https://www.ba.be/wp-content/uploads/2018/02/BA-logo_halfdiamond.png00Jan Guldentopshttps://www.ba.be/wp-content/uploads/2018/02/BA-logo_halfdiamond.pngJan Guldentops2023-07-20 07:47:102023-07-20 07:49:26V-ICT-OR op de sofa ... een interview met Jan Guldentops over cybersecurity en weerbaarheid
Jan Guldentops is al 25 jaar met cybersecurity bezig. Maar ondanks de technologische vooruitgang blijft het soms sukkelen met digitale veiligheid. In zijn nieuwjaarsbrief geeft hij zes adviezen voor 2022.
(Dit stuk verscheen eerder al op de site van Datanews )
2021 is het 25ste jaar dat ik actief ben in cybersecurity. Als een accidental security expert, bracht ik in 1996 een aantal zware securityproblemen aan het licht in de eerste Belgische online internetbank Beroepskrediet. Van de ene dag op de andere word je dan security-expert, ethical hacker en denkt iedereen dat je alles weet over informatieveiligheid.
Een kwarteeuw is zeer lang en je zou verwachten dat al die problemen die we toen signaleerden, vandaag de dag grotendeels opgelost zouden zijn. Niks is minder waar: het jaar 2021 was weer een geweldig jaar voor de cybersecurity-industrie. De pandemie liet ons nog veel meer inzetten op de digitale economie met een obligaat thuiswerken. Dit werd nog versterkt door een triade aan zero day securityproblemen met een hoog-risico en een angstaanjagende naam van haffnium tot log4j. En ook IOT (je weet wel alle spullen met een draad die we tegenwoordig aan het netwerk hangen) kreeg een paar security-problemen te verwerken.
En ja 2021 was een goed jaar voor security exploits. NIST registeerde gemiddeld meer dan 50 CVE’s (Common Vulnerabilities and Exposures) of bugs elke dag. Opvallend:
Iets minder dan de helft daarvan kreeg de stempel “high” wat betekent dat ze relatief makkelijk bruikbaar zijn voor hackers.
61% van de bugs kan je gebruiken zonder dat je extra toegang of interactie van de gebruiker nodig hebt.
90% is niet heel technisch en kan door iemand met beperkte kennis en wat vrije tijd (een scriptkiddie bijvoorbeeld) makkelijk misbruikt worden.
Deze bugs (en oudere varianten van de jaren ervoor) werden uitvoerig gebruikt om binnen te dringen bij bedrijven en organisaties, data te stellen of met ransomware plat te leggen. Slachtoffers in ons land: Ziekenhuizen, Mediamarkt, Defensie…
En ja de cybersecurity-industrie profiteert hiervan. Volgens statista groeide de cybersecurity industrie in 2021 met 12%. Volgens de helderzienden van Gartner zal die markt volgend jaar 170 miljard waard zijn. De cybercriminelen, de entrepreneurs die kozen voor de dark side hebben er ook een goed jaar opzitten. Omdat niemand vertelt hoeveel ze betaald hebben aan de afpersers, is hier een cijfer opplakken nog meer voodoo dan Gartner-voorspellingen. Hierbij worden ze geholpen door cyberrisico-verzekering die tot voorkort losgeld terugstortten binnen hun verzekering en bedrijven die er prat op gaan voor u als dienstverlening met de afpersers te onderhandelen.
Hoewel deze industrie enorm gegroeid is, zijn er dingen die in 25 jaar niet veranderd zijn. De voornaamste verkoops- en marketingtechniek is angst of zoals we dat in de industrie FUD (Fear, Uncertainty, Danger) noemen. En die wordt gevoed met weinig constructieve apocalyptische slogans als “er is een cyberramp in de maak” of vage “in 2022 krijgen we nog meer cyberaanvallen” meestal ondersteund met een statistiek die naar de hemel wijst maar waar men makkelijkheidshalve de legende en soms zelfs de cijfers bij vergeten is. Je hebt leugens, grote leugens en statistieken. In de pers weet men ook dat angst en miserie verkoopt.
