Digitale zaken in het wetgevingsprogramma van het ministerie van veiligheid | Kaderwet gegevensuitwisseling samenwerkingsverbanden

Op prinsjesdag heeft het ministerie van veiligheid zijn wetgevingsprogramma 2017 bekend gemaakt. Er komen diverse digitale onderwerpen in voor. Onder het kopje Privacy is het volgende te vinden:

Algemene verordening gegevensbescherming
In mei 2016 is de Algemene verordening gegevensbescherming (AVG) tot stand gekomen. De AVG is van toepassing met ingang van 25 mei 2018. De uitvoering van deze Europese verordening vergt een omvangrijk wetgevingspakket., waaronder intrekking van de Wet bescherming persoonsgegevens. Het wetsvoorstel ter uitvoering van de AVG zal begin 2017 bij de Tweede Kamer worden ingediend.

Kaderwet gegevensuitwisseling samenwerkingsverbanden
Dit wetsvoorstel, dat vorig jaar is aangekondigd, beoogt de uitwisseling van persoonsgegevens binnen samenwerkingsverbanden van overheidsorganen te vergemakkelijken, met inachtneming van de bescherming van de persoonlijke levenssfeer. Het wetsvoorstel zal maar verwachting begin 2017 bij de Tweede Kamer worden ingediend.

Maar ook elders in het programma zijn IT- en privacy gerelateerde onderwerpen te vinden, met name in de hoek van de criminaliteitsbestrijding. Het betreft onder meer:

Cybercriminaliteit
Effectieve aanpak van cybercriminaliteit blijft ook in 2017 hoog op de agenda staan. Aanpassing van wetgeving is nodig vanwege technologische ontwikkelingen. Zo zijn de straffen voor cybercriminaliteit al verhoogd en is het wetsvoorstel Computercriminaliteit III bij de Tweede Kamer ingediend. Deze laatste zorgt ervoor dat politie en openbaar ministerie meer mogelijkheden krijgen om computercriminaliteit op te sporen en te vervolgen.

en

Passagiersgegevens (PNR)
Het implementatiewetsvoorstel van de PNR-richtlijn, dat voorziet in het gebruik van passagiersgegevens voor de bestrijding van terrorisme en ernstige criminaliteit, zal naar verwachting begin 2017 bij de Tweede Kamer worden ingediend.

Het complete programma is via deze pagina te vinden.

Kaderwet gegevensuitwisseling samenwerkingsverbanden

Die Kaderwet gegevensuitwisseling samenwerkingsverbanden gaat heel interessant worden. Het wordt een aanvulling op de toch al zeer uitgebreide uitwisselingsmogelijkheden op grond van de huidige en in aanbouw zijnde wetgeving (inclusief digitale sleepnetten). Het zal de grondslag moeten vormen voor onder meer predictive policing. Function creep en afbreuk aan grondrechten ligt op de loer.

Lees in dit verband het artikel van Rob Wijnberg, die schrijft dat fundamentele grondrechten worden uitgekleed met beroep op criminaliteitsbestrijding, hij begint het artikel met:

Het opvallendst aan moderne geweldplegers, of ze nu treitervlogger of terrorist zijn, is hun ongeëvenaarde mediabewustzijn. Hun daden zijn het ultieme persbericht, met media-aandacht als belangrijkste doel. De samenleving reageert door stapje voor stapje fundamentele grondrechten uit te kleden. En wij staan erbij en kijken ernaar.

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , , , | Een reactie plaatsen

Nieuw IT-oligopolie in onderwijssector

De digitale wereld is er een van mono- of oligopolies. Dat lijkt ook voor het onderwijs te gelden, zo signaleert Corien Prins in haar artikel “De (digitale) scholen zijn weer begonnen“. Zowel basisscholen als universiteiten worden digitaal steeds afhankelijker van (buitenlandse) informatiereuzen. Voorts spelen een groot aantal privacy- en security issues rondom de gegevens die via de systemen worden verzameld.

Meer informatie:

Geplaatst in ICT, privacy, e-commerce | Tags: , | Een reactie plaatsen

Compliance bureaucratie | boete wegens ontbreken compliance programma sanctieregelgeving

De compliance bureaucratie breidt zich uit als een olievlek en is voor gewone ondernemers nauwelijks meer te volgen.

