Maandelijks archief september 2019

doorSecuratis

Geen bewijs voor oplichting door AI die stem directeur imiteerde

Eind augustus kwam The Wall Street Journal met een bericht over een Brits bedrijf dat was opgelicht door criminelen die AI-gebaseerde software hadden gebruikt om de stem van de directeur na te bootsen, maar nu blijkt dat er geen enkel bewijs voor deze claim is. Dat meldt de Duitse krant Der Spiegel.

In juni verscheen het bericht al in de Duitse media. Het oorspronkelijke verhaal is afkomstig van verzekeringsmaatschappij Euler Hermes, de verzekeraar van het Britse bedrijf. In een persbericht laat Euler Hermes weten dat het de eerste ceo-fraude heeft ontdekt die via kunstmatige intelligentie is uitgevoerd. Criminelen zouden via AI-software de stem van de directeur van het Britse bedrijf hebben nagebootst en vervolgens een medewerker zover hebben gekregen om 220.000 euro naar een rekening in Hongarije over te maken.

Der Spiegel vroeg Euler Hermes om opheldering. Een woordvoerster laat weten dat de verzekeraar niet zeker weet of er wel AI-software is gebruikt en het hier geen bewijs voor heeft. Het zou ook iemand geweest kunnen zijn die de stem nabootste. Het vermeende “eerste geval” kan daarom beter omschreven worden als “mogelijk geval”, aldus Der Spiegel. Volgens de krant is dit veelzeggend voor de discussie over deepfakes en de risico’s die hiermee samenhangen.

Image

https://www.security.nl/posting/624191/Geen+bewijs+voor+oplichting+door+AI+die+stem+directeur+imiteerde?channel=rss

doorSecuratis

Breda zet ‘digitale buurtambassadeur’ in tegen cybercrime

Door Mindfart: Geen enkele eisen voor de functie. Dus tante miep wordt even in 4 dagen opgeleid tot iemand die awareness over cybercrim moet verspreiden. Right.

Dat is dan vier avonden méér kennis dan de tante Bep en tante Truus die ze helpt.

Prima voldoende om te leren dat de afzender van email niet zo veel zegt, dat je moet kijken naar slotjes in de browserbalk, updates niet moet overslaan, en geen 1 cent overboeken naar marktplaats verkopers.
En dat Latisha misschien geen naaktpics naar Mo moet sturen.
En dat Microsoft niet de gewoonte heeft om je op te bellen om je te ‘helpen’ met een PC probleem.

Hallo – het doel is gewone mensen in de buurt een beetje helpen. tante miep wordt niet opgeleid voor een functie als redteamer bij DefCert.

Tante Miep is dan hopelijk iemand die _WEL_ snapt hoe die buurtbewoners werken met hun PC/tablet/telefoon, en is dan nog ook nog iemand die bereid is iets te _doen_ met gewone mensen in de buurt.

Zeiknerds die op een forum zitten te roepen dat ze wel iets weten waar tante Miep niks van snapt , of maar vinden dat tante Truus gewoon OpenBSD met pfsense met whatever locked down browser moet gaan zitten bouwen want al het andere is te onveilig helpen helemaal niemand – afgezien van hun eigen ego.

Heel veel ‘cybercrime’ die gewone mensen treft was simpel te voorkomen . We zien de voorbeelden hier vaak genoeg langskomen. Inclusief commentaar in het genre “hoe kunnen ze dat nou doen” of “hoe kun je dat nou NIET weten” over de getroffen gebruikers.
Het praktisch vertellen waar je voorzichtig mee moet zijn , en eventueel helpen wat nuttige zaken aan te zetten (auto update) kan een prima verbetering zijn voor die typen cybercrime. En daarvoor zijn mensen die _bereid en betrokken zijn_ met een paar avondjes cursus en tips prima.

https://www.security.nl/posting/624160/Breda+zet+%27digitale+buurtambassadeur%27+in+tegen+cybercrime?channel=rss

doorSecuratis

Fransman wegens duizenden afpersingsmails opgepakt

Hey, die heb ik ook langs zien komen.

