP betrokken raakt is eerder omdat een interne diendt dat in NL alleen daar kan melden.

Het bericht roept bij mij toch nog wel een aantal vragen op.


De AVG / GDPR bestaat nu al ruim 6 jaar (sinds 2018).
En deze organisatie, die dagelijks met gevoelige data om gaat, heeft dan opeens haar processen niet (meer) op orde?



Dit is toch al langer zo. Niet opeens vandaag. Dus waarom "vergeet" men dat nu dan opeens?
Waarom hebben ze niet de juiste route gevolgd om de bondgenoten te informeren? Via de juiste dienst.
Of hebben we die dienst niet (meer)?


Waarschijnlijk mogen we blij zijn dat de minister niet meld dit vaker kan gaan gebeuren, en "dat we er maar mee moeten leren leven". Dat het mensenwerk is.


We geven deze dienten veel ruimte en mogelijkheden om hun werk te doen. Maar daar hoort wel een stuk zorgvuldigheid tegenover te staan. Inclusief kennis en toepassing van de juiste regels en processen.
Als deze diensten niet meer vertrouwd kunnen worden zorgvuldig met gevoelige data om te gaan, dan schieten ze zichzelf toch in de voeten. Dan gaan uiteindelijk hun bronnen opdrogen. Want dan vertrouwt niemand ze meer. Zien ze onze dienst(en) als een lekke zeef. (Pun intended)


Komt dit nu omdat de toezichthouders voor de diensten tandeloos gemaakt zijn?

Zo zouden er meer moeten denken.

Maar goed, ook op die basis hebben 'we' op dit vlak overeenkomstige 'interests' met de VS en Japan .
Verder : Quid pro quo. (En : Do ut des )

Maar een en ander is wel afhankelijk van wat er in het Witte Huis zit.
En dan blijkt al snel dat je ook te afhankelijk kan zijn van anderen.

De GDPR is al in 2016 geratificeerd, doe je huiswerk.

Volledig mee eens, en goed gezegd. We kunnen ons niet voor altijd achter de dijken blijven verstoppen. Het delen van cruciale informatie is noodzakelijk, en de werkelijkheid gaat een stuk sneller dan de wetgeving bij kan benen.

Niemand die valt over het feit dat dit nu pas opgemerkt wordt? Wat zegt dit over de effectiviteit van het NCSC? Is dit de eerste keer dat ze informatie moeten delen met een buitenlandse partij? Is (internationale) informatiedeling niet een kerntaak van het nationale CSIRT? Leveren ze nooit informatie aan het buitenland of was dit de eerste keer sinds de nieuwe wet? Hoe kunnen ze in alle internationale gremia zitten zoals FIRST, terwijl ze blijkbaar geen grondslag hebben om internationaal te delen?

Eerder andersom toezichthouders geÏndoctrinieerd met door activisten.
Met veel onbewezen stellingnames kun je uit activisme de democratie ondermijnen,
Toezichthouders zijn daarbij een prachtig instrument om invloed in elke richting te sturen. Wie controleert de toezichthouder?

Dat is absoluut niet waar en echt ongelovelijk kortzichtig; kijk hoe ze met persoonsgegevens in b.v. de USA omgaan, of hoe je 0 privacy online hebt in andere landen. Zonder privacy kun je ook geen goed werkende democratie hebben. Dat marktplaats er een potje van maakt en het beschermen tegen oplichting als een upsell mogelijkheid ziet ipv haar verantwoordelijkheid als platform/facilitor, staat hier los van...

Het is wel duidelijk dat jij nooit een activist bent geweest die geprobeerd heeft een toezichthouder tot actief handhaven te bewegen. Ik wel. Toezichthouders trekken zich over het algemeen echt helemaal niets van de wensen van activisten aan, maar verschuilen zich achter juridische regeltjes waaraan ze een draai geven zodat wat activisten willen, "niet kan, niet mag, niet kan en niet mag".

Bijna alleen via de politiek krijgen activisten soms wat voor elkaar, en dan volgen de rechters daarna soms ook. Heel soms is er een rechter die het voortouw neemt, als die ruikt dat de politieke wind een bepaalde kant op waait (denk aan bepaalde klimaatzaken). Pas daarna gaan Nederlandse toezichthouders soms schoorvoetend hun taak uitvoeren. Toezichthouders stellen zich, net als die hele bestuurlijke rataplan, bij voorkeur gedekt op en steken hun nek niet uit voor een goed doel, zelfs niet als dat hun wettelijke taak is. Hun personeel, van hoog tot laag, denkt vooral aan zichzelf, hun eigen bestuurlijke en ambtelijke overleving, hun hypotheekaflossing en hun pensioenvoorziening.

Voor onbewezen stellingnames kun jij, karma4, veel dichter bij huis blijven, namelijk door naar je eigen track record hier op Security.nl te kijken, met andere woorden, door in de spiegel te kijken. Ik weet, dat is heel moeilijk voor je. Ik als activist krijg jou niet zover. In dat opzicht lijk jij erg op al die toezichthouders.

Klopt maar...

"The European Parliament and Council of the European Union adopted the GDPR on 14 April 2016, to become effective on 25 May 2018"

Dat noem je iemand het vordeel van de twijfel geven. Vanaf 2018 moest het geregeld zijn bij alle organisaties.