GDPR en kieslijsten

Kiezerslijsten in GDPR tijden

Mag een gemeente kandidaat politici na 25 mei en de nieuwe privacywetgeving nog wel van kiezerslijsten voorzien ?

versie 0.1 – 26 juni 2018 –  Jan Guldentops ( j@ba.be )

Tot voor kort stelden gemeenten bij de verkiezingen zogenaamde kiezerslijsten ( Lijsten met de persoonsgegevens van alle stemgerechtigden voor die verkiezing) ter beschikking van kandidaat-politici en politieke partijen.  Maar mag dit nog in strenge privacy-tijden ? Wat is de wettelijke basis hiervoor en waarmee moet er rekening gehouden worden ?

Het korte antwoord is Ja, gemeenten moeten kandidaat-politici en bijhorende partijen de kiezerslijsten ter beschikking stellen.

Er is een duidelijke wettelijke basis dat de lijsten gebruikt mogen worden voor verkiezingspropaganda -euhm- doeleinden in de aanloop naar de verkiezing.  In feite is het een uitzondering op het principe dat gegevens uit het bevolkings- en vreemdelingenregister niet aan derde partijen ter beschikking worden gesteld.

Er zijn echter wel een aantal beperkingen / regels

  • de lijsten mogen enkel beschikbaar gemaakt worden aan kandidaten en partijen die ook werkelijk een lijst indienen en opkomen ;
  • de lijsten mogen enkel gebruikt worden voor verkiezingsdoeleinden ;
  • de lijsten mogen enkel gebruikt worden vanaf de verstrekking tot de verkiezingsdag zelf en niet erna ;
    • Hoewel dit nergens expliciet gevraagd wordt denken we dat het ook raadzaam is om de lijsten nadien te wissen / vernietigen.
  • alle rechten voor het data subject zoals beschreven in de privacywet (GDPR) moeten ook gerespecteerd worden :
    • Recht van informatie, inzage, correctie, verwijdering ( right-to-be-forgotten), beperking, bezwaar, etc.
    • Er moet ook duidelijk en transparant gecommuniceerd worden over het gebruik, opslag, etc. van deze gegevens De persoonsgegevens moeten terdege beschermd worden
    • Datalekken moeten gerapporteerd worden
    • enz.

Als gemeente moet men dan ook

  • Goed controleren of de aanvrager wel het recht heeft om deze gegevens te ontvangen ( werkelijk kandidaat is )
  • Enkel de wettelijke informatie aan te leveren :
    • de voorna(a)men, achternaam, geboortedatum, geslacht en hoofdverblijfplaats van elke kiesgerechtigde van de gemeente.
  • Idealiter tekenen de ontvangers van de kieslijsten een document waarin ze verklaren dat :
    • De kennis hebben genomen van de verbodsbepalingen uit de wet;
    • ze er zich toe verbinden om de wet na te leven;
  • Vlaamse gemeenten leveren alles ook enkel electronisch aan ( eigenlijk de logica zelf )

 

Een voorbeeld van zo’n document

De gemeente <Gemeente> stelt aan <naam + voornaam> als kandidaat van de lokale verkiezingen, de kieslijsten van de gemeente  <Gemeente> electronisch ter beschikking.

Deze kieslijst bevat de voorna(a)men, achternaam, geboortedatum, geslacht en hoofdverblijfplaats van elke kiesgerechtigde van de gemeente.

<naam+voornaam> heeft kennis genomen van de plichten die hij of zij heeft volgens de desbetreffende wetgevingen en belooft deze ook naleven:

  • de kieswet (Vlaams Lokaal en Provinciaal Kiesdecreet van 8 juli 2011): “De personen die een kiezerslijst ter beschikking hebben, mogen die lijst alleen voor verkiezingsdoeleinden gebruiken en alleen in de periode die valt tussen de datum van de terbeschikkingstelling van de lijst en de datum van de verkiezing.”;
  • de Europese privacywetgeving (GDPR) ;

Voor ontvangst / akkoord,

 

Naam, voornaam

 

Gelezen en goedgekeurd,

Meer informatie

 

Read more

Voormalig stagair van BA bij technologietalentenlijst MIT

De afgelopen jaren proberen we als BA ons steentje bij te dragen door beloftevolle studenten een stageplaats te geven en hun project tot een goed einde te brengen. Het doet altijd deugd als één van die mannen/vrouwen (ondanks BA 😉 ) doorgroeit tot een baanbrekend toptalent. Gefeliciteerd Vincent Spruyt

Dit bericht is ook verschenen op Linkedin.

