Berichten

Secretaris-generaal Gerritsen(VWS) dendert als olifant door privacy-porseleinkast

/door

secretaris-generaalOp de dag van de privacy, 28 januari, uitte secretaris-generaal Erik Gerritsen van het ministerie van VWS zich op niet mis te verstane wijze in het privacy-debat. Hij deed dat in een bijdrage aan een door het Elektronisch CommunicatiePlatform(ECP) en Privacy First georganiseerde video-bijeenkomst, de Nationale Privacy Conferentie 2021.  Gerritsen is niet de meest subtiele ambtenaar op VWS, maar maakte het nu wel heel erg bont. Refererend aan het volkomen mislukte appathon-avontuur liet hij weten dat VWS zich door de kritiek van privacy-organisaties  tot op de enkels afgezaagd voelde. Op vileine wijze liet hij weten dat de privacy-gemeenschap een beetje op moest passen, milder moest zijn in oordelen. Want anders zou het ervoor zorgen dat mensen van de overheid in een kramp schieten. Dat zou inhouden dat de burgers dan het slechtste van twee werelden zouden krijgen Namelijk minder transparantie van de overheid en minder privacy-bestendige systemen. Lees meer

Gepseudonimiseerde data zijn te kraken, ook die van de CoronaMelder

/door

krakenOp de website www.security.nl verscheen op 2 november 2020 een interessant redactioneel artikel. Daarin maakt men duidelijk dat privacy-ontwerper en technologiecriticus Tijmen Schep een manier bedacht heeft waarmee elke geïnteresseerde met behulp van een programma kan achterhalen of gebruikers van de CoronaMelder-app in zijn of haar omgeving besmet is. Dat gebeurt met behulp van een door Schep geschreven programma op de website www.coronadectective.eu. Dat programma, CoronaDetective, vraagt dan toegang tot bluetooth en scant de directe omgeving op smartphones van mensen die de CoronaMelder geïnstalleerd hebben. Je hoeft niet eens zelf de CoronaMelder geïnstalleerd te hebben. Door die app worden codes(pseudoniemen) uitgezonden die geregistreerd worden door de CoronaDetective. Je kunt ermee zien of een persoon ver weg was of dichtbij, of hij net vertrokken is. Ook of een smartphone naar je toe komt of  zich verwijdert. Je kunt zo identiteiten van mensen koppelen aan die pseudoniemen. Lees meer

Dwang/drang Coronamelder-app gebruiken alleen strafbaar als bewijsbaar door toezichthouder

/door

Dwang/drangOp maandagmiddag 31 augustus 2020 vond in de Tweede kamer een technische briefing plaats voor de leden van de vaste Kamercommissie voor VWS omtrent de CoronaMelder-app. Voor VWS zat de directeur informatiebeleid/Chief Information Officer Ron Roozendaal aan tafel. Mevrouw Laura Ghirlanda, wetgevingsjurist vergezelde hem. Uitgebreid kwamen technische aspecten aan bod evenals de verschillende reviews en commentaren die in het kader van de app aan VWS uitgebracht waren. In het wetsontwerp bij de app heeft de minister van VWS expliciet een artikel opgenomen over de strafbaarstelling bij dwang om de app te gebruiken. De regering acht het van groot belang dat het gebruik te allen tijde vrijwillig is. Mensen mogen nooit, direct dan wel indirect, door wie dan ook worden gedwongen tot het gebruik van CoronaMelder of van andere vergelijkbare digitale middelen. Dat het pas strafbaar als het bewijsbaar is, lijkt een open deur, maar heeft wel degelijk consequenties. Lees meer

IT-beveiligingsbedrijf Secura vindt inconsistenties in broncode CoronaMelder

/door

SecuraOp verzoek van het ministerie van VWS doen IT-bedrijven onderzoek naar de veiligheid van de app voor corona-contact=opsporing, de CoronaMelder. Dat zijn: NFIR, Secura, Radically Open Security, Privacy Management Partners en FoxIT. Sinds vandaag, 29 augustus 2020 staat het rapport van het IT-beveiligingsbedrijf Secura.B.V. op de website van de Tweede Kamer. Daarin staat dat de app wel voldoet aan een aantal vereisten, zoals verwoord op pagina 4 en 5 van het rapport, maar toch inconsistenties bevat. Deze zijn weliswaar klein(minor), maar zijn uit het oogpunt van cybersecurity toch niet bepaald onbelangrijk. Ook waarschuwt Secura voor een potentieel probleem bij een onderdeel dat niet onder haar opdracht viel, maar waar een ander bedrijf over gaat. Dat gaat over de zogenaamde backend-voorziening. Vanuit de eigen expertise waarschuwt men dat daar een potentiële kwetsbaarheid aanwezig is door het tegelijkertijd aanwezig zijn van de tijdelijk blootstellingscodes en het IP-adres van de gebruiker. Lees meer

Corona-app India kreeg API voor notificatie werkgever over corona-status personeel

/door

coronaOp 22 augustus 2020 heeft het Indiase Ministry of Economics &IT een naar onze begrippen ongehoorde dienstverlening voor het bedrijfsleven gestart. Men begon met een OPEN API Service die werkgevers van bedrijven met meer dan 50 werknemers in staat stelt kennis te nemen van de corona-teststatus van hun personeelsleden, voor zover die gebruik maken van de Indiase corona-app Aarogya Setu. Hetzelfde ministerie lanceerde die app begin april. De naam van de app staat voor: “brug voor de bevrijding van ziekte”. De app is het initiatief van hetzelfde ministerie. Een Application Programming Interface (API) is een verzameling definities op basis waarvan een computerprogramma kan communiceren met een ander programma of onderdeel daarvan. De Aarogya Setu app is in tegenstelling tot de CoronaMelder-app die in Nederland eraan zit te komen een zogenaamde gecentraliseerd werkende app. Daarbij slaat de app de contact-informatie op in een centrale database i.p.v. op de smartphone.

Lees meer