Dat wordt geïllustreerd door een recent bericht op een blog over het Europese sanctierecht, waarin Michael O’Kane melding maakt van een boete die de Office of Foreign Assets Control (OFAC) oplegt wegens overtreding van de Amerikaanse sanctieregels tegen Iran.

Strekking van het artikel: de ondernemer had zonder vergunning orthodontische apparatuur verkocht aan afnemers, terwijl hij wist dat de afnemers de producten aan Iraanse afnemers zouden doorverkopen. Die vergunning zou de ondernemer gekregen hebben, als de aanvraag was gedaan. De ondernemer kreeg een boete omdat de sanctieregelgeving niet was nageleefd én omdat er geen “OFAC compliance programme” had.

Hoewel dit een Amerikaanse zaak betreft, illustreert het de denkwijze rondom compliance. Trouwens: ook Europese ondernemingen kunnen met Amerikaanse sanctieregels te maken krijgen, aangezien de Amerikanen snel extraterritoriale bevoegdheid aannemen.

Silverentand/Sprecher: consequenties financiële regelgeving lastig te overzien voor marktpartijen

Bij dit soort berichten moet ik denken aan de tekst in een kroniek over ontwikkelingen in het financiële recht. In de kroniek besluiten de twee gespecialiseerde auteurs (L.J. Silverentand en J.M. Sprecher) het overzicht met de volgende opmerking over de Europese financiële regelgeving:

Door alle afkortingen die in het toezichtrecht worden gebruikt, is het makkelijk om de draad kwijt te raken. (…) Als de afkortingen eenmaal op het netvlies staan, komt de uitdaging van het bijhouden van de status van al deze wetgeving, de uitwerking daarvan in nationale en lagere regelgeving en alle bijkomende toezichthoudercommunicaties.
En dan hebben we het nog niet eens over het bevatten van de inhoud van al deze regelgeving. Naast het volume, maken vooral de groeiende complexiteit en mate van detail van al deze wijzigingen het lastig voor marktpartijen om de consequenties van al deze wetgeving te overzien.

Deze opmerkingen gelden ook voor de Amerikaanse en Europese sanctieregelgeving.

Meer informatie:

Geplaatst in Bestuursrecht, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Sanctieregels | Tags: , , , | Een reactie plaatsen

Financiering van de rechtspraak door middel van objectieve onderbouwing van een te lage prijs

Lezenswaardig is het artikelHoe rechtsstatelijk is de financiering van de Rechtspraak?“, geschreven door Rick Robroek, wetenschappelijk medewerker vakgroep Strafrecht RUG en rechter-plaatsvervanger rechtbank Amsterdam.
Strekking van zijn artikel: hoewel de rechtspraak geen blanco cheque hoeft te krijgen, dient de rechtspraak wel voldoende middelen te krijgen om in staat te worden gesteld het werk zo goed mogelijk te doen.

Ook over de financiering van de rechtspraak gaat dit artikel door Frits Bakker, voorzitter van de Raad voor de Rechtspraak onder de titel “Maatschappelijk effectieve rechtspraak“. Onrustbarend is dat er over de financiering wordt gesproken alsof er broodjes worden verkocht. Het artikel begint met:

De Raad voor de rechtspraak en de Minister van Veiligheid en Justitie zijn het voorlopig eens geworden over de prijzen die gelden voor het rechterlijk werk in de jaren 2017 tot en met 2019.

Geplaatst in Procesrecht, rechtspraak | Tags: , , , | Een reactie plaatsen

Discriminerende algoritmen | Hoepman: “Inderdaad, mensen zijn niet objectief. Maar de computer is geen haar beter!”

Jaap-Henk Hoepman vertelt in zijn artikel “Inderdaad, mensen zijn niet objectief. Maar de computer is geen haar beter!” dat niet op computers vertrouwd kan worden. Als er rommel wordt ingestopt en/of als de rekenmethoden niet kloppen, komt er troep uit. Hoepman kan het weten want hij heeft een IT-achtergrond.

Hoepman:

Maar eigenlijk is het heel logisch: de subjectiviteit zit namelijk in de keuze van het algoritme, de rekenregels, die gebruikt wordt om de beslissing te berekenen. Daarnaast zijn de gegevens die gebruikt worden om de beslissing op te baseren subjectief. En tenslotte zijn sommige gegevens zeer relevant, maar moeilijk te verkrijgen. Die worden dan uit gemakzucht maar niet meegenomen.

Lees hier het complete artikel.

