Tag: privacy

Kentekencamera registreert auto bij 225 km per uur

  door

Bosch Security Systems heeft nieuwe camera’s gelanceerd die kentekenplaten aan snelheden tot 225 km per uur in hoge kwaliteit kan vastleggen. De camera kan daarnaast over een afstand tot 30 meter, zelfs onder slechte lichtomstandigheden, duidelijke en leesbare beelden vastleggen. “Hierdoor is accurate voertuigherkenning mogelijk”, aldus de fabrikant. (Bron)

Hartstikke goed natuurlijk dat Bosch een camerasysteem ontwikkeld heeft dat de kentekens tot een snelheid van 225 km per uur goed kan scannen. Maar hier beginnen natuurlijk ook gelijk de vragen. Want waarschuwden we in het verleden er al niet voor dat dit soort systemen straks ook voor andere doeleinden gebruikt zal gaan worden? Juist en als we niet oppassen worden we langzaam naar die afgrond geduwd.

De kentekencamera zal bedoeld zijn om kentekens voor een bepaald doel te scannen. Bijvoorbeeld of er wel wegenbelasting is betaald en of de auto wel verzekerd is. Prima natuurlijk. Maar het risico bestaat dat men straks de camera’s ook inzet om snelheidsbekeuringen of roodlicht overtredingen te registeren.

Ik wil de politie natuurlijk niet op een idee brengen, maar flitspalen zijn nogal prijzig en als we dan toch camera’s ophangen voor kentekenregistratie dan is de synergie natuurlijk niet zo ver te zoeken. We zullen dan een flinke toename in flitspalen…oh nee, kentekenregistratiecamera’s zien.

Verdeel en heers…langzaam aan laten we iedereen wennen aan het idee en we zorgen ervoor dat het nieuws ze langzaam bereikt. We beginnen nu te vertellen dat Bosch zo’n geweldig systeem heeft ontwikkeld en vertellen er nog even niet bij waarvoor we het straks in gaan zetten. Nee, stel je voor dat men de berichten aan elkaar koppelt en begrijpt dat ze hiermee behoorlijk wat extra bekeuringen gaan krijgen.

Gaat misschien wat ver? Misschien. Maar ook als ze deze systemen inderdaad niet inzetten voor het uitdelen van snelheidsbekeuringen. Heb je je dan wel eens ingedacht wat ze allemaal wel kunnen registreren? Als ze weten waar jouw auto zich bevindt op welk moment dan is “Big Brother wachting us”. En die gedachte alleen al, vind ik eng genoeg.

Computerwinkel steelt seksfoto’s Olympische atleet

  door

De Olympische spelen staan voor de deur (en het EK kunnen wij in ieder geval als afgesloten beschouwen).

De seksfoto’s van een Australische atleet zijn in handen van een computerwinkel gekomen nadat de man zijn defecte Mac ter reparatie had afgegeven. Vervolgens besloten medewerkers van de officiële Apple reseller de afbeeldingen op internet te zetten…De winkeleigenaar ontkent het op de seksfoto’s te hebben voorzien, maar liet wel weten: “Als mensen ervoor kiezen om foto’s en persoonlijke informatie op hun computer te zetten, is dat hun beslissing.” Het kopiëren van de foto’s zou geen misdrijf zijn, aangezien de beveiliging van de computer niet werd omzeild. (bron).

Ja, hoe vaak hoor jij in je omgeving niet dat vrienden en bekenden hun laptop naar de computerwinkel hebben gebracht omdat er een virusmelding gegeven werd of er zich een andere storing voordeed? Blijkbaar vinden ze het bij een computerwinkel heel normaal om door jouw persoonlijke bestanden te bladeren en als ze iets smeuïgs tegenkomen vinden ze dat ze het recht hebben om daar mee te doen wat ze willen.

Je kunt zeker in twijfel trekken of het hier om een misdrijf gaat of niet. Als het mij zou overkomen dan zou ik serieus nadenken over een “proefproces”. Maar ja, nu is nog onbekend om welke atleet het gaat, start hij een proefproces dan komt dat in het nieuws en kun je er op wachten tot de foto’s wijd verspreid over het internet gaan.

