Staatssecretaris: We moeten in nieuwe wetten nadrukkelijk stilstaan bij privacy

Het Nederlandse Rijk gaat zich de komende jaren nadrukkelijker richten op privacy en cyberveiligheid. Dat is de strekking van de nieuwste prioriteiten binnen de rijksbrede strategie op het gebied van informatievoorziening, die de overheid de I-strategie noemt.

Bij het maken van nieuwe wetten en regels moeten ministeries en uitvoeringsorganisaties volgens staatssecretaris van Koninkrijksrelaties en Digitalisering Van Huffelen 'nadrukkelijk stilstaan' bij informatiebeveiliging en privacy. De ministerraad heeft hiermee ingestemd en concentreert zich nu vooral op drie speerpunten van de overkoepelende I-strategie.

De hoofdprioriteit is volgens Van Huffelen om bij het formuleren van nieuwe wetten 'in een vroeg stadium de kansen en risico’s van digitalisering en informatievoorziening' in kaart te brengen. Daarnaast gaat de overheid zich de komende jaren meer richten op moderne toepassingen als 'hybride werken, cloud-toepassingen, toename van digitale criminaliteit en geopolitieke ontwikkelingen'. Dit zou de digitale weerbaarheid van het Rijk versterken, met een verkleind risico op het uitvallen van systemen of grote datalekken.

Ook wil de staatssecretaris dat 'jong digitaal talent' verleid wordt om bij de overheid te gaan werken. Vanwege een krapte op de arbeidsmarkt zou het aantrekken van nieuwe werknemers en het behouden van ervaren werkkrachten nu een hogere prioriteit verdienen.

De 'nieuwe' speerpunten maken onderdeel uit van de I-strategie van het Kabinet, een overkoepelende inzet op digitalisering, cyberveiligheid, privacy en nieuwe toepassingen van technologie. Het zijn dus geen nieuwe beloftes of denkwijzen, maar meer een toegespitste strategie voor de overheid tijdens de huidige regeringsperiode.

Van Huffelen stelt: "We moeten meer en beter inspelen op digitale ontwikkelingen in de maatschappij en economie. Door eerder, vaker en met meer expertise naar wetten en regels te kijken, willen we de dienstverlening aan burgers en bedrijven verbeteren en ons tegelijkertijd wapenen tegen risico’s." De D66-politica wijdde in een eerder interview met Tweakers al uitgebreid uit over de rol van technologie binnen de hedendaagse samenleving.

Door Yannick Spinner

Redacteur

15-07-2022 • 19:31

106

Reacties (106)

Sorteer op:

Weergave:

"We moeten meer en beter inspelen op digitale ontwikkelingen in de maatschappij en economie. Door eerder, vaker en met meer expertise naar wetten en regels te kijken, willen we de dienstverlening aan burgers en bedrijven verbeteren en ons tegelijkertijd wapenen tegen risico’s."
Meer en beter inspelen op digitale ontwikkelingen in de maatschappij en economie, maar dat is wel zo breed dat het werkelijk alles kan betekenen. "Oh, deze verregaande anti-encryptie wetgeving met betrekking tot instant messaging? Dat is om bepaalde maatstaven van de maatschappij te kunnen waarborgen en om er voor te zorgen dat de economie niet in gevaar komt". Vooral dat laatste stukje van de quote is tekenend. Eerst praten over het verbeteren van de dienstverlening voor burgers en bedrijven, maar vervolgens ook de 'risico's'a aanhalen. Kan ook van alles zijn. Lekker vage begrippen gebruiken zodat ze niet over een tijdje teruggefloten worden wanneer ze kun kont (weer) eens draaien.

Leuk, om ergens bij stil te staan, maar het is vervolgens net zo makkelijk om te zeggen 'goed verhaal doen we helemaal niks mee' :+ Overigens is het dezelfde overheid die kortgeleden nog aan het onderzoeken was wat de eventuele voor- en nadelen zijn van een verplichte backdoor in chatapps. Maar ze staan gelukkig wel stil bij de privacy O-)

[Reactie gewijzigd door SomerenV op 22 juli 2024 23:58]

Bij overheidsbeleid moet je beginnen met dit soort algemene statements. Vervolgens moet alle detaillering daaraan getoetst worden. En de detaillering daarvan weer aan de eerste detaillering. Een bedrijf doet eigenlijk niets anders. De missie, visie en strategie statements zijn net zo high level. Maar wel nodig om richting te geven. En een minister moet zich niet bezig houden met de details.

[Reactie gewijzigd door Frame164 op 22 juli 2024 23:58]

Privacy, maar ook meer inzetten op "Cloud toepassingen"?
Omdat Cloud inherent is aan geen privacy? Vervang "cloud" door gedistribueerde datacenters, is dat anders? Is dat wel beter voor de privacy dan cloud toepassingen?
Een cloud is een omgeving die door iemand anders beheerd wordt. Jij komt er alleen bij via de interfaces die de aanbieder opengesteld heeft. Zie het als een black box met een paar ramen. Wat ze daarbinnen met jouw data doen weet je niet.
Jouw servers in een datacenter is jouw eigen black box, waar jij bepaalt hoe je er bij kunt, en anderen daar niet bij kunnen. Dat is dus iets heel anders.
Dus iedereen die gebruikt maakt van een externe hosting partij die beheerd wordt door, tja, wat zal ik noemen, kpn? Atos? T-systems? Dat is ook allemaal niet ok? Alleen als je ruimte reserveert in een "locatie" en dat je eigen rack kan plaatsen en je eigen mensen daar het beheer over doet, dan is het wel goed geregeld? Dan is je data veel veiliger?
Als je iets uitbesteed aan een partij als KPN of Atos, maak je daar een contract mee met een SLA er op. Dat kun je niet zeggen van je public cloud omgeving. Daar ben je gewoon de zoveelste klant (of zelfs het product) en hoeven ze niks om jou te geven. Ze kunnen je ook aflsuiten als je te veel zeurt, aangezien ze toch geen contract met jou hebben en dus geen verplichtingen.
Je hebt denk ik weinig kennis van cloud, want ook met een clouddienst kun je Enterprise licenties afnemen waarbij je SLA hebt, 24/7 support, korting krijgt op de diensten enz.

