Gewoon de URL invoeren als zoektekst bij SwissCows en je ziet binnen de minuut wat je aan koekjes ‘gratis geleverd’ krijgt.
Dan weet je misschien wat sneller wat je er van moet vinden.
Dat was de tip van de dag @Erik , ontzettend bedankt! Precies de onderdeeltjes beschikbaar die ik zocht. Een bladwijzer erbij 
En niet onbelangrijk: vrij van trackers!
In u-matrix de eerste kolom niet toestaan en cookies worden niet meer verzonden.
In umatrix is GA standaard geheel verboden dus ook Javascript, CSS etc worden niet opgehaald.
(u-matrix is veel selectiever in het blokken van 3-rd party content dan uBlock Origin. )
Het is niet alles of niets per primary site naam.
1 like
Autoriteit Persoonsgegevens: Techblogpost - Praktische problemen bij het afknippen van hashes
Regelmatig krijgt de Autoriteit Persoonsgegevens (AP) bij onderzoeken te maken met organisaties die aangeven dat zij anonieme gegevens verwerken (en dus geen persoonsgegevens) doordat de gegevens ‘gehasht en afgeknipt’ zijn. In de praktijk constateert de AP dat organisaties bij deze vorm van anonimisering vaak fouten maken, waardoor de gegevens toch niet anoniem blijken te zijn.
Lees verder ......
Let op: de juiste toepassing van de technieken die hier genoemd worden, is lastig en vaak afhankelijk van het geval. Dit is dus geen technisch of juridisch advies.
k-anonimity
Een veelgebruikte methode om gegevens te anonimiseren is k -anonimity. Hierbij verander je een dataset zo dat iedere combinatie van attributen altijd minstens k keer voorkomt.
Onder de juiste omstandigheden en als k groot genoeg is, is het herleiden van personen dan onmogelijk. Iedere persoon maakt dan deel uit van een groep gelijken. Immers ( k -1) anderen hebben dezelfde attributen.
Afknippen
Een manier om groepen te maken is door attributen af te ronden. Als je uit een dataset bijvoorbeeld alle leeftijden naar beneden afrondt op tientallen, dan ontstaan er vanzelf groepen. Iemand met leeftijd 29 valt dan in dezelfde groep als iemand met leeftijd 21 of iemand met leeftijd 27, namelijk de groep met leeftijd 20.
Met een beetje fantasie is dit afronden een bewerking die je ook kunt doen door afknippen. Neem een leeftijd van 26. Hiervan 1 symbool afknippen, van rechts af gezien, resulteert in leeftijd 2.
Na afknippen valt dus weer iedereen met een leeftijd van 20-29 in dezelfde groep. (Afhankelijk van de toepassing kun je na het afknippen weer een symbool toevoegen, zoals een 0, maar dat verandert niets aan het effect.)
Eerst hashen
Het wordt anders wanneer je een identificator hebt van een persoon of een aan een persoon gerelateerd apparaat, zoals een telefoonnummer, IP-adres, MAC-adres, IMSI-nummer of vergelijkbaar.
Aan een afgeknipt IP-adres kun je bijvoorbeeld nog steeds zien bij welke internetprovider iemand zit en soms ook in welke omgeving deze persoon woont. Om dit soort gevolgtrekkingen te vermijden, worden dit soort gegevens vaak gehasht.
Afbeelding van gehashte telefoonnummers
Overigens maakt het voor de herleidbaarheid van personen vaak geen verschil of identificatoren op zichzelf betekenis hebben (IP-adressen, IMSI-nummers, MAC-adressen enz.) of betekenisloos zijn (hashwaarden, willekeurige getallen of symboolreeksen enz.).
Hashes afknippen
Hashwaarden zijn niet willekeurig, ook al zien ze er wel zo uit. Wat ook opvalt, is dat ze uit veel symbolen bestaan. Met andere woorden: er zijn enorm veel mogelijke hashwaarden.
En dat is ook de valkuil: hoewel er veel mogelijke uitkomsten zijn, is er meestal maar een beperkt aantal ‘inputs’. Of iets formeler: het bereik van de hashfunctie is in de praktijk vele malen groter dan het domein.
Zo zijn er in Nederland in totaal ongeveer 54 miljoen mobiele nummers uitgegeven. Dat klinkt als veel, maar dit is maar een minieme fractie van het aantal mogelijke sha256-hashes. En dat is waar onze intuïtie ons in de steek laat.