Als eigenaar van een dergelijke laptop wordt je dus eigenlijk in de tang genomen. Geef je er zelf aandacht aan dan ziet straks heel het land of heel de wereld de foto’s. Maar doe je er niets tegen dan kunnen computerwinkels vrolijk hun gang blijven gaan.

Hoor jij dus binnenkort in je omgeving dat een van je vrienden zijn computer wegbrengt, vraag dan voor de zekerheid even of hij zijn privacy gevoelige gegevens (zoals foto’s, maar denk ook aan andere bestanden als belastinggegevens, creditcardnummers, etc.) wel een beetje beveiligd heeft. Al is het maar met een simpel wachtwoord. Is dat het geval en worden de gegevens dan alsnog bekeken dan is in ieder geval de beveiliging omzeild en is er wel degelijk sprake van een misdrijf.

Werkgever eist Facebook-wachtwoord van sollicitanten

  door

Amerikaanse overheidsinstellingen en universiteiten zouden het Facebook-wachtwoord van sollicitanten vragen om te zien wat die in hun vrije tijd uitspoken. Voorheen werden sollicitanten om hun wachtwoord en gebruikersnaam gevraagd, maar na een klacht van burgerrechtenbeweging ACLU stopte dit. Toch heeft het Department of Corrections van de staat Maryland een nieuwe manier gevonden. Sollicitanten worden tijdens de sollicitatie gevraagd om ter plekke hun wachtwoord in te voeren, zodat de personeelsmanager foto’s, krabbels en vrienden kan bekijken (bron).

Oké, werk en privé zijn soms steeds moeilijker te onderscheiden, maar een dergelijke maatregel gaat wel erg ver. Wat je in je vrije tijd doet, moet je toch echt zelf weten en natuurlijk moet je je een beetje gedragen, maar zolang je geen strafbare feiten pleegt en zolang je de naam van je werkgever niet negatief beïnvloedt, mag je doen en laten wat je wilt, toch?

Hoewel de organisatie het niet verplicht stelt om je wachtwoord in te voeren, doen veel mensen dat toch. Blijkbaar zitten ze allemaal te springen om werk. Maar de vraag is natuurlijk of je wel voor een dergelijke werkgever wilt werken (oké, als je echt zit te springen dan doe je het…maar in alle andere gevallen zou ik hem lekker aan me voorbij laten gaan).

Gelukkig vindt dit plaats in Amerika, maar ja, alles wat daar een trend wordt, waait vroeg of laat ook over naar Europa. Afwachten hoe lang dat duurt en kijken hoe nijpend de werkloosheid tegen die tijd is.

Wordt de volgende stap dat je ook je pinpas en pincode afgeeft aan je baas zodat hij kan controleren of je niet teveel rood staat? En of je ook even je patiëntendossier wilt overhandigen, je zou zomaar iets naars onder de leden kunnen hebben. Veiligheid en beveiliging prima en dat we daar soms privacy mee schenden is tot op zekere hoogte nog tot daar aan toe…maar je kunt ook te ver gaan.

Moeders boos om verwijdering borstvoedingsfoto’s

  door

Nou, nog een berichtje over Facebook dan om deze week mee af te sluiten. We hebben het al gehad over het bewustzijn dat je moet hebben als je wilt voorkomen dat je in de toekomst met jezelf geconfronteerd wordt.

Aan de andere kant zijn er mensen die juist heel bewust foto’s op Facebook plaatsen. Ze willen er een statement mee maken, maar daar steekt Facebook een stokje voor.

Een groep Amerikaanse moeders is het zat dat profielensite Facebook constant foto’s verwijdert waarin zij hun kinderen borstvoeding geven. Om tegen dit beleid te protesteren organiseren zij nu ‘nurse-ins’ voor de kantoren van de site…Volgens de regels is het namelijk niet verboden om foto’s van borstvoeding online te plaatsen, mits de borst niet expliciet in beeld komt. Het wil echter nog wel eens gebeuren dat een dergelijke afbeelding door een andere gebruiker als ‘niet gepast’ aangevinkt wordt. Alle foto’s die op deze manier worden gemarkeerd, worden door Facebook-werknemers bekeken, waarna vervolgens besloten wordt of de prent al dan niet online mag blijven. (bron).