Wat ook altijd opvalt is hoe de stroom aan niks-zeggende terminologie en hippe oplossingen die al deze problemen moeten oplossen, wel geworden is. De hele bullshit-bingo aan termen en oplossingen die je zogezegd absoluut nodig hebt voor je veiligheid maar waar zelfs de industrie zelf niet 100% zeker van is wat ze betekenen. Het verkoopt blijkbaar lekker met vage termen als Artificial intelligence, Next Generation en Zero Trust.
Volgens mij is de toestand ernstig maar niet hopeloos. De afgelopen maand heb ik in mijn hoofd eens opgelijst waar niet over gepraat wordt maar wat belangrijke aspecten zijn om de digitale werking van je organisatie te garanderen.
Angst is een slechte raadgever -> nood aan een structureel securitybeleid
We moeten stoppen met paniekvoetbal te spelen telkens als er een nieuwe security-probleem bovenkomt. Als kiekens zonder kop proberen de uitslaande brand te blussen met moeite wetend wat er allemaal in het magazijn is opgeslagen dat kan ontploffen.
Wat bedoel ik hiermee?
Zie de werkelijkheid onder ogen: informatieveiligheid gaat voor uw organisatie even belangrijk zijn als fysieke veiligheid op de werkvloer, de boekhouding correct voeren, belastingen op tijd betalen en al die andere noodzakelijke aspecten om correct een bedrijf of vzw te runnen. Iemand zei ooit dat er 2 zekerheden in het leven zijn: Death and taxes. Misschien moet je mentaal daar ook maar cybersecurity bijzetten.
Net zoals er een goede kans bestaat dat uw gebouw in de fik vliegt of er fysiek ingebroken wordt, is er een zeer grote waarschijnlijkheid dat uw organisatie vroeg eerder dan laat te maken krijgt met een securityprobleem. De manier om dit aan te pakken is u voorbereiden: inventariseer wat belangrijk is qua digitale infrastructuur voor de organisatie en hoe die er fysiek uitziet, lijst de risico’s op en maak een plan om deze risico’s te vermijden. En maak hier een permanent proces van dat u regelmatig opnieuw bekijkt en aanpast aan wijzigingen, gebeurtenissen en de nieuwe werkelijkheid die deze meebrengen. Volg ook problemen op en leer eruit. Zet een soort security-organisatie op met een verantwoordelijke medewerker die op zijn beurt met regelmaat rapporteert aan de directie en de stakeholders van het bedrijf.
De Vlaamse regering heeft hier ook het belang van ingezien en samen met VLAIO een gesubsidieerd verbetertrajectop poten gezet met 9 bedrijven, waaronder het mijne BA N.V., die bedrijven helpen dit op te zetten met de nodige financiële hulp.
De vraag is echter niet of je een securityprobleem gaat hebben maar wanneer. Een goede security-organisatie en de nodige bijhorende maatregelen gaan niet voorkomen dat je een securityprobleem zoals een inbraak, een ransomware, phishingaanval of een niet gepatchte bug hebt met de nodige gevolgen van dien. Wat het wel gaat doen is het risico beperken en als zo’n probleem opduikt, de schade beperken zonder dat hiervoor extra security-producten of services gekocht moeten worden.
Samengevat: pak cybersecurity structureel aan, wees een brandpreventie-adviseur en geen pompier.
Voorbeeld 1: Cryptolockers
De afgelopen 2 jaar zijn er massaal veel berichten over bedrijven die wekenlang platliggen omdat een cryptolocker al hun gegevens heeft versleuteld. Heel vaak betalen deze bedrijven dan ook het losgeld om terug te kunnen opstarten en leggen ze hun lot in de handen van de criminelen.
De olifant in de kamer waar niemand over spreekt, is dat deze bedrijven geen of toch geen werkend Business continuity plan hebben. Wanneer je dit voorbereid hebt, goed opgezet en getest hebt, ga je nog altijd last hebben van een cryptolocker en misschien ga je 1 à 2 dagen en veel bloed, zweet en tranen van de IT-staff nodig hebben om alles terug de lucht in te krijgen maar je hebt iets om op terug te vallen.
Voorbeeld 2: Haffnium
Haffnium was begin van dit jaar een bug waarbij het voor buitenstaanders mogelijk werd om een exchange mailserver over te nemen. Een gevaarlijke bug die gelukkig wel op tijd gemeld werd aan Microsoft en waar updates voor waren voor hij publiek bekend gemaakt werd.