Zie Infosecuritybelgium.be: Vier Belgen op technologietalentenlijst MIT 

Structureel securityproblemen als #wannacry voorkomen

Iedere ondernemer is na dit weekend en de nieuwe uitbraak van een ransomware als #wannacry vermoedelijk voldoende geschrokken om de informatieveiligheid van je infrastructuur ernstig te gaan nemen.

Het ergste is dat wie problemen heeft met #wannacry ook zelf boter op het hoofd heeft omdat ze in de eigen beveiliging steken hebben laten vallen door een veelvoud aan kleinigheden :

  • Er zijn geen software-updates, ze zijn al maanden ( patch was van maart) niet uitgevoerd en er is geen structurele manier om de software binnen versheidsdatum te houden.
  • Ondanks het feit dat iedereen hier al 15 jaar over zeurt, heeft niet iedereen (overal)een goeie antivirus draaien of is de antivirus niet up-to-date en wordt niet op een structurele manier up-to-date gehouden.
  • Er zijn geen goeie, regelmatige en gecontroleerde backups laat staan een business continuity plan. Dus als de interne data geëncrypteerd wordt, kan men niet terugkeren naar een recente backup. Men is ook niet met business continuity bezig geweest m.a.w. zelfs al heeft men een backup heeft men de restore nog nooit getest en is er geen kant-en-klare procedure om alles te herstellen.
  • Er is een zeer liberale veiligheidspolitiek op zowel firewall ( er wordt van alles doorgestuurd naar interne processen, vaak zonder enige afscherming) en naar buiten toe mag gewoon alles. Intern kan iedereen aan alles en zijn geen segmenteringen gebouwd. Op die manier geraak je snel besmet. De besmetting  verspreid zich vliegensvlug omdat de besmette gebruiker aan teveel data op gedeelde mappen, zelfs waar hij of zij niet in hoort te zijn kan. De besmette PC kan ook netjes andere toestellen binnen het netwerk gaan gebruiken.
  • Er draaien nog zeer veel oude, niet-meer ondersteunde systemen die gebruik maken van XP of Windows 2003 server. Systemen waar er al jaren geen structurele updates meer voor zijn en waar iedereen voldoende voor gewaarschuwd heeft dat ze een accident waiting to happen zijn.
  • Last but not least is er vaak geen gestructureerd veiligheidsbeleid binnen de organisatie: er is geen veiligheidsplan, niemand volgt structureel de alarmen die misschien rondgestuurd worden op, te weinig wordt er structureel in de gaten gehouden en is er vaak zelfs niet eens een inventaris van alle toestellen, toepassingen en data binnen de structuur. Op die manier wordt de cyber-brand laat gedetecteerd en is het voor de brandweermannen ook zeer moeilijk blussen als je niet weet welke chemische stoffen er zich in de hangaar bevinden die in lichterlaaie staat.

Read more

NMBS lekt persoonsgegevens: komt het privacybesef van NMBS te laat?

Originele publicatie in Datanewshttps://datanews.knack.be/ict/nmbs-lekt-persoonsgegevens-komt-het-privacybesef-van-nmbs-te-laat/article-opinion-276649.html 

NMBS lekt persoonsgegevens: komt het privacybesef van NMBS te laat?

De trein is altijd een beetje reizen, altijd een beetje avontuur. Wie geregeld de trein neemt, weet wat hij of zij van onze nationale spoorwegen mag verwachten. Onze nationale trots maakt er een erezaak van om structureel te laat met te weinig capaciteit te werken. Als er niet voor de zoveelste onduidelijke reden gestaakt wordt en we helemaal niet op de trein kunnen rekenen. Het ergste vind ik persoonlijk hoe er in de communicatie naar de reizigers hierover creatief wordt omgegaan met de werkelijkheid.

