Marinus Kuivenhoven: Veilige apps maak je voor je gaat bouwen

Met tablets en mobiele telefoons zijn apps populair. Ook bedrijven laten ze vaak maken om bedrijfsprocessen te ondersteunen. Want altijd en overal is bedrijfsinformatie beschikbaar. Als dat gebeurt komen er opeens allerlei beveiligings- en privacyrisico’s bij kijken. Het is daarom belangrijk bij de totstandkoming van een app rekening te houden met de beveiliging en daar tijdig over na te denken. Marinus Kuivenhoven van Sogeti praat over het grip krijgen over apps met Brenno de Winter.

Een van de methoden om vroegtijdig na te denken over beveiliging is Grip op SSD. Deze methodiek is kosteloos beschikbaar onder een creative commons licentie.

Waarom mag ik geen digitale handtekening zetten voor GeenPeil?

Volgens deze regering moet in 20172019 de overheid in alle gevallen digitaal met de burger kunnen communiceren. Dus zou het logisch zijn dat bij nieuwe wetten meteen kansen worden benut. Dat blijkt toch vies tegen te vallen. Digitalisering zit bij de overheid nog niet in het bloed.

Op mijn bureau ligt al weken een briefje om het verzoek van GeenPeil om een referendum te organiseren over het associatieverdrag tussen de Europese Unie en de Oekraïne. Of ik voor of tegen ga stemmen weet ik nog niet, maar het is belangrijk dat wij ons hierover kunnen uitlaten. Sinds 1 juli bestaat namelijk de wettelijke mogelijkheid om een referendum aan te vragen.

Veel gedoe

Recentelijk werd duidelijk dat de verzoeken voor een referendum veel werk voor de Kiesraad zijn. De oorzaak daarvan ligt vooral in het werk dat er moet gebeuren om handtekeningen te controleren. De ondertekenaars moeten namelijk wel in de Basisregistratiepersonen voorkomen en dat nazoeken is heel veel werk.

Het werken met fysieke post is ook gedoe voor zowel de burger als de mensen van GeenPeil. Zij verzamelen de handtekening en sturen dat door. Er is namelijk geen optie om dit digitaal te doen. Voor een nieuwe wet een erg ouderwetse manier van werken.

Eenvoudiger

Het leven zou veel eenvoudiger zijn als het inzamelen van handtekeningen ook elektronisch zou kunnen worden gedaan. Omdat je niet anoniem bent, is daarvoor het gebruik van DigiD een logische keuze. Dat gebruiken we bijvoorbeeld al voor het doen van belastingaangifte. Bovendien is het verschijnsel van een digitale handtekening inmiddels al jaren in de wet verankerd.

Als we de handtekeningen voor referenda elektronisch zouden doen (naast de papieren handtekening) dan wordt het proces fors vereenvoudigd. Bij de digitale handtekeningen kun je de controle volledig geautomatiseerd doen. Dat bespaart ook kosten en de online campagne van GeenPeil zou meteen ook zorgen voor boter bij de vis.

Er is een forse lobby om stemcomputers terug te krijgen, waarbij keer op keer uit onderzoek blijkt dat de anonimiteit en de controleerbaarheid een probleem zijn. Maar mensen blijven aan dat dode paard trekken. Nu heb je een proces waar technologie echt verschil kan maken en niemand die daar iets mee doet. Dat is toch bijzonder voor een overheid met grote digitale ambities.

Spreekt de minister de waarheid over waarborgen medisch geheim?

Waar minister Edith Schippers in 2014 nog beloofde dat gegevens over declaraties niet tot patiënten te herleiden zijn, blijkt dat nu wel het geval te zijn. De stelt de NZa tijdens een zitting bij de bestuursrechter in Amsterdam.

De zaak draait om de vraag of we mogen weten wat zorgaanbieders declareren. Mijn klant, de Open State Foundation, wil deze gegevens in de openbaarheid krijgen. Die informatie wordt namelijk aan de Nederlandse Zorgautoriteit(NZa) gestuurd. Omdat de belofte is dat deze declaraties niet tot de persoon te herleiden zijn, zou de privacy – dus het medisch geheim – niet in het geding zijn.

Maar tijdens de zitting stelde de NZa dat de anonimiteit niet altijd kan worden gegarandeerd en ging zelfs een stap verder door te stellen dat de anonimiteit in sommige gevallen zonder noemenswaardige inspanning op te heffen is in zeer specifieke gevallen. Ofwel: ons medisch geheim is niet altijd gegarandeerd, omdat deze gegevens soms tot de persoon te herleiden zijn en ook niet-artsen van de NZa erbij kunnen.

