Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Tijs Hofmans

Redacteur privacy & security

Kijk onze Privacy & Security Meet-up XL hier terug

19-11-2019 • 08:00

19 Linkedin Google+

Vorig jaar vond onze eerste Meet-up XL plaats. Die werd door jullie zo goed ontvangen dat we afgelopen zaterdag 2 november een tweede Meet-up XL over hetzelfde onderwerp hielden. Tijdens deze Meet-up stonden Privacy & Security centraal op een succesvolle dag.

Meet-up partners verslag

Afgelopen zaterdag 2 november organiseerden wij voor de tweede keer de Meet-up XL Privacy & Security. Uiteindelijk wisten meer dan vijfhonderd van jullie het Gooiland Theater in Hilversum te vinden voor een goed gevuld programma. Wel met wat wijzigingen, want de openingskeynote van Frank Ahearn werd de avond van tevoren afgeblazen wegens een ziekenhuisbezoek. Hij kon dus helaas niet komen vertellen over zijn online speurwerk, maar gelukkig kon dat snel worden opgelost. Nico Dekens, beter bekend onder zijn handle Dutch_Osintguy trapte de dag meteen goed af. Zijn demonstratie over hoe je met een paar zoekmachines, een handjevol online tools en wat logisch nadenken binnen korte tijd de locatie van mensen in een willekeurige video kunt vinden, werd door jullie erg goed ontvangen.

Ook de masterclasses met de sessies van Sanne Maasakkers, Sietse Ringers en Ralph Moonen waren een succes. De verhalen over toffe hacks en de livedemo van een imsi-catcher vielen in goede aarde. Hetzelfde gold voor de latere sessies van KPN, de NS en de politie. Zeker die laatste was erg populair en bij de NS-sessie gingen veel van jullie een stevige maar goede discussie aan over de voor- en nadelen van wifitracking op stations van NS. Tijdens onze derde serie masterclasses kon bug hunter Victor Gevers helaas ook niet paraat zijn, maar dat wist zijn collega Chris van 't Hof zonder moeite en met veel enthousiasme makkelijk op te vullen.

In de middag stond er een paneldiscussie op het programma met Sanne Maasakkers, Nico Dekens en Melanie Rieback, die discussieerden over een drietal stellingen. Deze stellingen hadden we deels aan jullie te danken, want vanuit het publiek werden meerdere stellingen aangeleverd. De keynote van Huib Modderkolk was een perfecte afsluiter van deze dag: zijn verhalen over intriges, spionage en hacks klonken als een jongensboek. Met wederom dank aan iedereen voor de vragen die jullie Huib voorlegden!

Helaas was het niet mogelijk om bij alle sessies te zijn, maar gelukkig is alles vastgelegd op video. Althans, het meeste dan. Het onderwerp security betekent nu eenmaal dat er bij onderdelen van sommige talks geen camera's aanwezig mochten zijn. Buiten dat, hopen we dat jullie veel hebben geleerd en een leuke dag hebben gehad. Wat ons betreft was het een succes! We horen ook graag wat jullie ervan vonden, en of jullie voor volgend jaar nog suggesties of feedback hebben. Laat het ons weten in de reacties.

  • Nico Dekens
  • Sanne Maasakkers
  • Sietse Ringers
  • Ralph Moonen
  • Panelgesprek
  • Wesley Neelen & Rik van Duijn
  • Rik Schakenbos
  • Chris van 't Hof
  • Melanie Rieback
  • Jornt van der Wiel
  • Huib Modderkolk

Reacties (19)

Wijzig sortering
Ik heb bij een aantal sessies getwijfeld naar welke ik heen zou gaan. Dan koos ik voor degene met de comfortabele stoel, in de wetenschap dat ik ze allemaal terug zou kunnen zien. Kan het in het vervolg worden aangegeven als het niet opgenomen mag worden?
Het kan ook goed zijn dat ik niets gemist heb, dat moet ik even uitzoeken.
Een Meet-up waar je "moet" kiezen wat je gaat zien? Is dat normaal in Hilversum?

Ik ben nog elke keer aanwezig geweest in Eindhoven (High Tech Campus) en daar heb ik alles kunnen zien en geen keuze hoeven te maken.

Het onderwerp spreekt mij erg aan maar ik vond Hilversum te ver weg... Jammer dat niet alles is opgenomen.
De 'normale' Meet up, zoals die in Eindhoven heeft een aantal keynotes (meestal 3) en die zijn opvolgend geprogrammeerd. Bij de Meet up XL kiezen we voor een aantal keynotes en enkele break outs. Idee is dat je naast de keynotes kunt kiezen voor een break out die het meest bij jouw interesse past. Je 'moet' dus inderdaad kiezen.

Volgend jaar is er vrijwel zeker weer een Meet up XL over Privacy & Security, zien we je dan wel?
Zodra het in Eindhoven is, ben ik van de party. Absoluut.