Als uw organisatie een structurele manier van updates heeft (bijvoorbeeld wekelijks een update) zou het risico relatief beperkt gebleven zijn. Bedrijven die maanden na het bekend worden van deze bug en de nodige patches nog niet geüpdatet zijn, roepen de problemen over zichzelf uit.
Voorbeeld 3: log4j
Dit is een ernstig probleem in log4j, de logsoftware die door meeste java-software wordt gebruikt. En helaas is een belangrijk deel van alle software die on premisse, op je pc of door allerlei cloud-oplossingen gebruikt wordt geschreven in JAVA.
Het probleem is eigenlijk dat, als je van buitenaf de juiste logboodschap naar het systeem kan sturen, dit systeem een connectie kan opzetten naar buiten, daar allerlei code kan downloaden en die uitvoeren met alle gevolgen van dien.
Alleen waarom moet een aan het internet verbonden server dns, ldap of andere connecties naar het hele internet kunnen opzetten? De beste firewall-strategie is een zogenaamde whitelist of deny all policy waarbij je enkel het inkomend en uitgaand verkeer toelaat dat expliciet noodzakelijk is. Verkeer dat niet noodzakelijk is, blokkeer je en sla je op in een logfile of beter nog je stuurt het door naar een SIEM-oplossing die je er attent op gaat maken dat er iets raars gebeurt.
Samengevat: De bug of breach kan je niet (altijd) vermijden, de schade die hij aanricht kan je wel beperken.
Zorg dat je begrijpt waar het over gaat en gebruik je gezond verstand
Vaak gehoord: “dit moet je met IT bespreken daar heb ik geen verstand van. “
Dit is mijns inziens heel sterk de kern van het probleem: als leidinggevende moet je de risico’s rond cyberveiligheid en de oplossingen zelf in grote lijnen begrijpen. Dit is de enige manier waarop je deze risico’s kan gaan beperken door o.a. de juiste organisationele en technische beslissingen te nemen. Dit wil niet zeggen dat je je niet mag door een interne medewerker of een externe partij laten adviseren maar je moet altijd voldoende begrip en de vinger aan de pols hebben om dit inhoudelijk te kunnen volgen. Tenslotte begrijp jij meestal beter dan hen wat belangrijk is voor de organisatie en… draag jij de eindverantwoordelijkheid als het mis gaat.
De gouden vuistregel die ik zelf altijd gebruik: Als een IT’er of consultant het mij niet kan uitleggen zodat ik de grote lijnen begrijp, dan begrijpt hij of zij het meestal zelf niet helemaal. Dure complexe termen zijn meestal een vorm van ofwel jobprotectie of een smoke and mirrors om onkunde en andere gaten in het verhaal te verbergen.
Gebruik ook de belangrijkste veiligheidsoplossing die er is: het gezond verstand. Denk na over wat belangrijk is en hoe het moet beveiligd worden. Vaak zijn oplossingen ook nodeloos complex.
Security en privacy is immers te belangrijk om aan IT’ers, advocaten of self-proclaimed experten en consultants over te laten.
Samengevat: wees als leidinggevende altijd nauw betrokken bij informatieveiligheid en zorg dat jij de grote lijnen uitzet.
Geen blind vertrouwen of supportersgedrag
Wat me opvalt is hoe tribaal IT eigenlijk is. Men zit in een kamp met één leverancier (bijvoorbeeld: Microsoft ) of gemeenschap (Open source, linux) en men vertrouwt deze blindelings en gaat alle potentiële problemen minimaliseren. Om een bijbelse vergelijking te maken: men ziet de splinter in het oog van de rest van de wereld maar de balk in het eigen oog niet.
Dit geldt zeker voor cloudoplossingen. We hebben altijd het gevoel dat een cloud-oplossingen op magische manier beter, sneller, goedkoper en veiliger is dan een andere oplossing. Maar cloud-oplossing zijn aan dezelfde problemen onderhevig dan oplossingen die bij u in de serverruimte staan. Alleen heeft u er minder controle over ( dus afspraken zijn nog belangrijker!).