Bij een ongehasht telefoonnummer zorgt het afknippen van 2 symbolen voor groepen tot 100 telefoonnummers. Afhankelijk van hoeveel nummers er in de dataset zitten, levert dat een k > 1 op.
Verder onderzoek zal dan moeten uitwijzen of 2 symbolen afknippen voldoende is, of dat het er toch 3, 4 of meer moeten zijn, eventueel afhankelijk van de nummerreeks.
Heel anders is de situatie na hashen. Dan is iedere hashwaarde uniek, ook na het afknippen van enkele symbolen.
Afbeelding van gehashte telefoonnummers waarbij enkele symbolen zijn afgeknipt
Maar hoeveel moet je dan afknippen om van gehashte attributen groepen te maken? Het antwoord is afhankelijk van de dataset, maar in veel gevallen: bijna alles.
Neem bijvoorbeeld het eerste telefoonnummer uit de figuren hierboven. Hoewel dat maar 1 cijfer verschilt met het tweede telefoonnummer, zijn de hashwaardes compleet anders.
En als de hele dataset zou bestaan uit de 4 gegeven voorbeelden, is het zelfs onmogelijk om groepen te maken door symbolen af te knippen van gehashte telefoonnummers.
De juiste vraag is daarom niet hoeveel je moet afknippen, maar hoeveel je kunt bewaren.
Want wat is dan het gevolg van te weinig symbolen van gehashte attributen afknippen? Dat is een dataset die nog steeds persoonsgegevens bevat.
Want te weinig afknippen van hashwaardes laat unieke identificatoren achter. En dan is er dus géén sprake van geanonimiseerde gegevens.
Bedenk dat bij best groot gebruikte systemen als GIT en Docker de unieke ID’s (hashes) vaak tot 8-12 tekens zijn afgehakt en dan veelal nog steeds een unieke referentie zijn. (terwijl de onderliggende hashes 32-64 tekens lang zijn).
En bij sommige domeinen kun je makkelijk collisions maken. Alle telefoon nummers van de wereld zijn makkelijk te een voor een door een hash functie te trekken. een beetje video-kaart kan 1 .10^9 hashes / seconde berekenen dus in 1 seconde zijn de hashes van alle potentiele NL nummers bepaald. (het wegschrijven zal wat langer duren).
Dus van hashes terug naar originele data is soms niet zo lastig. IMSI is het langst, Met BSN nummer is dat eenvoudiger dan bij telefoonnummer, MAC adressen zijn triviaal.
Ook kan er vaak anonimisering ongedaan gemaakt worden door combineren van verschillende gegevens ook al zijn die gegevens afzonderlijk niet meer herleidbaar.
En weer ongevraagd verspreiden van privé gegevens. Canadese website die namen, adressen en zelfs telefoonnummers verzameld en open op hun website publiceren. Mijn achternaam komt al meer dan 6000 keer voor. Of ik er zelf bij sta heb ik nog niet zo snel kunnen vinden.
https://tweakers.net/nieuws/181550/canadese-site-locatefamily-punt-com-krijgt-van-de-ap-avg-boete-van-525000-euro.html
Ik kwam ook ergens deze tegen:
Nieuwe aktie van Robeco, ze willen je identiteit controleren. Prima natuurlijk dacht ik, werk ik wel even aan mee.
Eerst inloggen op je account, daar krijg je een verwijzing naar de Robeco identificatie app die je moet installeren.
Op de website wordt een code gegenereerd die je in de app moet invoeren, prima dacht ik dus.
Dan word je gevraagd naar je volledige naam zoals die op je paspoort/id kaart staat, ook nog niets mis mee.
Maar dan moet je plots een foto maken van je ID kaart, zowel recht van boven als schuin onder een hoek, zowel van de voorkant als de achterkant.
Dan begint er toch al een heel klein alarmbelletje te rinkelen.
Vervolgens moet je een selfie maken zowel recht van voren als rechts en links van je gezicht.
Daar gingen de alarmbellen al wat harder te keer.
En uiteindelijk willen ze de NFC chip in je ID kaart lezen.
Toen ben ik toch echt afgehaakt en heb ik de hele zooi afgebroken en de app onmiddelijk weer verwijderd.