Dit staat haaks op het beeld in dat minister Edith Schippers in antwoord op kamervragen schetste:

“Het is een feit dat het DIS een zeer omvangrijke database is die gegevens bevat die – indien deze tot identificeerbare individuen herleidbaar zouden zijn, wat niet zo is – privacybelastend zouden zijn.”

en

“Bij pseudonimisering van persoonsgegevens worden de identificerende kenmerken van personen op een zodanige manier (vooraf) versleuteld en omgezet in een pseudo-identiteit, dat de werkelijke identiteit van de betreffende personen niet meer te achterhalen is. Direct identificerende gegevens worden dubbel versleuteld (oftewel dubbel gepseudonimiseerd) voordat ze worden opgeslagen in het DIS: de eerste versleuteling wordt uitgevoerd door de zorgaanbieder die de gegevens aanlevert en de tweede versleuteling door een externe, onafhankelijke organisatie, ZorgTTP (Zorg Trusted Third Party) genaamd. De pseudonimisering is zo ingericht dat deze onomkeerbaar is en daarmee dus niet meer herleidbaar tot individueel identificeerbare personen.”

Hiermee geconfronteerd in de rechtbank stelt de NZa nog steeds dat er ‘randen in de database zitten’ waar medische informatie toch naar personen te herleiden zijn. In hoeveel gevallen dit zo is, vindt de NZa niet haar taak te onderzoeken. Na de zitting is de vraag nu of minister Schippers de Tweede Kamer bewust een beeld heeft voorgespiegeld dat niet strookt met de realiteit, bewust de waarheid verdraaide of de NZa de minister niet juist informeerde. Wie het weet mag het zeggen…

Beveiligingsupdate: Hans de Raad over het veiliger e-mailen

Als je een e-mailbericht stuurt. Hoe veilig is dat eigenlijk? Vaak voelt dat vertrouwt aan. Maar kunnen andere partijen meelezen met onze berichten? En als dat kan wat kunnen we daartegen doen? Beveiligingsexpert Hans de Raad van OpenNovations praat daarover met Ad Reuijl van het CIP.

 

Wilt u meer weten over risico’s van e-mail of encryptie, lees dan verder

Continue reading Beveiligingsupdate: Hans de Raad over het veiliger e-mailen

Beveiligingsupdate: Sergej Katus over de aankomende meldplicht datalekken

Wie persoonsgegevens verwerkt moet dat zorgvuldig doen en voor de beveiliging zorg dragen. Gaat het mis dan moeten incidenten vanaf 1 januari 2016 gemeld worden. Wordt de wet overtreden dan riskeren organisaties forse boetes. Niet alleen voor het niet melden zijn boetes mogelijk, maar ook voor het niet op orde hebben van de beveiliging. Wat dit allemaal betekent legt Sergej Katus van Privacy Management Partners uit aan Elleke Oosterwijk van het CIP.

Wie meer wil weten over de meldplicht datalekken:

  • Bij het College Bescherming Persoonsgegevens is een informatiepagina over de meldplicht datalekken;
  • Alle documenten rond de behandeling in de Eerste Kamer;
  • Het goed op orde krijgen van beveiliging is een hele toer. Iedere medewerker kan helpen door zelf scherp te zijn op informatiebeveiliging en bewust te opereren. Een paar nuttige tips om zelf veiliger te zijn treft u aan op veiliginternetten.nl

Hallo? Vind jij het goed als ik Spotify gebruik?

Om gebruik te kunnen (blijven) maken van Spotify moet u toestemming aan al uw contacten in uw smartphone vragen. Eén weigering en u bent klant af. Dat is het gevolg van de nieuwe privacyvoorwaarden van het bedrijf. Mocht ik in uw contactenlijst staan dan zeg ik ‘nee’.

Dat is het gevolg van de nieuwe privacyvoorwaarden, die het bedrijf heeft uitgedokterd en gelden voor zowel betalende als gratis gebruikers. In de kern mogen contactgegevens, locatie, snelheid, afbeeldingen en meer zaken van uw mobiele telefoon door het bedrijf in de gaten worden gehouden. En niet alles is te verklaren vanuit het aanbieden van een muziekluisterdienst.