En je gaat echt niet zomaar een bedrijf die miljoenen per jaar in de cloud aan diensten afneemt afsluiten als je zeurt en je bent zeker niet zomaar de zoveelste klant. Je krijgt ook de maken met service managers die contact met je opnemen als een probleem niet wordt opgelost of te lang duurt. Ze gaan dan voor jou als klant aan de slag om bijvoorbeeld te escaleren.

Ik heb als Enterprise klant alleen maar goeie ervaringen met de ondersteuning die ik krijg als er problemen zijn.
Je kunt zelf met gelijkgestemden een cloud maken die de nadelen die jij noemt niet heeft. Download openstack en ga bouwen.
Ik vraag mij af waarom alles in de cloud moet,
waarom slaan de bedrijven hun gegevens niet op eigen servers op?
Er zijn veel redenen te bedenken waarom je dat wel of juist niet zou willen.

Ik heb zowel met servers op eigen locatie van het bedrijf gewerkt, op een datacenter met een eigen ruimte, met gisting partijen die een deel van het beheer doen tot aan de cloud.

Persoonlijk zou ik de flexibiliteit, de prijs en de professionaliteit van een cloud zoals aws of azure niet willen missen. Als bedrijf kun je er ook niet om heen als je bepaalde certificeringen verwacht of nodig hebt voor een opdracht.

Of je nou heel kleinschalig of wereldwijde dekking nodig hebt. Je kan het krijgen, heb je letterlijk zo geregeld.

Het is jammer dat er geen Europese initiatieven zijn geweest. Je ziet hier en daar wel wat verschijnen, maar de meeste zijn 10 jaar te laat begonnen helaas.
Dan moet je er maar genoegen mee hebben dat de Amerikanen ieder moment dat ze willen je data kunnen inzien, ook al is het gehost in de EU.
Zo eenvoudig en zwart wit is het echt niet. Maar men blijft daar wel over terug komen.
The Clarifying Lawful Overseas Use of Data Act or CLOUD Act (H.R. 4943) is a United States federal law enacted in 2018 by the passing of the Consolidated Appropriations Act, 2018, PL 115-141, Division V.

The CLOUD Act primarily amends the Stored Communications Act (SCA) of 1986 to allow federal law enforcement to compel U.S.-based technology companies via warrant or subpoena to provide requested data stored on servers regardless of whether the data are stored in the U.S. or on foreign soil.

Dat is dus wel zo zwart wit, dat jij dat niet wilt zien zegt dus niets.
En dat gaat alleen maar over US ingezetenen. Dat kan je dus niet opvragen van jou of van mij. Lees maar de hele cloud act door. Daar staat meer in dan dit stukje
The European Data Protection Supervisor (EDPS) viewed the CLOUD Act as a law in possible conflict with the GDPR.[19][20][21] The German Commissioner for Data Protection has warned against the use of US based Amazon Web Services for storing sensitive data for the Federal Police.[22]

En de GDPR gaat over ingezetenen van EU personen. Dus als het strookt met de GDPR dan gaat het verder dan wat jij zegt.
En dit gaat specifiek over US citizens die in de EU wonen, waardoor je een conflict krijgt met GDPR. Zoals gezegd, het is niet zo simpel zoals het lijkt. Juridisch is dit nogal een wespennest. Zowel aws als azure zullen dan ook niet zomaar inzage geven en het zal op individuele basis plaatsvinden. Als bedrijf hoef je je volgens mij niet al te veel zorgen maken, de data is in dat geval veilig.

Los hiervan, de veiligheidsdiensten van vs en eu hebben ook wel ingangen in andere hosting partijen, netwerken, providers enz, cloud of geen cloud. Daar veranderd niks aan.
Maar het is sws een dingetje die je dus wilt vermijden. Als de EU straks ineens zegt:"Yo, dat gaan we niet meer doen" sta jij daar met heel je IT oplossing in AWS of whatever. Ga jij dan maar even uitleggen aan de top dat je wist dat het een wespennest was en toch het erdoor hebt geduwd waarom niets nu meer werkt.
Ik hoef niks aan de top uit te leggen. Tegenwoordig kiest de top van het bedrijf er zelf voor. Die hebben inmiddels wel in de gaten wat de voordelen zijn en dat het allemaal niet zo zwart wit is zoals velen het doen voorkomen. Dat was 5, 7 jaar geleden wel anders.
Totdat het allemaal in het water valt. Om welke reden dan ook.
in meer dan 7 jaar tijd in allerlei OTA omgevingen en productie, nooit in het water gevallen. De vraag is, zou je dat ooit te horen krijgen als je on premise, hosting of cloud partij informatie deelt met de AIVD? Ik weet wel dat de grote cloud partijen daar nogal wat rechtszaken over gehad hebben, waaronder Azure voor het niet willen delen van data die in Ierland opgeslagen was met de FBI
7 jaar tijd wel! Dat is een eeuwigheid.
En nooit in het water gevallen? Recentelijk nog:

nieuws: Verschillende diensten niet bereikbaar door problemen met Amazon Web ...

En toen cloudfare laatst een probleempje had lag er ook een groot deel uit.