Wees dus kritisch en geloof niet blind dat een oplossing veilig is. Als je iets aankoopt, vraag naar referenties en kijk ook eens de lijst van recente bugs bij NIST na. Zo zijn er een aantal vpn-oplossingen die de afgelopen 2 jaar al 4 zware bugs gehad hebben die bovendien heel traag op deze problemen reageren. Zo’n partij kan je dan beter links laten liggen.
Samengevat: Geen enkele oplossing is veilig en je gaat permanent moeten updaten en de veiligheidsnormen van dit product te volgen.
Basis goede beveiliging en operaties
Geen enkele structuur of organisatie is helemaal veilig dus Plan for the worst, zorg dat de basis beveiliging zo goed mogelijk in orde is en vooral dat de procedures klaar liggen als er problemen opduiken.
Hiervoor heb je een goede operationele beveiligings infrastructuur nodig :
Er is iemand aanspreekpunt en verantwoordelijk. Of je die de titel van DPO, informatieveiligheidconsulent, CSO of Security officer wil geven is een andere zaak. Maar zorg dat iemand bekwaam verantwoordelijk is, dat hij/zij de juiste middelen (o.a. ook tijd) heeft om de job naar behoren uit te voeren?
Plan for the worst. Zorg dat er zoveel mogelijk op punt staat als er een probleem opduikt: alles is gedocumenteerd, er is een inventaris, je hebt disaster recovery procedures (hoe bouw ik alles terug op?), je hebt contactgegevens waar je hulp kan zoeken, je kan dit melden, etc.
Deny all of zero trust policy. Bouw een network-structuur op die op de juiste wijzen belangrijke dingen van elkaar afschermt met segmentatie (bijvoorbeeld door vlans), firewalls of een zero trust netwerk oplossing. Zo zorg je er concreet bijvoorbeeld voor dat de medewerker achter de balie geen toegang heeft tot de beheersinterface van je Private Cloud oplossing en de high-tech IOT koffieautomaat ook niet.
Zorg ook voor minimale uitgaande rechten: het gebouwbeheersysteem dat de airco aanstuurt moet niet met de hele wereld kunnen verbinden en je webserver ook niet.
Sterke authenticatie, met rollenbeheer en need-to-know toegangen. Verbazingwekkend dat we in de 21ste eeuw nog altijd wachtwoorden gebruiken. Zorg dus voor een goede multifactor authenticatieoplossing waarmee iemand sterk kan bewijzen wie hij is. Geef ook toegang op basis van de rol de functie van de persoon en niet à la tête du clientèle (Role based Access Control) en geef ook de minimale toegang.
Log en monitor wat er allemaal gebeurt in real time en voor latere analyse. Op die manier weet je wanneer er iets down of misgaat en kan je snel een beeld krijgen van wat er aan de hand is. Dit is een minimum dat je idealiter nog laat analyseren door iets als een Security Incident and Event Management (SIEM) systeem om nog meer wijsheid uit de alarmen te halen.
Samengevat: security is hard, permanent werk in een verbeteringstraject waar je continue mee bezig moet zijn.
The proof of the pudding is in the eating: test!
Test de veiligheid van je omgeving op vaste tijdstippen. En dit testen kan op verschillende manieren die allemaal even belangrijk zijVLAIn.
Allereerst heb je de checklist, lijstjes van vragen waar je op kan beantwoorden. Pas hier op voor papieren tijgers: elk bedrijf wordt vandaag de dag platgeslagen met ISO27k-achtige vragenlijsten waarbij juridische en taalkundige kennis belangrijker is dan technische veiligheidskennis. Vaak is de vraag te weinig genuanceerd, snapt de invuller de vraag met moeite door het jargon en de juridische spitsvondigheid waarin hij is opgesteld of wordt er gewoon gelogen uit bestwil. “Everybody lies” zegt één van mijn favoriete TV-figuren in bijna elke aflevering van “House”.
Aan de andere kant heb je de uitgebreide audits die veel gespecialiseerde bedrijven o.a. het mijne aanbieden om je bedrijf binnenste buiten te keren. Probleem is dat dit mensenwerk is en een serieus prijskaartje. Dit betekent dat je dit niet elke maand gaat doen. En helaas is elke audit maar een momentopname en kan er 10 minuten later al een andere securitybug inzitten.
