Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Overheid waarschuwt NL-Alert-app te verwijderen wegens datalek

Het ministerie van Justitie en Veiligheid waarschuwt dat gebruikers van de NL-Alert-app deze van hun smartphone dienen te verwijderen. De app heeft te maken met een datalek, waardoor een externe dienst locatie- en andere persoonsgegevens kon verzamelen.

Het ministerie heeft die externe dienst verzocht het verzamelen van data via de app te stoppen en de al verzamelde data te vernietigen. Naast de locatiegegevens gaf de NL-Alert-app informatie over het besturingssysteem en andere geïnstalleerde apps vrij aan die externe partij, zonder dat gebruikers hier toestemming voor hadden gegeven. Het ministerie noemt die dienst niet bij naam.

Er komt binnen enkele dagen een update die de betreffende dienst verwijdert en ook heeft het ministerie het over maatregelen om de app 'op een andere, veiliger manier in te richten', maar tot die tijd is het advies aan gebruikers om de app te verwijderen. In totaal is de app door 58.000 gebruikers van iOS en Android gedownload.

Het ministerie heeft melding gemaakt bij de Autoriteit Persoonsgegevens van het datalek. De NL-Alert-app is begin maart verschenen. Het gaat niet om de NL-Alert-noodmeldingen op smartphones, die meldingen werken op basis van cell broadcast. De app is daarop een aanvulling.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Olaf van Miltenburg

Nieuwscoördinator

30-04-2020 • 17:12

221 Linkedin

Reacties (221)

Wijzig sortering
Het gaat hier vermoedelijk om onesignal.com, wat de " informatie over het besturingssysteem" betreft, die zie ik duidelijk als json. De app toestaan mijn locatie op te vragen correspondeert met een post naar google.com, maar dit is in een ongedocumenteerd en binair formaat, dus dat is wat lastiger te zeggen. De app is waarschijnlijk gebouwd door https://beeproger.com. Bron: eigen onderzoek.
Inmiddels hun reactie:

Update: 30 april 2020 19:35

Op verzoek van de overheid hebben wij gebruik gemaakt van een externe partij. In goede samenspraak en in opdracht van de overheid wordt nu een andere oplossing geïmplementeerd. Onze opdrachtgever heeft expliciet uitgesproken dat ons niets valt te verwijten. Voor verdere informatie verwijzen wij u graag naar de brief van F.B.J. Grapperhaus.

De brief van F.B.J. Grapperhaus (CDA):
Datum
30 april 2020
Onderwerp
Datalek app NL-Alert

Het ministerie van Justitie en Veiligheid heeft vandaag melding gemaakt bij de Autoriteit Persoonsgegevens (AP) van een datalek. Het gaat om een datalek in de app van NL-Alert. Deze app staat op zichzelf en maakt geen onderdeel uit van de NL-Alert cell broadcast, het alarmmiddel van de overheid in het geval van een noodsituatie. De NL-alert app is bedoeld voor aanvullende informatiediensten en biedt gebruikers de mogelijkheid om - naast het ontvangen van NL-alerts op de gebruikelijke wijze - een pushbericht via de app op hun toestel te ontvangen.

Aanleiding
De NL-Alert app is door een leverancier ontwikkeld in opdracht van het Ministerie van Justitie en Veiligheid. De NL-Alert app stuurt een pushbericht - ofwel een notificatie – in het geval van een ernstig incident in de nabije omgeving van de gebruiker van de app, zodat aanvullende informatie kan worden opgezocht naar aanleiding van de notificaties die via cell broadcast worden verstuurd. Sinds begin maart hebben circa 58.000 gebruikers deze aanvullende app gedownload.

Eind maart ontdekten medewerkers van mijn ministerie dat de NL-Alert app gebruik maakt van een externe dienst die mogelijk niet voldoet aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG). Naar aanleiding hiervan is binnen mijn ministerie nader onderzoek gedaan naar de werking van de NL-Alert app en is er extern juridisch advies ingewonnen bij een gespecialiseerd advocatenkantoor. Daarbij is ook de vraag aan de orde gekomen of er sprake zou kunnen zijn van een datalek. Uit het extern juridisch advies dat mijn ministerie op 28 april jl. heeft ontvangen blijkt dat dit inderdaad het geval is.

Voor zover ik dat nu heb kunnen achterhalen, zijn via de NL-Alert app locatiegegevens van gebruikers en mogelijk andere persoonsgegevens zoals informatie over het besturingssysteem en andere geïnstalleerde apps, bij de externe dienst terecht gekomen zonder dat de gebruikers daarvoor toestemming hebben gegeven. Na het verschijnen van het extern juridisch advies heb ik de aanbieder van de externe dienst verzocht het verzamelen van data via de app per direct te staken en de al verzamelde data te vernietigen.

Dichten van het datalek
Het dichten van het datalek is mogelijk door middel van een software update of het verwijderen van de app. Omdat ik van mening ben dat het gebruik van de NL-Alert app boven elke twijfel verheven moet zijn, adviseer ik alle gebruikers de app voorlopig te verwijderen van hun toestel. Dit advies zal ook via de websites van NL-Alert (www.nl-alert.nl) en de Rijksoverheid (www.rijksoverheid.nl) worden gedeeld. Daarnaast zal er binnen enkele dagen een update van de app worden verspreid waarin de betreffende externe dienst is verwijderd. Hiermee zorgen we ervoor dat het datalek zo snel mogelijk wordt gedicht.

Informeren gebruikers
Inmiddels heeft mijn ministerie melding van dit datalek gemaakt bij de Autoriteit Persoonsgegevens. Indien de komende dagen meer duidelijk wordt over de aard en omvang van het datalek, zal ik deze melding zo nodig aanvullen. Gebruikers van de app zullen via de website van NL-Alert worden geïnformeerd over de voortgang van het onderzoek naar aard en omvang van het datalek. Dit onderzoek is nog gaande.

Daarnaast heb ik de Chief Information Officer van het Rijk (CIO-Rijk) geïnformeerd over de gang van zaken en hem verzocht de informatie met betrekking tot dit datalek te delen met andere delen van de (rijks)overheid.

Tot slot
De NL-Alert app is een waardevolle aanvulling op de crisiscommunicatiemiddelen die de overheid heeft. Tegelijkertijd moeten burgers erop kunnen vertrouwen dat er op zorgvuldige wijze met hun persoonsgegevens wordt omgegaan. Ik betreur deze gang van zaken en heb de Auditdienst Rijk (ADR) gevraagd onderzoek te doen naar de gang van zaken. De ADR heeft hiermee ingestemd.

Ik zal uw Kamer over zowel de aard, omvang en gevolgen van het datalek, als de uitkomsten van het ADR-onderzoek informeren.

De Minister van Justitie en Veiligheid,

Ferd Grapperhaus

Link: https://www.tweedekamer.n...lek%20app%20NL-Alert.docx

[Reactie gewijzigd door Xieoxer op 30 april 2020 20:11]

Of ze niets te verwijten valt kan ik nergens uit opmaken anders dan hun eigen website? Je hebt als bouwer ook een adviserende rol en kunt de voor en nadelen van het gebruik van externen aan kaarten. Of dit gebeurd is valt door ons niet te verifiëren.
En wat als de klant (in dit geval overheid) nee zegt tegen je advies? het is altijd zo makkelijk praten hier.
Dan zeg je "sorry, ik kan dat product niet leveren op een manier waarop u het wettig voor die doeleinde kunt gebruiken". ja het is makkelijk praten, omdat ethiek hebben ook erg makkelijk is. wat moeilijker lijkt te zijn is andere mensen overtuigen ook eens voet bij stuk te houden in hun ethiek.

