Tag: persoonsgegevens

Reclame oké in ruil voor gratis content

  door

Iets meer dan de helft (51%) van de Amerikaanse smartphone- en tabletbezitters vindt reclame op hun apparaten prima mits dat inhoudt dat ze gratis toegang krijgen tot content. Dat blijkt uit het State of the Media: Consumer Usage Report van bureau Nielsen (bron).

Het kan natuurlijk zo zijn dat Amerikaanse smartphone- en tabletbezitters totaal anders zijn dan de Nederlandse gebruikers. Toch is bovenstaand bericht nogal tegenstrijdig aan het bericht dat we gisteren al lazen.

Oké, dat ging dan meer om het afstaan van gegevens, maar wat mij betreft kunnen we het één niet los zien van het ander. Willen we gratis apps dan zal dat leiden tot veel reclame in die apps en zeer waarschijnlijk worden de gegevens die gegenereerd worden ook voor andere doeleinden gebruikt. Zolang dat anoniem gebeurt en niet terug te herleiden is naar een individu valt het allemaal nog wel mee.

Natuurlijk kun je een nickname aanmaken in die apps. Maar dan nog kunnen er waardevolle gegevens verzameld worden. Zo weet men je telefoonnummer en aan de hand van je telefoonnummer kunnen ze je volgen. 24-uur per dag. Daaruit kunnen dan weer interessante gegevens gehaald worden want wanneer was jij op welke locatie, kom je vaker op die locatie en wat is er dan zoal op die locatie?

Reclame in ruil voor gratis content lijkt meer op de zogenaamde gratis economie zoals we die nu zien. Men wil niet meer betalen als het ook gratis kan. Geen probleem zolang we ons er maar van bewust zijn en zolang we maar begrijpen dat we dan de reclames om de oren krijgen.

Maar het wordt erger als verschillende gegevens van verschillende gratis apps gecombineerd gaan worden en via je telefoonnummer aan de persoon te koppelen is. Bij het aanvragen van jouw telefoonnummer heb je behoorlijk wat gegevens door moeten geven aan de provider. Wat nu als die provider via de apps ook beschikt over jouw smartphone-gedrag? Wat nu als die provider de ontwikkelaars van de apps geld geeft voor die gegevens of wat nu als die provider een flinke smak geld betaald om eigenaar te worden van die app?

Onwaarschijnlijk? Nou, waarschijnlijk niet. Het is aan de orde van de dag dat dergelijke apps en websites verkocht worden. Zonder dat we dat overigens weten. Oké, als we al het digitale nieuws goed volgen dan staat er vast wel ergens een berichtje, maar veel van ons zal dat ontgaan.

Neem nu een onafhankelijke website voor verzekeringen. Laten we die Independer noemen. Daar kun je verzekeringen vergelijken zodat je automatisch bij de voor jou beste verzekering uit komt. Laten we nu ook eens aannemen dat een verzekeraar een meerderheidsbelang neemt in die website. Laten we de verzekeraar hier voor het gemak Achmea noemen en laten we zeggen dat die 77% van het belang overneemt. Hoe onafhankelijk is Independer nu nog?

Misschien kom je inderdaad tot de conclusie dat je vanaf heden misschien beter een andere onafhankelijke site kunt raadplegen als je verzekeringen wilt vergelijken. Maar hoe vaak heb je Independer gebruikt? Welke gegevens heb je daar allemaal ingevuld? En wat hebben zij met die gegevens gedaan? Sterker nog: heb je ooit wel eens hun privacy statement gelezen en in hoeverre is dat statement gewijzigd na verkoop van hun belang?

Juist. Ik wil helemaal niet zeggen dat het zo is gegaan bij Independer en/of Achmea maar ik haal het hier gewoon als voorbeeldje aan. Er zijn er natuurlijk veel meer. Werd Hyves niet ingelijfd in de Telegraaf Media Groep? Is Marktplaats jaren geleden niet al verkocht? Nou ja, je begrijpt de strekking.

Reclame dus inderdaad best oké in ruil voor gratis content maar we moeten ons wel bewust blijven van de wijzigingen die zich in de toekomst voordoen. Kun jij er zelf echt wat aan doen? Nou, nee. Want ook de betaalde content levert deze risico’s op.

Mooi, hè? Die digitale revolutie die al jaren gaande is?

Negeren Windows updates nekt CheapTickets.nl

  door

Gisteren hadden we het nog over de FBI-topman die graag een tweede internet wil omdat daar dan de kritieke systemen onderling veilig kunnen communiceren. Daarbij gaf ik ook al aan dat er naast zware technische aanvallen ook de simpelere aanvallen en fouten zorgen voor beveiligingslekken. Nu wil ik niet direct beweren dat CheapTickets tot de kritieke systemen moet worden gerekend, maar het onderbouwd wel het idee dat er nogal wat schort aan de basis van beveiliging bij bedrijven.

Door een niet gepatchte test-webserver lagen de gegevens van 715.000 klanten van CheapTickets.nl voor het grijpen, waaronder wachtwoorden en paspoortnummers. De Windows Server 2003 omgeving was niet up-to-date, waardoor een aanvaller via een lek uit 2009 toegang kreeg tot een back-up, met daarin de eerder genoemde gegevens, maar ook zaken als volledige naam, adres, woonplaats, maaltijdvoorkeur en telefoonnummer.