Daarom is het ons inziens ook belangrijk dat je regelmatig (bijvoorbeeld maandelijks) jezelf door middel van een aantal vulnerability tools (Nessus, qualsys of gewoon een open source KALI met alle tools die erinzitten) test en controleert of alles nog in orde is.
Wij bieden trouwens een gratis, passieve internetvulnerability test aan via deze link.
Samengevat: test op regelmatige basis zo vaak mogelijk de veiligheid van je omgeving.
Een goed getest Business Continuity Plan en praktijk
Eén van de dingen die mij nog altijd het meest verbazen als ik over alle cyberrampen van het afgelopen jaar lees, is hoe weinig bedrijven, sluitende backups laat staan een echt Business Continuity Plan hebben.
Hoe maak je een business continuity plan ?
Bepaal eerst wat je wil bereiken qua beschikbaarheid. Niet alles is even belangrijk en wat belangrijk is hangt af van de specfieke vereisten van uw bedrijf. Maak per dienst een worst case Recovery Time objective (RTO of hoe lang mag de dienst maximaal onbeschikbaar zijn in tijd) en Recovery Point Objective (RPO of hoeveel data in tijd mag de dienst maximaal kwijt zijn). Vaak wordt ook retentie vergeten: hoe lang wil je wenselijk en om juridsiche redenen kunnen terugkeren in je backups? Hoe vlot kan je de data recuperen ?
Bepaal ook wat je daar budgetair aan kan besteden. Het is een standaard verhaal dat een directie zegt dat een dienst niet mag platleggen maar dat er geen budget voor voorzien wordt en elke investering er één teveel is. If you pay peanuts, you get monkeys.
Bekijk het per concrete dienst, niet per technisch element zoals netwerk, server, internetconnectie of een ander IT-spul. Om een dienst beschikbaar te hebben, heb je immers meerdere dingen nodig – wat heb je eraan dat je je server in 10 minuten terug de lucht in kan krijgen als je geen netwerk er meer naartoe hebt ?
Maak een technische inventaris van alles wat je nodig hebt om die dienst te kunnen garanderen en probeer niks te vergeten. IT is een complex verhaal van netwerken, cloud, servers, authenticatie, enz geworden. Elke schakel die ontbreekt of foutgaat, kan de hele recovery-inspanning nutteloos maken. Een keten is maar zo sterk als zijn zwakste schakel.
Op basis van vereisten, budget en inventaris kan je dan een plan opmaken. Wees hier realistisch en hou vooral ook rekening met de dode hoeken in je plan waar je niet aan gedacht hebt. Zorg ook dat alle risico’s geëvolueerd worden en er deze aangepakt worden. Dingen die vaak vergeten worden: alles staat op één locatie (backups gaan het bedrijf niet uit of worden niet ergens anders naartoe gestuurd.) met alle gevolgen van dien, stroom, configuraties van infrastructuur als switches wordt niet gebackuped, backupservers zijn slecht beveiligd (en worden bv ook versleuteld door de cryptolocker), etc.
Last but not least: test! Volg je systemen en backups dagelijks op, pak het aan als er iets foutgaat. Test je business plan af en toe. Recover je backups af en toe. De wet van Shrödinger voor backups leert ons immers dat je pas weet dat een backup in orde is, als je hem volledig succesvol gerecovered hebt.
Samengevat: maak een realistisch Business Continuity Plan met duidelijke, realistische doelstellingen per dienst, een budget en dat je ook op vaste tijdstippen test op zijn werking.
Duidelijke afspraken maken goede vrienden
Vandaag las ik nog in een artikel hoe de universiteit van Kyoto 77TB aan onderzoeksdata is kwijtgeraakt bij een Hpe SAN update. Het lijkt onbegrijpelijk maar mijn ervaring in het werkterrein laat me al vermoeden hoe het is foutgegaan: Universiteit: we kopen bij een grote naam, dus de backups en Business Continuity zullen wel in orde zijn. Hpe: backups zijn verantwoordlijkheid voor de klant.