[Reactie gewijzigd door t link op 30 april 2020 22:12]

Dan kan je snel je tent sluiten. Dat je nee zegt als een klant vraagt om iets te doen wat overduidelijk fout of verboden is kan perfect zijn
.. maar een opdracht weigeren omdat een door de klant gewenste functionaliteit mogelijk wat problemen kan veroorzaken maar die klant het probleem niet 123 wil zien?
Als je alle opdrachten gaat teruggeven omdat een klant niet al jouw adviezen opvolgt ben je imho snel van de markt
mooie stroman. ik zeg nergens iets over alle adviezen opvolgen. ik zeg iets over de minimale wettelijke eisen opvolgen.
Je suggereert dat ik zeg dat ze fout zitten. Ik beweer niet dat ze fout zitten, ik zeg alleen dat het bedrijf roept dat het ministerie aangeeft dat hun niets te verwijten valt. Echter staat dat niet in de bijgevoegde brief. Dat adviezen genegeerd kunnen worden klopt. Ik beweer alleen dat het niet te verifiëren valt uit hun post en brief. Je trekt wel erg snel conclusies...
Dan zorg je ervoor dat je dat op papier hebt, zodat je het later aan kan tonen.
Ben ik het volledig mee eens en wil daaraan nog toevoegen dat als ik een product in een winkel koop en de winkel laat dat product leveren door een 3e partij dan is de winkel nog altijd degene met wie ik zaken doe en die is dus nog steeds verantwoordelijk.
Bedrijven verschuilen zich nog steeds maar al te graag het bekende excuus "It wasn't me!"
Nederland heeft in de afgelopen 10-20 jaar een cultuur opgebouwd waarin het erg moeilijk is geworden om een duidelijke verantwoordelijke partij aan te wijzen. Dat is zo ontstaan omdat iedere partij daar best wel baat bij heeft.

En daardoor lees je bij rampen in projecten zeer regelmatig dat eigenlijk iedereen schuld draagt. Waardoor iedereen er mee weg komt. Elk keer weer.

Dan krijg je het bekende "we hebben er véél van geleerd" waarna iedereen weer opgewekt doorgaat met rommelen en vooral zo min mogelijk verantwoordelijkheid nemen - iets wat velen bijzonder goed beheersen. Enkele methodes: elkaar goed in de gaten houden, voortdurend onvolledige informatie geven in de hoop dat de andere partij de ontbrekende dingen invult en dus automatisch mede verantwoordelijk wordt (terwijl je dat zelf zou moeten zijn), halve of dubbelzinnige afspraken maken, tijd rekken enz enz. Jawel dat ergert me. :(
voortdurend onvolledige informatie geven in de hoop dat de andere partij de ontbrekende dingen invult en dus automatisch mede verantwoordelijk wordt
consider me triggered
Gelukkig zijn dat soort dingen voor normale winkels geregeld in de wet. Zie ook
https://www.consuwijzer.n...kocht-maar-kapot/garantie

De verkoper is verantwoordelijk voor het product want daar heb ik het gekocht.

Jouw laatste stukje gaat over afspraken tussen 2 bedrijven neem ik aan? Als consument heb ik daar toch geen rekening mee te houden?
Ja ik sprak inderdaad over zakelijke situaties, want daar ging de draad eigenlijk over :-)
Consumenten zijn behoorlijk beschermd.
Sorry als ik je in de war gebracht heb.

Ik weet niet of consuwijzer goed is. Ik ken de Consumentenbond als oude betrouwbare, strikt onafhankelijke club. Zij kunnen je goed informeren over alle ins en outs.
Dat is niet helemaal waar.
Als mijn klant mijn adviezen negeert en bewust een ander product wil (omdat dat goedkoper is bijvoorbeeld), ligt de verantwoording voor effecten van dat product bij de klant, niet bij mij. Zakelijk gelden nu eenmaal andere regels dan voor consumenten, op wat uitzonderingen daargelaten.

Edit:
En de overheid zal in dit stadium nooit openlijk erkennen dat de keuze en dus verantwoording bij hun ligt. Dus dat zal je nu ook niet gaan vinden. Politiek hè.

[Reactie gewijzigd door wjn op 1 mei 2020 09:29]

Ik vind dat ze wel transparant hier moeten zijn, oftewel de leverancier bij naam noemen die de app ontwikkeld heeft.
Dit voorspelt veel "goeds" voor de corona app. :( :+
Interessant, ze gebruiken (gebruikten) kant elke klare push van onesignal?
Het resultaat is een fantastische app die de veiligheid van de inwoners van Nederland extra waarborgd.
Oh de ironie :D
Tijdje met One Signal gewerkt als test, ze houden precies bij wie wel en niet notificaties opent en welk device het is geweest, om zo beter te kunnen targeten. Lijkt me wel heel naiëf als de technische partij hiervan niet op de hoogte zou zijn.
Voor de kaarten is gekoppeld met de API van Google Maps.
Great. Dus google weet het nu ook.

Echt wanneer gaat de overheid nou eens afdwingen dat Google Maps gewoon NIET kan voor een overheidsproduct? We hebben in nederland 1 van de beste georegistraties ter wereld en waar halen we onze kaarten van vandaan? Exact een of andere Amerikaanse gigant |:(

Overheids-apps zouden verplicht altijd gebruik moeten maken van iets als Leaflet, mapbox of openLayers I.c.m. kaartmateriaal van het Kadaster. Dan voorkom je dit soort enorme blunders al op voorhand.

[Reactie gewijzigd door supersnathan94 op 30 april 2020 19:27]

Dan eerder PDOK kaart. De viewer is daar namelijk niet perse voor bedoeld. Die is meer voor overlays als BAG panden via WFS. PDOK kaart is echt bedoeld als alternatief voor google maps API.
Zie: https://www.pdok.nl/diensten


Volgens mij is de viewer ook gebaseerd op leaflet maar dat zou ik even na moeten vragen aan collegas.

Iig is het heel eenvoudig om dit in een aanbesteding af te dwingen. Daarnaast is het voor overheidsinstanties zo goed als gratis te gebruiken. Daar zijn gewoon afspraken over.
Ik weet het, de link was bedoel om die gene die er onbekend mee zijn direct inzicht te geven wat een rijke informatie onze eigen overheid heeft. Gratis!
Ja dat is erg veel inderdaad. En zeer gedtailleerd. Ieder putdeksel en lantaarnpaal staat gedocumenteerd.
En wel op de mm geen gat te vinden.
In dit geval is het ook nog zo dat je voor de pushnotificaties sowieso gebruik moet maken van Firebase Cloud Messaging (een Google product) en dat de notificaties in principe door Play Services bij de app worden afgeleverd. Het enige voordeel van OneSignal is/was dat je serverside niet twee protocollen hoeft te implementeren (APNS en FCM). Firebase kan dat tegenwoordig ook, maar waarschijnlijk had er iemand ervaring met OneSignal ergens.

Anyways, zelfs zonder OneSignal heb je dus nog steeds Google nodig. Als je push notificaties wilt doen tenminste. En ja, je zou zelf een oplossing kunnen verzinnen maar dat kost tijd en geld. En veel ook, want je eigen oplossing moet maar net zo batterijvriendelijk en stabiel zijn op een of andere manier. En een ongeveer net zo'n diepe systeemtoegang hebben, iets wat niet echt makkelijk kan als je gebruikers zelf de app laat installeren volgens mij.
Ja maar een pushenotificatie is wel even wat anders dan locatiegegevens. Dta ia gewoon een berichtje met wat inhoud die publiek bekend is. Mijn locatiegegevens zijn dat niet. Je kan op de website ook zien in de screenshots dat het gaat om realtime data.

