Digitaal gewapend beton

Vanaf 1 januari 2016 gaat de nieuwe Wet bescherming persoonsgegevens, WBP, in. Dat betekent dat organisaties moeten weten welke data ze in huis hebben en welke onderdelen persoonsgegevens zijn. Wie dat niet doet, zal vrijwel zeker problemen krijgen.

De nieuwe WBP is niet zozeer een dreiging vanwege de mogelijke boetes en onderzoeken die organisaties riskeren, maar zijn gevaarlijk vanwege de onvolwassenheid van de ict-industrie. Zo vinden we het helemaal niet vanzelfsprekend om vooraf na te denken wat voor gegevens we verwerken en wat voor de bescherming daarvan aan maatregelen nodig is.

Datalekkenregen

Anno 2016 is het niet meer vol te houden dat mensen niet zouden weten dat gegevens kunnen worden gehackt, verloren of onrechtmatig worden verwerkt. De incidenten vinden massaal plaats. Volgens een schatting van het CBP, dat na 1 januari 2016 de Autoriteit Persoonsgegevens gaat heten, zijn er jaarlijks 62.000 datalekken waarbij persoonsgegevens zijn betrokken. Niet ieder incident zal direct leiden tot identiteitsfraude of ernstige gevolgen, maar vaak loert dat gevaar wel. En dan moet u melden.

Sinds ‘Lektober’ was al duidelijk dat dit een probleem was, maar eigenlijk is de situatie nog onvoldoende verbeterd. Persoonsgegevens lopen op veel manieren risico. Dat gebeurt niet alleen via hacks, maar ook gegevens die op een USB-stick staan kunnen door verlies, diefstal of het stallen bij leveranciers, in verkeerde handen terechtkomen.

Dankzij de uitspraak van het Europese Hof van Justitie in de zaak die ‘Safe Harbor’ onderuit haalde, is duidelijk dat iedereen die persoonsgegevens verwerkt, moet waken tegen elke vorm van misbruik. De verantwoordelijkheid ligt dus in eerste instantie bij degene die de informatie laat verwerken. Deze persoon moet daardoor ook goed kijken met wie hij of zij zaken doet.

Aardbevingen

De problematiek laat zich tot op zekere hoogte vergelijken met beschermingsmaatregelen tegen aardbevingen. Om instortingsgevaar te verkleinen, gebruiken we in de bouw gewapend beton. Dat regel je voor de bouw al, omdat het metaal achteraf niet meer is toe te voegen. Wie dan nog het risico wil beperken, moet dure capriolen uithalen om een woning alsnog ietwat te beschermen tegen aardbevingen.

Digitaal is het niet veel anders. Wie vanaf het eerste moment bezig is met het bouwen van privacyvriendelijke en beveiligde oplossingen, kan het digitaal gewapend beton inbouwen in de systemen. Wie dat achteraf moet doen, loopt niet alleen tegen duurdere ontwikkelkosten aan, maar moet ook mensen anders opleiden, afspraken met leveranciers opnieuw maken en daardoor meer kosten maken.

Met de lange levensduur van systemen zal het een hele tour worden om op een volwassen manier de rechten van mensen te beschermen. De wetgever heeft een grote stap gezet om de industrie te dwingen betere systemen te bouwen. Nu is het aan ons om die handschoen op te pakken. Verzet u niet langer tegen gewapend beton!

Deze column verscheen eerder bij ICT Magazine.

Arjen Kamphuis: Over veiliger mobiel werken

Een belangrijk aspect bij het voorkomen van lekken is ons eigen gedrag. We hebben een flinke invloed door goed na te denken welke informatie we waar delen. Ook is het mogelijk om met simpele stappen onze apparatuur beter te beveiligen. Hoe dat kan legt Arjen Kamphuis, Lead advisor information security, Brunel uit aan Jan Renshof van het CIP.

Europees Hof van Justitie denkt na over hyperlink

GeenStijl en Sanoma hebben een juridisch conflict: toen foto’s van de Playboy op internet verschenen schreef GeenStijl een stuk en verwees erna. Vervolgens eiste Sanoma daarvoor een schadevergoeding en inmiddels ligt de zaak bij het Europees Hof van Justitie om een advies aan de Nederlandse rechters uit te brengen. GeenStijl vroeg commentaar op de zaak en maakte er een filmpje van.