Het lijkt er de laatste tijd meer en meer op dat het tijdperk van ongecensureerd internet voorbij is. We zien berichten over het blokkeren van sites (onder het mom van auteursrechten) maar we zien ook dat sites als Facebook foto’s verwijderen die niet tegen de regels zijn. Er wordt dus een menselijke inschatting gemaakt en subjectief wordt bepaald of een foto wel of niet acceptabel is.

Gelukkig weten we sinds gisteren dat deze foto’s er niet definitief af zijn omdat ze met de URL nog steeds zichtbaar zijn. Maar daar gaat het deze moeders niet om. Zij willen bewust de foto’s geplaatst hebben (ze zullen daar hun redenen voor hebben).

Blijkbaar kan iemand op “niet gepast” klikken waarna een medewerker bepaald of de foto mag blijven staan of niet. Het mag dan jouw Facebook-profiel zijn, maar je mag niet helemaal zelf beslissen wat er op komt te staan. Hieruit blijkt maar weer dat je dus eigenlijk helemaal geen eigenaar meer bent van hetgeen je op je profiel plaatst. Aan de ene kant kan Facebook verwijderen wat ze wil, maar net zo makkelijk kunnen ze de gegevens gebruiken voor heel andere doeleinden.

Zeker nu Google zijn privacy beleid heeft aangepast, is het wachten op het moment dat andere social media dat ook doen. Dan zijn we nog maar een paar stapjes verwijdert van een koppeling tussen Facebook en Google (en nog wat andere sites) en je bent niet alleen geen eigenaar meer van je Facebook-profiel, maar wellicht ook geen eigenaar meer van je eigen leven.

Ja, natuurlijk staat het er wat zwaar en voorlopig zijn we nog niet zover. Maar de toekomst is dichterbij dan we denken. Ben je erg geschrokken en besluit je om je sporen te wissen? Dan moet ik je teleurstellen, je gegevens staan al in allerlei databases en die krijg jij er nooit meer af. Wat je wel kunt doen is vanaf vandaag bewust omgaan met hetgeen je de wereld in gooit.

Google gaat privegegevens combineren

  door

Google gaat het eigen privacybeleid aanpassen, zodat het gegevens van ingelogde gebruikers kan combineren. Het zal voor gebruikers niet mogelijk worden om zich voor de optie uit te schrijven…”De grootste verandering is voor gebruikers met een Google-account. Ons nieuw privacybeleid maakt duidelijk dat als je bent ingelogd, we informatie die je voor de ene dienst gebruikt, met informatie van andere diensten mogen combineren”, zegt privacydirecteur Alma Whitten. “Het komt erop neer dat we je als één gebruiker bij al onze producten beschouwen.”(bron)

We hebben het al zo vaak aangehaald. Op zich is het niet zo’n ramp als er allerlei gegevens van je worden verzameld (ja, het klinkt gek, maar ik zal het je zo uitleggen). Het wordt pas eng als de gegevens gecombineerd gaan worden. En daar gaat Google nu van alles aan doen. Eigenlijk weten we helemaal niet wat Google allemaal van ons weet, maar vanaf 1 maart zouden we wel eens voor verrassingen kunnen komen te staan.

Ok, eerst maar even terug op die afzonderlijke gegevens. Is het erg als je weet dat een wachtwoord “Welkom01” is? Op zich niet, want als je niet weer voor welk systeem en welke inlognaam erbij hoort, kom je niet zover. Is het erg dat ze weten dat je op de 15de van een maand geboren bent? Nou, niet echt als de maand onbekend is. Is het erg als men de vervaldatum van je creditcard weet? Nee, niet als ze het nummer en de veiligheidscode niet kennen. Daarom zijn afzonderlijke gegevens dus niet zo interessant, nee het wordt pas wat als we die gegevens om kunnen zetten in informatie.