En verder, je ziet wel meer van die rechtszaken, daarna komt het niet meer in het nieuws maar stiekem hebben ze de data dan wel gegeven omdat ze anders gewoon in de problemen komen.
Hebben we het over uitval of over data die die de VS wordt ingezien?

Wat uitval betreft, ik maak die regelmatig mee (waarvan er een zeer ernstig) bij hosting partijen die we gebruiken. In de cloud is het in al die jaren nagenoeg niet voorgekomen in productie op core systemen en de storingen die er waren prio 2 of lager.

De link die je aangeeft gaat over een storing die misschien 0.1% van alle services van een aws laat van kunnen hebben. Er draait bizar veel wereldwijd op aws, ota maar ook productie.
Beide.

Uitval is rot en zonder controle. Maar inzien gebeurt sws. Al is het officieel vanuit de overheid of een bad actor van een andere mogendheid. Dat laatste weet je alleen als die betrapt wordt.
Dan is mijn ervaring in het geval van uitval heel positief wat betreft cloud (heb alleen ervaring met Azure). Nog nooit een prio 1 gehad wat betreft services in de cloud. En dat in 7 jaar tijd. Bij onpremise en hosting (ik noem de naam van de hosting partij maar even niet ;) ) heb ik vaker met prio 1 problemen te maken gehad waarvan een aantal zeer ernstig: DB backups die leeg bleken te zijn door een configuratie fout en honderden VM images (ota en productie) die corrupt raakten na een menselijke fout.

We hebben ook wat SAAS draaien bij AWS en ook daar is het prima wat uitval betreft (in de zin dat het vrijwel nooit voorkomt, availability van >99.99%)
die corrupt raakten na een menselijke fout.
Dat kan zomaar ook bij AWS, was er laatst niet een storing door een menselijke fout?

Maar het is allemaal prima totdat het niet meer prima is.
En dan wat? een traditionele hosting partij heeft geen problemen? mijn ervaring is dat cloud aanbieders minder vaak een storing hebben, dus ja, dan is de keuze snel gemaakt als je het aanmij vraagt.
Dat is een keuze die je maakt. Globale politiek lijkt alleen wel een beetje te schuren, voor je het weet staan je servers mooi te draaien maar kan je er niet bij.
Sorry, maar je draait nu wel door richting extreem wantrouwen wat nergens voor nodig is.

Maar goed, ik luister. wat is je "betere" tegenvoorstel? Bij welke hosting partij kan ik wel veilig, met dezelfde flexibilitiet en availability 3 tot 4 miljoen investeren per jaar om de applicaties te draaien?
Sorry, maar je draait nu wel door richting extreem wantrouwen wat nergens voor nodig is.
Dat ligt aan de persoon zelf. Maar het zou niet de eerste keer zijn. In bijvoorbeeld Rusland hebben ze het nu ook wel geleerd.

Maar de beste oplossing? In house hosting, zo lastig is dat allemaal niet? Alle grote jongens doen dat, en vele kleintjes ook.
Dat ligt aan de persoon zelf. Maar het zou niet de eerste keer zijn. In bijvoorbeeld Rusland hebben ze het nu ook wel geleerd.
Ten eerste zijn er 0 klanten afgesloten van welke cloud dan ook in Rusland. Er worden geen nieuwe klanten geaccepteert, maar de bestaande diensten draaien wel degelijk door en je kan erbij. Iets anders is de betalingsmogelijkheden die je als klant hebt, maar dat staat los van Cloud. Dus zelfs in dergelijke ernstige gevallen zoals met de Russiche sancties blijft het doordraaien.

De eerste keer dat dit gebeurd moet ik dus nog voorbij zien komen. Er is dus weinig aan de hand wat dat betreft, behalve dat nieuwe diensten afnemen niet mogelijk is, dat is heel wat anders en kun je anders oplossen.
Maar de beste oplossing? In house hosting, zo lastig is dat allemaal niet? Alle grote jongens doen dat, en vele kleintjes ook.
Dus jouw voorstel is dat het MKB allemaal eigen server ruimtes gaan inrichten, personeel aanemen (waar haal je die vandaan? die zijn er niet) en dat je dan ook aan alle veiligheidseisen voldoet, een availability gaat halen van >99.9% (je hebt dan een tweede bedrijfspand nodig) en zeer flexibel bent. Om maar niet te spreken over de kosten.

Nee, dit in house hosting is alleen voor partijen zoals Belastingdienst (hoewel??) voor een deel van hun data. Want wat maakt volgens jij in house hosting de beste oplossing? goedkoper? flexibeler? veiliger?
Ten eerste zijn er 0 klanten afgesloten van welke cloud dan ook in Rusland. Er worden geen nieuwe klanten geaccepteert, maar de bestaande diensten draaien wel degelijk door en je kan erbij.
Want AWS laat je gewoon je spul zonder betalen gebruiken? Verder zijn er zat services die zich gewoon terug getrokken hebben.

En zat MKB gezien die gewoon inhouse hosten en externe bedrijfjes inhuren voor het onderhoud.
Mag je doen alsof dat nooit voorkomt, maar toch grappig dat bij alle MKB waar ik gewerkt hebt / langs ben geweest die allemaal inhouse hosten.
Want AWS laat je gewoon je spul zonder betalen gebruiken
Nogmaals, de sancties op betalen staan los van de cloud, dat probleem heb je met alle diensten die je afneemt.
Verder zijn er zat services die zich gewoon terug getrokken hebben.
Welke grote cloud partij heeft systemen van bestaande klanten verwijderd omdat het een russiche klant was?
Mag je doen alsof dat nooit voorkomt, maar toch grappig dat bij alle MKB waar ik gewerkt hebt / langs ben geweest die allemaal inhouse hosten.
Ik heb nooit gezegd dat het niet voorkomt, maar ik kan je garanderen dat je:

minder veilig bent dan met een oplossing in de cloud
minder felxibiliteit hebt
meer kosten hebt

Mag ik vragen hoeveel ervaring je hebt met cloud oplossingen de afgelopen 5 tot 10 jaar? ik heb het gevoel dat je iets probeert te verdedigen om maar niet naar andere oplossingen te kijken met nogal vergezochte redenen.