Geplaatst in ICT, privacy, e-commerce | Tags: , , | 2 reacties

Privacy en databescherming van belang voor alle ondernemingen + organisaties | nieuwsbrief Pellicaan Advocaten

Het wordt steeds duidelijker dat privacy en databescherming geen ‘ver van mijn bed show‘ onderwerpen meer zijn. De risico’s dat vertrouwelijke gegevens op verkeerde plaatsen terecht komen en misbruikt kunnen worden, worden steeds groter.

Juridische consequenties
De juridische consequenties van fouten kunnen aanzienlijk zijn voor ondernemingen en organisaties. Dat betreft zowel het risico op schadeclaims door benadeelden als de mogelijkheid dat de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens, boetes kan opleggen.

Inleidende informatie over privacy en databescherming
Pellicaan Advocaten heeft vandaag een nieuwsbrief over privacy en databescherming uitgebracht, met als doel de lezers van inleidende informatie over dit onderwerp te voorzien. In de nieuwsbrief de volgende artikelen:

De contactgegevens van de auteurs zijn hier te vinden.

Geplaatst in Arbeidsrecht, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce | Tags: , | Een reactie plaatsen

Veilig inloggen bij de overheid? Kritiek Algemene Rekenkamer

Al enige tijd volg ik met belangstelling of er nu eindelijk veilige systemen komen om in te loggen bij de overheid, financiële instellingen en dergelijke.
Hoewel algemeen bekend is dat inloggen met het ‘DigiD’ (een mooie naam voor een primitief inlogsysteem met inlognaam en wachtwoord) onveilig is, is er nog geen vervanging en de rijksoverheid doet alsof er niets aan de hand is.

Algemene Rekenkamer in 2013 en 2014: DigiD is onveilig

De Algemene Rekenkamer heeft al lang geleden geconstateerd dat de systemen van de overheid achter lopen en onvoldoende beveiliging bieden. Al in 2013 schreef de Rekenkamer dat er grote risico’s zijn rondom de beveiliging van DigiD. In 2014 constateerde de Rekenkamer dat er al twee jaar melding wordt gemaakt van tekortkomingen in de beveiliging en er nog niets is opgelost.

eID/Idensys

Het zal dan ook niet verbazen dat de Algemene Rekenkamer nu is gekomen met zware kritiek op het eID/Idensys project, dat zou moeten voorzien in een opvolger van het DigiD. De Rekenkamer leidt het onderwerp als volgt in, waarbij ‘kwetsbaar’ betekent dat er sprake is van onveiligheid:

Het kabinet wil dat burgers en bedrijven in 2017 hun zaken met de overheid digitaal af kunnen handelen. Burgers en bedrijven moeten dan digitaal hun identiteit kunnen aantonen. Omdat de huidige middelen daarvoor – zoals DigiD – te kwetsbaar zijn, treft het kabinet op dit moment voorbereidingen om te komen tot een nieuw stelsel voor digitale identificatie en authenticatie (eID-stelsel).Wij zijn nagegaan of het kabinet bij de ontwikkeling van dat stelsel heeft voldaan aan randvoorwaarden op het terrein van de aansturing (governance), de zakelijke rechtvaardiging (business case) en het toezicht.

De Rekenkamer vat de kritiek als volgt samen:

Samenvattend is ons beeld dat tot nu toe (stand van zaken tot en met het voorjaar van 2016) nog niet is voldaan aan een aantal door ons onderzochte randvoorwaarden:

  • De verantwoordelijkheden voor het eID-stelsel zijn niet eenduidig belegd en de governancestructuur is ingewikkeld.
  • Op wezenlijke onderdelen van het eID-stelsel moeten nog besluiten worden genomen of uitgewerkt, bijvoorbeeld over de eisen waaraan nieuwe middelen moeten voldoen, over de privacybescherming en het toezicht.
  • Een actuele integrale business case en alternatievenafweging ontbreken vooralsnog, waardoor niet duidelijk is wat de totale kosten zullen zijn (voor 2016 en 2017 heeft de minister € 23 miljoen extra aan ontwikkelingskosten uitgetrokken).
  • Hoeveel de digitale identificatiemiddelen de individuele burger gaan kosten is evenmin duidelijk.
  • Een integrale visie op de inrichting van het toezicht voor het eID-stelsel ontbreekt.

