Gaat het om open source of open API’s bij de overheid?

| AE 12568 | Regulering | 6 reacties

De overheid heeft een moeizame relatie met ict, zo poneert een interessant Tweakers-artikel over openbaarheid bij overheids-ICT-projecten. Al geruime tijd (sinds 2002, Motie-Vendrik) worstelt men met het idee van openheid bij software en data die door de overheid wordt ontwikkeld. Het sterkst is het pleidooi geweest voor het openen (bevrijden) van software. Maar zelf neig ik er steeds meer naar om te zeggen: het gaat om de data en de API’s. Dat ga ik uitleggen.

Het Tweakers-artikel gaat in op een recente rechtszaak om vrije (vrij als in vrijheid) toegang te krijgen tot de broncode van de “Debat Direct”-app, waarmee het mogelijk is om debatten in het parlement live te bekijken of achteraf terug te kijken. Er is alleen geen Linux versie, uitsluitend MacOS en Windows worden ondersteund. In maart bepaalde de rechtbank dat deze app wettelijk niet openbaar hoeft te zijn, onder meer omdat de Wet openbaarheid van bestuur niet geldt voor de Tweede Kamer en de Wet hergebruik overheidsinformatie niet geldt voor apps.

Vervolgens blijkt dat de app gewoon Javascript is, niet eens obfuscated, zodat je je kunt afvragen wat er dan niet openbaar is aan die broncode. En het gevolg is natuurlijk dat alleen een licentie nodig is, want zonder licentie mag je niets met software, hoe openbaar of publiek beschikbaar de broncode ook is.

Vanaf 2021 moet alle nieuwe software van de overheid openbaar zijn, maar dat helpt natuurlijk niet voor al die legacy software die er al is. Of voor al die data en protocollen die er achter zitten. Gelukkig is er het Open Data portaal, waar je alvast een hoop overheidsdata in kunt vinden. Maar nog lang niet alles.

En ja die API’s dus. De Application Programming Interfaces dus, de manier waarop je als applicatie tegen een andere zegt wat ‘ie moet doen of geven. Die zijn de kern van het samenwerken tussen applicaties – en van het kunnen herimplementeren van functionaliteit, zoals bij die Debat Direct app. Als je weet hoe je moet vragen om een lijst van debatten en de livestream van debat 23, dan hoef je die hele app niet meer te hebben. Dat integreer je dan zelf in je dashboard of eigen app.

Wat mij betreft is dat de kern van vrije informatie: dat je overal bij kunt en alles kunt gebruiken waar je bij kunt. Of je dat nou doet met een bijgeleverde app of dat je er zelf eentje maakt, dat hoort niet ter zake te doen. Daarom: het gaat om de data (en de API).

Arnoud

Waarom is ransomware losgeld betalen eigenlijk niet strafbaar?

| AE 12560 | Regulering | 19 reacties

Een lezer vroeg me:

Zoals iedereen kan zien komt het steeds vaker voor dat organisaties worden getroffen door een ransomware aanval waarbij er losgeld moet worden betaald om weer toegang te krijgen tot de gegevens. Veel organisaties kiezen hiervoor omdat het in veel gevallen goedkoper is om te betalen, maar is dit eigenlijk niet tegen de wet? Er zijn toch strenge regels over “ongebruikelijk” betalingsverkeer en betalen aan verdachte landen?
Het is niet expliciet verboden om losgeld te betalen wanneer je data gegijzeld wordt. Nergens in het Wetboek van Strafrecht is bepaald dat dit niet mag.

Dat is hetzelfde als bij ‘gewone’ gijzeling, ook daar is nooit gezegd dat het verboden is de gijzelnemers te betalen. De reden is vrij simpel, de mensen die dat zouden doen zijn de slachtoffers, de mensen die onder extreme emotionele druk staan om hun geliefden terug te krijgen. Dat ga je niet strafbaar stellen.

Bij ransomware voelt het allemaal iets zakelijker, en het gemak waarmee de gijzelnemers optreden versterkt dat gevoel nog eens. Vaak gaat het om bedrijven of instellingen, niet om privépersonen, en om data die te backuppen was geweest (althans, zo lijkt het vaak). Dat maakt het een heel ander verhaal dan een miljonair wiens man of kind wordt ontvoerd en dreigingen over vermoorden ontvangt tenzij er wordt betaald.