De redenen die je tot nu toe hebt geroepen kloppen niet (veiligheid, availability).

Zijn er bepaalde delen van een IT landschap die je beter/goedkoper in house kan draaien? absoluut! Wat vertificeringen betreft ga je het nooit redden ten opzichte van een cloud aanbieder zoals aws of azure, dus op paiper ben je hoe dan ook "onveiliger/minder betrouwbaar" bezig dan in de cloud.

De cloud totaal vermijden is mi een hele slechte keuze, net zoals het totaal vermijden van in house hosting, wat zeker een bestaansrecht heeft.
Ahhh, dus sancties die leiden tot verlies van je cloud zijn geen sancties die leiden tot het verlies van je cloud. Weten we dat ook weer.
De redenen die je tot nu toe hebt geroepen kloppen niet (veiligheid, availability).
Omdat jij dus de patriot en cloud act niet als het probleem ziet wat het wel is.
Omdat jij dus de patriot en cloud act niet als het probleem ziet wat het wel is.
yep, het nieuws staat er ook vol van. Voornamelijk ransomware aanvallen, allemaal it systemen in de cloud...oh wacht... :+

Je kan het blijven ontkennen, maar je weet denk ik te weinig van cloud omgevingen (waar je je eigen encryptiesleutels kan gebruiken voor het beveiligen van data) en blijft hangen op een zeer moeilijk te interpreteren "acts" die tot nu toe nog niet hebben geleid tot de problemen die jij noemt.
die tot nu toe
Toverwoordjes enzo.

Verder zelf denken superieur te zijn en alles te weten, laat dat nou net het probleem zijn geweest bij heel veel incidenten. En de kans bestaat dat jij nooit wat te horen krijgt van het inzien van die data. Ooit gehoord van gag orders?
De meeste zaken die de overheid doet hoeven natuurlijk niet in de cloud, maar on premise wil je ze ook niet hebben. Ik denk dat er met “de cloud” meer gespeeld wordt met het gedachtegoed van een private cloud met meerdere datacenters over Nederland verspreid die het Cloud en DBaas gedachtegoed najagen en lekker Kubernetes draaien enzo.

Gezien de zeer gevoelige data en hoeveelheden die bijvoorbeeld de belastingdienst heeft zou ik daar absoluut nooit een AWS, Azure of GCP bij aan te pas willen zien komen.

Aangezien ze zelf al niet eens fatsoenlijk met de data om kunnen gaan, verwacht ik niet dat een derde, amerikaanse, partij per se roomser gaat zijn dan de paus en de mogelijkheden voor ongelukjes zijn er ook nog.
Ik kan je alvast vertellen dat de aws en azures een veel hoger classificering hebben als het op certificeringen neerkomt, in vrijwel alle opzichten.

Blijkbaar gaat men van uit dat een aws of azure totaal ongeschikt is om gevoelige data te bewaren.

Waarom denken mensen dat?

En als we beginnen over Amerikaanse bedrijven... Enig idee hoeveel data door datacenters van IBM de afgelopen 50 jaar verwerkt en bewaard is?

Misschien even googlen naar DNB en Azure, waarbij de DNB de Azure cloud aanmerkt als geschikt is voor financiële instellingen en aan de wettelijke eisen voldoet.

Maar nee, blijkbaar voelt het veiliger om gebruik te maken van een "traditionele" oude bekende datacenter.

Edit:typos

[Reactie gewijzigd door david-v op 22 juli 2024 23:58]

Een cloud is per definitie geen betrouwbare omgeving. Je zet je data naar bij een andere partij, dus die kan overal bij waar jij ook bij kan. Dat is vooral gevaarlijk wanneer het om buitenlandse partijen gaat, zoals Chinezen, Russen en Amerikanen. Je maakt hiermee je data inzichtelijk voor andere landen. Via bv de Patroit Act kan de VS gewoon bij MS aan aanvraag doen om data uit Azure te overhandigen.

Dat wil inderdaad niet perse zeggen dat je dus nooit een cloud moet gebruiken. Maar je moet hier wel bij het ontwerp van je systemen rekening mee houden. Alle data in de cloud moet je als publieke data zien. Voor alles wat publiek mag zijn, hoef je dus niks extra’s te doen. Maar data die absoluut niet uit mag lekken, moet extra beveiliging overheen. Zoals versleuteling op bestandsniveau, op databaseniveau en op netwerkniveau. Als je dat allemaal op orde hebt, kun je best een cloud gebruiken.

Maar de meesten doen dat niet. Die dumpen hun gevoelige informatie direct in iets als Google Big Query (waarmee het in 1 klap beschikbaar wordt voor de Amerikaanse overheid). Dat is makkelijker, anders maak je je eigen systemen zo veel complexer en dat is “lastig”. Dat soort developers kunnen maar beter geen cloud gebruiken, imho. Gewoon een server in een datacenter hangen waar je alleen met een VPN bij kan. Datacenters kom je echt niet zo maar in, in tegenstelling tot een cloud control panel, waar je alleen maar credentials voor nodig hebt en overal beschikbaar is.
Alle data in de cloud moet je als publieke data zien. Voor alles wat publiek mag zijn, hoef je dus niks extra’s te doen.
Dat is hoe veel mensen/managers ernaar kijken. Ze zien public cloud en dan denken ze dat hiermee public data wordt bedoeld.