Ik kan niet gemakkelijk vrij nemen van mijn werk en als ik na mijn werk nog helemaal naar Hilversum moet rijden (en terug), dan kijk ik liever de samenvatting hier.
Zou zomaar kunnen dat we Eindhoven nog een keer aandoen. De Meet up XL is overigens steeds op zaterdag, wellicht lukt dat wel. Hoewel het natuurlijk nog steeds een eindje rijden is. De samenvattingen blijven we (van alle Meet ups) ook steeds posten.
Een Meetup XL is een grotere opzet dan een 'normale' Meetup. Hierbij waren er inderdaad naast algemene keynotes ook sessies waarbij er drie talks tegelijk werden gegeven.
Bedankt voor je antwoord. Helemaal helder nu.

Aan de ene kant is het prettig dat je kan kiezen, aan de andere kant is het jammer dat je moet kiezen ;)
De delen die niet gefilmd zijn zijn vrij beperkt, gaat om een paar minuten bij de talk van de politie geloof ik, maar geen volledige sessies. Je hebt dus niet heel erg veel gemist gelukkig!
En als het goed is ook een stukje in de talk van Nico over zijn vriend ;)
IRMA: het principe en uitvoering is mooi, de gedrevenheid van de hoogleraar ook.
En ik wil het ook nog gebruiken (heb de app zelf ook), als voldoende partijen aansluiten.

Maar nu we het toch over privacy hebben, hoe kan het dat IRMA een aansluiting heeft op de GBA-V via de Gemeente Nijmegen terwijl dit niet in hun autorisatiebesluit (PDF Alert) staat?
Hoe gaat de Gemeente Nijmegen dit verklaren in hun (zelf)audit?
Hoe vind de Stichting dat het omgaat met de transparantie naar en de privacy van de gebruikers?
Wat vind de stichting en de gemeente van de mening van de Landsadvocaat?

Ik snap de Guerrilla tactiek (verander methodiek), maar ga het nu regelen met RvIG/Binnenlandse zaken. Doe dat desnoods met de publieke opinie en een aantal politieke partijen.

Wel jammer dat ik niet aanwezig kon zijn om deze vraag te stellen.
Ik heb het stuk niet (helemaal) gelezen, maar volgens mij gaat autorisatiebesluit meer over de uitwisseling van gegevens tussen gemeenten en 'derden' dan tussen gemeenten en hun ingezetenen.

Het is natuurlijk zo dat ik als ingezetene recht heb op inzage in bijvoorbeeld de BRP registratie van mijn gemeente (zie ook hier).
Het lijkt me sterk dat er in een wet is vastgelegd dat dit uittreksel slechts op papier mag worden gedeeld. Met IRMA wordt de papieren uitwisseling slechts vervangen door een digitale en is het vervolgens aan mijzelf (net als met een papieren uittreksel) om hier voorzichtig mee om te gaan.

Zover ik het begrijp, is het (vervolg) idee van IRMA dat 'derden' niet meer bij de gemeenten zouden moeten aankloppen om gegevens uit te wisselen, maar dit rechtstreeks bij de persoon zelf. De vraag is of dit in deze situaties praktisch/wenselijk is, aangezien ik me kan voorstellen dat de overheid deze gegevens (in veel gevallen) ongehinderd tussen (overheids-)instanties kan/mag/wil delen.
Ik heb het stuk niet (helemaal) gelezen, maar volgens mij gaat autorisatiebesluit meer over de uitwisseling van gegevens tussen gemeenten en 'derden' dan tussen gemeenten en hun ingezetenen.
Nee in een autorisatiebesluit is vastgelegd wat een gemeente mag vanuit zijn wettelijke taken die men als gemeente uitvoert. Het elektronisch leveren van persoonsinformatie aan een stichting die niet een wettelijke taak uitvoert is niet toegestaan. Zie hier meer duiding
Dit kan wel toegestaan worden door RvIG als "IRMA" aanklopt bij hen en het belang duidt om dit te mogen. Als je bij RvIG kijkt zie je dat ziekenhuizen/pensioen bijvoorbeeld wel goedgekeurd zijn voor een aansluiting op GBA-V Zie hier alle besluiten. Deze lijst is de uitwerking van je eigen link hieronder
Het is natuurlijk zo dat ik als ingezetene recht heb op inzage in bijvoorbeeld de BRP registratie van mijn gemeente (zie ook hier).
Het lijkt me sterk dat er in een wet is vastgelegd dat dit uittreksel slechts op papier mag worden gedeeld
Zeker heb jij recht op inzage in je gegevens, zelfs tot eeuwig terug (er is tot nu toe nog maar 8 jaar historie als ik het goed heb) en als je wilt ook nog van iedereen (je krijgt niet de naam maar rechtshandeling/taak) die je gegevens heeft opgevraagd.
Je mag het op papier krijgen, maar het het kan ook digitaal (lees je eigen link door).
Met IRMA wordt de papieren uitwisseling slechts vervangen door een digitale en is het vervolgens aan mijzelf (net als met een papieren uittreksel) om hier voorzichtig mee om te gaan.
En hier gaat je gedachte fout, zie mijn eerste opmerking, IRMA wordt niet in de (autorisatie)besluiten genoemd van het ministerie.
Zover ik het begrijp, is het (vervolg) idee van IRMA dat 'derden' niet meer bij de gemeenten zouden moeten aankloppen om gegevens uit te wisselen, maar dit rechtstreeks bij de persoon zelf. De vraag is of dit in deze situaties praktisch/wenselijk is, aangezien ik me kan voorstellen dat de overheid deze gegevens (in veel gevallen) ongehinderd tussen (overheids-)instanties kan/mag/wil delen.
IRMA is in dit geval een tussen portaal dat voor het leveren van de (geverifieerde/ondertekende) persoonsgegevens die je wilt delen. Maar wat als jij nu morgen verhuist en je deelt je gegeven vanuit IRMA met een webshop? Is je IRMA omgeving dan bijgewerkt? Nee, want IRMA wordt niet op de hoogte gehouden van mutaties. Als IRMA wel een eigen aansluiting vraagt dan kan IRMA deze kennisgeving ook ontvangen van alle personen die zich aangemeld hebben (men plaatst dan een afnemersindicatie).
Daarom heeft IRMA nu ook een einddatum gezet op de geldigheid/juistheid van de kerngegevens die uit de BRP komen. Ik denk dat de gemeente Nijmegen het proces van afnemersindicatie niet aan durfde omdat men dan heel snel in de rapportage naar boven kwam drijven in de audits van RvIG.