Mocht dat bericht toch iets van locatiegegevens bevatten (een naam van een stad of regio) dan weet google hoogstens waar ik ongeveer geweest ben. (Wat ook heel nederland kan zijn overigens). Met deze maps api weet google ook waar ik op dat moment exact ben. Dat is nog ff een stap verder.
Ik denk dat je met de inhoud van de pushnotificatie echt wel redelijk ver kan komen. Nu weet ik niet hoe precies de app de berichten verstuurd of welke gegevens de app gebruikt om te bepalen wanneer iemand een bericht moet krijgen maar met meerdere berichten kan je al aardig nauwkeurig bepalen.

In Amsterdam is een brand groot brand. Iedereen in Amsterdam ramen dicht. Die bericht krijgt hij.
Ten zuiden van Amsterdam een grote ongeluk gebeurd. Die krijgt hij ook. Dus zuiden van Amsterdam aangezien hij in Amsterdam woont en dit bericht niet naar noord Amsterdam gestuurd wordt.
Ten westen van Amsterdam.... Deze bericht krijgt hij niet dus of midden zuiden Amsterdam of oost zuid Amsterdam.

Dus met 3 berichten heb je al een heel stuk afgeschreven waar je niet woont of werkt.
En dat is nog steeds een relatief groot gebied en niet per se realtime. Daarnaast moet google dan dus actief door de nofiticaties heen en dat koppelen aan locatiedata en dat dan weer met elkaar “trianguleren”

De google maps api geeft ze direct jouw exacte locatie realtime.

Das wel een stuk makkelijker dan.
Dat het via Google maps makkelijker maar ben ik met je eens. Maar ik denk als ik lees hoeveel moeite Google doet voor gegevens te verkrijgen dat hiervoor de gegevens opslaan voor hun ook geen probleem is als ze daardoor meer data verkrijgen. Het enigste is dat als je een melding krijgt waar je verder nooit geweest ben dat ze de precieze data zullen missen. En waar ik dan woon in een kleine stad waar weinig gebeurt dat het lang kan duren.

Het is alleen de vraag in hoever heeft Google deze gegevens nog niet. Ik denk dat voor de meeste mensen dit al bekend is en dus toch niet interessant is om te doen. Ik verwacht dat een hoop mensen de locatie wel een thuis aan gehad heeft, werk locatie waar er veel telefoons tegelijk zijn en vaak genoeg allemaal bij dezelfde provider want de baas betaald die kosten).
Als je een android phone hebt en je niet heel veel moeite doet om datashare met/naar google tegen te gaan weet google al een heleboel (veel te veel) over jou en je locatie. Maar de overheid hoeft ze niet nog verder te helpen door het op een presenteerblaadje aan te leveren.
Maar als je 'hidden' wil blijven van google moet je wel meer doen dan alleen dit soort apps te verwijderen... helaas
Een push notificatie bevat niet noodzakelijk een leesbaar bericht. De data kan versleuteld worden verstuurd zonder dat Google of Apple die kan lezen. Helemaal geen data sturen, maar de notificatie als oproep tot een API call naar een server zien is ook een prima oplossing.
Voor Android ben je niet verplicht om Firebase Cloud Messaging te gebruiken. Het is wel lekker makkelijk, maar het hoeft dus niet.
Ja zeker mee eens, maar uit ervaring weet ik dat het wel ook nog de beste manier kan zijn. In principe zijn APNS en FCM beiden niet per se gemaakt om betrouwbaar te zijn, maar in de praktijk zijn ze dat wel aardig. Dus je kunt het prima gebruiken om een telefoon wakker te maken.

Zeker als je applicaties hebt die vrijwel realtime moeten reageren op berichten van een server dan is het voor je betrouwbaarheid een goede oplossing. Een wakelock in Android kan werken maar heeft behoorlijk wat invloed op de batterij, en na de introductie van Doze wordt dat nog zelfs moeilijk als het gaat om netwerktoegang als het scherm van de telefoon niet aanstaat.

Dan nog niet te vergeten dat een deel van de Android vendors best heftige batterij 'optimalisatie' doet door gewoon apps te killen: https://dontkillmyapp.com/. Play Services is waarschijnlijk gewhitelist, jouw app niet. Dus als je iets wilt wat onafhankelijk van de Android versie goed werkt is FCM wel ook echt je beste optie denk ik.
de notificaties in principe door Play Services bij de app worden afgeleverd
Dus alle notificaties van Whatsapp- en Signal-gesprekken komen ook bij Google terecht?
Nee dat hoeft niet per se zo te zijn, zoals ik aangaf is het prima mogelijk om zelf een oplossing te bouwen. Maar voor de meeste applicaties is dat teveel werk om (als je niet al een voorbeeld hebt) te ontwikkelen. Je app moet op de achtergrond controleren of er nieuwe berichten zijn en als je berichten wilt ontvangen wil je natuurlijk zo snel mogelijk dat bericht ontvangen. Maar als je elke seconde gaat controleren op de server kost je dat kostbare rekencapaciteit en batterijvermogen.

Ik weet niet precies hoe WhatsApp en Signal werken, maar voor zover ik kan vinden gebruikt gebruikt Signal in ieder geval FCM om je telefoon wakker te maken (met een leeg bericht) zodat het kan controleren of er nieuwe berichten zijn. Het lijkt me dat WhatsApp een soortgelijke manier gebruikt, want de inhoud van het bericht dat via FCM binnenkomt kan niet in de notificatie staan. Je berichten zijn end-to-end encrypted en een server kan dus geen preview van het bericht in de notificatie zetten.

[Reactie gewijzigd door Cebby op 1 mei 2020 10:23]

Een aantal jaar terug was het nog gratis om gebruik te maken van de API tot x aantal, echter moet er inmiddels ook gewoon goed voor worden betaald en zijn de alternatieven die je noemt minimaal even goed zo niet beter.
Het grote voordeel van allemaal is iig dat er geen tracking van google in zit. ;)

Voor de rest is het natuurlijk raar dat "de overheid" geen gebruitk maakt van materiaal van "de overheid" PDOK levert dagverse kaarten voor gratis.
De app is waarschijnlijk gebouwd door https://beeproger.com. Bron: eigen onderzoek.
Weer zo'n fijn bedrijf dat schoolverlaters aan het werk zet voor iets meer dan het minimumloon en dan bij de overheid 200 EUR per uur voor die "ervaren expert" vraagt?

Waanzinnig dat het mogelijk is dat er spyware in een overheids-app kan zitten. Wordt dus totaal niet ge-audit?!

[Reactie gewijzigd door GeoBeo op 30 april 2020 18:47]

Wordt dus totaal niet ge-audit?!
Wie zou deze audit moeten doen dan? De overheid laat al tientallen jaren zien dat ze zelf absoluut geen kennis bezitten op het gebied van IT, anders waren dit soort projecten al lang niet meer mogelijk tegen de belachelijke miljoenenbedragen die in de praktijk neerkomen op een 3000-4000 euro aan ontwikkelkosten van een webapplicatie door (zoals je zelf al zegt) iemand die specifiek aangenomen is omdat hij/zij goedkoop is. Kwaliteit en veiligheid worden niet gecontroleerd, en de mogelijkheid tot inzien door andere bedrijven en/of burgers is er ook niet.

Ik vind dat alle code van de overheid gewoon openbaar gesteld moet worden. Gooi er een verplicht bugbountyprogramma bij, betaald door de partij die de code geschreven heeft, en je hebt meteen een reden voor deze partijen om ook daadwerkelijk de moeite te doen.