In een verklaring laat CheapTickets weten dat het om een testomgeving ging met consumentengegevens die gedurende de periode 2008 tot 2009 werden verzameld. De gegevens zouden inmiddels offline zijn gehaald. (bron)

Voor al die organisaties die besluiten om nog maar een dure firewall aan te schaffen moeten we natuurlijk eerst even op de rem gaan staan. Voordat je investeert in nog een technische maatregel moeten we eerst eens goed kijken naar de organisatorische en procedurele maatregelen.

De vragen die gesteld moeten worden zijn bijvoorbeeld:

  • Waarom was de Windows server niet up-to-date?
  • Waarom was de test omgeving gekoppeld aan het internet?
  • Waarom werd er gebruik gemaakt van echte gegevens en niet van fictieve gegevens?

Beantwoorden we die vragen dan zijn we op weg om de echte oorzaken van een dergelijk incident te achterhalen. De gevolgen mogen zich dan uitten in een security incident, de oorzaken liggen (zoals bij veel incidenten) buiten dit vakgebied.

Het betreft hier onder andere tekortkomingen in ontwikkeling en beheer. Misschien goed om toch nog eens te duiken in standaarden als de ITIL-processen en als we nog eens Googlen op best practices voor ontwikkeling en beheer dan vinden we ongetwijfeld ook nog wel wat slimme tips.

De lessen die wij zelf natuurlijk trekken is dat we updates sneller testen en doorvoeren, dat we de OTAP-omgevingen scheiden van de productie omgevingen en van het internet, dat we persoonsgegevens niet langer bewaren dan strikt noodzakelijk en dat als we dan toch willen testen we gebruik maken van fictieve gegevens. Doen we dat, dan zijn we al weer een aardig stuk op weg en had in ieder geval dit incident voorkomen kunnen worden.

Maar ja, misschien ook een goede les voor al die klanten. Beveiliging is een kwaliteitsaspect. Dan moet je niet gek opkijken dat je bij een prijsvechter een minder goede beveiliging kunt verwachten. Ze moeten het geld toch ergens vandaan halen en dat doen ze onder andere door weinig te investeren in informatiebeveiliging.

Helaas geldt dat niet alleen voor CheapTickets maar ook voor andere organisaties. De basis van beveiliging is (nog lang) niet op orde, maar met de huidige bezuinigingen en met de concurrentiestrategie die veel organisaties op dit moment voeren, wordt er niet geïnvesteerd in informatiebeveiliging en kunnen we dergelijke incidenten meer en meer verwachten.

OV-bedrijven negeren inzageverzoek reisgedrag

  door

Vier van de vijf OV-bedrijven voldoen niet aan verzoeken om inzage in verzamelde persoonsgegevens te geven. Dat blijkt uit onderzoek van Jan-Jaap Oerlemans, onderzoeker aan de Universiteit van Leiden. Oerlemans had op 20 juli van dit jaar bij Trans Link Systems (TLS), NS, RET, Veolia, GVB en Connexxion een inzageverzoek van zijn persoonsgegevens ingediend. TLS en de NS voldeden aan het verzoek, wat niet geldt voor de vier andere OV-bedrijven (bron)

Ik heb het er al vaker over gehad en vind het goed dat hier nu eens onderzoek naar is gedaan. Organisaties die persoonsgegevens van je bewaren moeten je daar inzicht in kunnen geven, dat is wettelijk zo geregeld in de Wet Bescherming Persoonsgegevens. Te weinig mensen vragen hun gegevens op dus veel organisaties komen daarmee weg.

Onthoud dus dat je altijd het recht hebt op inzage, twijfel je aan de gegevens die een organisatie van je bewaard, maak daar dan gebruik van. Overigens mag die aanvraagprocedure wat mij betreft wel wat eenvoudiger want er wordt nogal eens ontmoedigingsbeleid gehanteerd. Maak die aanvraagprocedure zo ingewikkeld dat iedereen het wel uit zijn hoofd laat.

Misschien kunnen we eens een actiegroep oprichten die stelselmatig de persoonsgegevens op gaat vragen…een sponsor zullen we daar denk ik niet snel voor vinden.

Maar belangrijk om te weten is dat je dus altijd je gegevens op mag vragen, maak daar gebruik van als je dat nodig vindt.

75% Nederlandse bedrijven lekt persoonsgegevens

  door

Maar liefst driekwart van de Nederlandse bedrijven heeft persoonlijke gegevens van consumenten, klanten of werknemers verloren. Veel meer dan het wereldwijde gemiddelde, wat 58% bedraagt (bron).

Als we dus denken dat we in Nederland ver voorop lopen op het gebied van beveiliging, dan hebben we het goed mis. We doen het vele malen slechter dan het gemiddelde. Dan vraag je je natuurlijk af welke landen het allemaal beter doen. Zeker als je kijkt naar het feit dat wij zo graag kenniseconomie willen zijn. Blijkbaar schiet onze kennis toch nog te kort.

De klant is koning en heeft dus altijd gelijk…maar in dit geval helemaal: Consumenten vinden op hun beurt de privacy en bescherming van persoonlijke gegevens belangrijk, maar 51% heeft geen vertrouwen in de organisaties en bedrijven aan wie ze hun gegevens verschaffen.
Dat ze geen vertrouwen hebben in de organisaties blijkt nu terecht.

Voor organisaties kan beveiliging dus echt een onderscheidend vermogen en concurrentievoordeel zijn. Als je aan kan tonen dat de beveiliging op orde is en de klanten je vertrouwen dan kan je daar de voordelen uithalen.