[Overheidsbeleid:] Autoriteit Persoonsgegevens & SDT

Er is er een… (nou goed werkend…) de belasting dienst. Daar ben je redelijk snel de sjaak als je niet aan de verplichtingen jegens de overheid voldoet.
Het is idd. vrijwel een richting verkeer.

De Belastingdienst is inderdaad de enige ‘goed functionerende’ waakhond, alhoewel die aangetoond regelmatig te scherpe tanden heeft.

Aangezien de rechterlijke macht het nut kennelijk wel inziet van een flinke investering om cybercriminaliteit tegen te gaan, kunnen we dat bedrag misschien net zo goed naar boven afronden zodat de AP zolang het bedrag van 833 miljoen, dat bij een wirwar aan allerlei cyberteams van verschillende overheidsorganen terecht zal komen die deze investering nog lang niet ten gelde kunnen maken om cybercrime te voorkomen […], ook de mogelijkheid krijgt om naar behoren haar tanden te kunnen laten zien bij die bedrijven en organisaties die zelf(s) niet in staat zijn hacks tegen te gaan of gaten te dichten die door de cybercriminaliteit worden benut, waardoor onze gegevens op straat terecht kunnen blijven komen, AVG achterstanden bij overheden incl. Belastingdienst […], gemeenten niet aan (jaren bekende) vereisten voldoen, tot schandalige misstanden leiden. Anders kunnen we de AP net zo goed opdoeken.

De brief is gericht op privacy in zijn algemeenheid, punt 5. is een hart onder de riem voor de AP

“de Autoriteit Persoonsgegevens alsnog snel de ruimte en middelen biedt die nodig zijn om haar taken volwaardig te kunnen uitoefenen;”

Autoriteit Persoonsgegevens: Groei AP noodzakelijk voor digitaliserende samenleving en vertrouwen in overheid

Lees het artikel verder......

Homepage Autoriteit Persoonsgegevens

Groei AP noodzakelijk voor digitaliserende samenleving en vertrouwen in overheid

Nieuwsbericht/19 mei 2021

Groei van de Autoriteit Persoonsgegevens (AP) is noodzakelijk voor burgers en het bedrijfsleven in onze snel digitaliserende samenleving. Alleen dan kan Nederland verantwoord economisch blijven groeien en verder digitaliseren. En kan Nederland de voortrekkersrol vervullen die bij ons past – als een van de meest gedigitaliseerde én innovatieve landen ter wereld. Zo zorgt Nederland dat burgers en bedrijven zich veilig online kunnen bewegen en dat zij vertrouwen blijven houden in de overheid.

Het budget van de AP moet daarvoor groeien naar een structurele financiering van 100 miljoen euro, vergelijkbaar met andere Nederlandse toezichthouders. Dat staat in de position paper van de AP die vandaag naar de informateur is gestuurd.

Goed onderbouwde discussie

De position paper is bedoeld om bij te dragen aan een goed onderbouwde discussie tijdens de formatieonderhandelingen en het debat over de Voorjaarsnota 2021. Dat is belangrijk, omdat in de formatie van een nieuw kabinet bestuurlijke keuzes worden gemaakt voor de komende jaren. Digitalisering – en de impact daarvan op de samenleving – speelt daarin een belangrijke rol.

Moties voor meer budget AP

De position paper sluit aan op 2 recente moties van de Tweede Kamer. Begin 2021 heeft de Tweede Kamer het demissionaire kabinet opgeroepen onafhankelijk onderzoek van KPMG naar de taken en middelen van de AP om te zetten in beleid. En het geschetste groeipad voor de AP naar 470 fte in 2025 te volgen.

Tegenmacht waarborgen

Inmiddels is het formatieproces van start gegaan. Het organiseren van tegenmacht speelt een prominente rol in het politieke en maatschappelijke debat over een nieuwe bestuurscultuur. In die context heeft de Tweede Kamer een oproep gedaan om, in lijn met de eerdere motie, te investeren in de AP. En zo tegenmacht binnen onze democratie te waarborgen.