Het alternatief zou zijn dat de overheid zelf in-house ontwikkeling gaat doen, maar dan zouden ze eerst een IT-manager in dienst moeten nemen die wèl verstand van zaken heeft, en dat lijkt vooralsnog niet het geval te zijn.
Strict genomen zijn we allemaal opdrachtgever van deze app.
Dus idd. het zou opensource moeten zijn.
Dergelijke scans worden gedaan door bedrijven als Tiobe. Worden vaak ook extern ingehuurd. Ook door commerciële partijen. Kwaliteit is niet per se denderend, maar wel de marktstandaard
Weer zo'n fijn bedrijf dat schoolverlaters aan het werk zet voor iets meer dan het minimumloon en dan bij de overheid 200 EUR per uur voor die "ervaren expert" vraagt?
Die kans is zeer groot helaas.
"Gelukkig hebben we openbare aanbestedingen, dan krijgen we de beste prijs/kwaliteit." /s
Ze hebben op de website een statement geplaatst.
Op verzoek van de overheid hebben wij gebruik gemaakt van een externe partij. In goede samenspraak en in opdracht van de overheid wordt nu een andere oplossing geïmplementeerd. Onze opdrachtgever heeft expliciet uitgesproken dat ons niets valt te verwijten. Voor verdere informatie verwijzen wij u graag naar de brief van F.B.J. Grapperhaus.
Wauw. Ik heb net die brief even gelezen, maar wat staat daar een hoop onzin in zeg.

Het idee is dat de app gebruikt wordt naast de cell broadcasting en dat er aan de hand van de cell broadcastingn extra info opgezocht kan worden. Als dat het punt is, maak dan gewoon een website met een instructie voor een homescreen bookmark? Jeweetwel. Gewoon rijksoverheid.nl/nl-alert.

Over het andere datalek (google maps) wordt met geen woord gerept. Want daar moet je “toestemming” voor geven. Alsof iemand snapt waar je exact toestemming voor geeft? Dat past helemaal niet in dat kleine venstertje XD. Ik geef namelijk geen toestemming dat google deze gegevens opslaat. Maar dat kan je helemaal niet aangeven. De randvoorwaarden worden helemaal niet verduidelijkt.
Android is toch synoniem aan gegevens aan Google geven, tenminste als je wat meer wilt dan bellen en sms'en op je smartphone. Alles loopt via Google Services.
Het vreemde is dat de betreffende app nog steeds beschikbaar is in de Play store. Ik kon daardoor de app downloaden en met behulp van app ClassyShark3xodus (aanrader!) vinden dat het gaat over de notificatiedienst OneSignal.
Mooie vondst!

Die app zou bij mij niet gewerkt hebben, want OneSignal wordt standaard geblokkeerd door PiHole.
Kan je PiHole dan op een mobieltje installeren?
Daar heb je ook andere opties voor zoals dns66 of blokada voor Android in ieder geval.
Hmm... als ik bij de download 'blokada-v4.5.2.apk' op 'Open' klik, gebeurt er helemaal niks.
Je kunt wel altijd een VPN naar je thuisnetwerk met PiHole gebruiken.
Of deze op een extern benaderbare locatie draaien...
Nee, maar blokada heeft veel overeenkomstige functies.
(geen root vereist).
Met een OpenVPN een verbinding opzetten naar je thuisnetwerk en vervolgens je pihole als DNS server instellen. Ideaal zo’n Raspberry Pi.
Het is een beetje een vreemd opgesteld bericht, aangezien het spreekt over een externe dienst die geen toegang tot die data mocht hebben.

Een notificatiedienst lijkt mij geen externe dienst (vanuit de app gezien) en het is voor een notificatiedienst (tenminste net afhankelijk hoe die is opgezet) ook noodzakelijk om de locatie van de klanten te weten om local notificaties te kunnen versturen.

Het klinkt mij meer in de oren dat OneSignal een cc'tje oid naar een externe dienst stuurt en dat dat dus niet mag...
Het gaat niet om het weten van de locatie, maar om de opslag daarvan, dus locatie historie. Daarnaast over data over telefoon en besturingssystemen. Lijkt mij dus juist wel de externe notificatie partij.
Is zo'n App niet nodig om te kijken welke alerts er al geweest zijn?
Euhm. Ooit van een website gehoord? Een app hiervoor is echt totale geldverspilling. Je kan ook meldingen krijgen voor locaties waar bijvoorbeeld familieleden zitten volgens beeproger. Fijn is dat.
Ben ik niet met je eens dat apps geld verspilling is. Er bestaan genoeg websites die ook een app hebben en kiest men vaak voor de app. De app van bol.com, de app van de ns, netflix om een paar voorbeelden te noemen heb ik ieder geval vaak genoeg langs zien komen.
Ja maar voor dergelijke shops snap ik het nog wel. Hier gaat het om vrij statische content, geen login, geen accounts. Gewoon puur een klein beetje informatievoorziening. Het is de bedoeling dat we het zo weinig mogelijk nodig hebben. Tweakers had eerst ook een app, maar daar zijn ze ook mee gestopt omdat er gewoon heel kosten aan verbonden zijn en een goede website voor meer mensen bereikbaar is.

Maar voor iets wat je het liefst niet gebruikt zou ik niet zo veel geld uitgeven.
De ns hoeft ook geen account fe hebben als je gewoon reis informatie nodig heb.

Bij bol.com heb je voor de app en website allebei de account nodig en kan je voor de website ook aanzetten ingelogd blijven dus heb je het ook maar eenmalig nodig. En toen ik het zag was de app zo goed als hetzelfde als de website. Dus had je ook een icoontje met link op je telefoon kunnen zetten.

De app van netflix verwijst naar de website voor sommige dingen te kunnen aanpassen dus zou je zelfs kunnen zeggen dat de website beter is als de app.
Ja alleen bij dergelijke partijen zijn er nou eenmaal dingen met accounts enzo persoonlijke gegevens en settings. De website van netflix ondersteund geen download en view later iets wat de app wel kan. Dan is dat een voordeel van een app en een goede rede om er een te maken.

Als bol.com de website ook als app inzet dan hebben ze ws vrij weinig extra kosten gemaakt om dat voor elkaar te krijgen.

De NL-alert informatie wijzigt hoogstens 1 keer per week. De pushnotificaties van de app zijn redundant (volgens de opdrachtgever). Dus waarom geef je zo veel geld uit?
Als bedrijf kan het bijna voelen alsof je er niet bij hoort als je geen app heb (al zijn er uiteraard uitzonderingen). Zelfs de lokale patatzaak heeft een app.

Omdat men het meestal makkelijker vind een app te openen dan naar de website te gaan. Omdat een hoop mensen niet weten dat je op je telefoon een snelkoppeling kan maken naar de website. Wij hebben dan een online registratie systeem voor ons werk maar als er geen icoontje op de telefoon staat dan wordt er aan mij gevraagd of ik "de app" erop wil zetten.

Een app en telefoon of tablet is gewoon samen logisch voor mensen.
Dan maak je een wrapper om je website heen ook goed, maar maak primair een website die te bezoeken is zonder telefoon. Is gewoon onzinnig om voor een simpel iets als dit zoveel risico te gaan kopen met uiteindelijk een datalek ten gevolge.
De registratie website is ook via de computer te benaderen. Mensen willen alleen niet in de ochtend de computer starten om te kijken wat er belangrijk is te weten voor hun voor die dag. En kan een gewone website geen datalek hebben dan?
Pak de context er eens bij. Natuurlijk kan een website een datalek hebben alleen het punt is dat het datalek komt door een service die niet noodzakelijk is. NL-alert doet dit namelijk al dmv cell broadcasting en bevat waarschijnlijk zelfs meer informatie dan de push notificatie.
Pak de context er eens bij.
Let's do that :).
Als er een ramp heeft plaatsgevonden en er dus een NL-alert is, kan het best zijn dat er geen stroom meer is en die PC helemaal niet meer aan kan. Voor belangrijke zaken als dezen lijkt 't mij dan handig dat je daarbij kan via een app (i.p.v. eerst moeten googlen welke website je moet openen op je mobieltje).
|:( rijksoverheid.nl/nl-alert -> add to homescreen -> done.