Onduidelijk

Er is veel wrevel ontstaan over de verandering in de voorwaarden. Die reactie is niet zo vreemd, omdat de verandering duidelijk maakt dat Spotify veel informatie verzamelt die weinig meer te maken hebben met het laten horen van muziek. Zo worden contacten verzameld, locaties, zaken rond sensoren in de telefoon bijgehouden en kunnen gegevens worden doorgegeven aan derde partijen.

Het probleem zit er vooral in dat niet duidelijk is wat er met de informatie gebeurt. Onze wetgeving gaat er vanuit dat wij van dit soort zaken wel op de hoogte zijn, weten waarom gegevens worden verwerkt en dat niet meer persoonlijke data wordt verzameld dan noodzakelijk is voor het leveren van de dienst. Zonder dit soort helderheid is het lastig toestemming geven of je dit wel wilt en Spotify schakelt die bescherming uit.

Sterker nog Spotify maakt heel duidelijk dat de wettelijke bescherming misschien helemaal niet geldt (in artikel 3.4):

“Your personal information may therefore be subject to privacy laws that are different from those in your country of residence.”

Ofwel: zou het instemmen met deze voorwaarden betekenen dat de Europese regelgeving aan de kant wordt gezet. Natuurlijk is het maar helemaal de vraag of Spotify dat wel kan vragen.

Toestemming vragen

Een opmerkelijke verandering is dat de gebruiker toestemming geeft om zijn of haar contacten te gaan gebruiken. Het bedrijf realiseert dat in sommige landen, zoals Nederland, dit niet zomaar mag en daarom wordt dit probleem bij de gebruiker gelegd door hem te verplichten om toestemming te vragen aan die contacten (artikel 3.3):

“With your permission, we may collect information stored on your mobile device, such as contacts, photos, or media files. Local law may require that you seek the consent of your contacts to provide their personal information to Spotify, which may use that information for the purposes specified in this Privacy Policy.”

Dus wie aan de slag wil met Spotify op zijn smartphone zal eerst toestemming moeten vragen aan ieder contact in het telefoonboek voor het accepteren van deze voorwaarden. Een bijna onmogelijke taak en ook weinig realistisch. Want wat moet je als iemand nee zegt?

Weinig gelukkig

De keuze van Spotify is dus weinig gelukkig. Er zijn wel diensten die met de privacyvoorwaarden niet zo extreem zijn en beter in onze wetgeving passen. De komende tijd komen er ook nieuwe initiatieven. Jammer want Spotify was een goed legale oplossing voor het luisteren naar muziek. Hopelijk realiseert de entertainment industrie dit zelf ook, zodat ze niet iedereen opnieuw naar het privacyvriendelijke Pirate Bay sturen. Of lees bij Wired enkele alternatieven.

Beveiligingsupdate: Studenten bestoken hun eigen school met phishingmails

Hoe simpel is het nu om een awareness-campagne op te zetten? Studenten van de Hogeschool van Rotterdam onderzochten dat door hun eigen school te bestoken met een phishing mail. Uiteraard was er eerst toestemming gevraagd. De studenten deden dat in het kader van ‘Privacy Lab’, een opdracht waar verschillende opleidingen met elkaar samenwerken. Harin Indra Familia Turbi en Thierry Karsemeijer, twee projectdeelenemers, vertellen Ad Reuijl, directeur van het CIP hoe ze te werk gingen, hoeveel mensen er daadwerkelijk in trapten en hoe simpel het is om mensen te misleiden.

Wees alert op phishing mails

  • Op veiliginternetten.nl staat beschreven hoe een phishing-mail te herkennen is;
  • Bent u er toch in getrapt en vreest u slachtoffer te zijn dan staan hier diverse goede tips;
  • Ook de banken hebben de nodige tips om phishing tegen te gaan;
  • Krijgt u op kantoor een phishingmail? Meldt het dan bij uw IT-afdeling of systeembeheerder.

Epiloog

Na het project hebben de studenten met hun idee en uitwerking een tweede plaats veroverd bij de wedstrijd op het Exposed Now-event. “Daarin moesten we ons product verkopen (in de vorm dat we ingehuurd zouden kunnen worden door bedrijven om een soortgelijke actie te voeren bij personeel om zo awareness te creëeren.) Hiervoor zijn wij van de 10 deelnemers als 2e verkozen door de vakjury”, vertelt Harin Indra Familia Turbi aan de Beveiligingsupdate.