Lees verder

Tegenmacht zonder macht kan alleen maar “Tegen” zijn. Daar hebben we de AP niet voor nodig. Het zou prettig zijn wanneer de AP in de gelegenheid wordt gesteld- en kan voldoen aan haar missie.

Autoriteit Persoonsgegevens: Aleid Wolfsen - “De slimste technologie is mensgericht”

Lees het artikel verder.......

Homepage Autoriteit Persoonsgegevens

Privacyblog Aleid Wolfsen: De slimste technologie is mensgericht

Nieuwsbericht/25 mei 2021

Vandaag is het precies 3 jaar geleden dat de Algemene verordening gegevensbescherming (AVG) van kracht werd. Geboren in een tijdperk waarin de technologische vooruitgang in sneltreinvaart voortraast. En daarom iets van u vraagt als organisatie. En dat is niet voor niets. Daarin schuilt het échte succes van innovatie.

U ziet de link misschien niet meteen, maar het kunnen blijven stimuleren van de data-economie is een van de eerste overwegingen in de AVG. Want in Europa omarmen we vooruitgang, zolang de mens maar wel centraal blijft staan. En niet – zoals in de VS of China - het bedrijfsleven of de overheid. Die zijn er beide immers voor de mens. De Europese wetgever heeft er daarom heel bewust voor gekozen om de mens controle te geven over technologische toepassingen met persoonsgegevens door eerst een nieuw en modern grondrecht in het leven te roepen - ‘De bescherming van persoonsgegevens’, artikel 8 van het Handvest van de grondrechten van de EU - en vervolgens de AVG. En die twee zijn uitstekend te combineren met vooruitgang en innovatie.

Europese visie op vooruitgang

Want in Europa willen we niet dat de overheid alles van ons te weten komt. U en ik willen ook niet dat het bedrijfsleven en de techgiganten langzamerhand de macht over ons krijgen. Doordat ze alles van ons weten en daarmee ons gedrag kunnen beïnvloeden.

“We zijn tenslotte mensen die niet te vangen zijn in een stapeltje persoonsgegevens.”

En we willen al helemaal niet dat we vanwege onze persoonsgegevens – zoals ons online zoekgedrag, politieke of seksuele voorkeur, ons opleidingsniveau of culturele afkomst - in een hokje worden geplaatst, zonder dat we dit weten of ons daartegen kunnen verzetten. We zijn tenslotte mensen die niet te vangen zijn in een stapeltje persoonsgegevens.

Nederland is koploper

In mijn werk als toezichthouder zie ik dat de Europese visie ook in Nederland in vruchtbare aarde valt. De techniek staat ten dienste van de mens. Het bedrijfsleven, de overheid, ziekenhuizen et cetera doen er alles aan om met technologie ons leven nog veiliger, gezonder, leuker en makkelijker te maken. En met succes. Want Nederland is wereldwijd een van de koplopers als het gaat om ICT en digitalisering.

“Juist nu de ontwikkelingen snel gaan moet er extra aandacht zijn voor verantwoorde innovatie.”

Ik merk ook dat organisaties daarbij meer tijd en aandacht besteden aan het zorgvuldig verwerken van persoonsgegevens dan vóór de AVG. Al was het alleen maar omdat ook de klant, burger, patiënt et cetera zich steeds bewuster wordt van het bestaan en het belang van dit grondrecht en daar dus ook steeds kritischer op wordt. Toch is er werk aan de winkel om ervoor te zorgen dat de technologie de mensen blijft dienen en niet andersom. Juist nu de ontwikkelingen snel gaan moet er extra aandacht zijn voor verantwoorde innovatie.

Gegevensbescherming als rode draad

Daarom doe ik een morele oproep aan alle organisaties - maar ook aan ontwikkelaars - om in ieder voorstel voor een datagedreven oplossing, gegevensbescherming als voorwaardelijke eis mee te nemen. Altijd. En daar gedurende het hele proces kritisch op te blijven. Als rode draad in uw ontwikkeltraject. Want als u een oplossing bedenkt voor de mens, wilt u daarmee geen nieuw probleem creëren door grondrechten te schenden.