Dan nog had deze app gewoon een simpele website kunnen zijn met een wrapper daarom heen. Het is reactie native dus feitelijk is dat het ook gewoon echter kan ik het nu niet op een pc bekijken voor als ik geen smartphone heb maar alleen Het luchtalarm hoor bijvoorbeeld.

De prio heeft hier gelegen op ja we moeten app hebben en verder nergens anders, niet op privacy, niet op veiligheid, niet op bereik.
De prio heeft hier gelegen op ja we moeten app hebben en verder nergens anders, niet op privacy, niet op veiligheid, niet op bereik.
De overheid zou af moeten van de schroom om software eerst te laten bekijken door gespecialiseerde clubs, zoals ccc.de of een Nederlandse tegenhanger daarvan.
Eens. Stop met het op de blauwe ogen geloven van je leveranciers. Dat kan namelijk niet.
Ik had de app op m’n toestel en moet nu via de radio of tweakers erachter komen dat ik die app moet verwijderen?! |:( Waarom gebruikt de overheid de app niet zelf om iedereen met die app te waarschuwen dat die verwijderd moet worden?
Wat een triest en of topic reactie met aannames. Heb zelf de digid app, behoor ik dan volgens jou ook tot die andere helft?
Ook met Digid is het fout gegaan.
Het is ondertussen een feit dat de overheid niet kan omgaan met ict.
Ach, dat kan het Bedrijf waar ik werk ook, de fouten gaan door,!
Het is een "werkgroep" onder een Concern.ll
Ik heb afgelopen week 3x met de Helldesk gebeld, en pas na het derde gesprek was een "lokaal"probleem, maar ook snel opgelelost.

Daar zit je dan in een "vitale" Functie, sorry, ik kan even "niets"..
Ben het met je eens dat fouten gemaakt kunnen worden. Maar daarom vind ik het wel appart dat men zo weinig tijd geeft voor de corona app
Waarom een App als je het ook zonder ontvangt
Volgens mij is zo'n app er om te kijken welke alerts er al geweest zijn?
Ik heb best veel vertrouwen in onze overheid, we wonen niet in Rusland ofzo?
Daarnaast vindt ik het idee van zo'n corona app (zeker als het is met wat google en apple aan het maken zijn) wel goed, het kan leven redden voor wat data, als de overheid bijvoorbeeld zo'n data server zou hebben op een beveiligde locatie van de overheid heb ik 0 problemen.
Helaas gaan beiden het niet worden. Gelukkig zijn alle voorstellen afgekeurd, maar helaas gaan ze nu zelf het wiel uitvinden. Ik hoop dat de productowner zijn prioriteiten op een rijtje heeft. Privacy first, security second en daarna zien we wel verder.

(Met het idee dat als er geen privacygevoelige data is het ook niet te stelen valt ;))
Tja, op mijn telefoon werken die alerts niet echt lekker. De telefoon begint te piepen, dan staat er een tekst half leesbaar op het lockscreen. Zodra ik unlock is de tekst weg. Vervolgens wordt de Nederlandstalige inhoud voorgelezen, maar door een Engelstalige robotstem, waardoor het totaal onverstaanbaar is. Dus de paar keer dat ik daadwerkelijk een NL-Alert gehad heb was een app waar ik het kon nalezen best zinnig geweest.
Kan de overheid Google en Apple niet vragen om de app terug te halen? Met een pushmelding waarin de reden staat.
Dat zou toch wat zijn als Google of Apple op afstand deze apps van je telefoon gaan verwijderen. Ik zou dat toch als inbruik op mijn data op mijn telefoon beschouwen.
Deze middelen heiligen hier niet het doel.
Apple heeft geen manier om reeds geïnstalleerde applicaties te verwijderen van telefoons. De enige 'kill switch' aanwezig in iOS is om een app te verbieden voortaan nog van lokatiediensten gebruik te laten maken. Voor zover ik weet heeft Apple daar nog nooit gebruik van gemaakt.

macOS heeft XProtect, wat meer een signature-based antivirus is (dat je uit kan zetten). De lokale webserver die Zoom in een vorige versie stiekem installeerde om beveiligingen in Safari te omzeilen is hieraan bijvoorbeeld ten prooi gevallen.
Weet je dit zeker? Dit (weliswaar meer dan 10 jaar oude artikel) geeft aan dat er wel een kill switch in iOS zou zitten om apps te verwijderen:
https://www.telegraph.co....s-iPhone-kill-switch.html
Er is geen kill switch gevonden dan [url="https://www.macworld.com/article/1134930/iphone_killswitch.html]een voor location services[/url]. Apple heeft regelmatig apps uit de App Store verwijderd zonder deze van devices af te halen.

De quote van Jobs heeft het over een programma dat "stole users' personal data" (quote van de auteur van het WSJ-artikel). Er zijn heel veel apps die dat doen, waaronder deze NL-alert app, en Apple heeft deze nochtans niet geblacklist. En van bijvoorbeeld de Facebook VPN-app die gebruikersdata stal is alleen het enterprise developer cert ingetrokken.
Ongelukkige timing nu met al het nieuws (en kritieken) omtrent de (haastige) ontwikkeling van de Covid app.
Prima timing, ze geven zo aan dat ze serieus omgaan met privacy. Dus installeer al die overheidsapps maar blindelings.
Als de overheid het uitbesteedt heeft aan een externe partij, en zelf geen controle gedaan heeft op privacy door de code en het bedrijf te checken, kan je dan eigenlijk nog wel spreken van een overheidsapp...
AlbertHeijn verkoopt ook de AlbertHeijn hagelslag als AlbertHeijn hagelslag. (En zo nog veel meer voorbeelden).
Een bedrijf (overheid) dat iets inkoopt kan dat toch prima onder z’n eigen naam in de markt zetten ?
Ik denk juist dat deze app onder de loep is genomen na al het kritiek van afgelopen weken.
Of juist niet ... ik acht de overheid niet voldoende competent en met de juiste intentie om mijn data aan toe te vertrouwen. Reden is dat ik geen idee heb in welke mate (ik ga uit van onbeperkt) deze informatie bij andere inlichtingendiensten belandt en of dit nodig/terecht is. Daarnaast hebben we gezien wat SyRi ons al heeft gebracht, waarbij mensen onterecht als fraudeur zijn gekenmerkt door een computersysteem.

Ik ben blij dat dit nu naar buiten komt, misschien maakt het mensen kritischer wat we moeten delen met de overheid en wat niet. Ik ben voor het delen van data als het ergens ten goede aan komt, maar als het (ook) ten kwade gebruikt wordt of kan worden (wat ook daadwerkelijk gebeurt), dan ben ik heel makkelijk: nee.
Ik geloof er niet in dat het doenbaar is dat we per geval moeten uitzoeken of de verzamelde data daadwerkelijk nut heeft en of er wel voldoende gedaan wordt om die data veilig te bewaren en te vernietigen als de data niet meer bewaard hoeft te worden.

Dus ik ben ergens wel blij dat dit naar buiten komt.
De source code van de corona app zal openbaar zijn, dan word het stukken makkelijker om dit soort dingen te voorkomen.
Nee ho. Het wordt dan eenvoudiger voor anderen om te kunnen zien waar het fout gaat.