Natuurlijk zijn we al jaren gewaarschuwd door allerlei instanties en mensen over Google. Maar ja, je kunt er bijna niet meer omheen. Wie gebruikt Google niet om te zoeken? Wie heeft er geen Gmail-account en wie heeft er geen foto’s op Picasa? En dit is pas het topje van hun ijsberg.

Een gewaarschuwd mens telt voor twee, maar zijn we niet al te laat? Hebben we niet al teveel gegevens afgestaan aan Google? En hoe integer zijn ze dan straks met die gegevens? Het antwoord daarop weten we nu nog niet, maar we worden met zijn allen wel stevig in een houdgreep genomen. Grote kans dat we niet meer uit die houdgreep komen omdat we inmiddels al zo aan de diensten gewend zijn geraakt.

Knap van Google, dat moet je ze nageven. Eerst geef je alles gratis weg (de gratis economie is nu eenmaal booming). Maar ja daarna moet er wel op een andere manier geld worden verdient en dat gaat dus gebeuren door combinatie van gegevens waardoor we meer en meer over het individu te weten komen en we meer en meer persoonlijke advertenties jouw kant op kunnen sturen. Wat ze er nog meer mee zullen doen blijft gissen.

Benieuwd of de massa de wijziging in het beleid van Google oppikt of dat we gewoon op “ok” klikken en weer vrolijk doorgaan. Ik vrees voor het laatste, maar hoop dat het tegendeel bewezen zal worden.

Nederlander ruilt privacy niet voor ‘koopje’

  door

AMSTERDAM – Nederlanders zijn niet bereid privégegevens en informatie over hun surfgedrag achter te laten bij adverteerders als ze in ruil daarvoor gratis content krijgen of goedkoper uit zijn. Dit blijkt uit donderdag gepubliceerd wereldwijd onderzoek van adviesbureau KPMG onder bijna 10.000 consumenten (bron).

Als je dit zo leest dan zou je kunnen denken dat het nog niet zo slecht gesteld is met die gekke Nederlanders. Toch is dit bericht tegenstrijdig aan vele eerdere berichten waarin duidelijk werd dat mensen hun wachtwoord of pincode al weggegeven voor een reep chocola. En nee, ik heb de links naar deze andere artikelen even niet paraat, dus wil je je echt een goed beeld vormen dan zul je die er zelf even bij moeten zoeken.

Misschien zit het hem hier ook met name in de vraagstelling en de exacte weergave van de antwoorden. Het verschil dus tussen kennis, houding en gedrag. Nee, ik wil mijn gegevens niet weggeven voor korting maar doe het in de praktijk toch omdat ik toch wel erg graag die korting wil hebben. Het sociaal wenselijke antwoord komt dan dus niet overeen met het vertoonde gedrag.

Laten we het bericht nog wat verder uitpluizen:
Uit het onderzoek blijkt dat bijna twee derde van de Nederlanders zijn gegevens niet inruilt voor een goedkopere deal. Buiten Nederland is een meerderheid van de consumenten hiertoe wel bereid.
Wat is er gebeurt met “ons bin zuunig” en “kijken, kijken en niet kopen”. Volgens mij willen wij juist voor een dubbeltje op de eerste rang zitten. Ook hier kunnen we best aangeven dat we onze gegevens liever niet weggeven maar dat in de praktijk toch doen (zonder er bij na te denken zelfs).

Denk alleen maar aan de Airmiles. Miljoenen mensen die over zo’n pas beschikken. Al jaren trouwens. Daar hebben ze inderdaad ooit wat gegevens voor af moeten staan, maar welke dat exact waren zijn we allang vergeten. Nu krijgen we korting (van een paar cent) en met een beetje mazzel sparen we een nieuwe set keukenhanddoeken bij elkaar. Ja daar moeten we dan wel € 9,95 voor bijbetalen maar dat is natuurlijk logisch (oh ja, die keukenhanddoeken kosten in een andere winkel maar € 4,95 maar we hebben mooi wel 5 euro korting op de adviesprijs van € 14,95).

