Gepubliceerd: Vrijdag 15 mei 2009
Bedrijven die privacy schenden of data lekken komen daar in Europa veel te eenvoudig mee weg. Dat moet harder, vindt bijna iedereen. Maar hoe dan?
Toon volledig artikel
Is wel eens nagegaan in hoeverre bedrijfssoftware pakketten (bijv. SAP, Oracle) en webwinkelpakketten (bijv. OSCommerce) voldoen aan de Nederlandse privacywetgeving?????
Wanneer dat niet het geval is, houden het halve bedrijfsleven en delen van de overheid zich misschien niet aan de wet.
Beter nog: de overheid zou aangepakt moeten worden voor het lekken van persoonsgegevens met behulp van rfid's.
Ja.
Je bent verplicht een identiteitskaart te kunnen tonen op bepaalde gelegenheden. Er worden alleen identiteitskaarten (paspoort, rijbewijs, id kaart) in nederland uitgegeven die draadloos maar wat graag jouw persoonsgegevens willen prijsgeven.
Een standaard nokia telefoon met nfc support is al in staat om die gegevens op te vangen.
Volgens mij is dat het vaststellen van identiteit op basis van biometrische gegevens. Ik denk dat RFID voor personen-identificatie al gepasseerd is voordat het goed en wel wordt gebruikt.
Binnen enkele jaren wordt ieder persoon feilloos erkend, zonder RFID, op meters afstand.
Daar kun je moeilijk op tegen zijn, want er wordt niets met jou gedaan om dit mogelijk te maken. Je verraadt (als het ware) jezelf.
Achja, bedrijven vechten hier om een ereplaats met allerlei onbetaalbare en achterhaalde innovaties. Typisch Nederlands. De Russische KGB identificeert personen al sinds jaren met GNR (Genetische Frequentie Resonantie) op tientallen meters afstand. Alleen voor eeneiige tweelingen zijn nog andere methoden nodig om ze te onderscheiden.
Waar ligt dan de grens? Als er computer wordt gestolen uit een bedrijf is dan het bestolen bedrijf vervolgens aansprakelijk voor de gegevens die er op staan?
Dit betekent dat b.v. artsen, tussenpersonen bij verzekeraars tandartsen, bibliotheken, reisburo's hun computer in een goede en dus dure kluis moeten zetten of zoiets????
Hoeveel waarde heeft welke data? een achternaam 1 euro??
Schijfencryptie met een fysiek toegangstoken+wachtwoord dat niet bij de PC bewaard wordt geeft een hele nette beveiliging. Ik heb het zelf voor precies nul euro geimplementeerd op de FreeBSD-PC op mijn werk die open en bloot voor een zeer goed toegankelijk enkelglas kantoorraam staat. Ik gebruik deze PC voor beheerderstaken op een groot aantal servers en netwerken dus de harddisk bevat nogal wat info die waardevol genoemd zou kunnen worden. Ik wens je echter veel sterkte bij het decrypten van mijn schijf. De key wordt bij het opstarten eenmalig geladen van een USB-stickje dat daarna weer uit de PC gaat en terug aan de sleutelbos in mijn broekzak.
Is een goeie en dat is niet te kraken?
zie http://pcmagazine.zdnet.be/news/89036/ram-geheugen-verraadt-encryptiesleutels/
Alles is te kraken, dus ook schijfencryptie. Maar: mijn PC gaat aan het einde van de dag helemaal uit (stroomonderbreker) en dan gaat de inhoud van RAM binnen een paar minuten helemaal verloren. Dat zou dus betekenen dat de aanvaller binnen een paar minuten mijn kantoor moet openbreken, mijn PC moet openen (zit een hangslot op de behuizing), en vervolgens de RAM-chips moet behandelen met vloeibare stikstof. Deze hele aanvalsmethode is te ondervangen met eenmalige sleutels, maar dat geeft heel veel rompslomp tegen een kleine meerwaarde in veiligheid.
Het lastige met zwaarder straffen bij incidenten is, dat dit per definitie alleen after the fact kan. De schade is dan al niet meer ongedaan te maken. (je kan informatie lekken, maar nooit ontlekken)
Het enige wat je buitenstaander (dus zonder zicht op de bedrijfsprocessen) kan doen, is aan de bel trekken indien je een sterk vermoeden hebt dat een bedrijf of instelling onrechtmatig gegevens van jou (of iemand anders, of wie dan ook) bezit, verwerkt of verspreidt. Dit soort signalen is in ruime mate beschikbaar, met een gerechtelijk bevel of een verruimde opsporingsbevoegdheid kan er best eens binnen de bedrijfsadministraties en -processen gekeken worden.
Immers: in de huidige vorm ligt alle resico bij de burger (of samenleving), de vermeende overtreders lopen geen enkel risico.
Dit lijkt mij een goede manier om in ieder geval de omvang van de gegevensverzamelingen beperkt te houden, en de bedrijven en instellingen met de neus op de wet te drukken.
Dat websiteeigenaar of microsoft tussenkopje-dingetje is een deelprobleem: ketenaansprakelijkheid. wie de dader is, is voor het slachtoffer (of de samenleving als geheel) niet belangrijk; zodra het eenmaal gebeurd is. Veel belangrijker is dat het niet gebeurt. En die verantwoordelijkheid ligt dus primair bij de houder / bewerker. De rest komt later. Het is ronduit onzinnig om, als er twee miljoen patientenrecords op straat liggen, te gaan lopen bakkeleien over de schuldvraag. Je bent dan toch al te laat.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