Dat betekent niet dat je het kunt voorkomen. Je moet de leverancier er daarnaast op vertrouwen dat die github repo ook daadwerkelijk de app is die gepushed wordt.
Help me even, ik dacht dat een nl-alert via cell broadcast werd verstuurd? Waarom dan een app?
ouders hebben een oneplus one en daar komen die NL alerts niet binnen via broadcast. Werkt daarop niet. Dus dan zou een app handig zijn. Echter die app was al brak want stel je in: wil enkel lokale meldingen. Maar op een of andere manier werkte dat al niet goed. Dus kreeg je een NL alert uit groningen ofzo...... Super handig.
Ware het niet dat wanneer uitwerpselen de ventilator raken hoogstwaarschijnlijk de telecomnetwerken overbelast raken en zo'n app vrij nutteloos is in vergelijking met cell broadcast.
Tenzij je natuurlijk lekker thuis zit met je WiFi netwerkje
Dat is nog maar de vraag, ik kan me niet herinneren wanneer de telecom netwerken de laatste keer overbelast waren. Dat gaat ook met oud en nieuw al een tijdje goed (zelfs video calls). Moet al echt goed mis gaan wil het echt niet meer lukken een kort tekstberichtje over het netwerk te sturen.
Ik heb een 5T en ik krijg de alerts ook niet, terwijl het wel juist geconfigureerd staat in de settings. Heel vreemd.
ik heb m ook getest. geen problemen mee ondervonden.
JA, berichten uit het hele land krijg je als je niet hebt ingesteld dat je lokale melding wil hebben.
Nou, dat NL alert werkt niet altijd bij iedereen. Ik heb er soms problemen mee op mijn zakelijke iPhone. Terwijl collega's met dezelfde zakelijke iPhone vaak wel de NL-alert binnen krijgen. De iPhone heeft alles op default staan, nooit wat aan verandert en de instellingen staan goed. Op mijn privé telefoon komt het wel prima binnen. Er kan dus ergens wat mis gaan en dus niet hoofdzakelijk kunnen liggen aan de OnePlus One van jouw ouders.
Laatste alinea.
De NL-Alert-app is begin maart verschenen. Het gaat niet om de NL-Alert-noodmeldingen op smartphones, die meldingen werken op basis van cell broadcast. De app is daarop een aanvulling
Dat beantwoordt natuurlijk niet de waarom-vraag. Een aanvulling in welke zin, op welke manier?
Dan klik je op de laatste hyperlink uit het gequote gedeelte of op het gerelateerde artikel onderaan dit artikel?
Om je locatie, persoonlijke data en besturingssysteem te delen met de overheid.
Kan altijd handig zijn, ..... voor een overheid.
Dat geeft vertrouwen in een toekomstige Corona App van de Rijksoverheid 8)7
Precies dit.
Overigens hoop ik dat die app volkomen van tafel gaat.
Wie het openbaar debat in kamer heeft gevolgd, zag dat het van alle kanten door experts uit verschillende disciplines volledig met de grond gelijk werd gemaakt.
Je zou het ook positief kunnen uitleggen door te zeggen dat er (nu) in ieder geval naar gekeken wordt zodat dit met de eventuele nieuwe Corona app niet (meer) speelt.
Dat zou inderdaad een positieve uitwerking kunnen zijn, maar ik vrees dat het niet veel goeds doet voor het voor het vertrouwen en daarmee de omarming van apps uitgebracht door de (Rijks)overheid.
Dat geldt wat mij betreft niet alleen voor apps van de overheid. Ik benader elke app met gezond wantrouwen.
Vertrouwen komt te voet en gaat te paard.

En er zijn onderhand al wat overheidspaarden voorbij gegaloppeerd....

En kom maar wel door met die naam aub. overheid, want het is duidelijk dat 'we the people' zelf maar moeten gaan controleren of de betreffende clubs betrouwbaar zijn ipv. dat jullie dat voor ons beslissen.
Psst. Ik heb van een of andere bart begrepen dat je t op de darkwet kan vinden:

https://beeproger.com/wer...p-de-hoogte-met-nl-alert/

;)
Ja ik had het via andere wegen ook al meegekregen.

Goed, besef me wel dat mijn laatste zin ook een ideaalbeeld is.
De realiteit lijkt te zijn dat zelfs de meest betrouwbaren zulke (al dan niet) uitglijders kan maken.

Nou is het natuurlijk nog de vraag wat er met die data gedaan is. Het is natuurlijk ook niet meteen gezegd dat *beep*roger de boel verkocht heeft ofzo.
Een reputatie-knauw voor hen en een terechte melding bij de AP. Logisch en (wel wat) terecht.
Dit kunnen echter dure 'ooopsie's zijn tegenwoordig.
Normaal gesproken zou ik het deels met je eens zijn. Helaas is onesignal een partij die groot van de daken schreeuwt dat ze de verzamelde data gebruiken om jouw client engagement omhoog te krikken. Dingen als AI en location based messages staan groot op de website genoemd. Een dev die hiermee aan de slag gaat weet dit dus van tevoren.
Je zou het ook positief kunnen uitleggen door te zeggen dat er (nu) in ieder geval naar gekeken wordt zodat dit met de eventuele nieuwe Corona app niet (meer) speelt.
Volgens mij moet je wel een enorme positivo zijn als je denkt dat er geleerd wordt van fouten uit het verleden (het feit dat Capgemini gewoon weer mee mocht doen spreekt sowieso al boekdelen).
Het is gewoon stuitend dat er keer op keer geen enkele controle lijkt plaats te vinden op het gedane werk.
Met de corona-app waren er veel mensen uit de community die de software bekeken en de apps stuk voor stuk naar de prullenbak verwezen. Maar dat was nog een uitzondering omdat het zo in het nieuws was en de sourcecode van de meeste apps beschikbaar was. De ene was nog brakker dan de ander en uiteindelijk werd de keutel door de minister weer ingetrokken omdat hij net iets te veel kritiek kreeg. Het ergste was dat de 'deskundigen' van de overheid zelf, klaarblijkelijk niet doorhadden met wat voor prutswerk ze te maken hadden.

En dit staat niet op zichzelf. Er is geadviseerd door een deskundige commissie om bijvoorbeeld de ontwikkeling van de nieuwe software voor de politie te stoppen voor het te laat is. Het is niet gestopt 'omdat er al te veel in geïnvesteerd is'. Dat is zo ongeveer de meest voorkomende fout en staat in het eerste boekje over management. Maar ook bij het maken van de software voor justitie en het UWV werd men niet gehinderd door kennis van zaken.

Dus nee, ik geloof er niet heel erg in dat er wat van opgestoken zal worden. Het zal hooguit bevestigen dat je de corona-app zeker niet moet installeren. Nog los van het feit dat er nog geen begin van een bewijs is dat de app enige bijdrage kan leveren en de techniek nooit kan oplossen dat er false positives/negatives zullen zijn.
Je kan het ook negatief neerzetten; Misschien hebben ze dit al zo lang misbruikt, dat door de Corona app, nu dit maar snel wordt gefixt ;)
Nouja. De app bestaat net een maand of twee dus dat zal iets meevallen gelukkig ;)
Ja, want van andere apps weten we: zolang niemand officieel bericht dat ze lek zijn, zijn ze veilig!
Alsof de overheid 1 orgaan is dat zijn apps zelf centraal maakt...

Ik zal je uit de droom helpen. Elk ministerie is zo goed als zelfstandig en besteedt dit werk zelf uit via een aanbesteding. Dat zijn dus vele partijen, iedereen kan daarop inschrijven(als je aan de eisen voldoet, blijkbaar is een goede test vergeten, of kwam dit er niet direct uit).
Ook al heb je gelijk, toch heeft hij een punt.

De toekomstige corona app is een beetje te vergelijken met vaccinaties. Daar is nu ook een steeds grotere groep die achterdochtig is t.o.v. de overheid en de aanbevelingen.

Dat zie ik ook gebeuren bij de app. "De overheid wil ons bespioneren", "ze tracken ons nu altijd", etc.
En daar helpt een geval zoals dit niet echt bij, ook al zijn het twee apps die niet te vergelijken zijn.
Feitelijk heb je gelijk, maar er bestaat ook nog zoiets als een publieke opinie, mede gevormd door de slager op de hoek en de nagelstyliste drie hoog achter, die respectievelijk heel goed in vlees en nagels zijn, maar met computers en aanbestedingsrecht wellicht iets onhandiger en onbekender... Daarnaast, het feit dat losstaande entiteiten meerdere malen tegen privacy issues zijn aangelopen geeft direct aan hoe snel een lek kan optreden. Was het maar één orgaan, dan was het oplossen een stuk eenvoudiger.