Ruim de helft van de Nederlanders wil ook geen advertenties op zijn mobiele apparaat ontvangen als hij in ruil daarvoor goedkopere producten of gratis content kan krijgen. Slechts 14 procent betaalt voor content op het internet.
Bovenstaande zin is op zich natuurlijk al tegenstrijdig. Nee, natuurlijk willen we geen advertenties maar 86% betaalt niet voor content op internet. Iets is maar zelden gratis, er moet op de een of andere manier toch ergens een verdienmodel achter zitten. Op internet zie je dat er veelal verdient wordt aan die reclames. De keuze is dus betalen of gratis maar dan met advertenties. De weegschaal slaat voorlopig nog door naar gratis…dan ontkomen we dus niet aan advertenties.

Bijna 90 procent geeft aan bepaalde websites niet langer te zullen bezoeken zodra die overgaan tot betaalde toegang. In dat geval zullen zij op zoek gaan naar alternatieve sites die gratis zijn.
Ook hier weer een logisch antwoord. Stel je hebt de keuze: ergens voor betalen of iets gratis krijgen…wat heeft jouw voorkeur? Natuurlijk krijgen we iets liever gratis, alleen mogen we dan natuurlijk niet dezelfde functionaliteiten verwachten als dat we er voor betalen. Alternatieve sites zullen er misschien best zijn, maar ook die moeten op de een of andere manier hun geld verdienen…dat zal dan waarschijnlijk zijn met advertentieverkopen.

Voor niets gaat de zon op. Dat is altijd al zo geweest en zal waarschijnlijk ook altijd zo blijven. We mogen het dan de gratis economie noemen maar dat betekent niets meer dan dat het voor de ontvanger gratis is en dat het verdienmodel erachter anders is dan in het verleden.

Nee, mijn beeld is in ieder geval niet gewijzigd en ik ben er van overtuigd dat mensen misschien zeggen dat ze hun gegevens niet weg willen geven maar dat in de praktijk toch gewoon doen. Zelfs als dat uiteindelijk niet echt iets oplevert…nee, het moet inspelen op het gevoel van de mens en dan worden alle gegevens gewoon weggeven.

EC stelt nieuwe eisen aan bodyscanners

  door

Het is alweer een flink aantal maanden geleden dat we het hier hadden over de bodyscanners die we tegenwoordig op veel vliegvelden vinden. En als er dan weer eens iets over in het nieuws komt, ja, dan kunnen we het niet laten om daar maar weer eens een onderwerp aan te wijden.

De Europese Commissie heeft nieuwe regels aangenomen voor het toepassen van bodyscanners op vliegvelden…Zo mogen de bodyscanners geen afbeeldingen opslaan, bewaren, kopiëren of afdrukken. Ongeautoriseerde toegang tot de afbeelding is verboden en moet ook voorkomen worden. Ook moeten reizigers worden geïnformeerd over de omstandigheden waaronder de controle plaatsvindt. Daarnaast hebben reizigers het recht om de bodyscan te weigeren en een alternatieve screening methode te kiezen. Om de gezondheid van passagiers te beschermen zijn bodyscanners die röntgenstralentechnologie gebruiken verboden (bron).

Ik weet natuurlijk niet hoe vaak jij de afgelopen jaren op Schiphol bent geweest, maar inmiddels ben ik een aantal keer geconfronteerd geweest met deze bodyscanners. En ik moet je zeggen: het geeft je toch een dubbel gevoel.

Natuurlijk wil je niet dat er allerlei terroristen bij je in het vliegtuig zitten, de vraag is natuurlijk wel of die hun wapentuig gewoon als handbagage mee zullen nemen. Zeer waarschijnlijk hebben die andere kanalen om er voor te zorgen dat ze tot de tanden toe gewapend in een vliegtuig kunnen zitten. Maar goed, laten we het daar maar niet over hebben.

Nee, het dubbele gevoel dat ik er bij heb, is dat het toch wel erg gemakkelijk is. Je neemt plaats in de bodyscanner die nog wel wat weg heeft van een verticale zonnehemel. Even de armen omhoog en zoef-zoef, de scan zit er op. Als je zo slim bent geweest om je riem en sieraden af te doen, is de kans groot dat je zo door kunt lopen. Gemak dus, dat is het gevoel aan de ene kant.