Daarnaast ook mails dat je password gelogged is, en wss mailen ze gewoon iedereen van zo’n gelekte database met het password, en dreigen ze zo mensen de schuld in,. maar uiteindelijk weten ze niet waar het wachtwoord vandaan komt.
Desondanks is het een risico – je moet je password gewoon wijzigen,. maar echt veel kunnen ze op de korte termijn er niet mee.

https://www.security.nl/posting/624151/Fransman+wegens+duizenden+afpersingsmails+opgepakt?channel=rss

doorSecuratis

Polen gaat aparte legereenheid voor cyberspace oprichten

Wat de Polen nu pas gaan opzetten, daar waren de nuchtere Nederlanders een vijftal jaren geleden al mee bezig. De nuchtere Nederlanders liepen daarmee voorop in de race, dachten ze…

Alleen in tegenstelling tot de Polen ontbreekt het de MIVD tot op heden aan ruim voldoende goed gekwalificeerd personeel. De reden is dat in Polen van oudsher de schaaksport en de studies wiskunde erg hoog staan aangeschreven.

Want zonder de grote Poolse inspanningen, om de Duitse Enigma coderingmachine al in 1932 te kraken, waar de Engelsen later op konden voortborduren, spraken we hier nu vermoedelijk allemaal Duits.

Aangenomen dat de gealieerden dan de strijd om de Atlantische Oceaan in de U-boot oorlog nooit van de nazi’s hadden kunnen winnen… want zonder een tweede front dan had het Stalin regime wellicht niet de tegenaanval ingezet…

Cyberinlichtingendienst AVID en MIVD van start
vrijdag 4 juli 2014, 09:21 door Redactie, 4 reacties

https://www.security.nl/posting/394170/Cyberinlichtingendienst+AVID+en+MIVD+van+start

In December 1932, the [Biuro Szyfrów] began breaking Germany’s Enigma ciphers. Over the next seven years, Polish cryptologists overcame the growing structural and operating complexities of the plugboard-equipped Enigma.

https://en.wikipedia.org/wiki/Biuro_Szyfr%C3%B3whttps://www.security.nl/posting/624134/Polen+gaat+aparte+legereenheid+voor+cyberspace+oprichten?channel=rss

doorSecuratis

EFF roept providers op om DNS-over-HTTPS te ondersteunen

Door Anoniem:

Door Anoniem: Ik lees net in RFC 8484 dat er geen padding is in het huidige protocol. Dit betekent dat aan de lengte van een DoH verzoek, kan worden gezien hoeveel tekens het domein is wat opgezocht wordt.

In het hoofdstukje “security considerations” noemen ze het niet toepassen van padding wel degelijk als zwakte, en ze verwijzen naar compression en padding in de RFC 7540 (HTTP/2) en naar de experimentele RFC 8467 (Padding Policies for Extension Mechanisms for DNS). Het is dus niet zo dat ze het over het hoofd hebben gezien.

Ik lees erin dat ze broddelwerk geleverd hebben en dat achteraf ook maar in de RFC toegegeven hebben. Lang leve de eerlijkheid maar dat is geen substituut voor goed werken of nuttig onderdeel van een oplossing zijn.

Er zijn ook redenen om het geen onderdeel van RFC 8484 te maken, lijkt me. Het is wel zo efficiënt om niet opnieuw het wiel uit te vinden maar te verwijzen naar andere RFC’s waarin die aspecten van het probleem al worden aangepakt.

Alleen werkt het niet als je daarmee een security ding bouwt dat op voorhand al lek is. Daar helpt geen “oh dat kunnen we later altijd nog toevoegen” tegen, dat is gewoon een hoop bullshit voor de show en niet iets dat problemen oplost. Hooguit oplevert.

Ik heb steeds als ik mij verdiep in DoH het gevoel, wtf, welk probleem wordt hier opgelost? Ik kom er niet uit.

Ik heb het idee dat je verwarring voortkomt uit de verwachting dat DoH in een klap alles oplost.

Leuke stroman, maar net als de anoniem waar je op reageerde zie ik niet wat het wel oplost.

Je kan wel roepen dat het niet alles oplost maar vertel nu eerst eens of het ook maar iets oplost en wat dat dan is.

Het lost niet meer op dan het versleutelen van de inhoud van DNS-queries zodat ze niet af te luisteren zijn en zodat de browser weet dat hij echt de bedoelde DoH-server raadpleegt.

Dat is leuk, voorzover PKI-certificaten ook te vertrouwen zijn, maar is alleen maar zinnig als je het lokale netwerk niet vertrouwd. Dat maakt de oproep om “providers” DoH-servers ter beschikking te stellen vrij onzinnig. Want gaan ISPs voor externen dan DoH-servers beschikbaar stellen? Waarom zouden ze dat nou doen?