Weet ook dat wanneer u gegevensbescherming vanaf het begin meeneemt in uw denkproces – dus als u werkt conform de principes van privacy by design, privacy by default en transparantie - dit veel minder tijd en geld kost dan wanneer u met terugwerkende kracht hardnekkige datavlekken uit uw systemen moet zien te poetsen. Bijvoorbeeld als blijkt dat uw systemen toch niet zo anoniem werken als u dacht, eenvoudig te hacken zijn of per ongeluk veel meer persoonsgegevens registreren of combineren dan de bedoeling is.

“Met goede intenties alleen, komt u in dit tijdperk waarin hacks en datadiefstal exploderen niet meer weg.”

Hulp bij privacy

Met goede intenties alleen, komt u in dit tijdperk waarin hacks en datadiefstal exploderen niet meer weg. Dus kijkt u nog eens naar onze AVG-regelhulp, die een overzicht biedt van een aantal belangrijke verplichtingen en praktische hulpmiddelen. Met een data protection impact assessment (DPIA) kunt u bijvoorbeeld vroegtijdig privacyrisico’s in kaart brengen zodat u daarna maatregelen kunt nemen om die te verkleinen.

“Door te investeren in de AVG zet u uw doelgroep pas echt centraal.”

Tot slot: ondoordachte innovatie wordt een steeds groter risico voor organisaties en voor onze vrijheden als individu. In ons toezichtswerk blijven wij ons de komende jaren daarom onder meer focussen op de digitale overheid en op artificiële intelligentie (AI) & algoritmes. Met onder meer voorlichting, boetes en wetgevingsadviezen maken wij ons dagelijks hard voor technologische vooruitgang waarbij de mens centraal blijft staan. Ook u kunt hieraan bijdragen. Want technologische oplossingen zijn alleen waardevol voor mensen als u ook over de keerzijde heeft nagedacht. Door te investeren in de AVG zet u uw doelgroep pas echt centraal en dat maakt uw oplossing toekomstbestendig. Slim!

Testen voor Toegang, het platform van de Stichting Open Nederland dat in opdracht van Het Rijk coronatesten faciliteert voor evenementen waarbij test- of vaccinatiebewijzen verplicht zijn, had zijn e-mailinstellingen niet op orde, Daardoor was spoofing van het afzenderadres mogelijk.

https://tweakers.net/nieuws/182316/e-mail-spoofing-was-mogelijk-bij-domein-testen-voor-toegang.html

Ik was tot begin dit jaar bij xs4all.
Ik kon op mijn iphone onder mijn internetadres van xs4all dan elk alias aanmaken wat ik wilde, als het maar op .nl eindigde.
De ontvanger zag dan alleen het adres van de alias en niets anders.
Als hij vervolgens een mailtje terug stuurde, dan kreeg het echte emailadres het antwoord, ik niet.
Zo heb ik destijds freedom nog een vraag gesteld hierover, ik kon iemand gewoon mailen en dan leek het of het van de helpdesk van xs4all vandaan kwam.

Ik heb dat toen ook nog gemeld bij xs4all en bij ziggo(omdat ik een ziggo alias onder mijn xs4all emailadres had gehangen en het lukte om dat naar iemand te versturen, die zag dus: xxx@home.nl of xxx@ziggo.nl)
Het antwoord wat ik van beide providers kreeg: kunnen we niks aan doen, zo werkt het emailprotocol nu eenmaal.

Ineens krijg ik hele spontane gedachten :evil face:

En dat antwoord klopt ook gewoon. Nu is dit inmiddels wat lastiger geworden door de toevoegingen van SPF, DKIM en DMARC. Dus wanneer een partij hier op controleerd, zal je ‘valse’ e-mail niet meer goed aankomen.

1 like

Ja, als semi digibeet weet ik dat inmiddels ook.
Maar wat ik niet helemaal duidelijk maakte in mijn vorige post hierover: dat doen ze dus niet volledig, dat spoofen kan nog steeds vanaf @xs4all.nl, en vanaf een @freedom.nl adres kan dit niet!