De trein is altijd een beetje reizen, altijd een beetje avontuur. Wie geregeld de trein neemt, weet wat hij of zij van onze nationale spoorwegen mag verwachten. Onze nationale trots maakt er een erezaak van om structureel te laat met te weinig capaciteit te werken. Als er niet voor de zoveelste onduidelijke reden gestaakt wordt en we helemaal niet op de trein kunnen rekenen. Het ergste vind ik persoonlijk hoe er in de communicatie naar de reizigers hierover creatief wordt omgegaan met de werkelijkheid.

Net als je dacht dat het niet erger kon, slaagt de NMBS erin om de gegevens van bijna anderhalf miljoen klanten weken ( vermoedelijk zelfs maanden) op het internet te laten rondslingeren. Iedereen die een beetje met google overweg kon, had een mooie lijst in de vorm van een CSV-database in handen. Met andere woorden: private gegevens als uw adres, geboortedatum of e-mailadres worden te grabbel gegooid. Een aantal spammers/scammers gaan heel blij zijn met het materiaal dat ze hier in een paar muisklikken in handen krijgen.

En de spoorwegen? Die vinden dit een non-event, zelfs niet waardig om een persbericht over op te stellen of bij een persconferentie tekst en uitleg te geven. Zwarte piet van dienst, woordvoerder Bart Crols geraakt niet verder dan platitudes als “We verontschuldigen ons nadrukkelijk voor dit incident bij onze klanten” en “De privacy van onze klanten is voor ons een prioriteit.” Straks doet ie nog een Dignefje en zegt hij dat het de schuld van de reizigers is.

De regels van het fatsoen en de wet zeggen dat spoorwegen op zijn minst de personen wiens gegevens ze gelekt hebben hiervan op de hoogte brengen. De NMBS zwijgt tegen de slachtoffers in dit verhaal in alle talen. Gelukkig is er het privé-initiatief van Frederic Jacobs die op http://sncb.fredericjacobs.com een kleine simpele webapplicatie opgezet heeft waarmee je kan checken of jouw gegevens in de gelekte info zit. Een nobel initiatief dat eigenlijk doet wat de NMBS zou moeten doen. Je kan er gif op innemen dat op de juridische dienst de messen al geslepen worden om tegen deze boodschapper klacht neer te leggen bij de rechtbank.

Klokkenluiders krijgen het altijd zwaar te verduren. Bedrijven met boter op hun hoofd schieten altijd met scherp op de boodschapper in plaats van te doen wat ze moeten doen: de schade vaststellen, de gaten dichten en de betrokken instanties en de slachtoffers op de hoogte brengen.

Want laat er geen twijfel over bestaan: dit is een zware fout waarbij persoonsgegevens gelekt worden. Een fout die met mijn beperkte juridische kennis zelfs geldboetes tussen de 100 en 100.000 € per inbreuk voor de verantwoordelijken met zich mee zou kunnen brengen. Het toont ook aan op welke lakse manier er bij de NMBS met persoonsgegevens wordt omgegaan en hoe er bij problemen geen enkel structuur of plan klaarligt om de schade te beperken.

Maar laten we eerlijk zijn: de NMBS is niet het enige bedrijf dat laks omspringt met de persoonsgegevens van hun klanten. Ik wil de bedrijven niet te eten geven die laks omspringen met hun data en de persoonsgegevens van hun klanten. Weinig mensen kennen, laat staan dat ze stilstaan bij de regelgeving rond het gebruik en opslaan van persoonsgegevens.

De juridische en financiële consequenties van het verlies van dit soort gegevens kan echter groot zijn. We lopen in België hier sterk achter op het Verenigd Koninkrijk waar recent bijvoorbeeld een aantal gemeentebesturen zware boetes kregen voor het slordig omspringen met persoonlijke data van hun bewoners.

Daarom zou ik in al mijn naiëf idealisme een oproep willen doen aan de NMBS, de politiek verantwoordelijken en justitie. Laten we er voor zorgen dat er aan deze zware fout consequenties verbonden zijn voor de verantwoordelijken en dat voor één keer het niet alleen de reiziger is die de prijs betaalt. Misschien kan deze episode dan een stichtend verhaal zijn waar anderen uit kunnen leren zorgvuldig om te springen met uw en mijn persoonlijke gegevens. Privacy is tenslotte een mensenrecht.