Dus wie zijn die providers dan? google, facebook, cloudflare, akamai, etc.? Wat?

En dan nog heb je als bijvoorbeeld met je smartphone roamende externe gebruiker geen ruk aan DoH, want je moet nu dus blind een derde partij vertrouwen dat’ie je niet zit voor te liegen. Want jouw device doet de DNSsec-verificatie niet meer, dat doet de DoH-server, die je op z’n mooie Let’s-encrypt-certificaat mag geloven.

Het is geen totaaloplossing maar een bouwsteen. DNSSEC is een andere bouwsteen, HTTP/2 is een bouwsteen die compression en padding ondersteunt, RFC 8467 is een bouwsteen die uitwerkt hoe je dat bij DNS-queries goed toepast.

Ik zie vooral webaapjes die allerlei wielen hoekig en kantig heruitvinden en eigenlijk zelf ook niet weten hoe die nieuwelijk “verbeterde” wielen dan nuttig in moeten zetten. Het verhaal klopt gewoon niet.

Een degelijke implementatie voor domain name queries maken bestaat niet uit het toepassen van één allesomvattende bouwsteen maar uit het toepassen van een heel assortiment bouwstenen, net zo goed als een huis niet alleen uit zijn fundering of alleen zijn muren of alleen het dak bestaat, maar uit al die onderdelen (en meer). De verantwoordelijkheid voor een goede implementatie ligt bij de makers van de software, het is aan hun om alle bouwstenen die benodigd zijn voor een degelijk product toe te passen.

En dit raakt kant nog wal. Je kan niet gewoon een blik bouwstenen opentrekken en vertellen “bouw maar iets, dan krijg je vast wel iets degelijks”.https://www.security.nl/posting/624120/EFF+roept+providers+op+om+DNS-over-HTTPS+te+ondersteunen?channel=rss

doorSecuratis

Bunq en Unicef lekken gebruikersgegevens door e-mailfout

De Nederlandse bank Bunq en Unicef hebben door een fout met e-mail de gegevens van gebruikers gelekt. In het geval van Bunq ging het om de gegevens van meer dan tachtig gebruikers die feedback naar de bank hadden gestuurd.

De bank liet in een e-mail aan deze gebruikers weten dat het ging stoppen met het e-mailadres in kwestie, maar had de e-mailadressen in het To-veld geplaatst. Daardoor waren de e-mailadressen van 82 gebruikers voor iedereen zichtbaar, zo meldt Iwan Verrips van BNR op Twitter. In een excuusmail meldt Bunq dat het de interne procedures gaat aanpassen om herhaling te voorkomen en vraagt de gebruikers in kwestie om de e-mail te verwijderen.

De bank verklaart tegenover BNR dat het geen melding bij de Autoriteit Persoonsgegevens hoeft te doen omdat het alleen om e-mailadressen gaat. In mei van dit jaar verstuurde de privacytoezichthouder zelf een e-mail waarbij het per ongeluk via het CC-veld de e-mailadressen van tientallen journalisten en redacties lekte. De Autoriteit Persoonsgegevens meldde het datalek vervolgens bij zichzelf.

Tegenover Het Parool liet de toezichthouder destijds weten dat een soortgelijk lek niet altijd reden is om melding te maken. “Over of dit een datalek is waarbij een meldplicht geldt, valt nog te discussiëren. Omdat wij hierin zo transparant mogelijk wilden zijn hebben we de fout wel gewoon gemeld”, aldus Sandra Loois, woordvoerder van de Autoriteit Persoonsgegevens.

Unicef

In het geval van Unicef werden de persoonlijke gegevens van meer dan 8200 gebruikers van een online leerportaal naar bijna 20.000 gebruikers van hetzelfde portaal gestuurd. Unicef biedt via het Agora-portaal allerlei trainingen over kinderrechten, humanitaire acties, onderzoek en andere zaken. Via het portaal is mogelijk voor Unicef-medewerkers om rapportages over gebruikers te maken en die via e-mail te versturen.

Door een fout van een medewerker werd een spreadsheet met informatie van 8253 Agora-gebruikers, waaronder namen, e-mailadressen, standplaatsen, geslacht, organisatie, manager, contractvorm en andere profielgegevens, naar bijna 20.000 andere gebruikers gestuurd. Na ontdekking van het datalek heeft Unicef de mogelijkheid om rapportages via Agora te versturen geblokkeerd, zo laat het tegenover Devex weten.

