Bedrijven gehackt door bij NCSC bekend lek, had men dit moeten delen?

| AE 12155 | Informatiemaatschappij | 21 reacties

Aanbieders van digitale infrastructuur verenigd in de Stichting DINL zijn gefrustreerd over het opnieuw achterhouden van informatie over een belangrijke hack door het NCSC. Dat las ik bij Computable.nl. Het Nationaal Cyber Security Centrum (NCSC) had actuele en gerichte informatie over de hack maar deelde die niet met de bedreigde organisaties, omdat data niet binnen haar wettelijke taak viel. De bedrijven werden ook werkelijk gehackt met deze zwakheid, iets dat dus voorkomen had kunnen worden.

Tweakers legt uit dat het ging om de inloggegevens van Pulse Secure-accounts van meer dan 900 bedrijven, die online werden gepubliceerd nadat ze door exploitatie van een lek in deze VPN software werden verkregen. Beveiligingsonderzoeker Matthijs Koot (hoi) lichtte het NCSC in, omdat ook Nederlandse bedrijven er tussen stonden. Maar die deed er dus niets mee.

In het FD licht de dienst dit toe:

Binnen de ‘juridische mogelijkheden’ heeft het NCSC er alles aan gedaan om organisaties te informeren, e-mailt een woordvoerder van Justitie. Maar ‘organisaties buiten het wettelijk mandaat kunnen helaas niet door het NCSC geïnformeerd worden.’ Ook nu bekend is dat de bedrijven daadwerkelijk zijn gehackt, worden ze dus niet op de hoogte gebracht.
Het probleem is dat er juridisch zoiets is als een vitale organisatie. Deel van het takenpakket van het NCSC is dat men alleen deze instanties mag informeren. Daarmee is er dus geen bevoegdheid om ook andere bedrijven te informeren.

De achterliggende logica snap ik niet helemaal, ik zie in de wet geen hard verbod op het informeren van een niet-vitale organisatie maar dat ligt vast aan mij. Ik kan me hooguit voorstellen dat je niet ieder lek aan ieder bedrijf wil melden, al is het maar omdat je niet zeker weet wie wel of niet lek is en het mogelijk héél veel belletjes worden als je voor iedere WordPress-vulnerability iedere slager met blog moet gaan bellen. Maar iets van een inhoudelijke afweging moet toch niet zo’n groot probleem zijn?

Arnoud

 

Keurig betaald met de parkeer-app en toch een bekeuring

| AE 12132 | Privacy | 30 reacties

Twee jaar geleden parkeerde rechtenhoogleraar Corien Prins haar auto in de Utrechtsestraat in het centrum van Tilburg, zo opende NRC een juridisch artikel. Ze betaalde met haar parkeer-app, die aangaf dat ze daar een uur mocht staan. Maar dat bleek niet te kloppen en ze kreeg een boete. Ja mevrouwtje, zo gaat het verhaal dan, die app is niet van de overheid dus dan blijft het uw eigen verantwoordelijkheid he. Maar de app wordt natuurlijk wel gevoed met informatie afkomstig van de gemeente, die bouwers gaan echt niet zelf elk verkeersbord nazoeken. Interessant genoeg geeft de Hoge Raad Prins gelijk.

Uit het arrest blijkt dat op de betreffende locatie alleen geparkeerd mocht worden met vergunning of dagticket, terwijl Prins via haar app voor een uur had betaald (€2,20 in plaats van een dagkaart van €16,50). Op een bord aan het begin van de straat stond dat ook aangegeven, maar de parkeer-app wist niet beter dan dat je per tijdseenheid kon parkeren.

Die informatie over waar je betaald moet parkeren, die haalt zo’n bedrijf natuurlijk niet zelf overal op. Die wordt door gemeenten aangeleverd, er is zelfs een Nationaal Parkeer Register (spatiefout in origineel) waarin deze informatie op te halen is. En daar ging het dus mis, de gemeente Tilburg had die informatie over die dagkaart niet correct in het NPR gezet. Wiens fout is dat nou?

Rechtbank en Gerechtshof legden de verantwoordelijkheid voor het op de juiste manier voldoen van de parkeerbelasting toch bij de burger neer. Je kiest er zelf voor om een app te gebruiken, je had ook het bord kunnen controleren en dan had je het kunnen weten. Dat de gemeente die informatie in het NPR stopt en de appbouwer daarop afgaat dat is niet het probleem van de handhaving, je moet daar altijd op bedacht blijven als je gaat parkeren.

Ja die vond ik ook niet heel sterk. En vooral de Hoge Raad niet, en die heeft er nog een juridisch argument voor ook. Volgens de Gemeentewet moet je duidelijk informeren hoe en waarvoor er parkeerbelasting moet worden betaald. Als je vervolgens als gemeente toelaat dat men via een app betaalt, dan moet je als gemeente zorgen dat ook in de app duidelijke informatie beschikbaar is over het betalen.