Discrepante Transparantie

Terwijl burgemeester Pieter Broertjes het transparant maken van verborgen documenten huldigt, staat zijn gemeente Hilversum al jaren transparantie in de weg. Pijnlijke dossiers over asielzoekers blijven hierdoor verborgen.

Vandaag wordt – terecht – Bas Haan als journalist van het jaar gehuldigd voor zijn onderzoek naar de Teevendeal. U weet wel het bonnetje met de miljoenenvoordelen voor de crimineel Cees H. Haan onthulde het bedrag via Nieuwsuur en uiteindelijk had dat verstrekkende gevolgen. Broertjes, de burgemeester van Hilversum en voormalig hoofdredacteur van de Volkskrant, reikt de prijs uit.

Transparantie

Eigenlijk krijgt Haan zijn prijs voor de transparantie die de overheid niet wilde geven. Maar terwijl Broertjes vandaag ongetwijfeld mooie woorden gaat uitspreken, is de gemeente Hilversum niet bepaald een toonbeeld van transparantie. Als ze gegevens al moeten openbaar maken dan vragen ze daarvoor de hoofdprijs.

Zo vroeg een aantal mensen met een beroep op de Wet openbaarheid van bestuur om documenten rond de opvang van vluchtelingen. Vreemd genoeg waren dit soort stukken rond belangrijke maatschappelijke discussies niet gewoon via de website toegankelijk.

Dus moet de burger vragen om openheid. Uiteindelijk kwamen 3.387 pagina’s voor openbaarmaking in aanmerking, maar werden niet verstrekt. Want al maakt iedereen tegenwoordig zijn stukken digitaal aan, Hilversum levert ze alleen op papier.

Niet effectief

Voor het kopiëren wil de gemeente vervolgens € 2.060,95 hebben, want de prijzen variëren tussen de €0,60 en €1,15 per pagina. Ook weer een raar punt, want de norm bij kopieerkosten zijn de daadwerkelijk kosten van de materialen. Kennelijk koopt Broertjes nogal inefficiënt in, want de lokale copyshop vraagt voor zo’n klus tussen de €0,054 en €0,108 per pagina.

De truc is slim: je weigert beschikbare digitale documenten actief beschikbaar te maken, je weigert digitaal te leveren, je vraagt een bovenmatige prijs voor de kopietjes en de burger haakt wel af.

Maar in dit geval zamelden burgers het geld in en moeten de stukken er wel komen. Net als Bas Haan moet je soms blijven volhouden waar andere ophouden. Misschien kan Broertjes vandaag een paar van de lovende woorden inruilen voor de aankondiging dat hij als oud-journalist nu transparantie gaat helpen.

De duivel uitdrijven met Beëlzebub

Het klinkt simpel: als hackers inbreken in computers, dan moeten we de politie ook de mogelijkheid tot hacken bieden. Het lijkt een nuttig middel om hackers te stoppen. Alleen worden wij er onveiliger van. Het is de duivel uitdrijven met Beëlzebub.

In het wetsvoorstel, dat nu bij de Tweede Kamer ligt, krijgt de politie de bevoegdheid om ook te mogen hacken in computers, mobieltjes en andere apparaten die met internet verbonden zijn. Eufemistisch noemt Minister Van der Steur het “heimelijk en op afstand (‘on line’) onderzoek doen in computers”.

Inbrekerstuig

Hacken is niet de digitale variant van inbreken in een huis. Om binnen te komen in een computersysteem (of mobiel) zijn zwakheden nodig. Zodra die lekken zijn verholpen werkt de aanval niet meer. Je kunt digitaal niet een deur intrappen of een ruit open maken en die achteraf vervangen.

Wil de politie binnenkomen dan zijn zogenaamde 0day-lekken nodig ofwel lekken die nog niet publiekelijk bekend zijn. Bedrijven als Hacking Team leveren dit soort digitaal inbrekerstuig aan overheden.

Lekken niet dichten

De lekken worden aangeboden in een schimmige wereld. Bij het kopen van 0day-lekken van hackers beloven ze naast tienduizenden euro’s te betalen de zwakheden niet bij de leverancier te melden, zodat de aanval blijft werken.

Zoals beschreven in deze e-mail met afspraken met een Russische hacker:

“You promise to not report this 0day to vendor or disclosure it before the patch. obviously it is not our interest!”

Duistere zaken

Om te kunnen inbreken op enkele computers van verdachten blijven honderden miljoenen computers lek. Want zodra de zwakheid is gemeld bij de softwarebouwer kan die het probleem dichten. Als dat is gedaan dan is deze route om binnen te komen afgelopen.