Aan de andere kant vraag ik me wel af wat voor straling ze gebruiken en hoe veilig dat dan is voor mijn “volksgezondheid”. Röntgenstralen mogen dan verboden zijn (in de EU), maar wat ze dan wel gebruiken zal voor velen van ons een raadsel zijn. Twijfel aan de andere kan dus over hoe goed het voor de gezondheid is. Maar er is nog meer twijfel. Wat doen ze met de scan en wat kunnen ze nu precies wel en niet zien. Privacy boven veiligheid of toch liever andersom?

En ja, je kunt natuurlijk altijd kiezen voor die alternatieve scanmethode. Kans is dan natuurlijk wel aanwezig dat je even apart in een hokje moet. Drie keer door de knieën en even flink kuchen. De rij achter je zal het je echt niet kwalijk nemen dat ze nog langer moeten wachten voor ze door de check kunnen…nee hoor, men staat daar voor de lol.

Ach, we doen het voorkomen of we een keus hebben, maar is die keus ook echt een alternatief of worden we met lichte dwang toch gedwongen om ons als kuddedieren mee te laten voeren? Eerlijk is eerlijk, ik heb me bij het lot neergelegd en maak toch maar gebruik van de scanner…in de hoop dat mijn twijfels ongegrond zullen zijn en blijven.

Negeren Windows updates nekt CheapTickets.nl

  door

Gisteren hadden we het nog over de FBI-topman die graag een tweede internet wil omdat daar dan de kritieke systemen onderling veilig kunnen communiceren. Daarbij gaf ik ook al aan dat er naast zware technische aanvallen ook de simpelere aanvallen en fouten zorgen voor beveiligingslekken. Nu wil ik niet direct beweren dat CheapTickets tot de kritieke systemen moet worden gerekend, maar het onderbouwd wel het idee dat er nogal wat schort aan de basis van beveiliging bij bedrijven.

Door een niet gepatchte test-webserver lagen de gegevens van 715.000 klanten van CheapTickets.nl voor het grijpen, waaronder wachtwoorden en paspoortnummers. De Windows Server 2003 omgeving was niet up-to-date, waardoor een aanvaller via een lek uit 2009 toegang kreeg tot een back-up, met daarin de eerder genoemde gegevens, maar ook zaken als volledige naam, adres, woonplaats, maaltijdvoorkeur en telefoonnummer.

In een verklaring laat CheapTickets weten dat het om een testomgeving ging met consumentengegevens die gedurende de periode 2008 tot 2009 werden verzameld. De gegevens zouden inmiddels offline zijn gehaald. (bron)

Voor al die organisaties die besluiten om nog maar een dure firewall aan te schaffen moeten we natuurlijk eerst even op de rem gaan staan. Voordat je investeert in nog een technische maatregel moeten we eerst eens goed kijken naar de organisatorische en procedurele maatregelen.

De vragen die gesteld moeten worden zijn bijvoorbeeld:

  • Waarom was de Windows server niet up-to-date?
  • Waarom was de test omgeving gekoppeld aan het internet?
  • Waarom werd er gebruik gemaakt van echte gegevens en niet van fictieve gegevens?

Beantwoorden we die vragen dan zijn we op weg om de echte oorzaken van een dergelijk incident te achterhalen. De gevolgen mogen zich dan uitten in een security incident, de oorzaken liggen (zoals bij veel incidenten) buiten dit vakgebied.

Het betreft hier onder andere tekortkomingen in ontwikkeling en beheer. Misschien goed om toch nog eens te duiken in standaarden als de ITIL-processen en als we nog eens Googlen op best practices voor ontwikkeling en beheer dan vinden we ongetwijfeld ook nog wel wat slimme tips.

De lessen die wij zelf natuurlijk trekken is dat we updates sneller testen en doorvoeren, dat we de OTAP-omgevingen scheiden van de productie omgevingen en van het internet, dat we persoonsgegevens niet langer bewaren dan strikt noodzakelijk en dat als we dan toch willen testen we gebruik maken van fictieve gegevens. Doen we dat, dan zijn we al weer een aardig stuk op weg en had in ieder geval dit incident voorkomen kunnen worden.