Het is een veelvoorkomende fout: “Assumption is the mother of all fuck ups”. Veel belangrijke elementen worden intrinsiek afgesproken en niet uitgesproken. Daarom is het belangrijk om goede afspraken te maken met je leverancier, partners, IT-dienst en medewerkers. Durf uit te spreken wat je verwacht en zet het ook op papier. En eerlijkgezegd ik vind het belangrijker dat iedereen snapt wat er in dat contract staat en aanvaardt wat er verwacht wordt dan dat het onleesbaar is maar juridisch klopt.
Er worden ook veel papieren tijgers opgesteld : contracten waar dingen in staan waar alle partijen op voorhand weten dat ze niet haalbaar zijn maar er voor de goeie vorm ingezet worden. Een goed voorbeeld zijn SLA’s waar met een percentage gegooid wordt dat niet voor iedereen duidelijk is. Bijvoorbeeld 99% beschikbaarheid op jaarbasis, betekent dat het systeem 3 dagen na elkaar mag platliggen. Er zitten vaak ook geen tanden aan: als een bedrijf de SLA niet haalt moet het dit voelen door middel van bijvoorbeeld een boete. Aan de andere kant heb je ook bedrijven die 10€ / maand betalen en een schadevergoeding van 10.000€ vragen bij elke onbeschikbaarheid.
Samengevat: Maak goeie duidelijke, realistische afspraken die alle partijen begrijpen. In tijden van nood zal je hier heel dankbaar voor zijn.
Conclusie
De toestand is ernstig maar niet hopeloos. In een digitale wereld kan je niet anders dan aandacht besteden aan de degelijkheid en de veiligheid van de infrastructuur en diensten die eronder zitten.
Dus pak de informatieveiligheid van je organisatie permanent structureel aan en probeer er een verbetertraject van te maken waar iedereen van de gewone werknemer tot de directie nauw betrokken is.
Gebruik vooral de superkracht gezond verstand om dit te doen: denk na, veronderstel niks maar spreek het af en wees realistisch. Iedereen zal vroeg of laat een securityprobleem hebben, het is vooral belangrijk hoe je dan reageert en of je voldoende in huis hebt om de schade te beperken.
De veiligheid van je organisatie op orde zetten en houden is hard werken net als de boekhouding van een bedrijf laten kloppen, een degelijk human resource beleid te voeren of duurzaam te ondernemen.
Wij kunnen je helpen
Bij BA en zijn partners hebben we een sterk team om uw organisatie te helpen met het verbeteren van zijn veiligheid.
In de eerste plaats kan je hier een gratis passieve audit van je omgeving aanvragen. Wij controleren dan de basis veiligheid van je organisatie en geven je een eerste analyse. Dit is een ideaal startpunt om te beginnen!
VLAIO selecteerde BA samen met 9 andere bedrijven als partij om Vlaamse KMO’s te begeleiden bij security-verbeteringstrajecten, waarbij we uw organisatie niet alleen auditeren maar met praktische raad en daad helpen om de IT veiligheid van uw KMO op punt te zetten. En als uw bedrijf aan de vereisten voldoet, subsidieert VLAIO 45% van het traject. Geïnteresseerd? Neem contact op met sales@ba.be of 016/29 80 45
https://www.ba.be/wp-content/uploads/2018/02/BA-logo_halfdiamond.png00Jan Guldentopshttps://www.ba.be/wp-content/uploads/2018/02/BA-logo_halfdiamond.pngJan Guldentops2022-01-06 17:02:592022-01-06 17:08:46Informatieveiligheid: De toestand is ernstig maar niet hopeloos
Mag een gemeente kandidaat politici na 25 mei en de nieuwe privacywetgeving nog wel van kiezerslijsten voorzien ?
versie 0.1 – 26 juni 2018 – Jan Guldentops ( j@ba.be )
Tot voor kort stelden gemeenten bij de verkiezingen zogenaamde kiezerslijsten ( Lijsten met de persoonsgegevens van alle stemgerechtigden voor die verkiezing) ter beschikking van kandidaat-politici en politieke partijen. Maar mag dit nog in strenge privacy-tijden ? Wat is de wettelijke basis hiervoor en waarmee moet er rekening gehouden worden ?