Net ook nog even op internet.nl een testje gedaan: @ziggo.nl 58%, @xs4all.nl 75% en kpn en freedom 100%. hoewel ook bij KPN en Freedom als je verder naar beneden scrollt niet alle vinkjes gehaald worden. Wat dat precies zegt weet ik niet en kunnen vele anderen op dit forum waarschijnlijk veel beter beoordelen.
Ziggo en xs4all maken spoofing dus nog steeds makkelijk. Met @xs4all.nl kun je dus nog steeds doen of je de helpdesk van bv @freedom.nl bent.

Het zou zomaar kunnen dat heel veel organisaties de xs4all servers gewhitelist hebben.

Ze mogen nu onderzoek naar zichzelf gaan doen
Alweer een lek op de meest knullige manier die je maar kan verzinnen. Overheid en automatisering blijft een zeer slechte combinatie.

En dan tóch proberen met het vingertje naar de boze buitenwereld te wijzen.

Terwijl hij niet eens doorheeft dat hij het met die opmerking zelfs nog erger maakt.
Hoe kan het dat een externe medewerker ten eerste bij dat bestand kan en ten tweede het ook nog eens kan kopieeren.

…en daarna diezelfde gegevens bij andere instanties zonder problemen aan de daar aanwezige databases kon koppelen én het geheel gekopieerd! Die andere twee overheidsinstanties hebben daarmee ook ieder een datalek. Gaat lekker… Nu is het een ‘externe’ maar hoe vaak gaan beleidsmedewerkers zelf met digitale informatie knutselen en dat met/bij andere departementen?

4 berichten zijn samengevoegd naar een bestaand topic: [Overheidsbeleid:] Biometrie & Surveillance

Lees verder

Brits ministerie deelt per ongeluk mailadressen van 250 Afghaanse tolken

Door een datalek bij het Britse ministerie van Defensie zijn de e-mailadressen van ruim 250 Afghaanse tolken zichtbaar geworden in een groepsmail. Het ministerie heeft aangekondigd de zaak te onderzoeken.

Het ministerie stuurde een mail naar Afghaanse tolken die naar het Verenigd Koninkrijk willen verhuizen. Veel van hen lopen sinds de machtsovername door de Taliban in hun thuisland mogelijk gevaar omdat zij voor de Britse overheid hebben gewerkt. In de mail waren de mailadressen van de tolken te zien voor alle ontvangers.

Ongeveer een half uur later volgde een tweede mail naar de ontvangers. Daarin stond dat hun emailadres mogelijk bekend was geworden en werd hen verzocht het eerste bericht te verwijderen.

Onacceptabel lek

In een verklaring verontschuldigde het ministerie zich en beloofde de zaak te onderzoeken. Ben Wallace, de minister van Defensie, sprak tegen de BBC over een “onacceptabel lek”.

Een ontvanger van de email laat aan de BBC weten dat deze fout “het leven kan kosten aan tolken, vooral diegenen die nog in Afghanistan zitten”. “Sommige van de tolken hadden de fout niet door en hadden al geantwoord en over hun situatie verteld. Dat is zeer gevaarlijk. De e-mail bevat hun profielfoto’s en hun contactdetails.”

De gedupeerde tolken krijgen het advies om hun e-mailadressen te veranderen.

Datalekken, ze zijn niet meer weg te denken, niet alleen schering en inslag bij de Nederlandse overheid; de Britten zullen alleen niet met een “Sorry” wegkomen :scream:

Lees verder

Autoriteit Persoonsgegevens krijgt geen hoger budget in 2022

dinsdag 21 september 2021, 15:34 Bron: Security.nl

De Autoriteit Persoonsgegevens krijgt volgend jaar hetzelfde budget als dit jaar, namelijk 25 miljoen euro. De privacytoezichthouder stelt dat er structureel 100 miljoen euro per jaar nodig is om alle taken goed uit te kunnen voeren. De AP kampt naar eigen zeggen met verschillende knelpunten in de organisatie en grote werkachterstanden waardoor het nu niet voldoet aan haar wettelijke taak als toezichthouder en niet toekomt aan de uitvoering van haar strategische prioriteiten.

