Overheid lanceert nieuwe versie van KopieID-app

| AE 11383 | Privacy, Security | 15 reacties

De Rijksdienst voor Identiteitsgegevens heeft een nieuwe versie van de KopieID-app gelanceerd die het eenvoudiger voor gebruikers moet maken om een kopie van hun identiteitsdocument te maken. Dat meldde Security.nl vorige week. Er zijn de nodige verbeteringen doorgevoerd; zo is het et doorstrepen nu eenvoudiger gemaakt en is het watermerk beter leesbaar. Ook kan de kopie nu worden opgeslagen voor later gebruik en is het versturen vergemakkelijkt. Allemaal mooie stappen binnen het gegeven “men wil een kopie van mijn ID, hoe maak ik dat veiliger” maar ik erger me dood dat het nodig is. Zeker in combinatie met dit bericht dat “we” onze identiteitsbewijzen kwijtraken en dat “we” dus beter op moeten letten. Dat is toch de wereld op zijn kop?

De KopieID app is een hele handige oplossing voor het probleem dat veel mensen bij organisaties tegenkomen: die willen een kopie van je identiteitsbewijs, en slaan daarmee allerlei overbodige en risicovolle gegevens op, zoals je pasfoto of je burgerservicenummer. Deze app komt je dan te hulp, je kunt dan een kopie inleveren met een watermerk (waarmee vaststaat wie de data lekte) en niet-nodige gegevens netjes uitgebalkt (zodat de impact van een datalek minder is). En ik kom zowaar steeds vaker organisaties tegen die dat accepteren, een digitale kopie via deze app in plaats van “geef nou maar gewoon je rijbewijs, of wil je die auto niet”.

De hamvraag voor mij blijft echter altijd, hoezo moet je überhaupt een kopie van mijn rijbewijs, paspoort of identiteitsbewijs maken? Daar komt meestal geen antwoord op, of het is “dat is nu eenmaal het proces” of tegenwoordig de nog leukere “dat moet van de AVG, u weet wel die privacywet, misschien heeft u er van gehoord”. Ik moet me dan altijd héél erg inhouden met uitleg waarom dat helemaal niet moet van de AVG.

Want nee, als hoofdregel kun je prima zeggen dat de AVG noch andere wetgeving van organisaties eist dat ze een kopie van je identiteitsbewijs bewaren. Er zijn bedrijven (met name banken) die verplicht een kopie moeten hebben, maar die kunnen daar een specifieke wettelijke regel over aanwijzen. Verreweg de meesten doen het omdat ooit intern bedacht is dat het handig is als check of een identiteitscontrole goed is uitgevoerd, en omdat je achteraf dan dat kopietje kunt laten zien aan politie of rechtbank als bewijs. En dat is leuk en aardig maar natuurlijk zwaar overdreven. In veel gevallen kun je prima volstaan met het nummer van de identiteitskaart noteren. Daarmee is de identiteit terug te halen, wat genoeg moet zijn bij een aangifte.

En oh ja, dat andere bericht. In 2018 zijn in Nederland bijna 340.000 officiële identiteitspapieren als vermist of gestolen opgegeven, las ik bij de NOS. “Veel mensen zijn zich niet bewust van de risico’s. Mijn advies is: let op uw identiteitsbewijzen”, aldus staatssecretaris Knops. De boodschap begrijp ik, maar ik mis wel heel erg de focus op de bedrijven die identiteitsbewijzen bewaren of kopiëren. Dáár zitten toch de risico’s?

Kunnen we niet vanuit de overheid eens zeggen, als u een kopie ID maakt dan bent u strafbaar tenzij? Of heel simpel, in die app eerst een checklistje met drie vragen doorlopen en dat een filmpje van Knops dan zegt “Hoho bedrijfje, dit mag u helemaal niet van de AVG!”