Het korte antwoord is Ja, gemeenten moeten kandidaat-politici en bijhorende partijen de kiezerslijsten ter beschikking stellen.
Er is een duidelijke wettelijke basis dat de lijsten gebruikt mogen worden voor verkiezingspropaganda -euhm- doeleinden in de aanloop naar de verkiezing. In feite is het een uitzondering op het principe dat gegevens uit het bevolkings- en vreemdelingenregister niet aan derde partijen ter beschikking worden gesteld.
Er zijn echter wel een aantal beperkingen / regels
de lijsten mogen enkel beschikbaar gemaakt worden aan kandidaten en partijen die ook werkelijk een lijst indienen en opkomen ;
de lijsten mogen enkel gebruikt worden voor verkiezingsdoeleinden ;
de lijsten mogen enkel gebruikt worden vanaf de verstrekking tot de verkiezingsdag zelf en niet erna ;
Hoewel dit nergens expliciet gevraagd wordt denken we dat het ook raadzaam is om de lijsten nadien te wissen / vernietigen.
alle rechten voor het data subject zoals beschreven in de privacywet (GDPR) moeten ook gerespecteerd worden :
Recht van informatie, inzage, correctie, verwijdering ( right-to-be-forgotten), beperking, bezwaar, etc.
Er moet ook duidelijk en transparant gecommuniceerd worden over het gebruik, opslag, etc. van deze gegevens De persoonsgegevens moeten terdege beschermd worden
Datalekken moeten gerapporteerd worden
enz.
Als gemeente moet men dan ook
Goed controleren of de aanvrager wel het recht heeft om deze gegevens te ontvangen ( werkelijk kandidaat is )
Enkel de wettelijke informatie aan te leveren :
de voorna(a)men, achternaam, geboortedatum, geslacht en hoofdverblijfplaats van elke kiesgerechtigde van de gemeente.
Idealiter tekenen de ontvangers van de kieslijsten een document waarin ze verklaren dat :
De kennis hebben genomen van de verbodsbepalingen uit de wet;
ze er zich toe verbinden om de wet na te leven;
Vlaamse gemeenten leveren alles ook enkel electronisch aan ( eigenlijk de logica zelf )
Een voorbeeld van zo’n document
De gemeente <Gemeente> stelt aan <naam + voornaam> als kandidaat van de lokale verkiezingen, de kieslijsten van de gemeente <Gemeente> electronisch ter beschikking.
Deze kieslijst bevat de voorna(a)men, achternaam, geboortedatum, geslacht en hoofdverblijfplaats van elke kiesgerechtigde van de gemeente.
<naam+voornaam> heeft kennis genomen van de plichten die hij of zij heeft volgens de desbetreffende wetgevingen en belooft deze ook naleven:
de kieswet (Vlaams Lokaal en Provinciaal Kiesdecreet van 8 juli 2011): “De personen die een kiezerslijst ter beschikking hebben, mogen die lijst alleen voor verkiezingsdoeleinden gebruiken en alleen in de periode die valt tussen de datum van de terbeschikkingstelling van de lijst en de datum van de verkiezing.”;
NMBS lekt persoonsgegevens: komt het privacybesef van NMBS te laat?
De trein is altijd een beetje reizen, altijd een beetje avontuur. Wie geregeld de trein neemt, weet wat hij of zij van onze nationale spoorwegen mag verwachten. Onze nationale trots maakt er een erezaak van om structureel te laat met te weinig capaciteit te werken. Als er niet voor de zoveelste onduidelijke reden gestaakt wordt en we helemaal niet op de trein kunnen rekenen. Het ergste vind ik persoonlijk hoe er in de communicatie naar de reizigers hierover creatief wordt omgegaan met de werkelijkheid.
De trein is altijd een beetje reizen, altijd een beetje avontuur. Wie geregeld de trein neemt, weet wat hij of zij van onze nationale spoorwegen mag verwachten. Onze nationale trots maakt er een erezaak van om structureel te laat met te weinig capaciteit te werken. Als er niet voor de zoveelste onduidelijke reden gestaakt wordt en we helemaal niet op de trein kunnen rekenen. Het ergste vind ik persoonlijk hoe er in de communicatie naar de reizigers hierover creatief wordt omgegaan met de werkelijkheid.