Jouw redenatie is overigens totaal verkeerd en niet hoe bedrijven met de cloud omgaan. Dat is jammer, want zo krijgt public cloud wel een hele slechte naam en kost het mij en veel collega's ontzettend veel moeite om alle onwaarheden van de public cloud te ontkrachten
Ik ben een voorstander van Public Cloud, zie veel voordelen.
Maar toch heb ik deze week een artikel gelezen waarvan ik geschrokken ben.

Betreft Ring-deurbel waarbij je als optie hebt je videobeelden op te slaan via een Amazon dienst.

Je zou toch denken als je dat gebruikt jouw videobeelden veilig opgeslagen zijn, niemand daar bij kan.

Nu blijkt dat de politie de videobeelden bij Amazon kan opvragen, Amazon deze ook geeft?
Dit zonder toestemming of medeweten van de eigenaar van de Ring-Deurbel.

Dit zijn ook voorbeelden waarvan ik hoopte dat het niet mogelijk was bij Public Cloud.
Blijkbaar kan Amazon bij jouw video data, tevens zelfs delen met andere.

https://www.security.nl/p...gebruikers+aan+politie+VS

[Reactie gewijzigd door MZONDERL op 22 juli 2024 23:58]

Dat de politie videobeelden kan opvragen, of het in de cloud staat of niet, is een feit. Waar ik het wel met jou eens ben is dat je als gebruiker wel geïnformeerd dient te worden. Dit zou overigens wel in de dienst beschrijving moeten staan. Helaas leest vrijwel niemand de uitleg bij een dergelijke dienst. Voor mij ook de reden om een deurbel te nemen die niet de beelden in de cloud opslaat maar alleen lokaal bij een apparaat die in mijn huis staat.
Voor mij reden om een deurbel te nemen die alleen maar kan bellen en überhaupt geen mogelijkheid heeft om iets op te slaan :+

(Waarom zou je trouwens willen weten wie er bij je huis staat te bellen als je er niet bent? Er is niemand om open te doen.)
Ik hoef ik niet te weten wie er voor de deur staat, maar aangezien ik thuis werk op zolder en ik 4 verdiepingen heb is het wel prettig om te kunnen zien welk kind nou weer aan het aanbellen is (negeren), of een bezorgdienst (kom ik toch wel voor naar beneden. Of heel laat in de avond (welke gek belt nou aan).

Maar, als je niet thuis bent en er komt een onguur figuur aan je voordeur sleutelen (ook al belt deze niet aan) dan krijg je dat ook te zien.

Voor mij was vooral kunnen zien wie er voor de deur stond een niet onnodig vaak naar beneden moest ;)
(Waarom zou je trouwens willen weten wie er bij je huis staat te bellen als je er niet bent? Er is niemand om open te doen.)
Waarom zou je níet willen weten wie er aanbelt?

Als het een bekende is, is het handig om te weten. Als het – naar later blijkt – een verkennende inbreker is, heb je gelijk een gezicht om aan de wijkagent te laten zien.
Dat de politie bij ernstige zaken videobeelden kan opvragen, betekent nog niet dat Amazon zomaar lukraak videobeelden mag en gaat delen met iedereen die daar om vraagt.

Dit heeft ook weinig met betrouwbaarheid van cloud te maken, want het is een bewust beleid.
Ja ik begrijp dit ook, maar dat is eigenlijk niet mijn punt.

Ik was er vanuit gegaan dat bijvoorbeeld mijn Ring Deurbel video's soort van encrypt bij Amazon zouden staan. Dat echt niemand daar bij kan behalve ik.

Maar blijkbaar is het dus technisch mogelijk, dat Amazon bij mijn video's kan komen.
Deze in theorie ook kan delen, of dit nu politie is of een andere overheid instelling.
Het is dus mogelijk. (technisch)

Dat ze iets niet mogen (beleid) en iets wel technisch zouden kunnen, daar zit wel een verschil in.
Een partij als Amazon vertrouw ik wel dat ze dit niet met iedereen delen.

Cloud is gebaseerd op vertrouwen, dat dus Amazon zich aan het beleid houd dat ze met zichzelf en de klant hebben afgesproken.

Maar als dus een overheid graag data wilt hebben, kunnen ze dit dus gewoon opvragen.
Nu is de Ring Deurbel maar een voorbeeld, maar mogelijk gaat het om meer data?
Want mijn vertrouwen dat alle data veilig is wordt hiermee naar beneden gehaald, alles kan dus met de overheid gedeeld worden, hoe vaak ik bijvoorbeeld thuis ben? wie er continue voor mijn deur staat? Hoevaak er een pakket dienst iets levert?

Want wanneer is "een zaak ernstig?", wie bepaalt dat?

Voor mij persoonlijk heeft dat wel met mijn vetrouwen te maken met een cloud dienst.
Ik kijk niet alleen naar beleid, maar ook of ze technisch iets met mijn data zouden kunnen doen.

Er hoeft maar 1 rotte appel bij Amazon te werken, kijk maar naar de toestanden met de GGD, patienten data die veilig hoort te zijn volgens beleid, maar medewerkers die gewoon technisch kunnen inzien en de data verkochten (omdat het kan, ondanks beleid).

Ik denk dat je altijd met gezond verstand moet nadenken wat je wel en niet in de cloud gebruikt.
Dat niet verkeerd is de cloud te gebruiken, maar wel begrijpt dat de data die je deelt niet 100% meer alleen van jou is.