Gebruikers zijn in een vervolgmail gevraagd om de e-mail en het bestand met persoonsgegevens te verwijderen. Unicef heeft het datalek niet bij toezichthouders gemeld, omdat het naar eigen zeggen als VN-entiteit niet onder de AVG valt.

https://www.security.nl/posting/624111/Bunq+en+Unicef+lekken+gebruikersgegevens+door+e-mailfout?channel=rss

doorSecuratis

Surveillancebedrijf zou telefoons via speciale sms’jes lokaliseren

Een surveillancebedrijf dat voor verschillende overheden werkt zou al twee jaar lang duizenden mensen hebben bespioneerd door speciaal geprepareerde sms-berichten naar hun mobiele telefoon te sturen, zo claimt securitybedrijf AdaptiveMobile dat de gebruikte techniek “SimJacker” noemt.

Om de aanval uit te voeren wordt er een sms naar de mobiele telefoon van het doelwit gestuurd. Dit sms-bericht bevat SIM Application Toolkit (STK)-instructies voor de simkaart van het toestel. De STK is een standaard en bestaat uit een verzameling van commando’s die bepalen hoe de simkaart op de buitenwereld moet reageren. Het wordt voor allerlei diensten gebruikt, zoals mobiel bankieren en browsing. Wanneer de STK wordt gebruikt voert de simkaart commando’s onafhankelijk van het toestel en het netwerk uit.

De instructies in het sms-bericht van de aanvaller maken misbruik van de S@T Browser die op simkaarten aanwezig kan zijn. Via deze software wordt de locatie en het IMEI-nummer van het toestel opgevraagd. Vervolgens wordt deze informatie via sms naar de aanvaller gestuurd. Gebruikers krijgen het sms’je van de aanvaller niet te zien. De code in het bericht wordt automatisch uitgevoerd.

De aanval is alleen mogelijk wanneer de geprepareerde sms-berichten worden toegestaan en de S@T Browser op de simkaart van de telefoon aanwezig is. Volgens AdaptiveMobile is de S@T Browser niet erg bekend en ook vrij oud. Het oorspronkelijke doel was om verschillende diensten mogelijk te maken, zoals het opvragen van saldogegevens. Het S@T-protocol zou nog door telecomproviders in minstens dertig landen worden gebruikt.

AdaptiveMobile stelt dat het meerdere aanvallen heeft gezien waarbij de techniek is ingezet. De aanval zou zijn ontwikkeld door een specifiek bedrijf dat in opdracht van overheden personen monitort. De naam van dit bedrijf wordt echter niet genoemd. Informatie over de aanval is inmiddels gedeeld met de SIMalliance, een organisatie van industriespelers ie zich met richtlijnen en specificaties voor mobiele diensten bezighoudt. De SIMalliance is nu met aanbevelingen voor providers gekomen om illegale binaire sms-berichten te blokkeren (pdf).

Image

https://www.security.nl/posting/624042/Surveillancebedrijf+zou+telefoons+via+speciale+sms%27jes+lokaliseren?channel=rss

doorSecuratis

HagaZiekenhuis weet nog niet hoe patiëntenlijst kon lekken

Het HagaZiekenhuis in Den Haag weet nog niet hoe afgelopen zaterdag patiëntenlijsten met gevoelige informatie in het winkelwagentje van een Rijswijkse supermarkt konden belanden. Dat heeft het ziekenhuis in een update over het incident laten weten.

Afgelopen zaterdag werd bekend dat iemand patiëntenlijsten, die onderdeel van een dienstoverdracht uitmaakten, in een winkelwagentje van een Rijswijkse supermarkt had aangetroffen. Volgens het HagaZiekenhuis stonden gegevens van negentien patiënten op de lijsten. Het ging om naam, geslacht, geboortedatum, opnamereden, behandelend arts, behandelbeleid en verpleegkundige aandachtspunten.

Deze gegevens staan ook in een digitaal dossier van de patiënt. Tijdens de diensten wordt er echter van een papieren overdrachtsformulier gebruikgemaakt, aldus het ziekenhuis. De formulieren moeten na afloop van de dienst in een afgesloten papierbak of papierversnipperaar worden gedaan. Hoe het kan dat dit niet is gedaan wordt nu onderzocht.