Daar komt bij dat veel verzekeraars cyberverzekeringen verkopen waarbij schade door ransomware gedekt is. Dan krijg je helemaal het beeld dat een verzekeraar gewoon kan kiezen te betalen, omdat dat goedkoper is dan de data proberen te herstellen en de systemen schoon te schrobben. (Het risico blijft overigens dat er achterdeurtjes zijn blijven zitten, of dat de gijzelnemers later opnieuw betaald willen hebben, want waarom zouden ze dat niet doen.)

Desondanks is er op dit moment geen wet tegen. Er wordt wel met enige regelmaat voor gepleit, maar van een concreet wetsvoorstel is het (nog) niet gekomen.

Wel is het inderdaad zo dat een betaaldienstverlener zoals banken of Paypal ongebruikelijke transacties moeten melden, en dat dit kan leiden tot blokkades van bankrekeningen of audits van toezichthouders. Maar omdat losgeld vaak via bitcoin en dergelijk wordt betaald, valt dit vaak buiten dergelijk toezicht.

In theorie overtreed je overigens wel sanctiewetgeving als de gijzelnemers in een sanctieland zitten zoals Noord-Korea. Daar mag je geen zaken mee doen, en dus ook geen geld aan betalen. Maar ik heb dat altijd een ietwat overdreven interpretatie gevonden: losgeld betalen is geen “zaken doen”, nog los van dat je niet wéét waar de gijzelnemers zitten.

Arnoud

T-Mobile deelde herleidbare locatiegegevens met CBS voor bouwen van algoritme

| AE 12556 | Ondernemingsvrijheid, Privacy, Regulering | 11 reacties

T-Mobile heeft jarenlang niet-anonieme gebruikersgegevens gedeeld met het Centraal Bureau voor de Statistiek, meldde Tweakers onlangs. Deze werden gebruikt om een algoritme te bouwen waarmee mensenstromen in kaart werden gebracht. NRC Handelsblad onderzocht een overeenkomst uit 2017 tussen de twee, waarbij het slechts „een pilot-project”, zou zijn waarbij alleen met „geanonimiseerde” gegevens zou zijn gewerkt. Dat blijkt dus niet waar, zo ontdekte de krant met een beroep op de Wet Openbaarheid van Bestuur, die daarmee een verontrustend inkijkje gaf in de manier waarop het CBS en T-Mobile met de privacy van bellers omgingen.

In 2017 ging het CBS een samenwerking met T-Mobile aan. Het doel was een algoritme ontwikkelen dat op basis van de locatiedata van één mobiele provider het mobiliteits- en verblijfsgedrag van Nederlanders kan meten. En dat noemen we dan wel “algoritme” maar het gaat natuurlijk om big data machine learning: gooi een grote bak met data in een opgevoerde versie van Excel en kijk hoe de grafiekjes lopen. En ja, dat werkt alleen met hele grote bergen data, en daarbij moet je per datapunt zo veel mogelijk informatie hebben. Het CBS aasde daarom niet alleen op telecomgegevens, maar ook op „data over betalingen” van banken en op andere informatie, wat je ‘verrijking’ kunt noemen of ‘datagraaien’ afhankelijk van aan welke kant je staat.

In het contract met het CBS staat dat T-Mobile „de methode voor het bepalen van locatiegegevens ook voor eigen doeleinden” mag gebruiken, „zowel tijdens als na de pilot”. Maar geen zorgen, „De data zijn zo privacygevoelig dat als er één partij vertrouwd kan worden om dit te analyseren … dan is dat het CBS”, aldus het businessplan.

En dan val ik van mijn stoel want dan blijkt men het verschil tussen pseudoniem en anoniem niet te kennen. Cruciaal, want de AVG is van toepassing op pseudonieme data – maar niet op anonieme. Dus wat krijg je dan, dat iedereen zegt dat de data anoniem is. Maar ik heb hier een AI die met 95% accuratesse voorspelt dat jouw data niet anoniem is maar alleen gepseudonimiseerd*. En ja hoor: “de unieke IMSI-nummers van mobiele toestellen zijn vervangen door andere nummers.” Dat is klassiek pseudonimiseren en nadrukkelijk niét anonimiseren. Ook niet als die andere nummers random zijn. Met de rest van de data is nog méér dan genoeg analyse te doen om over personen uitspraken te kunnen doen.