Maar ja, misschien ook een goede les voor al die klanten. Beveiliging is een kwaliteitsaspect. Dan moet je niet gek opkijken dat je bij een prijsvechter een minder goede beveiliging kunt verwachten. Ze moeten het geld toch ergens vandaan halen en dat doen ze onder andere door weinig te investeren in informatiebeveiliging.

Helaas geldt dat niet alleen voor CheapTickets maar ook voor andere organisaties. De basis van beveiliging is (nog lang) niet op orde, maar met de huidige bezuinigingen en met de concurrentiestrategie die veel organisaties op dit moment voeren, wordt er niet geïnvesteerd in informatiebeveiliging en kunnen we dergelijke incidenten meer en meer verwachten.

Bewaartermijnen

  door

Degene die naar aanleiding van de titel verwachten dat ik hier de wettelijke bewaartermijnen overzichtelijk weer ga geven moet ik teleurstellen. Kijkend naar risicomanagement is dat een te groot risico, ik kan zomaar een verkeerde termijn noemen waardoor jij in de problemen komt. Nee, we gaan in op het feit dat we deze termijnen moeten achterhalen en dat we keuzes moeten maken over de informatie die we wel en niet bewaren.

De vraag is daarom:
Zijn de bewaartermijnen (wettelijke, organisatie vastgestelde) voor de verschillende soorten informatie vastgelegd?

Organisaties beschikken over meer en meer informatie (of eigenlijk gegevens), opslaggeheugen kost nog maar een schijntje van wat het vroeger kostte dus we zijn in staat om meer en meer informatie te bewaren tot het einde der tijden. Toch moeten we ons realiseren dat we niet alle informatie onbeperkt moeten willen bewaren en dat er aan de andere kant eisen zijn voor het bewaren van delen van de informatie.

Zo gelden er voor financiële gegevens bijvoorbeeld minimale bewaartermijnen (bijvoorbeeld vanuit de belastingdienst) terwijl er voor het bewaren van privacygevoelige gegevens eerder maximale bewaartermijnen bestaan (bijvoorbeeld vanuit de Wet Bescherming Persoonsgegevens). Op beide aspecten zie je het in de praktijk nog wel eens verkeerd gaan.

De informatie die we moeten bewaren wordt te kort bewaard, de informatie die we juist niet mogen bewaren wordt te lang bewaard. We zullen dus eerst moeten achterhalen welke bewaartermijnen voor welke delen van de informatie gelden (en dat is vaak makkelijker gezegd dan gedaan omdat regelgeving ook nog eens tegenstrijdig kan zijn, hoe gaan we bijvoorbeeld om met privacygevoelige financiële gegevens?). Hebben we die termijnen bepaald dan moeten we er ook nog voor zorgen dat deze daadwerkelijk gehaald worden.

We zullen dus voor voldoende opslag moeten zorgen voor die gegevens die we langer moeten bewaren en moeten er voor zorgen dat informatie die slechts kort bewaard mag worden zichzelf vernietigd na de houdbaarheidsdatum. Op technisch gebied is tegenwoordig veel mogelijk en we kunnen grote delen daarvan automatiseren. Een hele geruststelling. “Storage” is een heel vakgebied tegenwoordig en een goede leverancier zal je graag helpen bij de technische inrichting, de werking kan zo beter gegarandeerd worden.

De keuzes die we moeten maken en de wet- en regelgeving die op ons van toepassing is, kun je echter niet zomaar bij je leverancier neerleggen. Waarschijnlijk kan hij je daar wel over adviseren, maar de knoop doorhakken moeten we toch echt zelf doen, zeker voor die delen waarvoor geen wettelijke eisen zijn.

Google maar eens op bewaartermijnen, genoeg informatie te vinden en ook daar wordt al snel onderscheid gemaakt in administratieve gegevens en persoonsgevoelige gegevens waar we vanuit wetgeving iets mee moeten. Voor de andere gegevens, waar geen regels voor gelden, moeten we zelf bepalen hoe lang we die willen bewaren. De kunst daarbij is om het optimum te vinden tussen de bewaartermijn enerzijds en de kosten voor opslag anderzijds.