Het kopen van dit soort 0day-lekken is een duistere business, waarin veel geld omgaat. Sommige experts zijn zeer actief in het vinden van deze lekken voor de handel. Niets staat ze in de weg om naast het verkopen van de lekken aan Hacking Team ze ook aan criminelen te verkopen.

Schimmige zaken

Ondertussen blijkt onze politie serieus geïnteresseerd te zijn om met Hacking Team zaken te doen. Een pijnlijke bijkomstigheid daarbij is dat deze beoogd leverancier hun tools ook leveren aan twijfelachtige regeringen van landen als Azerbeidzjan, Kazachstan, Uzbekistan, Rusland, Bahrein, Saudi Arabië, de Verenigd Arabische Emiraten, Nigeria en Ethiopië.

In deze landen nemen de overheden het niet altijd even nauw met de mensenrechten. Het digitaal inbrekerstuig wordt regelmatig gebruikt om in te breken op computers van journalisten. Dat brengt zowel hen als hun bronnen in gevaar. Ook bijvoorbeeld tegenstanders van dergelijke regimes worden door dit soort hackertools aangevallen.

Duivel uitdrijven

Krijgt de minister zijn zin krijgt dan wordt het aanschaffen van digitaal inbrekerstuig legitiem We houden daarmee een industrie in stand met als gevolg het minder snel dichten van lekken met bijkomende onveiligheid.

De lekken zijn ondertussen voor iedereen beschikbaar: twijfelachtige regimes, de politie met goed bedoelde intenties, criminelen en organisaties die bedrijfsspionage willen plegen. Alleen daarom is de voorgestelde hackbevoegdheid een klassiek voorbeeld van de Duivel uitdrijven met Beëlzebub.

Wanneer wordt de Nederlandse geheimzinnigheidscultuur eens onderzocht?

Wie ooit gebruik heeft gemaakt van de Wet openbaarheid van bestuur (Wob) weet dat veel overheidsorganen zich uit de naad werken om te voorkomen dat de waarheid boven tafel komt. Misschien is het tijd rond transparantie niet de burger te onderzoeken, maar de overheid.

Als er één dossier met onzinnige geheimzinnigheid is omgeven dan is het wel de aanslag op de vlucht MH17. Op vage gronden wordt veel informatie geweigerd of worden kamervragen in het geheel niet beantwoord. Neem bijvoorbeeld het ontslag van professor George Maat. De forensisch expert gaf presentatie met foto’s van het onderzoek naar de MH17 en werd daarom ontslagen.

Veel doorhalen

De Tweede Kamer vroeg om opheldering door documenten te krijgen. Al bestaat dat recht op basis van de grondwet toch ging de minister zich opeens verschuilen achter de Wet openbaarheid van bestuur (Wob). Veel documenten waren goeddeels gekuist, want volgens de wet zou niet alles openbaar kunnen worden.

Daarna kreeg professor Maat na veel vijven en zessen eindelijk inzage in het onderzoek over hem. De eerste keer dat Maat inzage had in zijn heel dikke dossier was er slechts een uur tijd inclusief een voorgesprek en kon hij niets doen. Pas bij een moeizame tweede poging kreeg hij weer inzage en schreef hij alles over. Dit was de enige manier om het openbaar te maken. Het resultaat zette hij online. Wat opvalt is dat op basis van de Wob er nogal wat is aan te merken op het zwart maken van veel informatie. Ik geef drie voorbeelden:

Ten eerste: het weigeren van simpele feiten. De passage:

Op donderdag 23 april werd op last van de minister van Veiligheid en Justitie de samenwerking met professor Maat beëindigd.

wordt geweigerd. Maar welke grondslag op de Wob hier met succes zou opgevoerd kan worden is mij een compleet raadsel. Dit is toch echt een besluit van de hoogste bestuurder op een departement. Maar misschien had de geheimzinnigheid weinig te maken met de regels van de Wob, maar meer met het verdoezelen van een discrepantie met deze kamervragen van CDA en D66 waar de Minister schreef bij vraag 21:

Na de uitkomsten van het interne onderzoek heeft de korpschef vervolgens bepaald dat de samenwerking met professor Maat in dit identificatieproces werd beëindigd.

