Rina Steenkamp - Privacy en technologie
[Kamerbrief over DigiNotar onderzoeken | Cloud computing, fundament op orde | Omvang van identiteitsfraude en maatschappelijke schade in Nederland | Besluit van 5 maart 2012, houdende wijziging van [...] het Meldingsbesluit Wbp en het Vrijstellingsbesluit Wbp in verband met vermindering van administratieve lasten | Reactie Bits of Freedom inzake de conceptverordening gegevensbescherming | Veiligheid in cyberspace | Nieuwe perspectieven vragen om actie - een genuanceerde visie op cybercrime | Norm ICT-beveiligingsassessments DigiD | ICT-beveiligingsrichtlijnen voor webapplicaties | Onderzoek naar besluitvorming biometrie op reisdocumenten | Cybersecuritybeeld Nederland | Digitale implementatie agenda.nl]
Een brief van Minister Spies (BZK).
Uit de brief:
"Rode draad bij de verbeterpunten is dat digitale veiligheid onze blijvende aandacht moet hebben. Ontwikkelingen in ICT gaan snel. Wat tien jaar geleden state of art was, is nu hopeloos verouderd; wat toen ondenkbaar was, wordt nu algemeen gebruikt. De technische vooruitgang en voortdurende verandering van ICT is zo vanzelfsprekend dat we niet altijd voldoende stil staan bij de veranderingen die dat vraagt van onze organisaties en processen. Het DigiNotar incident heeft duidelijk gemaakt dat veranderingen in de rol van de overheid, met name op het gebied van normering en toezicht noodzakelijk zijn."
Minister Spies (BZK): Kamerbrief over DigiNotar onderzoeken (links naar PDF en onderzoeksrapporten DigiNotar, PKI en Digitale Agenda)
[Open link in dit venster | Open link in nieuw venster]
NOREA: Kamerbrief over PKI/DigiNotar onderzoeken
[Open link in dit venster | Open link in nieuw venster]
Onderzoek in opdracht van het Ministerie van EL&I.
Uit de management samenvatting:
"Het ministerie van Economische Zaken, Landbouw en Innovatie (EL&I) onderzoekt hoe zij kan bijdragen aan het wegnemen van belemmeringen en het stimuleren van het (veilig) toepassen van Cloud Computing. Ter ondersteuning van dit onderzoek schreef Verdonck, Klooster & Associates, in samenwerking met Van Doorne en RAND, het voorliggende rapport 'Cloud Computing; fundament op orde'. Vanuit bestaande onderzoeken en een beperkt aantal aanvullende gesprekken met diverse stakeholders, verschaft het rapport inzicht in effecten, belemmeringen en randvoorwaarden van Cloud Computing, worden conclusies getrokken en aanbevelingen aan EL&I gedaan."
Ministerie van EL&I: Cloud computing, fundament op orde (pagina met link naar PDF)
[Open link in dit venster | Open link in nieuw venster]
Accountant.nl: Onderzoek - cloud computing heeft toekomst voor MKB
[Open link in dit venster | Open link in nieuw venster]
Een rapport van PwC.
Uit de managementsamenvatting:
"Het verwachte aantal slachtoffers van identiteitsfraude voor 2011 ligt ongeveer tussen de 127.000 en 150.000 mensen. Het verwachte schadebedrag dat met deze gevallen is gemoeid ligt tussen de 0,35 en 0,42 miljard [euro] voor 2011."
PwC: Omvang van identiteitsfraude en maatschappelijke schade in Nederland (pagina met link naar PDF)
[Open link in dit venster | Open link in nieuw venster]
Rijksoverheid: Kamerbrief voortgang toekomstbestendigheid identiteitsinfrastructuur
[Open link in dit venster | Open link in nieuw venster]
WebWereld: Universiteiten gaan overheids-ict hacken
[Open link in dit venster | Open link in nieuw venster]
Een publicatie in het Staatsblad.