Bewaartermijnen en opslag van dergelijke gegevens. Een vakgebied op zich waar zeker beveiligingsaspecten aanzitten. Daarnaast willen we natuurlijk de informatie ook nog overzichtelijk houden voor onze medewerkers want als die eenmaal gaan werken met verouderde gegevens dan kan ons dat in grote verlegenheid brengen. Bewaren we de informatie onrechtmatig (te kort of te lang) dan moeten we maar snel schakelen met de juridische afdeling, we willen geen claims aan onze broek, toch?

Nederlander verkiest veiligheid boven privacy

  door

Driekwart van de Nederlanders vindt online veiligheid belangrijker dan snelheid en privacy tijdens het surfen, zo blijkt uit onderzoek van Microsoft (bron).

Hoewel je je natuurlijk altijd af moet vragen wat de betrouwbaarheid en het nut van een bepaald onderzoek is, vind ik wel dat je alle beschikbare informatie kunt gebruiken in de beeldvorming. Graag dus nog meer onderzoeken, dan heb ik tenminste weer voer om over te schrijven.

Veiligheid wordt dus belangrijker gevonden dan snelheid en privacy? Ehm, oke, dat zou kunnen maar toch zal daar ook een optimum in te vinden zijn. Het meest veilige (voor dit soort risico’s) is natuurlijk om helemaal niet online te gaan, dan doet de snelheid er ook niet meer toe. Maar goed, laten we er vanuit gaan dat we inderdaad online willen zijn.

Als ik dan iets erg veilig wil doen, dan mag dat dus meer tijd kosten. Ik moet nog zien of dat ook echt werkt of dat we hier met een sociaal wenselijk antwoord te maken hebben. Als de bank nu besluit dat ze echt kiezen voor veilig internetbankieren. Je start je browser op en moet vervolgens een kwartier wachten voordat je in kunt loggen omdat allerlei systemen de veiligheid moeten borgen. Ben benieuwd of je het zo lang volhoudt of toch liever kiest voor een bank die het minder veilig maar wel sneller doet.

Juist als het gaat om veiligheid signaleert het onderzoek ook alarmerend gedrag bij consumenten: een op de drie consumenten geeft toe bestanden te downloaden waarvan zij weten dat ze verdacht zijn. Mensen weten dus dat iets mogelijk onveilig is en toch doen ze het? Dat is raar, zou je zeggen. Maar ook dat valt mee. Vergelijk het maar weer eens met het verkeer. Er zijn mensen die willens en weten door rood licht rijden (bijvoorbeeld omdat ze haast hebben of asociaal zijn). Ze weten dat het mogelijk gevaarlijk is, maar toch doen ze het. Waarom? Daarvoor moeten we terug naar de psyche van de mens: er zit persoonlijk gewin in (bijvoorbeeld omdat ze zo denken sneller thuis te zijn). Datzelfde geldt simpelweg voor het downloaden: men wil het gewoon hebben…althans, dat denken ze als ze de titel lezen…hup, klikken en kijken waarom iemand mij 3 maanden voor mijn verjaardag een kaartje via de mail stuurt.

Gelukkig is er, volgens dit onderzoek, een simpele manier om de risico’s te beperken.
Volgens de poll lopen kinderen in de leeftijd van 14 tot 17 jaar de grootste online risico’s. De meerderheid heeft geen probleem met downloaden van bestanden waarvan zij weten dat die verdacht zijn. Ouders doen er volgens Microsoft daarom verstandig aan om een oogje in het zeil te houden wanneer hun kinderen online zijn. Wakker worden, die kinderen van 14 tot 17 jaar verdienen enerzijds privacy (want die vinden de veiligheid echt minder belangrijk) en zijn anderzijds 10x handiger met de pc dan papa of mama. Kleine kans dat de ouders voor deze leeftijdscategorie nog iets kunnen betekenen.

Ik heb mezelf voorgenomen de blog vandaag niet te lang te maken en als ik eerlijk ben, is hij al veel te lang en is er nog erg veel over te schrijven…maar dat doe ik niet. Wil je er meer over weten dan hoor ik het wel van je.