Arnoud

Is een maximale wachtwoordlengte in strijd met de AVG?

| AE 11378 | Security | 32 reacties

Een lezer vroeg me:

Ik kom nog geregeld bedrijven en verenigingen tegen die wachtwoorden van maximaal 12 karakters accepteren. Als je ze hierop aanspreekt zeggen ze dat dit voldoende is of het later zal worden aangepast. Maar de AVG verplicht dat er “passende technische én organisatorische maatregelen” worden genomen om een adequaat beveiligingsniveau te waarborgen. Twaalf karakters is tegenwoordige echt niet meer adequaat. Handelen de instanties die wachtwoorden van maximaal 12 karakters accepteren in strijd met de AVG?

Daar lijkt het wel op. Een goed wachtwoord is een van de belangrijkste technische beveiligingsmaatregelen die je kunt nemen. In de praktijk wordt vaak binnengedrongen met een geraden wachtwoord, dus hoe sterker je dat wachtwoord tegen gokken kunt maken, hoe beter.

De AVG zegt zelf niet precies aan welke eisen een wachtwoord moet voldoen, alleen dus dat de maatregelen die je neemt “passend” moeten zijn gezien de risico’s, de stand der techniek en andere relevante factoren. Kort gezegd: je moet kunnen verantwoorden waarom je de keuzes maakte die je maakte, en waarom het niet sterker hoefde dan het was.

In mijn ervaring wordt zelden echt nagedacht over wachtwoordbeleid, met name als het gaat om de lengte van wachtwoorden. Er is het nodige onderzoek gedaan naar bijvoorbeeld hoe vaak een wachtwoord gewijzigd moet worden (nooit, als het maar sterk is) of hoe sterk ze moeten zijn (12 karakters is wel het minimum inderdaad) maar je ziet dat niet snel terug in bestaande implementaties van password-based access control. En dat is jammer.

Ik zou dus zelf geneigd zijn om te zeggen, wie een maximale lengte op wachtwoorden afdwingt zit fout onder de AVG, tenzij hij een heel goed verhaal heeft waarom het nódig is dat het wachtwoord niet langer is. Ik kan me dat verhaal niet voorstellen, maar goed, ik probeer een open mind te houden hierbij. “Onze software werkt nu eenmaal zo” of “Wij zijn nog nooit gehackt” is natuurlijk géén goed verhaal.

Arnoud

Mag mijn werkgever uit mijn naam mails versturen voor het werk?

| AE 11354 | Security | 18 reacties

Een lezer vroeg me:

Op het forum van Security.nl las ik de vraag over een werkgever die in mailboxen van personeel zit en van daaruit ook in hun naam mail verstuurt. Mag dat zomaar?

Er is natuurlijk geen wet die letterlijk dit verbiedt. Dit is iets waar je vanuit de norm van goed werkgeverschap samen uit moet komen, en helaas is dat bij dit soort types vaak wat lastiger dan zou moeten.

Hoofdregel is dat de werkgever bepaalt hoe het werk wordt uitgevoerd. Hij moet daarbij rekening houden met de privacy van de werknemer, maar als hij alle uitgaande berichten wil screenen of zelfs wil dicteren wat er in je brieven moet staan, dan is dat binnen de redelijkheid gewoon zijn recht. Ook als jouw naam er onder staat.

Ongevraagd en zonder inspraak mails versturen uit naam van de werknemer vind ik een ander verhaal. De werknemer moet wel ongeveer weten wat er namens hem of haar wordt gezegd. Ik denk dus niet dat dat kan, tenzij er expliciet bij staat “verzonden door X uit naam van Y” of iets dergelijks.

Toegang tot de mailbox kan nodig zijn om die mails van klanten op te vangen, of om in oude mails te zoeken wat er in het verleden is gezegd. (Natuurlijk, dat kan ook in een centraal CRM-systeem of ticketsysteem zitten maar niet elk bedrijf heeft dat.) Daar moeten dan regels over worden gemaakt in het ICT-reglement, zodat de werknemer weet hoe en wanneer de werkgever toegang mag krijgen tot de mailbox. En die regels mogen niet zijn “de baas mag op ieder moment alles”, er moet wel enige nuance in zitten.