Het blijft dus keer op keer zaak om als samenleving bewust te zijn van de potentiële gevaren en héél goed na te denken of het doel de middelen heiligt.
Had je daar al vertrouwen in dan? Niet om het één of ander, maar je weet gewoon dat vrijwel geen enkele app wordt gebouwd zonder 'hulpmiddelen' van derden, die in ruil daarvoor data verzamelen. Dat is met overheidsapps niet anders, en dat is voor mij reden om huiverig te zijn dit soort apps te installeren. De overheid heeft zelf namelijk niet de kennis of capaciteit om te controleren of hun bewering dat hun apps volkomen veilig zijn wel klopt...
Dat geldt voor de Covid-app, maar ook voor een NL-Alert-app die als 't goed is sowieso nauwelijks meerwaarde heeft boven die sirene in de paal naast mijn huis...
Hoe krijgen ze het voor elkaar?

Hoe hebben ze die externe partij opdracht gegeven die app te schrijven?
"We willen een NL-Alert app en jullie zoeken zelf maar uit hoe?"

Je geeft ze toch een set requirements waar het aan moet voldoen voor privacy?

We hebben in ons bedrijf ook een app om mensen te waarschuwen bij calamiteiten en het eerste wat dan naar boven komt is hoe je bepaalt op welke locatie iemand zit. Je hebt twee opties:
- Je stuurt iedereen het bericht en de app bepaald zelf of de telefoon zich binnen de locatie bevind
- de telefoon stuurt zijn locatie door naar een centrale server en die stuurt het bericht alleen naar telefoons binnen de locatie.

Hoe kan je als ministerie achteraf dan verbaasd zijn over de locatie data die gedeeld word? Dat had je zelf van tevoren met die externe partij moeten bepalen. (en testen natuurlijk)
Waarschijnlijk door Cap Gemini gemaakt. Daar krijg je wat tekst, wat buttons, en alles andere moet je extra voor aftikken want woordje "veilig" stond niet bij de beschrijving van "knop 81" met "Label 21".
Toevallig dit keer net niet. Het was beeproger. Zelfde idee overigens.

https://beeproger.com/wer...p-de-hoogte-met-nl-alert/
Toevallig dit keer net niet. Het was beeproger. Zelfde idee overigens.

https://beeproger.com/wer...p-de-hoogte-met-nl-alert/
Lol, inderdaad een Cap-constructie. Grappig dat ze vermelden:
Op verzoek van de overheid hebben wij gebruik gemaakt van een externe partij. In goede samenspraak en in opdracht van de overheid wordt nu een andere oplossing geïmplementeerd. Onze opdrachtgever heeft expliciet uitgesproken dat ons niets valt te verwijten. Voor verdere informatie verwijzen wij u graag naar de brief van F.B.J. Grapperhaus.
Maar ook al is het uitbesteed, dan nog ben je volgens mij verantwoordelijk voor wat je oplevert. Dan kan minister Grappenmaker nog van alles schrijven of roepen.

Wanneer ik een auto koop en er is wat mis mee, dan spreek ik ook eerst de dealer aan.
Alleen is de dealer hier de overheid en de fabrikant beeproger.

Ik vind overigens juist dat de schuld bij beeproger neergelegd mag worden. Dat zijn immers de expert consultants. Die Worden betaald om advies te geven.
Ik zie Grappenmaker als klant en beeprogger als dealer. En die moeten dus de expertise hebben lijkt mij zoals jij aangeeft.
Dan nog ligt de schuld niet bij Cap Gemini. De overheid heeft de verantwoordelijkheid om de voorwaarden op te stellen waaraan die app moet voldoen. Er kunnen goede redenen zijn om voor de tweede optie te kiezen. Maar dat is iets waar de opdrachtgever een beslissing over moet nemen.

Volgens mij is een groot probleem bij de overheid dat ze zoveel uitbesteed hebben, dat ze zelf alle kennis kwijt geraakt zijn. En ze dus ook niet meer beseffen dat zij verantwoordelijk zijn om goede requirements op te stellen, of niet eens meer de kennis in huis hebben om die requirements op te stellen.
Dan nog ligt de schuld niet bij BedrijfX
Het één sluit het andere niet uit.
Ook een ingehuurd bedrijf moet zich gewoon aan de wet houden, en dus geen data verzamelen.

[Reactie gewijzigd door kimborntobewild op 30 april 2020 19:37]

Maar de wet zegt helemaal niet dat je geen data mag verzamelen.

Dat mag wel degelijk, zolang er maar aan bepaalde voorwaarden is voldaan. En dat bedrijf kan er van overtuigd zijn dat ze daar aan voldoen omdat ze het met de overheid hebben overlegd en die die voorwaarden geregeld hebben.

Zeker op privacy gebied zijn de wetten niet zwart/wit en is er veel afweging en interpretatie nodig.
Maar de wet zegt helemaal niet dat je geen data mag verzamelen.
Dat mag wel degelijk, zolang er maar aan bepaalde voorwaarden is voldaan. En dat bedrijf kan er van overtuigd zijn dat ze daar aan voldoen omdat ze het met de overheid hebben overlegd en die die voorwaarden geregeld hebben.
Er wordt zeer zelden aan die voorwaarden voldaan. Omdat er groot maatschappelijk nut moet zijn, en omdat de gebruiker zeer zelden zeker wéét dat zijn data wordt verzameld/doorverkocht/te gelde gemaakt; en welke partijen daar allemaal betrokken bij zijn. Omdat de pakkans klein is en de boetes laag, is het nu zo dat er van alles verzameld en verkocht/te gelde wordt gemaakt, zonder dat dat mag.
Zeker op privacy gebied zijn de wetten niet zwart/wit en is er veel afweging en interpretatie nodig.
Het is momenteel zo: als de bedrijven denken dat er twijfel kan zijn (waar ze zich op kunnen beroepen): hup, vergaren (en doorverkopen of anderszins te gelde maken) die data. Het zou zo moeten zijn: als de bedrijven denken dat er twijfel kan zijn: simpelweg geen data vergaren.
Ja tuurlijk wel. Zij zijn juist de experts op dat gebied. Ze worden juist ingehuurd omdat de kennis en kunde bij de opdrachtgever ontbreken. Het zijn juist de consultants die dan aan de bel moeten trekken als dergelijke requirements niet bestaan.
Tuurlijk niet.
De opdrachtgever blijft altijd verantwoordelijk.
En wie zegt dat ze voor hun kennis en kunde over requirements ingehuurd zijn?
Vaak worden bedrijven gewoon ingehuurd voor dev skills en handjes.

En je laatste zin laat zien dat je geen ervaring hebt in projecten bij grote bedrijven. Je kunt wel leuk aan de bel trekken als er geen requirements zijn, maar dat betekent niet dat ze er vervolgens wel komen.

En vervolgens gaat men aan de top klagen dat er nog geen voortgang is in het project en jij moet het maar oplossen.
En wie zegt dat ze voor hun kennis en kunde over requirements ingehuurd zijn?
Vaak worden bedrijven gewoon ingehuurd voor dev skills en handjes.
Lees de case voor de app maar eens.
Een tijdje geleden kregen wij een document te zien van de Rijksoverheid waarin de benodigdheden voor deze app beschreven werden. Wij hebben een voorstel ingediend gebaseerd op dit document. Na een tijdje kregen wij te horen dat wij bezig mochten gaan met het bouwen van de app. Een fantastische opdracht voor ons!
Het bedrijf heeft zelf het voorstel geschreven om aan de functionele requirements te voldoen. Het bedrijf is dus ook in een adviserende rol betrokken geweest.
En je laatste zin laat zien dat je geen ervaring hebt in projecten bij grote bedrijven. Je kunt wel leuk aan de bel trekken als er geen requirements zijn, maar dat betekent niet dat ze er vervolgens wel komen.
In het geval van wetsovertredingen en de overheid? jazeker wel. Dit had van tevoren in een analyse naar voren moeten komen. Kan dit wel?
En vervolgens gaat men aan de top klagen dat er nog geen voortgang is in het project en jij moet het maar oplossen.
Ja als je altijd zo over je heen laat zeiken dan snap ik die reactie ook wel.