Gebruikers werden niet op de hoogte gehouden van de plannen. Wel werd de samenwerking besproken met de toezichthouders, maar daarbij werd niet verteld dat er toegang was tot niet-anonieme gegevens. Het Agentschap Telecom gaat, samen met de Autoriteit Persoonsgegevens, nu onderzoek doen naar het datadelen.

Arnoud * De AI zegt altijd “dit is pseudonimiseren” en dat klopt 95% van de tijd. Waar haal ik mijn VC funding voor deze GDPR Compliance Lawyerbot?

Ombudsman: overheid moet burger bij gebruik algoritmen centraal stellen

| AE 12540 | Informatiemaatschappij, Innovatie | 4 reacties

Bij het gebruik van data en algoritmen moet de overheid burgers centraal stellen, aldus de Nationale ombudsman die hiervoor een ombudsvisie ontwikkelde (via). Onder de titel “Een burger is geen dataset” dringt de ombudsman aan op transparantie, duidelijkheid en bereikbaarheid bij problemen. Je zou zeggen dat dit voor zich spreekt bij inzet van algoritmes, maar nee. Ik weet… Lees verder

Data is niets maar een man uit Spijkenisse kon ze wel stelen?

| AE 12187 | Regulering, Security | 15 reacties

Met de aanhouding van een 53-jarige man uit Spijkenisse is voorkomen dat mogelijk vele honderdduizenden persoonsgegevens op straat kwamen te liggen. Dat las ik bij Politie.nl vorige week (via). Een bedrijf in Utrecht ontdekte dat persoonsgegevens in strijd met de wet werden gebruikt (mooi stukje beveiliging/organisatorisch de AVG op orde hebben!) en deed aangifte, waarna… Lees verder

Hoe problematisch is de CLOUD Act nu echt?

| AE 12077 | Ondernemingsvrijheid | 25 reacties

Een hoop ophef en vraagtekens vorige week over het einde van Privacy Shield. Een belangrijke zorg was weggelegd voor de Cloud Act, want daarmee zouden Amerikaanse overheden ook toegang tot Europese data alhier kunnen vorderen. Daarmee zou de standaard oplossing – blijf in een Europees datacenter bij een Europees bedrijf – ook gevaar lopen. Hoe… Lees verder

Mag de politie de telefoon van een getuige leegtrekken?

| AE 11564 | Regulering | 13 reacties

Via Twitter een ietwat verontrustend item van de BBC over speciale apparatuur waarmee de politie telefoons in één keer geheel uit kan lezen. Die technologie wordt ingezet bij arrestaties, maar kennelijk ook bij telefoons van getuigen. En dan heb ik het over alles, van foto’s tot chatberichten, cache-informatie en prullenbakbestanden. De journaliste vraagt zich af… Lees verder

Curatoren verkopen geregeld klantgegevens zonder toestemming na faillissement

| AE 11241 | Privacy | 19 reacties

Curatoren verkopen na bedrijfsfaillissementen geregeld klantgegevens door, waaronder die van failliete webwinkels. Dat meldde Tweakers woensdag. Zij baseren zich op onderzoek van De Groene Amsterdammer en onderzoeksplatform Investico. Zij bekeken verschillende faillissementen en de dataverkoop die daarmee gemoeid ging. Zo’n dataverkoop mag niet, en wie zegt van wel -of dat het ingewikkeld is- die heeft… Lees verder

Veel Nederlanders sturen werkbestanden naar privémailadres, mag dat?

| AE 10898 | Informatiemaatschappij | 16 reacties

Veel Nederlandse werknemers versturen weleens werkbestanden vanuit hun zakelijke mailbox door naar hun privémailadres, las ik bij Security.nl. Dat baseert zich op het recent verschenen Cybersecurity bewustzijnsonderzoek van Alert Online dat onder meer dan duizend Nederlanders werd uitgevoerd. Volgens het onderzoek zegt 15 procent van de respondenten dat ze dit “altijd of meestal” wel doen…. Lees verder