Uit 3.1 Vrijstellingsbesluit Wbp:
"Persoonsgegevens worden op talloze manieren gepubliceerd op internet. Het arrest van het Hof van Justitie van de Europese Gemeenschappen van 6 november 2003 (C-101/01, Lindqvist, Jur 2003, I – 12971) heeft duidelijk gemaakt dat artikel 3, tweede lid, tweede gedachtestreepje, van de richtlijn [95/46/EG], waarin een algemene exceptie is geregeld voor verwerkingen van persoonlijke en huishoudelijke aard, niet te ruim mag worden geïnterpreteerd. Het Hof van Justitie heeft duidelijk overwogen dat die exceptie niet ziet op de verwerking van gegevens van persoonlijke en huishoudelijke aard op internet, onder meer omdat door gebruik van dat publicatiemedium die gegevens onder ogen van een in beginsel onbeperkt aantal derden kan komen. Daaruit volgt dat de meldplicht van artikel 27 Wbp ook van toepassing is op verwerkingen van persoonlijke en huishoudelijke aard, voor zover die op internet plaatsvinden en dat de exceptie van artikel 2, tweede lid, onder a, niet opgaat. De consequenties hiervan zijn vergaand. Veel burgers maken gebruik van persoonlijke websites, weblogs, sociale netwerksites en dergelijke, terwijl het bij deze verwerkingen onwaarschijnlijk is dat daardoor inbreuk wordt gemaakt op de fundamentele rechten en vrijheden van betrokkenen. Tegelijkertijd is er wel sprake van een, voor dit type gevallen, overbodige en inhoudsloze formaliteit in de vorm van een meldplicht. Dergelijke verwerkingen kunnen dan ook zonder meer worden vrijgesteld van de meldplicht."
Staatsblad: Besluit van 5 maart 2012, houdende wijziging van [...] het Meldingsbesluit Wbp en het Vrijstellingsbesluit Wbp in verband met vermindering van administratieve lasten
[Open link in dit venster | Open link in nieuw venster]
Raad van State: Advies W03.11.0526/II
[Open link in dit venster | Open link in nieuw venster]
SOLV: Beelden van particuliere beveiligingscamera's veel langer bewaard
[Open link in dit venster | Open link in nieuw venster]
Een brief van BoF.
Paragraaf 10, 18 en 19:
"De verordening gaat bij de definitie van het begrip 'persoonsgegeven' uit van identificeerbaarheid, oftewel het verbinden van een naam aan een persoon. Gebruikers kunnen op basis van unieke nummers en (online) gedrag echter steeds vaker geïndividualiseerd (onderscheiden van de rest) worden zonder dat ze ook worden geïdentificeerd. Ook individualisering kan er toe leiden dat personen in het maatschappelijk verkeer anders worden beoordeeld. Het begrip 'persoonsgegeven' moet daarom worden uitgebreid en ook gegevens omvatten waarmee een individu kan worden onderscheiden van anderen. [...] De verordening bevat de verplichting voor verantwoordelijken om de toezichthouder én betrokkene op de hoogte te brengen van een datalek waarbij persoonsgegevens van betrokkenen bijvoorbeeld op straat komen te liggen: een 'meldplicht datalekken'. Deze meldplicht is nog niet voldoende uitgewerkt en beschermt betrokkenen in onvoldoende mate. In de eerste plaats omdat de meldplicht gekoppeld is aan het begrip 'personal data breach', en dus uitgaat van een inbreuk op beveiligingsmaatregelen. Naar de mening van Bits of Freedom zou niet de inbreuk op beveiligingsmaatregelen, maar de ongeautoriseerde toegang tot persoonsgegevens leidend moeten zijn. Het verlies van persoonsgegevens kan zich immers ook voordoen zonder dat er inbreuk wordt gemaakt op beveiligingsmaatregelen, bijvoorbeeld omdat iemand per ongeluk een database met vertrouwelijke gegevens op internet plaatst zonder die te beveiligen. Ten tweede ontbreekt een centraal openbaar meldpunt datalekken. Zo'n centraal openbaar meldpunt geeft betrokkenen de mogelijkheid om een goed overwogen keuze te maken ten aanzien van de aan wie zij hun data willen toevertrouwen en zal bedrijven en overheden stimuleren om hun beveiliging zo goed mogelijk in te richten."
Bof: Reactie Bits of Freedom inzake de conceptverordening gegevensbescherming (PDF)
[Open link in dit venster | Open link in nieuw venster]
BoF: Privacydebat - Kamerleden terecht kritisch over Europese regels
[Open link in dit venster | Open link in nieuw venster]
Een justitiële verkenning van het WODC.
Uit het voorwoord:
"De verwikkelingen rond het [ACTA-]verdrag laten zien dat er een hevige strijd gaande is over welke regels gelden in cyberspace, ofwel op het internet. Naast de bescherming van commerciële belangen schuren ook maatregelen om een veilig internet te creëren vaak dicht aan tegen schending van de persoonlijke levenssfeer. En ruimere bevoegdheden voor politie en Justitie voor digitale opsporing – hoe gewenst ook – hebben vaak hetzelfde effect. Ook in het virtuele domein leidt het streven naar veiligheid tot een situatie waarin menig burger zich helemaal niet veilig voelt bij het idee dat al zijn communicatie en bewegingen op het internet kunnen worden nagetrokken."