Om de Tweede Kamer in staat te stellen gefundeerde keuzes te maken over de definitieve inrichting van het eID-stelsel, is het van belang dat het kabinet duidelijkheid schept over deze randvoorwaarden.

Het was me al eerder opgevallen dat de Idensys site op belangrijke vragen geen antwoord gaf.

Ook in het nieuwe rapport van de Rekenkamer vind ik geen antwoord op vragen als hoe de betrokken private partijen worden geselecteerd, hoe die private partijen worden gemonitord en gekeurd; of er personentoetsing plaats vindt van de beleidsbepalers bij dergelijke private partijen (als personentoetsing niet al plaats vindt, zoals bijvoorbeeld bij banken het geval is).

Het is te hopen dat de rijksoverheid de aanbevelingen van de Algemene Rekenkamer opvolgt en dat er met zeer grote spoed een veilig systeem wordt ontwikkeld.

Meer informatie:

  • Aankondiging door de Algemene Rekenkamer van de bevindingen, rapport (pdf) 8 september 2016. Persbericht Rekenkamer.
  • Brief Algemene Rekenkamer 27 oktober 2014, waarin de Rekenkamer onder meer schrijft “DigiD is onderdeel van artikel 6 (dienstverlenende en innovatieve overheid). Al twee jaar constateren wij tekortkomingen in de beveiliging van de DigiD-omgeving en in de DigiD-keten. Wij constateerden in ons verantwoordingsonderzoek 2013 dat overheidsinstellingen die DigiD gebruiken, niet voldoen aan de normen die de Minister van BZK heeft vastgesteld. Ook voldeed de DigiD-omgeving niet aan de eigen normen van de Minister van BZK.”
  • Persbericht Algemene Rekenkamer 15 mei 2013, de Rekenkamer schrijft: “Risico op misbruik vertrouwelijke gegevens. Inbraken op DigiD bij afnemers zoals gemeenten, Dienst Uitvoering Onderwijs (DUO) en de Belastingdienst kunnen leiden tot misbruik van vertrouwelijke gegevens van burgers en bedrijven. Deze afnemers moeten zich dan ook houden aan hoge veiligheidseisen. Volgens de Algemene Rekenkamer zijn er op dit moment echter risico’s voor de beveiliging van DigiD, doordat niet alle afnemers zich volledig aan de veiligheidseisen houden. De minister voor WenR zou de afnemers hierop moeten aanspreken: hij is verantwoordelijk voor de beschikbaarheid en kwaliteit van DigiD. De Algemene Rekenkamer beveelt hem aan te investeren in het toezicht op de afnemers van DigiD.
  • Mijn eerdere berichten over het eID en over DigiD
  • Website van eID / Idensys
Geplaatst in ICT, privacy, e-commerce | Tags: , , , , , | Een reactie plaatsen

E-mail is altijd onveilig [3]

Enige tijd geleden kwam ik een bericht van het Duitse ministerie van binnenlandse zaken tegen, waarin wordt aangekondigd dat in Duitsland de veiligheid van e-mail zal worden verbeterd.
Hoewel sommige ontwikkelingen in het buitenland doorsiepelen naar Nederlandse media, zie ik dit bericht niet terug op een site als bijvoorbeeld security.nl.

In Nederland moet je met een lantarentje zoeken om te ontdekken dat e-mail een onveilige communicatievorm is. Ook op overheidssites wordt er vrijwel geen aandacht aan besteed. Ik schreef er in mei over.

Hierna volgt de tekst van het bericht Bundesministerium des Innern:

Ab so­fort mehr Si­cher­heit beim Ver­sen­den von E-Mails
Deutschland auf dem Weg zum Verschlüsselungsstandort Nr.1

Sicherheit IT- und Cybersicherheit Pressemitteilung 28.06.2016

Das Bundesministerium des Innern begrüßt den Start der von der Deutschen Telekom AG angebotenen Ende-zu-Ende-Verschlüsselung.
Hierzu teilt Staatssekretär und Beauftragter der Bundesregierung für Informationstechnik Klaus Vitt mit:

“Das neue Angebot zur kostenfreien und nutzerorientierten Ende-zu-Ende-Verschlüsselung durch die Deutsche Telekom AG ist ein wichtiger Beitrag für Deutschland als Verschlüsselungsstandort. Ich hoffe, dass dieses Angebot von vielen Kundinnen und Kunden genutzt wird.”

