45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Misdaad voorspellen, het kan echt met het ‘Criminaliteits Anticipatie Systeem’ (CAS)

Nederland is op weg het eerste land ter wereld te worden waar de politie overal inbraak en roof voorspelt met ‘big data’. 

Het is géén „glazen bol”, volgens de Nationale Politie. Toch probeert een nieuw computersysteem de plaats en het tijdstip van zakkenrollerij, straatroof, geweld, diefstal en bedrijfsinbraken te voorspellen. Maandag presenteerde de politie resultaten van proefprojecten in onder meer Hoorn, Enschede, Groningen en Den Haag. De politie wil dit ‘Criminaliteits Anticipatie Systeem’ (CAS) nog dit jaar invoeren in heel Nederland. Lukt dat, dan is Nederland het eerste land ter wereld waar predictive policing in alle regio’s wordt toegepast. In andere landen, zoals het Verenigd Koninkrijk of de Verenigde Staten, gebeurt het alleen lokaal.

CAS gebruikt data, héél veel data. Hoe meer gegevens het systeem heeft, hoe slimmer het voorspelt. Algoritmen bepalen waar en wanneer de politie een verhoogde kans op criminaliteit kan verwachten. De politie speelt daarop in. Het systeem wordt nu ingevoerd naar alle 168 basisteams van de politie. Op dit moment krijgen tientallen politieteams al elk weekend een set kaarten met voorspellingen over de volgende week. Op basis van deze kaarten met voorspellingen worden van sommige politieteams al de roosters opgesteld. Het algoritme vertelt niet waaróm een bepaald delict kan worden verwacht; het laat conclusies trekken over aan lokale agenten.

CAS verschilt nog flink van het beeld uit Minority Report: het systeem wijst geen individuen aan omdat ze mogelijk een delict willen plegen, maar houdt het bij wijken waar het risico op criminaliteit hoger is. Ook worden geen gegevens over etniciteit met het systeem gedeeld. Toch is niet uit te sluiten, zegt Melchers, dat bijvoorbeeld wijkagenten met hun kennis op basis van de kaarten met voorspellingen conclusies trekken wie bepaald crimineel gedrag zou kunnen gaan vertonen.

CAS lijkt in de huidige vorm niet zo ingericht dat het allerlei privacyalarmbellen doet afgaan, zegt Nico van Eijk, hoogleraar informatierecht. „Over het algemeen is de norm: data-analyse tot op postcodeniveau is relatief acceptabel, maar analyseren op persoonlijk niveau is een ander verhaal.”

Toch wijst Van Eijk op het gevaar dat een systeem, wanneer het effectief blijkt, wordt uitgebouwd en geleidelijk morele grenzen overschrijdt. Wordt CAS bijvoorbeeld in de toekomst gekoppeld aan andere politiesystemen, zoals slimme camera’s waarmee verdacht gedrag wordt vastgesteld? Inlichtingendiensten in Nederland hebben te maken met een toezichthouder, maar er is geen onafhankelijke partij die het gebruik van CAS controleert.

Alles bij de bron; pdfNRC


 

‘Hey there! I’m updating my WhatsApp privacy settings’

In mijn artikelreeks ‘Dilemma’s van digitalisering’ stip ik aan dat het tegenwoordig eenvoudig is om persoonlijke gegevens uit openbare databases te halen en dat dit vaak niet wenselijk is. Maar het kan ook andersom: zo toonde Loran Kloeze begin mei aan dat je in een handomdraai een database kunt aanleggen met telefoonnummers, profielfoto’s en de bijbehorende status van bijna alle WhatsApp-gebruikers.

De gebruiker hoeft daarvoor niet in je contactenlijst te staan. Het gaat daarbij ook om informatie over op welke tijdstippen iemand op WhatsApp online is. De enige voorwaarde is dat de privacy-instellingen niet door de gebruiker zijn aangepast. Een onaangename verrassing...

...Het feit dat het relatief eenvoudig is om een grootschalige database van WhatsApp-gebruikers aan te leggen via de webversie van WhatsApp, is een goed voorbeeld van een systeem dat ontworpen is zonder de privacy van gebruikers centraal te stellen. De standaardinstelling zou zo moeten zijn dat jouw privacy gewaarborgd is en jouw WhatsApp-informatie niet zomaar in een database kan belanden.