Resume: goede gedachte, concept is duidelijk, concept kan werken.
Maar nu ophouden met de guerilla tactiek en volwassen worden.
Het hele idee is toch dat er geen gegevens naar derden (dus ook niet naar de IRMA stichting) gaan?
De gegevens worden slechts uitgewisseld tussen uitgever (gemeente) en gebruiker (mobiele telefoon). De uitwisseling gebeurd misschien wel door (open-source) software ontwikkeld door de stichting, maar die software draait onder beheer en verantwoordelijkheid van de uitgever/gemeente. Er worden dus geen gegevens verstrekt anders dan aan de ingezetene. M.i. is een vermelding in het autorisatiebesluit daarom helemaal niet nodig.

Althans, dat is het idee. Ik lees hier net wel dat de stichting dat momenteel, tijdelijk, nog indirect doet (wat met 'indirect' wordt bedoeld is me niet helemaal duidelijk).
Maar wat als jij nu morgen verhuist en je deelt je gegeven vanuit IRMA met een webshop? Is je IRMA omgeving dan bijgewerkt? Nee, want IRMA wordt niet op de hoogte gehouden van mutaties.
De reden dat je 'IRMA omgeving' niet wordt bijgewerkt komt dus omdat er geen 'omgeving' bij IRMA aanwezig is, slechts op je telefoon.
Ik kan me voorstellen dat de functionaliteit die je omschrijft in een volgende versie/extensie zou kunnen worden geimplementeerd, misschien via een goede architectuur/protocol op te lossen zonder opslag/verwerking bij de stichting.
Het klopt dat het principe dus eigen gemeente/landelijke overheid > je persoonlijke device zou moeten zijn.

Daarom stelde ik ook de vraag (en andere vragen).
"Hoe vind de Stichting dat het omgaat met de transparantie naar en de privacy van de gebruikers?"
De route loopt nu dus van Gemeente Nijmegen > persoonlijk device en dat is dus niet rechtmatig en druist in tegen privacy regels.

Dus als men "Privacy" hoog heeft (en dat pretendeert men met de naam van de stichting), stop met spelen en wordt volwassen. Je hebt je punt bewezen, zorg dat dit goed komt (ga in verleg met RvIG).
Ik was aanwezig die zaterdag en ik had vooral een kaartje gekocht voor de privacy talks, maar die bleken er helaas bijna niet te zijn.
De belangrijkste spreker op dit gebied was helaas ziek, dus daar viel niets aan te doen, maar de rest was eigenlijk voornamelijk op security gericht. Voor de volgende keer zou ik graag zien dat de verdeling iets beter is :)
Verder wel een leuke dag gehad, dus dank daarvoor! Goed geregeld ook :)
Dank voor je feedback, nemen we mee!
Top, want het viel mij ook op. Van alles videos gaan er 2 over privacy. Daarvan gaat er één over het uitleggen waarom ze de privacy toch schenden, en één echt over hoe we privacy bescherming zouden kunnen versterken.
Goed georganiseerd! Wat ik fijn zou vinden, is dat elke presentator aan het einde van zijn/haar presentatie 1 of 2 slides maakt met daarop alle tools die besproken zijn. Scheelt een boel gekunstelde foto’s maken tijdens de speeches en zorgt voor meer rust. Vergeet dan niet aan het begin van je speech te vermelden dat deze slides erin zitten ;)

Deze opzet had goed gewerkt bij Dutch OSINT Guy, Sanne Maasakkers en de mannen van KPN.
Bijzonder blij met deze beelden! Ik kon er helaas niet bij zijn, maar kan nu toch een goed deel terugkijken. Ook fijn dat het goede kwaliteit is en fijn gemonteerd is!


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Nederland

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True