En niet negatief bedoelt, gebruik zelf ook aardig wat cloud diensten, alleen denk wel na over eventuele consequenties.
Ik denk dat het goed is, de realiteit onder ogen te zien. Absolute privacy bestaat niet, heeft ook nooit bestaan en cloud / digitale revolutie maakt meer mogelijk, maar het interesseert de politie niet wie er bij mij voor de deur gaat staan. Ze mogen daar niet eens naar kijken, tenzij er een onderzoek loopt, met toestemming etc.

Een bankmedewerker, doktersassistente, glazenwasser zien ook allerlei persoonlijk details van je leven. Uit verband en zonder jou verder te kennen. Hoe erg is dat?

Bedrijven doen graag alsof hun dienst absolute anonimiteit garandeert. Dat vinden mensen een prettig idee. Dezelfde mensen vinden het tegelijkertijd niet meer dan redelijk dat als het aan komt op moord en doodslag, de politie toch onderzoek kan doen, ook naar clouddata.

Dat van de GGD, dat soort gevallen zul je altijd blijven houden. Daarom is het net zo belangrijk dat criminelen worden aangepakt, dat er wordt gehandhaafd, dan alleen maar regels maken waar niets mee gedaan wordt. Want het is niet realistisch om dan maar geen data meer op te slaan.
Misschien moet je je toch wat meer verdiepen in cloud computing en het dan nog eens opschrijven.
Het probleem zit hem niet in de certificeringen en het feit dat AWS of Azure wel degelijk prima met data omgaan, maar met het feit dat een partij als de Belastingdienst gewoon zeer gevoelige data heeft, maar daar zelf niet goed mee weet om te gaan.

Prima dat je AWS gebruikt, maar dan moet je wel je spullen goed instellen zodat je bijvoorbeeld netwerksegmentering hebt voor je datastores (S3, dynamo, postgres, mariaDB and whatnot). Bij AWS kun je daar support voor inkopen, maar via bijvoorbeeld Pivotal kun je dat ook. Voor PivotalCloud.

Ander dingetje is het geval vaan oorlog en boycots. Stel dat een Biden zegt “we zijn in oorlog met de EU, er mag nul handel meer gedreven worden” (niet realistisch scenario), dan zit je met je AWS, GCP, Azure omgeving waar je niet meer bij gaat kunnen komen om de boel op tijd te migreren.

Bijvoorbeeld.
Ander dingetje is het geval vaan oorlog en boycots. Stel dat een Biden zegt “we zijn in oorlog met de EU, er mag nul handel meer gedreven worden” (niet realistisch scenario), dan zit je met je AWS, GCP, Azure omgeving waar je niet meer bij gaat kunnen komen om de boel op tijd te migreren.
Dan zit je vast goed met t-systems, tenzij we oorlog krijgen met Duitsland en we alsnog een probleem krijgen. Bijvoorbeeld

Beetje vergezocht, of niet?.
Uiteraard is het vergezocht, maar dat is onderdeel van je risico analyse.

De belastingdienst heeft in principe nog vrijwel alles in een private cloud staan.
Die datacenters staan oa in Apeldoorn.
Dit wordt allemaal beheerd door de overheid.

Ik ben in principe een voorstander van een centrale overheidscloud. Iets waar derde partijen uit het buitenland niks over te zeggen hebben qua data. Een AWS, maar dan kleiner. Met een stuk of drie/vier locaties heb je dan in principe ook je beschikbaarheid en dergelijke netjes geregeld.

Cloud computing is dikke prima, helemaal niks mis mee, maar dat kan natuurlijk op verschillende manieren.
De overheid heeft zelf al tientallen datacenters. Een beetje provincie heeft er al minstens 2.

Het zou veel beter zijn als de overheid dat centraal zou gaan regelen. We hebben echt een ministerie van digitalisering nodig. Niet slechts een raadgever. Maar een ministerie die het hele digitale hebben en houden van de overheden in beheer gaat nemen.
Dit idd. We hebben centras zat. Gewoon lekker combineren en als private cloud inzetten. Hoef je ook niet twaalf keer het wiel opnieuw uit te vinden. Een grote beheer partij voor services, control plane en infra en gas.
Er zijn ook zulke dingen als private clouds (die de overheid nu al heeft en gebruikt). De "cloud" is wel iets breder als AWS, Azure en GCP.
Privacy en Security by design dus... En dat terwijl van de helft van de bewindslieden het wachtwoord voor hun privémail praktisch op straat ligt...

Edit: bron

[Reactie gewijzigd door Polydeukes op 22 juli 2024 23:58]

Ik denk dat dit stukje het wel verduidelijkt:
De hoofdprioriteit is volgens Va Huffelen om bij het formuleren van nieuwe wetten 'in een vroeg stadium de kansen en risico’s van digitalisering en informatievoorziening' in kaart te brengen.
Ik lees: "oh, we kunnen als overheid meer data verzamelen, dat biedt kansen", en "we moeten meer rechten hebben om mails te verwijderen, want anders is dat een risico dat meer misstanden openbaar worden".

Laten we maar hopen dat dit leidt tot het juiste, maar ik gok dat ik niet hoef uit te leggen dat de kans klein is dat het goed komt op deze manier. Hopelijk komt er een politieke partij die wél de noodzaak van gegevensbescherming inziet en inzet op het basisprincipe alleen delen wat absoluut nodig. De hoeveelheid gegevens die van ons rondslingeren is volledig uit proportie en een ramp voor de gemiddelde burger.
Maar dat heeft denk ik dan weer weinig te maken met het feit dat ze persoonsgegevens willen beschermen, maar door andere zaken uit het partijprogramma.

Op zich met het standpunt omtrent privacy wat ik inneem, zou de piratenpartij een logische keuze zijn. Maar ik vind die te mild, op dit moment moet er echt héél hard aan de rem getrokken worden.