WODC: Veiligheid in cyberspace (PDF)
[Open link in dit venster | Open link in nieuw venster]
Cops in Cyberspace: Politie heeft 'weinig kennis van cybercrimineel'
[Open link in dit venster | Open link in nieuw venster]
Een rapport van KPMG.
Uit de Inleiding:
"In veel gevallen worden incidenten breed uitgemeten in de media. Hierdoor ontstaat een beeld van schier onverslaanbare cybercriminelen en onveilige systemen. De werkelijkheid is een stuk minder zwart-wit. Honderd procent veiligheid is een illusie, maar de risico’s zijn wel degelijk beheersbaar. Cybercriminelen zijn geen onoverwinnelijke genieën en het ontbreekt overheden en ondernemingen zeker niet aan kennis om cybercrime te bestrijden. De beeldvorming bij het grote publiek moet dan ook veranderen en de door ons gehouden interviews sterken ons in dit beeld."
KPMG: Nieuwe perspectieven vragen om actie - een genuanceerde visie op cybercrime (PDF)
[Open link in dit venster | Open link in nieuw venster]
KPMG: Nieuwe perspectieven vragen om actie
[Open link in dit venster | Open link in nieuw venster]
Computable: 'Nederland is slecht voorbereid op cybercrime'
[Open link in dit venster | Open link in nieuw venster]
Nu.nl: 'Helft Nederlandse bedrijven in 2011 slachtoffer cyberaanval'
[Open link in dit venster | Open link in nieuw venster]
KPMG: Nederlandse ondrenemingen slecht voorbereid op cybercrime
[Open link in dit venster | Open link in nieuw venster]
Versie 1.0 van een norm van Logius.
Inleiding:
"Deze beveiligingsnorm is bedoeld voor organisaties die DigiD gebruiken en jaarlijks een ICT-beveiligingsassessment moeten doen. De norm is een selectie van richtlijnen uit het document “ICT-beveiligingsrichtlijnen voor webapplicaties” van het Nationaal Cyber Security Centrum (NCSC). De norm is vastgesteld door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties in overleg met Logius, Rijksauditdienst en NCSC. De beveiligingsrichtlijnen van NCSC zijn breed toepasbaar voor ICT-oplossingen die gebruikmaken van webapplicaties. De norm bestaat uit de richtlijnen met de hoogste impact op de veiligheid van DigiD. Logius adviseert deze organisaties om buiten de maatregelen uit de norm ook de andere maatregelen uit de ICT-beveiligingsrichtlijnen voor webapplicaties te adopteren."
Logius: Norm ICT-beveiligingsassessments DigiD (PDF)
[Open link in dit venster | Open link in nieuw venster]
Logius: Beveiliging webapplicaties
[Open link in dit venster | Open link in nieuw venster]
Accountant.nl: ICT-beveiligingsassessments DigiD onder verantwoordelijkheid van RE's
[Open link in dit venster | Open link in nieuw venster]
AG: Experts moeten DigiD redden
[Open link in dit venster | Open link in nieuw venster]
IT en Recht: ICT-beveiligingsassessments DigiD gebruikenden
[Open link in dit venster | Open link in nieuw venster]
NOREA: Handleiding en norm beveiligingsassessments DigiD
[Open link in dit venster | Open link in nieuw venster]
Nu.nl: Overheid laat DigiD als test hacken
[Open link in dit venster | Open link in nieuw venster]
PrivacyNieuws: Digitale veiligheids experts moeten DigiD redden
[Open link in dit venster | Open link in nieuw venster]
WebWereld: Overheid rekt DigiD-beveiligingsdeadlines op
[Open link in dit venster | Open link in nieuw venster]
Een publicatie van het Nationaal Cyber Security Centrum.
Uit de tekst op de gelinkte webpagina:
"De ICT- beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC) vormen een leidraad voor het veiliger ontwikkelen, beheren en aanbieden van webapplicaties en bijbehorende infrastructuur. De beveiligingsrichtlijnen zijn breed toepasbaar voor ICT- oplossingen die gebruik maken van webapplicaties. Hierdoor zijn ze zowel door afnemers, als door dienstaanbieders te gebruiken voor aan- en uitbestedingen, toezicht en onderlinge afspraken."
Nationaal Cyber Security Centrum: ICT-beveiligingsrichtlijnen voor webapplicaties (pagina met links naar PDF-documenten)
[Open link in dit venster | Open link in nieuw venster]
Nationaal Cyber Security Centrum geeft ICT-beveiligingsrichtlijnen voor webapplicaties uit
[Open link in dit venster | Open link in nieuw venster]
ICTRecht: ICT-beveiligingsrichtlijnen voor webapplicaties
[Open link in dit venster | Open link in nieuw venster]
Onderzoek van prof. mr. R. Bekker.