Mit dem Dienst “Volksverschlüsselung” können Windows-Nutzer über E-Mailprogramme wie Outlook oder Thunderbird basierend auf dem S/MIME-Standard verschlüsselt per E-Mail kommunizieren. Ein Ausbau des Angebots ist angekündigt worden. Neben den 30 Millionen Kunden der E-Mail-Provider web.de und gmx.de können nun auch Kunden der Telekom Mail ihre E-Mail sicher verschlüsseln. Die Lösung wurde vom Fraunhofer SIT entwickelt.

Mit dem Angebot zur Ende-zu-Ende-Verschlüsselung erfüllen Fraunhofer SIT und die Deutsche Telekom AG ein Bekenntnis zur Stärkung einer vertrauenswürdigen Kommunikation, das Vertreter aus Politik, Wirtschaft und Verbänden mit der gleichnamigen Charta im Rahmen des Nationalen IT-Gipfels 2015 abgegeben haben. Die Charta zur Stärkung der vertrauenswürdigen Kommunikation war in der von Bundesinnenminister Dr. de Maizière geleiteten IT-Gipfel-Plattform “Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft” entwickelt worden.

Wanneer wordt Nederland wakker?

Meer informatie:

Geplaatst in ICT, privacy, e-commerce | Tags: , , , | Een reactie plaatsen

Woordenboek voor de digitale wereld

Vandaag  ben ik een woordenboek voor de digitale wereld begonnen, met de werkelijke betekenis van digitale modewoorden en andere belangrijke begrippen. Ik houd me aanbevolen voor suggesties.

Op dit moment bevat het woordenboek het volgende:

  • agile = een Engels woord voor flexibiliteit
  • cloud = de omgeving waarin gedeelde gegevens terecht komen en waarvan niemand weet wie er bij kan
  • delen = gegevens afgeven (laten stelen) om een dienst of product te kunnen krijgen
  • disruptie = nieuwe machthebbers leggen de burgers hun wil op
  • flexibiliteit = moeten aanpassen aan de steeds wisselende ideeën machthebbers
  • internet of things = apparaten die het denken en doen van de mens overnemen en alles delen (zou de mens een zombie worden?)
  • privacy = achterhaald concept uit de pre-digitale tijd
  • smart … (car, city, enzovoorts) = aanduiding voor apparaten of omgevingen met apparaten die alle gegevens delen
  • transparant = geen privacy meer, alles delen
  • vrijheid = iets wat bestond toen er nog geen transparantie was
Geplaatst in ICT, privacy, e-commerce | Een reactie plaatsen

Het Grote Privacy Experiment van De Correspondent | 15 september 2016

Volgende week donderdagavond 15 september organiseert De Correspondent in Utrecht een privacy evenement onder de titel “Het Grote Privacy Experiment“.
Uit de uitnodiging kan worden afgeleid dat deelnemers zich er op moeten voorbereiden gehackt en gedeeld te worden. Wil je dat niet: neem dan geen elektronische apparaten mee.

Het evenement is inmiddels uitverkocht, zodat belangstellenden het van de berichtgeving over het evenement moeten hebben. Verder kan het boek van Martijn en Tokmetzis worden gekocht.

Aankondiging

Onderstaand de aankondiging:

Donderdag 15 september, Stadsschouwburg Utrecht
De Correspondent presenteert: Het Grote Privacy Experiment

In het boek Je hebt wél iets te verbergen, over het levensbelang van privacy constateren Maurits Martijn en Dimitri Tokmetzis dat een van de grote problemen in privacydiscussies is dat wij de jacht op onze persoonsgegevens niet kunnen zien. Tijdens Het Grote Privacy Experiment zullen zij – samen met publiek en experts – het onzichtbare wél zichtbaar maken.

We verwelkomen onder anderen onze hoofdredacteur Rob Wijnberg, publicist Maxim Februari, schrijver Tommy Wieringa, Europarlementariër Sophie in ’t Veld, directeur van digitale burgerrechtenbeweging Bits of Freedom Hans de Zwart, ethisch hacker Wouter Slotboom en onze eigen correspondent Klimaat & Energie Jelmer Mommers.
Geheel in lijn met het onderwerp moeten we over bepaalde programmaonderdelen nog een beetje geheimzinnig blijven, maar we beloven een avond vol nieuwe ideeën en experimenten – waarna je nooit meer zult zeggen dat je niets meer te verbergen hebt.

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , , , , , , | Een reactie plaatsen