 

Ook blijkt dat de Hogeschool van Rotterdam zelf wel waakzaam is en reageert op meldingen van betrokken. “Verder hebben we een bezoek gekregen van IT-medewerker van school die hoogte kreeg van ‘een’ phishing attack waarbij er direct een team werd ingezet om ons te stoppen en het scheelde weinig of ze hadden aangifte gedaan tegen ons. Pas later kwamen ze erachter kwamen dat het om een campagne ging”, vertelt de studente dan ook. Het loont dus om dit soort verdachte mails te melden!

Wie meer wil weten over deze actie kan de presentatie (pdf) ophalen.

Lees verder om te zien wat deze studenten meer ontwikkelden. Continue reading Beveiligingsupdate: Studenten bestoken hun eigen school met phishingmails

Beveiligingsupdate: Wouter Slotboom over phishing en nepmails

Een van de populairste vormen van internetcriminaliteit is phishing. Dat zijn trucs om gegevens van mensen in handen te krijgen door bijvoorbeeld een mail te sturen namens een bank of andere organisatie. Meestal is het verzoek om informatie te geven. Op het moment dat u op links van dit soort berichten klikt, komt u vaak op de website van criminelen uit. Alleen het bezoek is vaak al voldoende om uw computer te infecteren. Ook is het kinderlijk eenvoudig om inloggegevens over te nemen. Hoe simpel dat is legt beveiligingsexpert Wouter Slotboom aan Ad Reuijl van het CIP uit. Ook demonstreert hij hoe eenvoudig het is voor criminelen om misbruik te maken door een bestaande website te kopiëren.

Dit kunt u doen om ellende te voorkomen:

  • Een bank zal nooit een mail sturen waarin ze vragen om login-gegevens of andere informatie. Lees de zes tips van Veilig Internetten om gewapend te zijn tegen nepmails of nep telefoontjes;
  • Klik niet op links naar login-pagina’s. Een bank zou dat niet doen;
  • Voer zelf het adres van uw bank in de webbrowser in als u wilt gaan internetbankieren;
  • Leer nepmails herkennen;
  • Lees ook de tips op veilig interentbankieren van de banken om phishing-ellende te voorkomen!

Beveiligingsupdate: Hans de Raad over encryptie

In het beveiligen van onze omgeving hoor ik steeds vaker mensen praten over encryptie of versleuteling. Wat is dat nou? Waarom hebben we dat nodig? Wat betekenen termen als symmetrische versleuteling, assymetrische versleuteling, PGP en S/MIME nou? Hans de Raad van <a href=”http://www.opennovations.nl/”>OpenNovations</a> is goed in staat dat simpel uit te leggen aan Ad Reuijl van het CIP.

Beveiligingsupdate: Rob Koster van de Marechaussee over identiteitsdiefstal

Identiteitsdiefstal is een groeiend probleem. Vaak wordt daarbij ook misbruik gemaakt van identiteitsbewijzen. Dat is het moment waarop de Marechaussee vaak betrokken wordt. Kolonel Rob Koster van de Marechaussee is gespecialiseerd op fraude en praat erover met Jan Renshof van het Centrum voor Informatiebeveiliging en Privacybescherming. Wat moet je doen om de kans op misbruik te verminderen?

Bekijk het gesprek:

Tips uit het gesprek:

  • Om het zomaar kopiëren van gegevens moeilijker te maken, helpt een ID-cover(zie afbeelding). De ID-cover is een hoesje dat de onnodige verspreiding van een aantal van jouw persoonsgegevens beperkt. Concreet schermt de ID-cover je foto, je persoonsnummer (BSN) en het nummer van je identiteitsbewijs af. Op een paspoort wordt ook de strook met gegevens onder aan het paspoort afgeschermd. De ID-covers zijn onder andere te verkrijgen bij de ANWB.idcover
  • Rob Koster waarschuwt voor de gevolgen van het gebruik van social media zonder daar bij na te denken. Op de website van Veilig Internetten leest u een aantal nuttige tips om de risico’s te beperken;
  • Meer weten over identiteitsfraude en wat u hiertegen kunt doen? Op de website van Veilig Internetten treft u een handige checklist aan;
  • Aangifte te doen. Doe van ieder geval van identiteitsfraude aangifte. Wilt u weten hoe u identiteitsfraude herkent of weten hoe u dat doet? Kijk verder op de website van de politie. Ook op de website van de Rijksoverheid staat nuttige tips hoe u bewijzen kunt verzamelen om zo het onderzoek te vereenvoudigen.