In cassatie staat vast dat belanghebbende bij het betalen door middel van de parkeerapp onjuiste gegevens omtrent de verschuldigde parkeerbelasting te zien kreeg. Daarmee staat ook vast dat de gemeente Tilburg niet heeft voldaan aan haar hiervoor in 2.4.1 omschreven informatieplicht ten aanzien van deze wijze van betaling. Aangezien de Verordening aan belanghebbende de keuze biedt tussen betaling door middel van een parkeerapp of een parkeerautomaat en tussen die wijzen van betaling geen onderscheid maakt, kan aan belanghebbende niet worden tegengeworpen dat hij is afgegaan op de tariefinformatie in de parkeerapp zonder ook tariefinformatie in de plaatselijke parkeerautomaat en/of op in de omgeving geplaatste borden te raadplegen.
De naheffingsaanslag wordt dan ook vernietigd. Hopelijk wordt de informatie nu ook snel aangepast; in het artikel wordt Tilburg geciteerd als dat ze hebben gezegd dat het wel vaker fout gaat. Maar nu er eindelijk een sanctie staat op die fouten, hoop je dat er een prikkel is om dit op te lossen. „Op het moment van de uitspraak van de Hoge Raad was de kaart al verbeterd en de gemeente Tilburg is bezig om de kaarten nog nauwkeuriger in te tekenen”, aldus de gemeente.

Arnoud

 

Politiek wil waakhond op algoritmes, maar ik heb liever een keurmerk voor de trainingsdata

| AE 11336 | Innovatie | 14 reacties

De Nederlandse politieke partijen D66 en CDA roepen het kabinet dinsdag in een motie op toezichthouder op te zetten die het gebruik van algoritmes bij de overheid in de gaten houdt. Dat las ik bij Tweakers maandag. De macht van algoritmes is een steeds grotere angst aan het worden: ze zijn niet transparant, ze kunnen al snel discrimineren of oneerlijk behandelen en ambtenaren voelen zich vaak verplicht om te doen wat het algoritme zegt in plaats van hun eigen afwijkende opvatting over de zaak door te zetten. Een loffelijk idee, alleen vergeten ze weer waar het eigenlijk om gaat: it’s the data, stupid.

Aanleiding voor het voorstel is eerdere berichtgeving van de NOS over de macht van algoritmes. Schokkend vond ik vooral dat niet duidelijk was waar en hoe men geautomatiseerde besluitvorming toepast, de NOS had vele wob verzoeken nodig om een en ander een tikje inzichtelijk te krijgen. De richtlijn moet duidelijk maken in welke gevallen gebruik van algoritmes wel of niet gerechtvaardigd is. Of er een volledig nieuwe toezichthouder moet komen of dat bijvoorbeeld de Autoriteit Persoonsgegevens extra bevoegdheden krijgt, moet nog worden besloten.

Een algoritme is een reeks instructies die door een computer wordt uitgevoerd, zo meldt de NOS netjes. Alleen hebben we het hier niet over algoritmes in klassieke zin, zoals in het stroomschema hier rechtsboven. Een klassiek algoritme is als een taartrecept: doe eerst dit, als de temperatuur hoog genoeg is doe dan dat, doe daarna zus tenzij X want dan zo. En computers gaan dat dan rechtlijnig uitvoeren. (Kennen jullie die van de programmeur die totaal uitgeput uit zijn douche werd gehaald? Op de shampoofles stond namelijk: haren natmaken, shampoo aanbrengen, uitspoelen, herhalen.)

Dergelijke algoritmes worden top-down ontworpen. Begin met de hoofdlijnen, zoek de simpele randgevallen en voeg daar uitzonderingen voor toe, draai het een paar keer en voeg extra uitzonderingen of bijzondere regels toe. Dat groeit door de tijd heen, maar in principe is elke stap bewust genomen en iedere uitbreiding weloverwogen. In theorie is daarmee iedere stap uit te leggen.

De algoritmes waar dit voorstel over gaat, zijn echter geen klassieke algoritmes. Ik zou dit haast kunstmatige intelligentie noemen maar het is gewoon machine learning: het zoeken naar trends en verbanden op basis van grote bakken met data. Eigenlijk gewoon statistiek: in deze bak data zijn dit de fraudeurs en dit niet, en dan flink doorrekenen wat die gemeenschappelijk hebben om zo een voorspellende functie te bedenken die voor een nieuwe aanmelding zegt of deze fraudeur is.

Die voorspellende functie, geladen met die data, is dan een algoritme in de zin dat het een reeks instructies is – maar praktisch gezien is het onvergelijkbaar met die klassieke algoritmen. Sterker nog: ik durf wel te zeggen dat die functie an sich totaal niet interessant is. Daar zijn er genoeg van, en hoewel ieder deep neural net vast zijn eigen prachtige theorie en implementatie heeft, is dat niet waar het om gaat. Laad datzelfde net met nieuwe data en je krijgt iets compleet anders.