Net als je dacht dat het niet erger kon, slaagt de NMBS erin om de gegevens van bijna anderhalf miljoen klanten weken ( vermoedelijk zelfs maanden) op het internet te laten rondslingeren. Iedereen die een beetje met google overweg kon, had een mooie lijst in de vorm van een CSV-database in handen. Met andere woorden: private gegevens als uw adres, geboortedatum of e-mailadres worden te grabbel gegooid. Een aantal spammers/scammers gaan heel blij zijn met het materiaal dat ze hier in een paar muisklikken in handen krijgen.
En de spoorwegen? Die vinden dit een non-event, zelfs niet waardig om een persbericht over op te stellen of bij een persconferentie tekst en uitleg te geven. Zwarte piet van dienst, woordvoerder Bart Crols geraakt niet verder dan platitudes als “We verontschuldigen ons nadrukkelijk voor dit incident bij onze klanten” en “De privacy van onze klanten is voor ons een prioriteit.” Straks doet ie nog een Dignefje en zegt hij dat het de schuld van de reizigers is.
De regels van het fatsoen en de wet zeggen dat spoorwegen op zijn minst de personen wiens gegevens ze gelekt hebben hiervan op de hoogte brengen. De NMBS zwijgt tegen de slachtoffers in dit verhaal in alle talen. Gelukkig is er het privé-initiatief van Frederic Jacobs die op http://sncb.fredericjacobs.com een kleine simpele webapplicatie opgezet heeft waarmee je kan checken of jouw gegevens in de gelekte info zit. Een nobel initiatief dat eigenlijk doet wat de NMBS zou moeten doen. Je kan er gif op innemen dat op de juridische dienst de messen al geslepen worden om tegen deze boodschapper klacht neer te leggen bij de rechtbank.
Klokkenluiders krijgen het altijd zwaar te verduren. Bedrijven met boter op hun hoofd schieten altijd met scherp op de boodschapper in plaats van te doen wat ze moeten doen: de schade vaststellen, de gaten dichten en de betrokken instanties en de slachtoffers op de hoogte brengen.
Want laat er geen twijfel over bestaan: dit is een zware fout waarbij persoonsgegevens gelekt worden. Een fout die met mijn beperkte juridische kennis zelfs geldboetes tussen de 100 en 100.000 € per inbreuk voor de verantwoordelijken met zich mee zou kunnen brengen. Het toont ook aan op welke lakse manier er bij de NMBS met persoonsgegevens wordt omgegaan en hoe er bij problemen geen enkel structuur of plan klaarligt om de schade te beperken.
Maar laten we eerlijk zijn: de NMBS is niet het enige bedrijf dat laks omspringt met de persoonsgegevens van hun klanten. Ik wil de bedrijven niet te eten geven die laks omspringen met hun data en de persoonsgegevens van hun klanten. Weinig mensen kennen, laat staan dat ze stilstaan bij de regelgeving rond het gebruik en opslaan van persoonsgegevens.
De juridische en financiële consequenties van het verlies van dit soort gegevens kan echter groot zijn. We lopen in België hier sterk achter op het Verenigd Koninkrijk waar recent bijvoorbeeld een aantal gemeentebesturen zware boetes kregen voor het slordig omspringen met persoonlijke data van hun bewoners.
Daarom zou ik in al mijn naiëf idealisme een oproep willen doen aan de NMBS, de politiek verantwoordelijken en justitie. Laten we er voor zorgen dat er aan deze zware fout consequenties verbonden zijn voor de verantwoordelijken en dat voor één keer het niet alleen de reiziger is die de prijs betaalt. Misschien kan deze episode dan een stichtend verhaal zijn waar anderen uit kunnen leren zorgvuldig om te springen met uw en mijn persoonlijke gegevens. Privacy is tenslotte een mensenrecht.
https://www.ba.be/wp-content/uploads/2018/02/BA-logo_halfdiamond.png00Jan Guldentopshttps://www.ba.be/wp-content/uploads/2018/02/BA-logo_halfdiamond.pngJan Guldentops2013-02-01 16:37:572018-07-23 16:44:27NMBS lekt persoonsgegevens: komt het privacybesef van NMBS te laat?