Ook stelt de AP dat het risico bestaat dat het steeds verder achterloopt op nieuwe ontwikkelingen. De toezichthouder wil daarnaast meer tijd kunnen investeren in voorlichting aan burgers en bedrijven om klachten en verkeerde verwerking van persoonsgegevens te voorkomen. KPMG deed op verzoek van de AP en het ministerie van Justitie en Veiligheid onderzoek naar de capaciteit van de toezichthouder.

“Geconstateerd is dat de AP nog altijd een organisatie in opbouw is. Een aantal functies zijn nog niet ingevuld, de automatiseringsgraad is laag en haar bedrijfsvoering staat nog in het begin van ontwikkeling”, zo liet demissionair minister Dekker voor Rechtsbescherming aan de hand van het onderzoeksrapport weten. Ook tijdsregistratie bij de toezichthouder staat nog in de kinderschoenen.

Volgens de onderzoekers zijn erop dit moment onvoldoende processen vastgelegd waardoor taken en benodigde financiële middelen alleen met onzekerheden zijn te beschrijven. Dit maakt het niet mogelijk om een eenduidig antwoord te geven hoeveel geld en medewerkers de Autoriteit Persoonsgegevens nodig heeft om de taken uit te voeren, stelde Dekker. De minister liet verder weten dat het aan een volgend kabinet is om te bepalen of en hoe de toezichthouder mag groeien.

Motie

Begin februari nam de Tweede Kamer een motie van SP-Kamerlid Hijink aan om het budget van de Autoriteit Persoonsgegevens te verhogen, maar minister Dekker liet in maart weten dat hij deze motie niet zal uitvoeren. “Naast het feit dat uit het onafhankelijke onderzoek geen concreet groeipad volgt is het budget van de Autoriteit Persoonsgegevens niet op voorhand eenduidig te bepalen. Dit volgt mede uit de onzekerheden waarover de onderzoekers hebben gerapporteerd”, merkte Dekker op.

De minister voegde toe dat de motie niet is voorzien van een financiële dekking. Door de demissionaire status van het kabinet is het volgens de minister niet mogelijk om toezeggingen te doen over de uitvoering van de motie, aangezien dit nieuw beleid zou betreffen. “Ik laat de besluitvorming over de uitvoering van deze motie daarom over aan een volgend kabinet”, kwam Dekker tot de conclusie.

Tegenmacht

Het budget van de Autoriteit Persoonsgegevens blijft in 2022 dan ook onveranderd. “Dit is zeer zorgelijk. Wij kunnen al jaren ons werk niet goed genoeg doen, simpelweg omdat we te weinig mensen hebben. Maar in plaats van een verhoging, wordt ons budget bevroren”, zegt AP-voorzitter Aleid Wolfsen. “Het kabinet zegt graag een nieuwe bestuurscultuur te willen, en een versterking van de “tegenmacht”, om drama’s als de Toeslagenaffaire in de toekomst te voorkomen. De AP is één van die “tegenmachten”. En die tegenmacht kun je niet versterken met alleen mooie woorden. Daar hoort een passend budget bij, zoals de Tweede Kamer ook heeft gevraagd.”

Volgens Wolfsen heeft het huidige budget gevolgen voor slachtoffers van privacyovertredingen. “Die moeten wij mededelen dat er helaas nog zo’n 10.000 wachtenden voor hen zijn”, laat de AP-voorzitter weten. “Ook kunnen wij datalekken onvoldoende onderzoeken. En het toezicht op algoritmes komt door ons gebrek aan capaciteit onvoldoende van de grond, met alle risico’s van dien: discriminatie, uitsluiting en schending van de rechten van burgers. Deze ellende kunnen wij oplossen, als we genoeg mensen hebben.”

Oorspronkelijke bron: Miljoenennota: geen verhoging budget AP | Autoriteit Persoonsgegevens

https://autoriteitpersoonsgegevens.nl/nl/nieuws/nederlandse-toezichthouders-versterken-toezicht-op-digitale-activiteiten-door-meer-samenwerking