“We doen er alles aan om onze systemen te beveiligen en we geven verplichte trainingen. Daarnaast spreken we continue al onze medewerkers aan op gedrag. Dit blijven we doen”, zo schrijft het ziekenhuis in de update. Het ziekenhuis voegt toe dat medewerkers die onzorgvuldig met patiëntgegevens omgaan eerst een officiële waarschuwing van de directie ontvangen. Bij herhaling volgt ontslag op staande voet.

https://www.security.nl/posting/624036/HagaZiekenhuis+weet+nog+niet+hoe+pati%C3%ABntenlijst+kon+lekken?channel=rss

doorSecuratis

Taakstraf van 80 uur voor fraude met OV-chipkaarten

Een verdachte die in 2014 fraudeerde met OV-chipkaarten is in hoger beroep veroordeeld tot een taakstraf van 80 uur. Begin dit jaar werd de man nog tot een taakstraf van 60 uur en een geldboete van 2.000 euro veroordeeld. Hij ging echter tegen het vonnis in beroep.

Trans Link Systems (TLS), uitgever van de ov-chipkaart en beheerder van tegoeden van OV-chipkaarthouders, ontdekte dat er in april 2014 was gefraudeerd met vier OV-chipkaarten. Het beginsaldo van de transacties op de kaarten kon niet worden gerelateerd aan het eindsaldo van de voorgaande transactie. Zonder dat dit zichtbaar was in de systemen van TLS had iemand het saldo op de kaarten opgewaardeerd.

Verder bleek dat de betreffende kaarten voor een “refund” waren aangeboden aan de balie van Rotterdam Centraal en bij de servicewinkel van de RET. Daarbij kregen de kaarthouder telkens het gehele kaartsaldo contant uitbetaald. In december 2014 vond er een huiszoeking bij de verdachte plaats, waarbij een laptop werd aangetroffen met daarop software die het mogelijk maakt om OV-chipkaarten te manipuleren en software om kaartlezers van een bepaald type te laten functioneren.

In de auto van de partner van de verdachte werd eenzelfde type kaartlezer aangetroffen. De rechter oordeelde in februari van dit jaar dat het vaststond dat de verdachte het saldo op de OV-chipkaarten had aangepast. De man werd veroordeeld wegens computervredebreuk, oplichting en het in bezit hebben van een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een misdrijf.

De verdachte stelde in zijn beroep dat hij ten onrechte als het brein achter de manipulatie van de OV-chipkaarten wordt gezien. De feiten waren niet door hem, maar mogelijk door de medeverdachten gepleegd. Het hof verwierp het verweer, aangezien er voldoende bewijs is waaruit blijkt dat de verdachte de OV-chipkaarten heeft gemanipuleerd. Daarnaast ging het hof ook nog in op de kaartlezer. Het apparaat is geen hulpmiddel gemaakt of ontworpen voor het plegen van misdrijven. De software voor het manipuleren van OV-chipkaarten is dat wel, aldus het hof.

Hoewel de verdachte opnieuw schuldig is bevonden hoeft hij de geldboete van het hof vanwege zijn financiële situatie niet te betalen. In plaats daarvan werd er besloten om de duur van de taakstraf te verhogen. In februari kreeg de man nog een taakstraf van 60 uur opgelegd. Nu besloot het hof daar 90 uur van te maken. Omdat de redelijke termijn tussen aanhouding en eindvonnis is overschreden gaf het hof een strafkorting van ongeveer 10 procent, waardoor de taakstraf op 80 uur uitkomt.

https://www.security.nl/posting/623917/Taakstraf+van+80+uur+voor+fraude+met+OV-chipkaarten?channel=rss

doorSecuratis

Juridische vraag: Waarom wordt er tegenwoordig overal om toestemming voor het verwerken van mijn gegevens gevraagd?

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Wil je weten wat onder de AVG nu wel en niet is toegestaan of zit je met andere gerelateerde dilemma’s? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Vraag: Van mijn garagebedrijf kreeg ik een toestemmingsformulier voor het verwerken van mijn gegevens: opname in klantenbestand, verstrekking van mijn persoonsgegevens aan derden in het kader van betalingen en verstrekking van mijn persoonsgegevens aan partners in het kader van een goede dienstverlening, zover dit nodig is. De toestemmingen die hier gevraagd worden zijn volgens mij gewoon nodig om mijn auto te kunnen herstellen en lijken mij dus overbodig, zou hij zonder toestemming anders geen factuur sturen? Lijkt me niet. Waarom doet iedereen dat?