Datahonger versterkt zichzelf: door meer data te vergaren, worden de opbrengsten lucratiever en versterkt het daarmee de behoefte om nóg meer data te vergaren, totdat onze complete digitale wereld doordrenkt is van afluisteren. Windows, internet, Android, de binnenlandse veiligheidsdiensten en ook andere overheidsdiensten: ik vraag me af de data van een gemiddelde burger buiten de eigen invloedssfeer de terabyte overstijgt. Het zou me namelijk niet verbazen. En heel eerlijk: dat zou heel, heel ziek zijn.

De datahonger heeft geleid tot allerlei technieken om data te verzamelen en verwerken, en meestal niet in het voordeel van de consument/burger. En dat moet stoppen.
Ja dit zijn waarschijnlijk verbloemende woorden om afluisterpraktijken vooraf in te bouwen ipv achteraf privacy organisaties achter zich aan te krijgen.
Daarom is er ook eindelijk een minister voor digitalisering aangesteld. Om de boel te verbeteren. Of kijk jij altijd alleen maar achteruit?
Mijn punt is dat onze dames en heren politici beleid (laten) maken en besluiten moeten nemen over zaken die ze zelf niet serieus nemen. Ik heb zelf in de Haagse kringen gewerkt voor bewindslieden en ambtenaren op politiek-strategisch niveau. Die vragen serieus of de MFA voor hun uit kan, want ze vinden het maar onhandig.
Wat lachwekkend… je hebt privacy behalve als het de ‘staatsveiligheid’ treft, dan zorgt de sleepwet er wel voor dat privacy niet meer bestaat. Alles onder de noemer terrorisme en kinderporno.
Maar dat betekent dan tegelijk dat die data dan hooguit bij de aivd of de mivd terecht komt, en niet zomaar overal. En getoetst op noodzaak, proportionaliteit, subsidiariteit, "zo gericht als mogelijk" en technische risico's.

Niet heel slecht toch? Je wilt ook de staatsveiligheid niet in gevaar brengen, en dat is ook een serieus risico.
Dat de diensten hun data niet (zomaar) mogen delen staat inderdaad in de wet. Maar er is niemand die de diensten tegen kan houden de data met andere instanties of buitenlandse partners te delen. Sterker nog, dat is ook al meerdere malen gebeurd. De toetsing is pas achteraf en de toetsingscommissie krijgt soms niet eens alle feiten. Daarnaast kunnen ze alleen ‘foei’ zeggen en een rapport openbaar maken. De politiek is de enige die kan ingrijpen, maar die vinden het allemaal wel best.
Er staat ook in de wet wat ze wel en niet met buitenlandse diensten mogen delen. Bijvoorbeeld medische data mag niet met het buitenland gedeeld worden.

Zolang het nu goed gaat hoeft er toch ook niet ingegrepen te worden? Als er een rapport komt waaruit blijkt dat verandering wel nodig is dan zal dat op basis daarvan gebeuren. Sowieso zal er altijd een balans zijn tussen privacy en veiligheid. Je kan geen veiligheid hebben met absolute privacy en je kan geen privacy hebben met absolute veiligheid. Ergens zul je moeten balanceren tussen die twee.
Maar gaat het wel goed?
nieuws: AIVD en MIVD moeten datasets met privégegevens schrappen wegens te la...
nieuws: 'Nederlandse inlichtingendiensten hebben toch sleepnet via grote kabe...
nieuws: AIVD gebruikte sinds 2018 zerodaylek zonder toetsingscommissie in te ...
En zeker moet er een balans zijn tussen veiligheid en privacy. Ik vind veiligheid het allerbelangrijkste recht dat we hebben heel snel gevolgd door privacy. Dat wil niet zeggen dat ik waar het volgens sommigen nodig is om de privacy op te heffen voor veiligheid ervoor ben om de privacy even aan de zijkant te schuiven. Volgens mij hebben we in Nederland prima bakens die veiligheid en privacy in balans proberen te brengen, maar ze worden vaak niet nageleefd en dan is het einde zoek.
Als ik dat zo,lees gaat dat toch heel goed? De TIB tikt de diensten op de vingers waar het niet goed gaat? Ik lees niks heel shockerends eerlijk gezegd. Niet iets waar de wet voor aangepast hoeft te worden. De toezichthoudende commissie ontdekt kleine foutjes en de diensten worden gecorrigeerd. Niks heel spannends toch? Geen misbruik van macht, enkel wat onvolkomendheden. Die houdt je altijd wel. Met een strengere wet zou je juist meer zaken krijgen waar de aivd of mivd op de grens gaat zitten om hun werk te kunnen doen.
Ja, dat is het sprookje wat ze je voorhouden. In de praktijk stelt die toetsing niet zo veel voor en gaan ze regelmatig over de grens. Er hebben daar al vaker berichten over gestaan hier. En dat zijn alleen de bekende gevallen. Wat ze allemaal stil hebben kunnen houden hoor je niks over. En dan zullen we het nog maar niet hebben over de data uitwisseling tussen diensten van verschillende landen. Wellicht heeft de NSA meer sleepnet data van jou dan de AIVD zelf, omdat de AIVD het volgens de regels weer moest verwijderen, terwijl de NSA dat niet hoeft, want onze regels gaan niet over hun. Geheime diensten moet je niet vertrouwen met je data. Ze doen niet voor niks alles in het geheim.
Maar de wettelijke regels vind je dus wel okee, stel dat ze zich er wel aan houden?
Nee, ik vind het helemaal niet ok om in de gaten te worden gehouden via een sleepnet. Onder het mom van zaken die nauwelijks hier voorkomen, zoals terrorisme en kinderporno. Hoeveel aanslagen gebeuren hier nou ooit? En is kp niet meer is dat in armere landen plaatsvind? Wat denken ze er hiermee te bereiken? Ondertussen moeten we wel allemaal met de billen bloot. Ik ben altijd al tegen de sleepwet geweest.