Overigens is het heel belangrijk om je als overheid aan de wet te houden, zeker privacywetgeving. Iemand die dat ter sprake zou brengen verdient wat mij betreft direct een bonus.
Ja als je altijd zo over je heen laat zeiken dan snap ik die reactie ook wel.
BWAHAHAHA
Absoluut duidelijk dat je totaal geen ervaring hebt.

Als test manager was mijn oplossing vrij makkelijk. Geen requirements? Prima, dat betekent dat ik nergens tegenaan kan testen.
Oh moet ik toch testen? Ok, dan stel ik op basis van mijn ervaring een aantal zaken op waartegen ik testen, maar jullie als opdrachtgever moeten je akkoord geven dat dat is waar ik tegen test en niet meer en jullie nemen de verantwoordelijkheid.

Opdrachtgever is en blijft verantwoordelijk.
Je kunt werk delegeren, maar verantwoordelijkheid niet.

En dat blijkt ook hier. Je kunt het wel leuk uitbesteden aan een derde partij, maar de minister moet op het matje komen.
Als die derde partij dingen heeft gedaan tegen de afspraken in, dan word het anders. Maar daar is op dit moment nog geen enkele aanwijzing voor.
Opdrachtgever is en blijft verantwoordelijk.
Ho wacht even. Daar hebben we het dan ook niet over.
Dan nog ligt de schuld niet bij Cap Gemini.
Verantwoordelijkheid en schuld liggen wel degelijk ver uit elkaar in de ICT. Je kan het de ontwetende klant niet kwalijk nemen dat ie niet weet wat ie wil, maar je kunt hem wel wijzen op het stukje verantwoordelijkheid dat bij een demo iets aangekaart had kunnen worden "hee dit is niet wat ik verwacht" bijvoorbeeld.
Als die derde partij dingen heeft gedaan tegen de afspraken in, dan word het anders. Maar daar is op dit moment nog geen enkele aanwijzing voor.
Jawel, Je hebt je gewoon te houden aan de wet. Dat hebben ze niet gedaan dus een boete vanuit het AP lijkt mij op zijn minst op zijn plaats. Je gaat toch niet in ieder requirements deel vastleggen dat je je aan de wet moet houden? Das een gegeven en wel degelijk verantwoordelijkheid van de leverancier.

Anders kan je letterlijk alles bouwen binnen een korte tijd. voeldoet volledig aan de requirements, niet aan wetgeving, maar dat boeit kennelijk niet want stond in niet in de requirements. Man leer verder kijken dan je neus lang is.
Prima, dat betekent dat ik nergens tegenaan kan testen.
En dat is dus hoe je de "over de schutting mentaliteit" goed in stand houd ja. Ieder stukje code is testbaar zonder requirements. Dus ik weet niet vanaf waar jouw tests worden gedaan? Is dat functioneel en keten of ook lager in de pyramide? Daar hangt het namelijk wel vanaf.
BWAHAHAHA
Absoluut duidelijk dat je totaal geen ervaring hebt.
hiermee ga je een discussie niet winnen, dus stop daar maar mee.
Jawel, Je hebt je gewoon te houden aan de wet. Dat hebben ze niet gedaan dus een boete vanuit het AP lijkt mij op zijn minst op zijn plaats.
Nou, vertel maar: welk deel van de wet hebben ze precies geschonden?
Jij denkt immers al precies te weten wat hier gebeurd is en wie schuldig is.
hiermee ga je een discussie niet winnen, dus stop daar maar mee.
Jouw ervaring ligt in het repareren van telefoons en tablets etc. Dat is ontzettend nuttig werk en ik hoop dat dat veel meer gedaan gaat worden. En ik wens je toe dat dat jouw bedrijf daarin gigantisch succesvol en groot word.
Maar doe nou niet alsof je weet hoe software projecten in grote organisaties lopen. Iedereen die daar ervaring mee heeft ziet namelijk onmiddellijk dat je geen praktijk ervaring hebt.

Net zoals jij een ieder in jouw business zou gaan lachen als ik zonder kennis van zaken dingen ga roepen hoe reparatie van tablets in de praktijk werkt.
Zoals aangegeven in de brief vanuit het ministerie: het zonder toestemming verwerken van locatiegegevens. Daar komt het “data-lek“ nog eens bovenop.
Jouw ervaring ligt in het repareren van telefoons en tablets etc. Dat is ontzettend nuttig werk en ik hoop dat dat veel meer gedaan gaat worden. En ik wens je toe dat dat jouw bedrijf daarin gigantisch succesvol en groot word.
Ah vandaar dat je er mee komt. Dat heb ik een paar jaar geleden van de hand gedaan. Was een “bijbaan” naast mijn studie. Ik ben namelijk software engineer en werkzaam als, misschien raad je het al, consultant. Derhalve vind ik het dan ook de verantwoordelijkheid van mij en mijn concullega’s om klanten te wijzen op eventuele issues die zij niet scherp (kunnen) hebben. Ik weet niet waar jij werkt, maar bij mijn opdrachten wordt het juist op prijs gesteld als je tijdig aan de bel trekt en niet als een type-aap maar gewoon uitvoert wat er staat zonder vragen te stellen.

Maar terug naar nl-alert. Lees de brief van de minister even. Daar staat het namelijk in:

Eind maart ontdekten medewerkers van mijn ministerie dat de NL-Alert app gebruik maakt van een externe dienst die mogelijk niet voldoet aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG). Naar aanleiding hiervan is binnen mijn ministerie nader onderzoek gedaan naar de werking van de NL-Alert app en is er extern juridisch advies ingewonnen bij een gespecialiseerd advocatenkantoor. Daarbij is ook de vraag aan de orde gekomen of er sprake zou kunnen zijn van een datalek. Uit het extern juridisch advies dat mijn ministerie op 28 april jl. heeft ontvangen blijkt dat dit inderdaad het geval is.

Voor zover ik dat nu heb kunnen achterhalen, zijn via de NL-Alert app locatiegegevens van gebruikers en mogelijk andere persoonsgegevens zoals informatie over het besturingssysteem en andere geïnstalleerde apps, bij de externe dienst terecht gekomen zonder dat de gebruikers daarvoor toestemming hebben gegeven. Na het verschijnen van het extern juridisch advies heb ik de aanbieder van de externe dienst verzocht het verzamelen van data via de app per direct te staken en de al verzamelde data te vernietigen.
Iemand had dit van te voren kunnen zien aankomen.
Tuurlijk niet. De opdrachtgever blijft altijd verantwoordelijk.
Het één sluit het andere niet uit. Bij een huurmoord zijn zowel de opdrachtgever als de huurmoordenaar schuldig.
Vreemd... Hij staat nog wel in de play store...
Jep. Je zou toch verwachten dat ze hem daar dan uit halen...
Er staat ook niet dat hij uit de Play Store wordt gehaald. Er wordt alleen gezegd de app te verwijderen van je toestel. Dat het verstandig is om de app tijdelijk uit de Play Store te verwijderen is wat anders en ben ik het mee eens.

[Reactie gewijzigd door AnonymousWP op 30 april 2020 17:40]

Ja nee...., dit werkt in je voordeel qua vertrouwen in de Corona app....
precies wat ik dacht
En met ons vele anderen vrees ik.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True