Zolang dat niet aan de orde is, en bedrijven bepalen of het al dan niet een issue is dat iedereen jouw status en onlinemomenten op WhatsApp kan zien, zit er maar één ding op: je moet zelf goed op je digitale identiteit passen. Dus, had jij je privacy-instellingen van je account bij WhatsApp nog niet aangepast, doe dat dan alsnog of kies in ieder geval bewust wat je wel of niet wilt delen. Hier lees je hoe je je instellingen kunt aanpassen. En als je dan toch bezig bent, doe dat dan ook meteen voor Twitter (want met de nieuwe privacy-update staan er weer allerlei vinkjes standaard aan die je vast uit wilt zetten).

Alles bij de bron; BoF


 

AP: ‘Ombudsman voor de privacy’

Vanaf 25 mei 2018 geldt er in de Europese Unie (EU) dezelfde privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG). Deze komt in de plaats van de huidige Wet bescherming persoonsgegevens. Met de AVG ontstaat binnen de EU een gelijk speelveld voor organisaties die persoonsgegevens verwerken. Samengevat zijn de belangrijkste effecten van de AVG:

  • Privacyrechten van burgers bij de verwerking van hun gegevens worden versterkt

Organisaties moeten bewijzen dat wanneer om toestemming gevraagd wordt zij ook geldige toestemming van de consument hebben gekregen om hun persoonsgegevens te verwerken. Ook moet het voor mensen net zo gemakkelijk zijn om hun toestemming in te trekken als om deze te geven. 

Voor ‘toestemming’ gelden vier criteria, licht Wolfsen toe: ‘Vrij, specifiek, geïnformeerd – dat je weet waar je ‘ja’ tegen zegt - en ondubbelzinnig. Als iemand bij ons een klacht indient en aangeeft dat er op onrechtmatige wijze persoonsgegevens worden verwerkt, nemen we contact op met het desbetreffende bedrijf en dat moet dan aantonen hoe het proces van toestemming is verlopen. En als dat niet op orde is, dan leggen we een boete op.’

  • Verantwoordelijkheid van organisaties die gegevens verwerken, wordt aangescherpt

De nadruk komt - meer dan nu - te liggen op de verantwoordelijkheid van organisaties zélf om de wet na te leven én om te kunnen aantonen dat zij zich aan de wet houden (accountability).

  • Bevoegdheden van de AP en haar Europese collegae worden aanzienlijk verstevigd

Met de intrede van de AVG op 25 mei volgend jaar wordt ook de European Data Protection Board geïnstalleerd. Wolfsen spreekt van een ‘Europese bank-achtige structuur’ en hij zal zelf deel uit maken van de board, evenals zijn Europese vakbroeders. ‘De board maakt beleid en fungeert ook als een soort rechter als er tussen twee landen discussie is. Wij kunnen dat agenderen en een besluit erover nemen. De Europeanisering van de AVG is daarmee een feit.’ Tegelijk worden de bevoegdheden van de nationale autoriteiten verstevigd. ‘We kunnen meer, we mogen meer en we moeten meer. We krijgen een Ombudsman-achtige functie en onze wetgevingsadvisering blijft. Onze correctiemogelijkheden worden bijna draconisch verhoogd.

Wolfsen refereert aan de vier fundamenten van de Nederlandse rechtsorde: gelijkheid, solidariteit, democratie en vrijheid. ‘Het klinkt misschien wat zwaar, maar als toezichthouder helpen wij de Nederlandse rechtsorde te bewaken. Privacy behoort tot de vrijheidsrechten, net zoals vrijheid van geloof en vrijheid van meningsuiting. Wanneer je als overheid niet de privacyrechten van mensen waarborgt, dan kan er gehandeld worden in strijd met de fundamenten van de rechtstaat. Dus het gaat wel ergens over.’

Alles bij de bron; Computable


 

NSA meldde pas na 5 jaar de kwetsbaarheden aan Microsoft voor Shadowbrokers-publicatie

De Amerikaanse militaire inlichtingendienst NSA was de partij die Microsoft heeft gewaarschuwd voor de lekken waarvoor de Shadowbrokers onlangs verschillende exploits publiceerden. Op basis van die informatie was Microsoft in staat om in maart een patch uit te brengen. 

De NSA gebruikte een van de tools, Eternalblue, gedurende een periode van vijf jaar. In die tijd ging er al een discussie binnen de organisatie of de ernst van het onderliggende SMB-lek ernstig genoeg was om Microsoft op de hoogte te stellen, zo vertellen voormalige NSA-medewerkers aan de krant. Een van de medewerkers, die allemaal anoniem willen blijven, zegt dat de hoeveelheid inlichtingen die met de tool kon worden verkregen 'onwerkelijk' was; een andere medewerker zegt dat het 'net als vissen met dynamiet' was.