Maar verder vind ik het ook niet zo relevant of die wet er wel of niet is. Geheime diensten doen toch wel waar ze zin in hebben. Als iets niet mag, wie gaat ze er op aanspreken? Het was toch allemaal geheim. Het enige verschil is dat ze nu openlijk toegeven, via zo’n wet, dat ze de onschuldige bevolking ook bespioneren, en alvast maar een wet aan laten nemen om zichzelf gedeeltelijk in te dekken als er een keer wat lekt.
Waarom denk je dat terrorisme en kinderporno hier niet voor komen? Nederland is toch juist bekend om het hoge aantal illegale servers op dat laatste gebied vanwege de goeie infrastructuur hier? We hadden ook een pedofiekenpartij In Nederland, dus het lijkt me sterk dat dat dan niet voor komt hier. Qua terrorisme hebben we toch ook de Hofstad groep gehad bijvoorbeeld? En bijvoorbeeld Malek F.?

Ik denk niet dat kinderporno iets voor arme landen is, ik zie niet eens een verband daar tussen eerlijk gezegd? En er is best veel terrorisme geweest in Nederland. De moord op Theo van Gogh? En wat mij betreft kan je de moord op Peter R. de Vries ook onder terrorisme scharen. En de moord op Pim Fortuin? Of de dreiging tegen Wilders? Of de dreiging die nu uitgaat van sommige boeren? Of van complotdenkers?

Wie hen gaat aanspreken op de fouten is dus duidelijk: dat is de rol van de toetsingscommissie.

Ik ben niet perse een voorstander van de breedte van de wet zoals die nu is, maar dat er een wet is die de overheid de mogelijkheid geeft enige vorm van toezicht te houden zie ik persoonlijk wel het belang van in. Absolute privacy zou ik veel enger vinden, omdat dat de mogelijkheid geeft aan bepaalde mensen om dingen te doen waarvan we als maatschappij vinden dat die ongewenst zijn. De stabiliteit van de democratie moet beschermd kunnen worden. Er moet een goede balans zijn tussen de privacy en de veiligheid.

[Reactie gewijzigd door Sannr2 op 22 juli 2024 23:58]

Er zijn echt wel hele legitieme redenen voor de staat om inbreuk te plegen op de privacy voor zover dat mogelijk is (vanuit diensten).

Het probleem zit voornamelijk in “mass surveillance” of het panopticon idee.
Privacy dat is een term die in de politiek een andere betekenis heeft dan wat het betekent in de normale mensenwereld. En die betekenis is ook moeilijk te achterhalen mede omdat men in de politiek daar niet duidelijk over is.
Een groot probleem is de digitale hardware. Ik zou minstens het dubbele over hebben voor een smartphone met dezelfde functionaliteit als mijn PC. Geen op de achtergrond draaiende reclame-zooi, geen programma's die via een belachelijk permissie-systeem toegang krijgen tot allerlei data, waarbij de eigenaar van het toestel "toevallig" ook de hoogste rechten heeft, en een computer die het eerste doet wat een PC doet: programma's draaien die compatible zijn met de processor-architectuur, niet met een of andere software-constructie.
Maar zelfs als het het tiendubbele opbrengt gaat het niet gebeuren. Dat er geen controle bij de eindgebruiker ligt is te belangrijk.
Mwoah, ik weet niet of je het zo kunt stellen. Out of the box heb je ook candy crush e.d. op je pc. Dat jij gezien je woordkeuze vermoedelijk een compleet kaal OS geïnstalleerd hebt doet daar niets aan af; je kunt ook je telefoon rooten. Alleen werkt je bank app en aanverwanten dan niet meer.

En dat lijkt me eigenlijk meer waar het probleem zit. Software die fabrieksafgeleverd OS eist. Eigenlijk heel vreemd dat apps dat eisen. Ik begrijp grofweg de gedachte erachter maar aan de andere kant wordt diezelfde eis bij computerprogramma's ook niet gesteld.
Heel veel mensen zien het niet. Daarom is het er. ook.
En tegelijk de ene afluisterwet na de andere erdoorheen jassen.
Bij het maken van nieuwe wetten en regels moeten ministeries en uitvoeringsorganisaties volgens staatssecretaris van Koninkrijksrelaties en Digitalisering Van Huffelen 'nadrukkelijk stilstaan' bij informatiebeveiliging en privacy.
Je hoopt natuurlijk dat dit al wordt gedaan... Helaas loopt de overheid en politiek op dit vlak nogal achter. Extra aandacht en een nieuwe strategie leidt hopelijk tot de nodige inhaalslag!
Lekker om te zeggen nadat ze de sleepwet toch doordrukken
Ja hoe het in te perken vanuit oogpunt van de overheid zeker? Als je de walgelijke wetten ziet waar de EU de laatste tijd mee komt en waar “wij” mee instemmen, waaronder centrale databases met gevoelige data en het verbieden van encryptie, dan is het in ieder geval geen daadwerkelijke privacy voor de onschuldige burger die men wil leveren. Eerder het tegenovergestelde en dan een doekje voor het bloeden die je minimale bescherming biedt tegen privacyschendingen van grote bedrijven. (Eg: AVG)
Beloftes van de overheid, nou dan weet je direct al dat er echt niks van waar gaat komen. Vermoedelijk enkel als "zoethoudertje" bij de meest mensonterende wetten die ze (gaan) verzinnen.

Op dit item kan niet meer gereageerd worden.