Uit paragraaf 5.2 Experts en beleidsmakers:
"Er is in het verleden sprake geweest van een te grote afstand tussen de experts en de beleidsmakers op dit vakgebied. Ze spraken en verstonden elkaars taal niet goed, dit heeft mogelijk mede geleid tot de onderschatting van de complexiteit van de biometrische toepassingsmogelijkheden. Kritische geluiden zijn achteraf bezien wel geuit, maar hebben niet altijd geleid tot beïnvloeding van het besluitvormingsproces. Dat kan worden verklaard door enerzijds het feit dat de kritiek niet altijd helder en overtuigend (en voor leken begrijpbaar) is geuit, maar ook door te geringe ontvankelijkheid van de beleidsmakers, die veronderstelden dat het allemaal niet zo moeilijk was, en bovendien op EU-niveau beslist."
Prof. mr. R. Bekker: Onderzoek naar besluitvorming biometrie op reisdocumenten (pagina met link naar PDF-document)
[Open link in dit venster | Open link in nieuw venster]
Rijksoverheid: Bekker – gebruik ruimte voor verbetering biometrisch paspoort
[Open link in dit venster | Open link in nieuw venster]
PrivacyNieuws.nl: Alarm; Rapport Bekker – gebruik ruimte voor verbetering biometrisch paspoort
[Open link in dit venster | Open link in nieuw venster]
PrivacyNieuws.nl: Vingerafdruk in paspoort veel te snel ingevoerd
[Open link in dit venster | Open link in nieuw venster]
Security.nl: "Overheid moet vingerafdrukken centraal opslaan"
[Open link in dit venster | Open link in nieuw venster]
Volkskrant: Vingerafdruk in paspoort veel te snel ingevoerd
[Open link in dit venster | Open link in nieuw venster]
Een rapport van Govcert.nl.
Uit de Samenvatting:
" Dit eerste Cybersecuritybeeld is primair gericht op het beschrijven van dreigingen in het ICT-domein voor de Nederlandse situatie. De nadruk ligt daarbij op moed-willig handelen en dus niet op dreigingen als gevolg van bijvoorbeeld menselijk falen. Het cybersecurity-beeld is geen volledige risico-analyse […], omdat te beschermen belangen grotendeels buiten beschouwing blijven en weerbaarheid slechts in algemene zin wordt beschreven. Secundair in het beeld is de beschrijving van relevante actoren, hulpmiddelen en kwetsbaarheden. Het Cybersecuritybeeld Nederland is primair de basis voor het overwegen en nemen van maatregelen en is met nadruk niet bedoeld als uitputtende incidentrapportage. "
Govcert.nl: Cybersecuritybeeld Nederland (PDF)
[Open link in dit venster | Open link in nieuw venster]
Govcert.nl: Eerste nationale Cybersecuritybeeld brengt problematiek digitale veiligheid in kaart
[Open link in dit venster | Open link in nieuw venster]
Nu.nl: Digitale spionage dreiging voor Nederland
[Open link in dit venster | Open link in nieuw venster]
Oerlemansblog: Eerste Cyber Security Beeld Nederland gepubliceerd
[Open link in dit venster | Open link in nieuw venster]
Publiekrecht en Politiek: Rechtspionieren op het web 2.0 – de NCTV spreekt
[Open link in dit venster | Open link in nieuw venster]
Security.nl: "Cyberspionage grootste dreiging voor Nederland"
[Open link in dit venster | Open link in nieuw venster]
Security.nl: "Cyberdreiging geen basis voor meer bevoegdheden"
[Open link in dit venster | Open link in nieuw venster]
SOLV: Eerste cyber security beeld gepubliceerd
[Open link in dit venster | Open link in nieuw venster]
Een publicatie van het Ministerie van Economische Zaken, Landbouw en Innovatie.
Uit 1. Inleiding:
"Op 17 mei 2011 is de Digitale Agenda.nl aan de Tweede Kamer gestuurd. Deze agenda zet de ambities neer wat betreft inzet van ICT voor groei en welvaart en de hiervoor benodigde randvoorwaarden. In de Digitale Agenda.nl is destijds aangegeven dat de Tweede Kamer later in 2011 zou worden geïnformeerd over hoe deze ambities te realiseren. De Digitale Implementatie Agenda.nl vult deze belofte in en beschrijft voor een aantal acties de verdere implementatie. Daarnaast wordt aangegeven hoe over de voortgang van de acties zal worden gerapporteerd."
Ministerie van Economische Zaken, Landbouw en Innovatie: Digitale implementatie agenda.nl (PDF)
[Open link in dit venster | Open link in nieuw venster]
IT en Recht: Om te lezen - Digitale implementatie agenda.nl
[Open link in dit venster | Open link in nieuw venster]