Voormalig NSA-directeur Keith Alexander stelde dat de overheid zijn hacktools beter moet beschermen.

Alles bij de bron; Tweakers 


 

EU legt Facebook 110 miljoen euro boete op voor misleiding bij overname WhatsApp

De Europese Commissie heeft Facebook een boete van 110 miljoen euro opgelegd voor het geven van misleidende informatie bij de overname van WhatsApp. Ondanks een ontkenning van Facebook bleek het toch mogelijk privégegevens van gebruikers van Facebook en WhatsApp te combineren.

Commissielid Margrethe Vestager, die over mededinging gaat, zei dat van het boetebesluit een duidelijk signaal uitgaat naar bedrijven dat zij zich moeten houden aan alle EU-regels rondom overnames, waaronder de verplichting om correcte informatie te verschaffen.

Volgens de Commissie heeft Facebook niet alleen tot twee keer toe misleidende informatie verschaft over het kunnen combineren van gebruikersaccounts, maar was het bedrijf zich ook bewust van de mogelijkheid om deze gegevens te combineren. De Commissie noemt het schenden van de verplichtingen door Facebook 'nalatig'. 

Het is de eerste keer dat de Commissie een boete heeft opgelegd aan een bedrijf voor het geven van misleidende informatie in het kader van een overname. De reden waarom de boete is vastgesteld op 110 miljoen in plaats van 247 miljoen euro, hangt samen met verzachtende omstandigheden, zoals het feit dat Facebook met de Commissie heeft samengewerkt in het onderzoek. Ook heeft Facebook toegegeven de regels te hebben overtreden en heeft het bedrijf afgezien van een openbare hoorzitting, waardoor de Commissie het onderzoek beter heeft kunnen uitvoeren.

Alles bij de bron; Tweakers


 

Versleuteling van DigiD-gegevens voldoet niet aan eisen

DigiD-gegevens worden gedeeltelijk versleuteld opgeslagen, maar de gebruikte encryptie voldoet niet aan de gestelde eisen, zo blijkt uit onderzoek (pdf) van de Algemene Rekenkamer naar het ministerie van Binnenlandse Zaken. Het ministerie heeft vorig jaar verschillende acties ondernomen om deze beveiligingsrisico's weg te nemen. Iets dat in mei vorig jaar door middel van een onafhankelijke audit is bevestigd.

De Rekenkamer meldt nu dat DigiD-gegevens gedeeltelijk worden versleuteld, maar dat de gebruikte encryptie niet volledig voldoet aan de gestelde eisen van het Tijdelijk besluit nummergebruik overheidstoegangsvoorziening uit 2004. "Omdat op andere manieren veiligheidsmaatregelen zijn genomen die het risico van misbruik van gegevens tot een gering risico beperken, heeft het ministerie in oktober 2016 het besluit genomen het restrisico te accepteren", aldus de Rekenkamer.

Verder vraagt de Rekenkamer ook aandacht voor het gebruik van DigiD. Van de ongeveer 250 miljoen maal dat gebruik wordt gemaakt van DigiD, is dat in 90 procent van de gevallen met een eenvoudig wachtwoord én zonder sms (tweefactorauthenticatie). "In veel gevallen is dit lage betrouwbaarheidsniveau niet conform de regels, bijvoorbeeld bij het raadplegen van fiscale of donorgegevens", schrijft de Rekenkamer. 

Allesbij de bron; Security


 

Aantal telefoon- en internettaps politie nagenoeg gelijk gebleven

Het aantal door de politie uitgevoerde telefoon- en internettaps is vorig jaar nagenoeg gelijk gebleven ten opzichte van 2015, zo blijkt uit het vandaag gepubliceerde Jaarverslag van het ministerie van Veiligheid en Justitie (pdf). Vorig jaar werd er voor bijna 25.000 nummers een bevel tot aftappen gegeven.

Ruim 700 meer dan een jaar eerder het geval was. In eerste instantie werd er nog onderscheid gemaakt tussen telefoontaps en internettaps, maar dat is sinds de invoering van een nieuwe interceptiestandaard in 2014 niet meer het geval. Verder blijkt dat het aantal verzoeken bij providers om de telecomgegevens van Nederlanders licht daalde. Bij het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) kwamen bijna 1,7 miljoen vragen binnen. In 2015 ging het nog om ruim 1,7 miljoen vragen.

Bron; Security