Een tweede voorbeeld is de interne beraadslaging. Veel gegevens uit het ‘rapport van relaas’ onder andere geweigerd op basis van zogenaamde stukken opgesteld voor interne beraadslaging. Dat is een uitzonderingsgrond die ambtenaren de ruimte moet geven om een persoonlijke mening te geven zonder dat iedereen die te zien krijgt. Prima. Maar een ‘rapport van relaas’ is een proces verbaal. Dat gaat om feiten niet om meningen. Is dit een gelegenheidsargument of is naar een conclusie toegewerkt?

Zo werden meer feitjes en weetjes geweigerd:

Uit onderzoek is mij, rapporteur, gebleken dat er op intranet een “presentatie voor collega’s” staat. In deze presentatie staan geen foto’s die herleidbaar zijn naar slachtoffers. Op intranet is te zien dat het bericht op 9 april is gewijzigd.

Dat is wel een belangrijk weetje, omdat er een standaard presentatie was en professor Maat dus helemaal niet zijn boekje te buiten was gegaan. Dat roept de vraag op of dit een stukje tekst van intern beraad was of de echte grond van weigering was ‘omdat het de minister schaamrood op de kaken geeft’?

Een foutief beroep op privacy. Her en der worden namen van ambtenaren gezwart om ‘de persoonlijke levenssfeer’ te beschermen. Bij de Wob is dat inderdaad onder omstandigheden mogelijk, maar niet als het gaat om ambtshalve functioneren. Dus een politieambtenaar die een rapport opstelt, een korpschef, een operationeel hoofd LFTO (Landelijk Team Forensische Opsporing) of andere teamleiders zijn mensen die een functie bekleden, waarbij belangrijk is te kunnen herleiden wat zij doen. Dat heeft niets met privacy te maken maar met ambtshalve functioneren.

Dit zijn evident voorbeelden, waarbij doelgericht wordt gewerkt aan het tegenwerken van transparantie. Of minder vriendelijk gezegd: het verdoezelen van de waarheid.

Misbruik

Ondertussen wordt keer op keer geroepen dat de burger misbruik van de Wob maakt. Op kosten van de belastingbetaler wordt naar dat ‘misbruik’ onderzoek gedaan. Maar naar het misbruik door de overheid wordt geen onderzoek gedaan. De laatste vijfjaarlijkse analyse naar de werking van de wet stamt al weer uit 2004.

Misschien zou het goed zijn dat de Tweede Kamer beseft dat zij een grondwettelijk recht op informatie hebben en zich niet met een vertrouwelijke inzage laten afpoeieren. Het parlement hoort zich niet als een soort ‘Wob-misbruikende burger’ met een kluitje in het riet te laten te sturen. Nee. Een actief parlement start nou eindelijk eens een onderzoek naar echt Wob-misbruik en moeizame informatievoorziening.

De regering begint 2016 ronduit goed!

Eindelijk geeft Nederland aan hoe we omgaan met versleuteling op internet. De keuze is lastig, omdat opsporingsbelangen botsen met een vrij internet. Minister Ard van der Steur begint het jaar goed door een duidelijk keuze te maken: versleuteling is te belangrijk om stuk te maken.

Dat blijkt uit een brief aan de Tweede Kamer heeft gestuurd.

Lastig probleem

Om vertrouwelijk te communiceren, wordt op internet gebruik gemaakt van encryptie. Daardoor kunnen we veel veiliger financiële transacties doen, persoonlijke communicatie beschermen, blijven bedrijfsgeheimen vertrouwelijk en kunnen ook overheden veilig communiceren. In een digitale wereld heb je dat nodig om vertrouwd zaken te kunnen doen.

Aan de andere kant is er een roep om juist de versleuteling te verzwakken door achterdeurtjes in te bouwen of de sleutels aan de overheid te geven. Zo kunnen bij belangrijke opsporingsonderzoeken vertrouwelijke gegevens toch worden achterhaald. Vooral na aanslagen of bij kinderporno wordt die oproep veel gedaan.

Haken en ogen

Maar het probleem van achterdeurtjes is dat ook een kwaadwillende die kan achterhalen. Door software te analyseren, in te breken bij overheden of in sommige gevallen netwerkverkeer te analyseren, krijgen onbevoegden dan ook toegang tot de gegevens. Als je cryptografie verzwakt dan schaadt je daarmee de werking van de technologie. Een beetje stuk voor alleen een goedwillende overheid bestaat niet.