Antwoord: Dit is niet direct een securityvraag, maar ik zie dezelfde onzin opduiken bij wel security-gerelateerde kwesties dus ik behandel hem hier toch even. (Voorbeelden in de securitysfeer: toestemming om werknemers te mogen volgen, toestemming op een pc in te loggen als reparateur, toestemming voor cameratoezicht en monitoren wifi in hotel.)

Als ik even zo vrij mag zijn op donderdagochtend: dit is pertinente onzin, en wie toestemmingsformulieren zit te maken onder de AVG mag daar gelijk mee ophouden. Kan me niet schelen wat je doet, je doet het fout. Behalve als je met nieuwsbrieven bezig bent.

Om een of andere reden hebben mensen het idee gekregen dat je onder de AVG overal toestemming voor moet vragen. Ik denk dat dat komt omdat toestemming als de eerste van de zes grondslagen in de wet staat (artikel 6.1 AVG) en men daarna ophoudt met lezen. Een kapitale fout wat mij betreft, met schandalige gevolgen zoals dat kinderen niet naar de tandarts gaan (wat ook volgens de AP onzin is.) Toestemming is de minst zinvolle en minst werkbare grondslag, en als organisatie moet je niet willen werken onder die grondslag.

Het hele idee achter de AVG is dat je eigenlijk alleen persoonsgegevens gaat gebruiken als het niet anders kan. Bij die garage: je hebt gegevens nodig voor de overeenkomst, je wilt je factuur betaald krijgen en soms moeten gegevens ingewonnen bij de dealer of gaat een stukje van het werk door een ander (zoals de verzekeraar). Dat mag gewoon van de AVG, we noemen dat “noodzaak overeenkomst”, grondslag b.

Ook kun je je vaak beroepen op de grondslag van het eigen legitiem belang (sub f), waarbij je dus een afweging van belangen maakt. Toestemming vragen is daarbij niet aan de orde. Verwarrend is daarbij wel dat je vaak een opt-out invoert als deel van die belangenafweging, want met opt-out houd je meer rekening met mensen hun privacybelang, maar die opt-out is heel wat anders dan toestemming. En je moet niet vergeten die afweging daadwerkelijk te maken en op papier te zetten, dat is waar Manfield over struikelde toen ze vingerafdrukherkenning wilde inzetten bij hun personeel.

Mij bekruipt het gevoel dat mensen niet weten hoe zo’n afweging te maken, of het eng vinden een standpunt in te nemen en dan maar toestemming gaan vragen. “Dan zit je in ieder geval goed, toch?” Nope. Al is het maar omdat je óók bij toestemming een noodzakelijkheids- en proportionaliteitstoets moet maken, en geen hond die dat doet bij z’n toestemmingsformulier.

Maar belangrijker: toestemming kan op ieder moment worden ingetrokken, zonder opgaaf van redenen en zonder enige consequentie. Als je dus een bedrijfsproces hebt dat afhankelijk is van toestemming, dan moet je er dus vanuit gaan dat je bedrijfsproces stilstaat omdat niemand toestemming geeft. Ik kan me niet voorstellen dat dat een nuttig bedrijfsproces is.

Behalve nieuwsbrieven dus. Die verstuur je met toestemming (opt-in) en het is geen ramp als iemand die toestemming intrekt. Dan haal je ‘m gewoon uit het bestand. Specifiek daar zie ik toestemming wel werken.

Maar afgezien van nieuwsbrieven dus is er géén zakelijk belang denkbaar waarbij je gaat drijven op toestemming. Ook niet in de securitywereld. Doorzoekingen, monitoring, surveillance: legitiem belang noem je dat, en je neemt natuurlijk gepaste maatregelen om de privacy van je personeel, klanten of bezoekers te beschermen onder het kopje van de belangenafweging. Kom je er niet uit met die afweging (“Laptops van bezoekers moeten bij de receptie worden voorzien van MDM software inclusief machtiging tot wissen ter discretie van security officer”) dan heeft toestemming ook weinig zin. Die trekken mensen 1 seconde later rechtmatig weer in, en dan?

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

https://www.security.nl/posting/623905/Juridische+vraag%3A+Waarom+wordt+er+tegenwoordig+overal+om+toestemming+voor+het+verwerken+van+mijn+gegevens+gevraagd%3F?channel=rss