Het gaat dus om die data en niets anders. Welke data gaat erin, hoe is die samengesteld en hoe wordt geborgd dat dit een eerlijke en objectieve samenstelling is? Want dáár komt al die ellende van. Vaak is data uit beperkte bron geselecteerd, of ergens aangekocht, en in ieder geval is ‘ie niet getest op representativiteit en actualiteit. Daar gaat het dan meteen mis, want met slechte brondata ga je natuurlijk nooit goede voorspellingen doen. Maar het enge is, het lijken bij het testen best goede voorspellingen want je houdt altijd een stukje van je brondata apart om eens mee te testen. En ik geloof onmiddellijk dat je dan goede uitkomsten krijgt. Logisch, het is dezelfde bron en op dezelfde manier gecategoriseerd.

Ik zou er dus hard voor willen pleiten om geen tijd te verspillen aan die algoritmes, maar juist de problemen bij de bron te bestrijden: geen data de overheid in tenzij met keurmerk. De data moet kloppen, eerlijk zijn en volledig. Dáár een toezichthouder voor lijkt me een prima idee.

Arnoud

Overheidssites scheppen verwarring met cookies van Google Analytics

| AE 11206 | Privacy | 19 reacties

Maar liefst 20 procent van alle sites van de rijksoverheid maakt gebruik van de analysesoftware van Google, las ik in de Volkskrant. Alex Bik van zakelijke internetprovider BIT onderzocht de bijna 1.200 websites van de Rijksoverheid op het gebruik van Google Analytics, de software van Google waarmee sitebeheerders het bezoek aan hun sites kunnen analyseren,… Lees verder

Rechter oordeelt dat Trump op Twitter geen gebruikers mag blokkeren

| AE 10610 | Informatiemaatschappij | 40 reacties

President Donald Trump mag op Twitter geen gebruikers blokkeren, omdat dit in strijd is met de Amerikaanse grondwet. Dat meldde Nu.nl vorige week. “Op die manier wordt de vrijheid van meningsuiting daadwerkelijk, hoewel bescheiden, ingeperkt. Meer is er niet nodig om de grondwet te schenden.” aldus de rechtbank. Wanneer de overheid immers de burger toegang… Lees verder

Steeds meer Nederlanders lezen aanmaningen en berichten in MijnOverheid niet

| AE 9667 | Informatiemaatschappij | 61 reacties

Steeds meer Nederlanders lezen de berichten in de Berichtenbox van MijnOverheid niet, meldde Tweakers afgelopen woensdag op gezag van de Ombudsman. Daardoor krijgen die mensen waarschuwingen en aanmaningen niet onder ogen, wat tot gevolg kan hebben dat rekeningen oplopen en ze in de schulden belanden. Maar hoera, er komt een app dus alles wordt beter…. Lees verder

Mogen onze politici mensen op social media blokkeren?

| AE 9575 | Uitingsvrijheid | 17 reacties

Amerikaanse politici mogen van een rechter in de staat Virginia geen mensen blokkeren op sociale media, las ik bij Nu.nl. Dit is strijd met het 1st Amendment, de vrijheid van meningsuiting, omdat politici in een openbaar forum niet zomaar mensen mogen verbieden hun mening te uiten. En daaronder valt ook het als politicus jezelf afschermen… Lees verder

De overheid gaat mijn privacypolicygenerator kapodtconcurreren!

| AE 7550 | Privacy | 24 reacties

Het ministerie van Economische Zaken komt halverwege 2015 met een online dienst waarmee bedrijven hun privacyvoorwaarden kunnen versimpelen en transparanter kunnen maken, las ik bij Nu.nl. De dienst wordt ingezet omdat veel Nederlanders aangeven voorwaarden en het privacybeleid van online diensten die zij gebruiken niet lezen, met name (36%) omdat de tekst te lang is… Lees verder

Rijscholenvergelijker wil overheidsalternatief laten verbieden

| AE 7046 | Ondernemingsvrijheid | 18 reacties

De online rijscholenvergelijker Rijschoolregister.nl is van plan juridische stappen te ondernemen om een soortgelijk project van de overheid, de site Rijscholenkiezer.nl, te verbieden. Dat meldde Nu.nl onlangs. Het overheidsproject werd in september 2013 opgezet, toen Rijschoolregister.nl al ruim een jaar bestond. “We moeten het hier als twee studenten afleggen tegen een project dat 15 miljoen… Lees verder

Foto’s door twitterende agenten mag je wel degelijk overnemen!

| AE 6950 | Intellectuele rechten | 24 reacties

Wanneer agenten foto’s maken en op Twitter plaatsen, nemen de media die nogal eens over. De politie maakt daar opmerkelijk genoeg nu bezwaar tegen met een verwijzing naar haar auteursrechten. In een persbericht meldt men namelijk: Regelmatig duiken foto’s van twitterende agenten op in landelijke en regionale media. Volgens Niels Nijman is het niet toegestaan… Lees verder