Het stuk maken van technologie heeft het grote gevaar dat deze technologieën op een gegeven moment niet meer zijn te gebruiken. Je kunt dan niet meer vertrouwd een financiële transactie doen, niet meer vertrouwen op bepaalde systemen en uiteindelijk raakt dat het vertrouwen in de digitale economie (online bestellen, online betalen, informatie opslaan in de cloud, enzovoort).

De vraag is dus of je nog open voor business bent als de onderliggende technologie is beschadigd. Waarom zou een bedrijf uit het buitenland de informatie in Nederland opslaan als een buurland de mogelijkheid biedt om wel veilig te werken? De risico’s die je loopt met het verzwakken van versleuteling zijn enorm.

Keuzes maken

De keuze die eigenlijk voorligt is de vraag wat belangrijker is: een digitale samenleving hebben en houden of een overheid – in theorie – altijd toegang tot alle informatie bieden. Daarbij moeten we ons wel beseffen dat een beetje crimineel zich niet zou houden aan de regel dat cryptografie verzwakt moet zijn en je uiteindelijk de goedwillende burger benadeelt.

Minister Ard van der Steur begint het jaar 2016 goed in zijn brief aan de Tweede Kamer die keuze duidelijk te maken voor een vrij internet en niet cryptografie stuk te maken:

“Het kabinet heeft tot taak de veiligheid van Nederland te waarborgen en strafbare feiten op te sporen. Het kabinet onderstreept hierbij de noodzaak tot rechtmatige toegang tot gegevens en communicatie. Daarnaast zijn overheden, bedrijven en burgers gebaat bij maximale veiligheid van de digitale systemen. Het kabinet onderschrijft het belang van sterke encryptie voor de veiligheid op internet, ter ondersteuning van de bescherming van de persoonlijke levenssfeer van burgers, voor vertrouwelijke communicatie van overheid en bedrijven, en voor de Nederlandse economie.

Derhalve is het kabinet van mening dat het op dit moment niet wenselijk is om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland. In de internationale context zal Nederland deze conclusie en de afwegingen die daaraan ten grondslag liggen uitdragen.”

Winst

Op dit dossier kiest de regering voor een vertrouwde digitale samenleving. Dat is goed nieuws en winst. Nu hopen dat met dit standpunt ook Minister Plasterk zijn wetsvoorstel voor de inlichtingendiensten aanpast. Hij eiste onder omstandigheden ook verzwakking van cryptografie.

Overigens is daarmee niet alles veilig voor de criminelen, want als het aan de regering ligt wordt het wel mogelijk op computers in te breken en zo bij gegevens te komen vóór ze worden versleuteld.

Hoe kies je de juiste beveiligingsmaatregel

Er valt veel te kiezen in beveiligingsmaatregelen. De vraag blijft wat nu de slimste keuze is om risico’s in de hand te houden. Met simpel boerenverstand komt een organisatie een heel eind.

In eerder blog werd al duidelijk dat een zinvolle maatregel soms technisch, soms in gedrag en soms in de manier waarop een organisatie werkt zit. Met goed inzicht in de risico’s zijn er vaak meerdere wegen die naar Rome leiden. Welke is dan de verstandigste?

Efficiënt werken

De basisregel is dat gekozen wordt voor de oplossing die met de kleinste investering in geld en mankracht het beste resultaat levert. Want iedere euro of ieder uur dat minder hoeft te worden geïnvesteerd, blijft over voor het afdichten van andere risico’s. Efficiënt werken is dan ook het sleutelwoord. Sommige maatregelen beteugelen meteen meerdere gevaren en leveren daarmee meer op dan het risico dat toevallig bovenaan het lijstje staan.

Met bijvoorbeeld goede logging van gebeurtenissen op systemen en het netwerk zijn aanvallen te detecteren. Maar diezelfde maatregel helpt ook bij onderzoek wanneer het toch verkeerd mocht gaan. Veel antivirussoftware detecteert een infectie, maar kan ook alarmeren bij het bezoeken van gevaarlijke websites na het klikken op een phishingmail en waarschuwen ook nog bij verouderde software. Wat verder kijken kan dus lonen.

Personeel dat training heeft gehad rond beveiliging zal bewuster functioneren. Zo ontdekken ze sneller verdacht gedrag, terwijl ze ondertussen tevens voorzichtiger optreden. Met de juiste sfeer zal het alarm slaan – als er iets misgaat – minder een drempel vormen. Bij zo’n opleiding kunnen ook de bedrijfsregels nog eens goed onder de aandacht worden gebracht.