Arnoud

Mag je iemand er publiekelijk op wijzen dat hij heel dom privéinformatie publiceert?

| AE 11169 | Privacy, Security, Uitingsvrijheid | 8 reacties

“Zet nooit, maar dan ook helemaal nooit, je boardingpass op Twitter @peterverhaar. En roep al helemaal niet mensen op om het te doen.” Aldus techjournalist Daniel Verlaan op Twitter vorige week. Aanleiding was een actie van bankier Verhaar tegen de ‘klimaatterroristen’ waarbij je door een Tweet met je boardingpass laat zien dat je tegen klimaatverandering… Lees verder

Politie mocht iPhone verdachte onder dwang via duim ontgrendelen

| AE 11158 | Regulering, Security | 10 reacties

De politie heeft in een onderzoek naar een phishingbende de iPhone van een verdachte onder dwang via zijn duim mogen ontgrendelen, las ik bij Security.nl. In drie vonnissen besliste de rechtbank Noord-Holland dat deze opsporingstechniek legitiem is, ook nu er geen specifieke wettelijke regeling is. Dat bevestigt de eerdere lijn uit februari waarin ook de… Lees verder

Wanneer is het hebben van een Remote Acces Tool en een Keylogger strafbaar?

| AE 11106 | Regulering, Security | 22 reacties

In december werd een man veroordeeld voor het voorhanden hebben en verspreiden van Blackshades software. De rechtbank merkte dit aan als medeplichtigheid tot computervredebreuk, omdat deze software gebruikt kan worden om een inbraak in andermans computer te vergemakkelijken. Wat diverse lezers ertoe bracht om me te vragen, hoezo is het strafbaar om die software te… Lees verder

200.000 particuliere beveiligingscamera’s in politiedatabase

| AE 11065 | Regulering, Security, Uitingsvrijheid | 19 reacties

De afgelopen jaren hebben bedrijven en particulieren meer dan 200.000 beveiligingscamera’s in een database van de politie laten registreren, las ik bij Security.nl. Het gaat om de database “Camera in Beeld”, die informatie over beveiligingscamera’s in Nederland bevat. Het register stelt de politie in staat om snel camerabeelden te vorderen van strafbare feiten en andere… Lees verder

Mag Taylor Swift met gezichtsherkenning mensen weren van haar concerten?

| AE 11022 | Privacy, Security | 17 reacties

Popartiest Taylor Swift gebruikt gezichtsherkenning tegen stalkers die naar haar concerten gaan, meldden diverse media. Een camera was verborgen in een zuil waar men highlights van het concert kon terugkijken. Deze scande gezichten van geïnteresseerden en een extern bedrijf vergeleek ze automatisch met bekende gezichten. Voor zover bekend werd er niemand gevonden. Maar het roept… Lees verder

Hoe je een bak geld verdient door gewoon de inkoopvoorwaarden te accepteren, wacht wat?

| AE 11011 | Security | 3 reacties

Corporate purchasing and policies make funding open source Literally Impossible, aldus Swift on Security, een parodiërende maar serieus te nemen securityonderzoekster. De onderliggende klacht is namelijk best reëel: als je een paar tientjes wilt vragen van een groot bedrijf om een bug in je open source project te fixen, dan is dat enorm ingewikkeld. Maar… Lees verder

Moet je van het AVG-vergeetrecht je backups opschonen van oude persoonsgegevens?

| AE 10935 | Privacy, Security | 15 reacties

Interessante discussie in de berichtgeving over de Bits of Freedom informatieopvraagtool, waarmee je makkelijk brieven genereert om je rechten naar bedrijven over je persoonsgegevens uit te oefenen. En dan (natuurlijk) het vergeetrecht, hoe ver gaat dat als je vraagt om vergeten te worden. Tweaker ‘RedSandro’ signaleert een specifiek probleem: Af en toe komt het –… Lees verder