Identiteit controleren, prima, maar dit slaat echt nergens op.
Ja, “we verzamelen de gegevens alleen voor ons zelf en gaan ze niet voor commercieele doelen gebruiken”
Dat zou er nog bij moeten komen…
Eerst recensies lezen. 
Meld je het nog bij de AP?
Lijkt me ook een gevalletje AP. Bovendien zou zo’n proces zeker niet per e-mail moeten gaan.
Direct bij vragen over je persoonsgegevens moet het LUCHTALARM afgaan; zij hébben jouw gegevens immers al. Financiële instellingen hebben een zorgplicht en deze kunnen ze niet even afwentelen op hun klanten, zeker niet door hen via internet gegevens te laten delen.
Bij het aangaan van de overeenkomst met de organisatie hebben ze jouw ID al kunnen verifiëren. Dat ze nu vanwege commercieel gewin en efficiency online mogelijkheden hebben geadopteerd zoals apps, met van tevoren bekende veiligheidsrisico’s, kwijt hen niet van hun eigen zorgplicht. Hiervoor zullen zij moeten terugvallen op de basis van iedere overeenkomst: fysieke verificatie, identificatie en veiligheidscheck in bekende systemen.
Wanneer zij dat niet kunnen zullen ze hun klanten moeten oproepen naar hun kantoor te komen en deze basis opnieuw leggen. Daarbij zullen ze de klant een keuze moeten voorleggen: wel/niet online met wel/niet online-verificatie.
Is er bij Robeco niet zoiets als een cardreader als alternatief?
Robeco is altijd al telefonisch en digitaal, ze hebben geen kantoor voor hun klanten. Daarom gaven ze in het verleden veel meer rente dan reguliere banken. Dat is destijds de reden geweest dat ik daar een spaarrekening opende. Maar inmiddels is dat ook bij hen niet echt meer de moeite.
Maar al jaren doe ik daar niets meer mee, staat nog wel een klein bedragje op.
Overboeken gaat via hun website zonder cardreader of iets van dien aard. Hun beveiliging is heel simpel en volledig waterdicht. Overboeken kan slechts naar 1 rekeningnummer wat bij openen van een rekening bij hen is opgegeven.
Mocht iemand anders het dus voor elkaar krijgen om op mijn rekening in te loggen, dan kunnen ze er dus niets mee.
En dus zit jij levenslang aan die bankrekening vast.
Er is kennelijk niet over nagedacht wat te doen als jij jouw bankzaken bij een andere bank (plus Robeco) wil gaan doen … 
Dat zal ongetwijfeld wel kunnen, maar niet automatisch online via hun website
Je zult je toch ergens gelegitimeerd moeten hebben als de betreffende/gekoppelde rekening op jouw naam staat. Anders zou Robeco niet een audit van DNB kunnen doorstaan. Maar dit staat los van jouw eerste post hierover.
We zullen van alle direct-writers wel van dit soort pogingen kunnen verwachten, maar m.i. is dit een zaak tussen de financiële instelling, DNB en de AP. Dus niet van de klant die te goeder trouw wordt meegezogen in het fragiele digitaliseringsbeleid van deze instellingen.
Ditzelfde heb ik ook gezien bij ICS (van de credit kaarten).
Tijd om mijn rekening daar op te zeggen. Als simpele spaarrekening voegt het niets meer toe.
Dit las ik bij de help van ABNAMRO over identificeren:
Ik heb geen smartphone of tablet. Wat nu?
Geen probleem. U kunt ook een smartphone of tablet van iemand anders gebruiken.
Dat alles op een smartphone moet, stoort mij enorm.
Ik ga het zien, mijn CC is bijna bij de einddatum.
Gaan ze moeilijk doen of niet.
Moeilijk doen, is einde CC voor mij. Ik kan wel zonder.
2 likes
[dus ik kan ook zo het ABN AMRO kantoor binnenlopen en de baliemedewerker vragen of ik diens smartphone even mag gebruiken om een overschrijving te doen whoehaaaa!]
Ik weet niet of ze er nog staan, maar er stonden pc’s in hun kantoor voor mensen die geen internet hebben.
In de hal, voor het raam.
En dus zit jij levenslang aan die bankrekening vast.
Nee hoor, dat kun je bij Robeco wijzigen via telefoon of digitaal.