Echte antwoorden

Kijk bij de maatregelen ook of ze echt een (gedeeltelijk) antwoord geven op het gestelde probleem. Nog altijd denken veel mensen dat een firewall een organisatie veilig maakt, maar als de dreiging zit in cryptolocker dan is het zinvoller te kijken naar hoe die allemaal in de organisatie kan komen. Een firewall blijkt dan opeens slechts in een beperkt aantal gevallen een echte oplossing te bieden.

Heeft een organisatie gevoelige gegevens, dan moet misschien verder worden gekeken dan de standaard-oplossingen. Voor die specifieke gegevens moet een apart plan worden gemaakt, waarbij vragen centraal staan als: hoe reizen deze gegevens door de organisatie? Wie kan bij die data komen en is dat echt nodig? Is het mogelijk dit soort informatie apart te zetten in een bijzonder beveiligde omgeving?

De truc zit erin het probleem goed onder woorden te brengen en dan eerlijk af te vragen of de voorgestelde maatregel echt helpt bij het beperken van de risico’s. Is dat niet of niet voldoende het geval dan moet er verder worden gezocht.

De waarom-vraag

Beveiligen is ook het kritisch durven stellen van vragen naar het waarom van zaken. ‘Waarom hebben we deze gegevens nodig?’, ‘waarom doen we het werk op een bepaalde manier?’ of ‘waarom hebben we ooit een bepaalde inrichting gekozen?’, zijn vragen die dan gesteld kunnen worden. Dat is soms lastig om te beantwoorden, omdat veel gewoontes in een organisatie sluipen zonder dat goed genoeg is gekeken of dat wel de juiste benadering is.

Pas als de organisatie kritisch naar zichzelf durft te kijken, komt er zicht op zinvolle maatregelen om de beveiliging te verbeteren. Dat is weliswaar ongemakkelijk, omdat het vaak ook een verandering in de manier van werken brengt. Dat is niet altijd leuk. Het is wel noodzakelijk. Een aanvaller zal weinig respect opbrengen voor goede bedoelingen of niet effectieve maatregelen. Die kijkt alleen naar mogelijkheden om misbruik te maken.

Goede informatiebeveiliging vereist dan ook goede kennis van de eigen organisatie en de bedrijfsprocessen. Vanuit die kennis en het begrip van de risico’s is het mogelijk de juiste maatregelen te kiezen: efficiënt, to-the-point en vooral kritisch op wat misschien anders kan. Pas dan heeft beveiligen zin, omdat klakkeloos ‘maar wat doen’ kapitaalvernietiging is.

Dit blog verscheen eerder op I Feel Secure.

Ot van Daalen: De belangrijkste voorwaarden om persoonsgegevens te verwerken

Een organisatie die persoonsgegevens wil verwerken moet zich aan een aantal regels houden. We horen vaak dat we vooraf over zaken moeten nadenken. Maar dat is zo algemeen en niet helder als vanaf 1 januari 2016 er boetes kunnen worden uitgedeeld. Wat zijn de belangrijkste dingen waar je nu op letten en wat betekent dat voor organisaties? Waarom zou ik mij daarover druk maken? Advocaat Ot van Daalen legt dat kernachtig uit aan Brenno de Winter . Deze aflevering is mogelijk gemaakt door Surfnet.

Organisaties die hun privacy en beveiliging beter willen regelen kunnen terecht bij Surfnet voor concrete tips om beveiliging en privacy beter te regelen. Natuurlijk is het beschermen van privacy niet alleen iets voor organisatie. Op de website van het Centrum voor Informatiebeveiliging en Privacybescherming staat een nuttig document ‘Grip op Privacy’ om de ingewikkelde Wet bescherming persoonsgegevens te ontrafelen en om te zetten in handelingen om beter aan de wet te voldoen.

Iedereen is ook persoon en burger die zelf het nodige kan doen om voorzichtiger om te gaan met persoonsgegevens. Op de website Veilig Internetten staan nuttige tips om uw privacy beter te beschermen. Wie een stap verder wil gaan en meer goed wil regelen om de privacy online beter te beschermen kan ook kijken op de Privacy Toolbox van Bits of Freedom.

We stonden al eerder stil bij de verandering in de wetgeving rond het omgaan met persoonsgegevens. Toen vertelde Sergej Katus wat de aankomende meldplicht datalekken betekent voor organisaties en wat de belangrijkste wetswijzigingen zijn: