Note-to-self: KopieID (to blur your ID card fotocopy)

Source:

• Netherlands: https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/veilige-kopie-identiteitsbewijs
• Belgium: https://kopieid.be/nl/

As explained here (in Dutch) and here (Dutch), it’s a terrible ID (sorry, idea), to copy your identity card and hand over the unprotected copy to someone….

Therefore it’s highly interesting to protect the photocopy against abuse, in the ultimate case you need a photocopy of your identity card…

KopieID NL

In the Netherlands the government has provided an app for your mobile phone, to take a photo of your ID and then blur the redundant information and to add a remark / watermark to indicate the purpose limitation.

Check it out here:

They also provide an interesting video explanation:

KopieID BE

In Belgium, there is a website (without app) that does the same, see here:

References

Source articles:

• (Dutch) https://www.linkedin.com/pulse/denk-2-keer-na-voor-je-een-fotokopie-laat-maken-van-peter-geelen-/
• (Dutch) https://www.linkedin.com/pulse/wat-dan-het-probleem-met-een-kopie-van-je-eid-extract-peter-geelen-/

Reference material from the articles:

• Ministry of Privacy Magazine: https://ministryofprivacy.eu/wat-we-doen/magazine-ministry-privacy/
• (LinkedIN) Het gebruik van uw identiteitskaart als waarborg?
• (GBA BE) Aanbeveling uit eigen beweging over het nemen van een kopie van de identiteitskaart en over het gebruik en de elektronische lezing ervan (CO-AR-2010-008)
• Dossier eID : https://www.gegevensbeschermingsautoriteit.be/burger/thema-s/elektronische-identiteitskaart-eid
• Zoek Overige eID topics: https://www.gegevensbeschermingsautoriteit.be/burger/zoeken?q=eid
• [GBA BE] Welke wetgeving is van toepassing?: https://www.gegevensbeschermingsautoriteit.be/eid

Picture credits: Image by mohamed Hassan from Pixabay 

Image source: https://pixabay.com/illustrations/hack-fraud-card-code-computer-3671982/

Note-to-Self: workaround for bcc (blind copy) of meeting requests in Outlook

---

This article has also been posted on Microsoft Wiki, feel free to add suggestions and extra information.

Outlook Quick Tip: workaround for bcc (blind copy) of meeting requests

Issue

For meeting requests in Microsoft Outlook, the program does not have a bcc (aka Blind copy) option to add participants to a meeting, without publishing all personal data (mail addresses) to the other participants. 

Microsoft is aware of the issue, but hasn’t fixed the option yet.

Still you can request to have this option or request this function in Outlook, via Windows Feedback hub (hit the W10 Windows button, and type feedback) of via Microsoft Tech Community or Microsoft Q&A.

Visibility of participants to other participants

When you add participants to the “Required” or “Optional” section, they can see each others mail addresses. For smaller groups of people, that probably know each other, it’s not a big thing.

But for public events, this might be an issue. And certainly for large groups of participants, this is an overload of information.

And additionally, it might be considered as an inconvenience (or even a data breach) to publish data of other participants in a large group.

Limiting visibility to other participants

For matters of data protection it would be very handy to send the invite to the participants without exposing too much data.

Work around

As the bcc: option is missing, you can add people to the “Resources” option.

Steps

Create a new meeting request.

In the meeting options select, the “Required” or “Optional” button.

Then in the resources option, add the contacts or mail addresses of the participants.

Then add the required information to the invite, including online meeting options (Teams, …) and send the mail.

Alternative option : using iCAL file option via mail

Another option is

1.  to create an meeting in your agenda,
2. add the required meeting details (including teams invite)
3. Save the meeting as iCAL file
4. Create a mail,
   1. add the iCAL file
   2. add the the participants in bbc

References

More information can be found in these articles:

Resource option

Reddit

•  https://www.reddit.com/r/Office365/comments/khfi0a/meeting_invites_in_outlook_dont_have_a_bcc_field/

iCAL Option

Slipstick

• https://www.slipstick.com/outlook/calendar/to-cc-or-bcc-a-meeting-request/

RocketIT

• https://rocketit.com/sending-emails-to-large-groups

---

Whatsapp security dichttimmeren: stap voor stap (NL)

English version here: https://identityunderground.wordpress.com/2021/06/07/whatsapp-security-lockdown-step-by-step/

Gebruik je WhatsApp, of overweeg je om het te gebruiken (of ben je uitgenodigd door contacten)?

Dan kan de onderstaande checklist je stap-per-stap in detail uitleggen om

• te evalueren of het de moeite waard is om WhatsApp te gebruiken, en
• de beveiliging van je WhatsApp dicht te timmeren, om zo veilig mogelijk te blijven als je Whatsapp wil gebruiken.

Download dit article

At the end of this article, you can also find the download link for an offline version of this article.

Als je echt om privacy geeft en het is van het grootste belang…

Zoals hieronder uitgelegd, kun je WhatsApp zeker beveiligen, maar ze hebben nog steeds je gegevens en metadata en ze definiëren de regels waarmee WhatsApp de show uitvoert. En dat kan veranderen, wanneer ze maar willen.

En je moet weten dat WhatsApp eigendom is van en wordt beheerd door Facebook. En Facebook heeft al bewezen dat ze een echt slechte reputatie hebben als het gaat om privacy …

Als je echt niet wilt toegeven qua privacy, kijk dan eens naar alternatieven die niet zijn gebouwd door bedrijven die geld verdienen met je persoonlijke gegevens… (zie einde van dit artikel).

Het is aan jou om te beslissen welk risico je wilt nemen. Als je het gebruik van WhatsApp en je privacy wilt afwegen tegen de best mogelijke beveiliging, lees dan verder.

Als je om privacy geeft en toch Whatsapp wilt gebruiken

End-to-end encryptie

Het goede nieuws is dat WhatsApp een end-to-end encryptie gebruikt.

En hoewel Facebook of andere partijen mogelijk niet meeluisteren met uw gesprekken, kunnen de contactgegevens, de metagegevens (de gegevens over uw gesprekken) worden onderschept en eigendom zijn van / worden beheerd door Facebook / WhatsApp.

Verder is het belangrijk om te weten dat encryptie NIET van toepassing is op de WhatsApp back-ups.

Zoals hieronder wordt uitgelegd, kunt u dus overwegen whatsApp-back-up uit te schakelen om uw gegevens te beschermen.

En als je er toch voor wilt kiezen om WhatsApp te gebruiken, kun je de privacy en beveiliging in alle lagen van de applicatie beter vergrendelen.

Algemene beveiligingsregels

Minimaliseer uw gegevens

Over het algemeen is het altijd slim om uw gegevens in de applicatie te minimaliseren.

• Geef geen persoonsgegevens weg
• houd uw profielgegevens tot het minimum dat nodig is

Ga naar het WhatsApp status tabblad (rechts naast chats)

en klik vervolgens op “Instellingen” (Settings)

Ook, heel belangrijk, beperk het delen van persoonlijke gegevens, er is een specifieke set opties in het gedeelte Privacy.

• uw profiel alleen delen met vertrouwde contactpersonen
• De publicatie van
  • “laatst gezien” tijdstempel
  • profielfoto
  • status
  • groepen
  • live locatie
  • …

Stel voor elk van deze opties de juiste keuze in om delen uit te schakelen.

Kies “Alleen delen met…” (Only Share with…) > geen contactpersonen selecteren (of enkel een beperkte set vertrouwde contactpersonen)

Resultaat

Zorg er ook voor dat u het “Vingerafdrukslot” (Fingerprint lock) inschakelt, indien beschikbaar op uw smartphone.

Koperstip: voor de volgende smartphoneaankoop moet u rekening houden met de beschikbaarheid van een vingerafdrukscanner op uw telefoon.

Houd de app up-to-date

Werk uw apps continu bij, incl. WhatsApp, naar de nieuwste versie, om ervoor te zorgen dat alle beveiligingsfouten of beveiligingsproblemen meteen worden opgelost.

De meeste beveiligingsinbreuken of hacks richten zich specifiek op verouderde software.

Hoe u uw WhatsApp-beveiliging kunt vergrendelen, de controlelijst

Zonder beveiligingsconfiguratie is het vrij eenvoudig om een WhatsApp-account te kapen, omdat de eerste registratie alleen is gebaseerd op mobiele nummerregistratie en / of sms (kort bericht).

Dit maakt de eerste WhatsApp-gebruiker extreem gevoelig voor accountovername. Wees niet het volgende slachtoffer en vergrendel WhatsApp vanaf het eerste gebruik.

Whatsapp tweestapsverificatie (2FA) of multifactorauthenticatie (MFA) inschakelen

Allereerst moet je MFA inschakelen, het is een must.

Wanneer je 2FA / MFA inschakelt op de WhatsApp-instellingen, voorkom je dat iemand anders gewoon je telefoonnummer of WhatsApp-account kan overnemen.

Gebruik de sterke authenticatie van je telefoon

E-mailadres registreren voor je account

Een pincode instellen

Houd er rekening mee dat de pincode in WhatsApp geen inlogmethode is, maar een herstel- / herinstallatiefunctie.

Meer info: https://faq.whatsapp.com/android/security-and-privacy/adding-a-password/?lang=en

Maar u kunt de smartphonebeveiliging gebruiken om toegang tot toepassingen in te schakelen.

Het wordt sterk aangeraden om 2FA of MFA (multifactorauthenticatie, zoals uitgelegd in eerdere paragrafen) in te schakelen.

Whatsapp-tweestaps- of multifactorauthenticatie inschakelen

Gebruik telefoon sterke authenticatie

Vingerafdruk

Binnen de privacy-instellingen vindt u de optie “Vingerafdrukvergrendeling” (als uw smartphone de vingerafdrukscanner aan boord heeft).

Ga naar Instellingen > Account > Privacy om de vingerafdrukvergrendeling in te schakelen

Selecteer vervolgens de laatste optie (Vingerafdrukvergrendeling)

In dit vingerafdrukvergrendelingsmenu kunt u de ontgrendeling inschakelen en de time-outperiode kiezen. Hou het kort.

(Misschien is “meteen”/”immediately” een beetje lastig, zet ‘m dan op 1 minuut bijvoorbeeld…)

De beveiligingsmeldingen inschakelen

In de account settings

er is een beveiligingsoptie

Zorg ervoor dat u de optie “Beveiligingsmeldingen weergeven” inschakelt.

Dit zorgt ervoor dat u meldingen ontvangt wanneer de beveiligingscode van uw contacten verandert.

De privacy-instellingen vergrendelen

Verwijder overbodige persoonsgegevens uit uw profiel

Er is niet veel informatie die u zelf aan uw profiel kunt toevoegen.

Houd het tot het strikte minimum, en ik stel ook voor om geen persoonlijke foto toe te voegen, maar eerder een algemene foto.

Schakel in de privacyinstellingen alle publicatie van uw profielgegevens uit.

Locatietracking stoppen

Een belangrijke optie in de vorige lijst is ook het uitschakelen van locatietracking (“Live locatie”).

Back-up uitschakelen

Hoewel WhatsApp end-to-end-codering gebruikt voor zijn berichten, wordt de codering niet gehandhaafd wanneer de gegevens in de back-up worden opgeslagen

Als u zich echt zorgen maakt over privacy en beveiliging, schakelt u de back-up uit.

Trouwens, als u het verlopen van het bericht activeert, is de back-up toch overbodig…

Select de “Chats” optie

Kies in de chatoptie de optie “Chat back-up”

In de Google drive settings (tenminste voor Android devices), selecteer “Backup to Google Drive” en selecteer dan “Nooit/Never”.

Berichtvervaltijd inschakelen (berichten verdwijnen)

Als u het verlopen van berichten wilt inschakelen, moet u dit instellen op accountniveau van uw contactpersoon of op groepsniveau

Er is geen algemene beveiligingsinstelling en u kunt deze ook niet instellen op berichtniveau.

Waarschuwing

Houd er rekening mee dat het verdwijnen van berichten in WhatsApp enkele problemen kan hebben: https://www.androidauthority.com/whatsapp-disappearing-messages-feature-1173692/

Op contactniveau

Berichtvervaltijd op groepsniveau inschakelen

You can set the same options on group level too.

It’s highly suggested to enable these group options, and make sure information is not kept longer as needed.

Andere operationele beveiligingstaken

Verouderde leden uit groepen verwijderen

Het is heel belangrijk om groepen die u beheert te bewaken en overbodige leden zo snel mogelijk te verwijderen.

Zo voorkom je dat er gegevens ‘lekken’ naar deelnemers die die informatie niet nodig hebben.

Groepen verlaten die u niet meer gebruikt

Controleer groepen waarvan u lid bent en sluit deze groepen af/afsluit deze groepen als u ze niet meer nodig hebt, als u geen informatie meer wilt delen of als u niet wilt dat leden uw informatie/berichten zien.

Zo voorkomt u dat u gegevens ‘lekt’ naar deelnemers om u te zien of te volgen.

Verzoek om toegang tot gegevens

Als je de informatie wilt controleren die WhatsApp over je weet, kun je een kopie van die infromation aanvragen

Ga naar je accountinstellingen

En klik vervolgens op de optie “Informatie aanvragen”

Overweeg om andere tools te gebruiken, enkele alternatieven

Source:

• https://www.makeuseof.com/tag/forget-whatsapp-6-secure-communication-apps-youve-probably-never-heard/

Als je echt niet wilt toegeven aan privacy, kijk dan eens naar alternatieven die niet zijn gebouwd door bedrijven die geld verdienen met je persoonlijke gegevens…

• Signal (free) (https://signal.org/)
• Threema (which has versions… check https://threema.ch/en)

Referenties

Whatsapp

• WhatsApp Security: https://www.whatsapp.com/security/
• About end-to-end encryption: https://faq.whatsapp.com/general/security-and-privacy/end-to-end-encryption/?lang=en
• https://www.whatsapp.com/safety
• WhatsApp Encryption Overview: http://www.cdn.whatsapp.net/security/WhatsApp-Security-Whitepaper.pdf
• WhatsApp Stolen Accounts: https://faq.whatsapp.com/general/account-and-profile/stolen-accounts/?lang=en

Jezelf beschermen tegen WhatsApp-hacks

• https://www.csa.gov.sg/singcert/advisories/ad-2020-007

Uw gestolen account herstellen

• https://www.thequint.com/tech-and-auto/tech-news/whatsapp-account-hacked-here-is-how-you-can-recover
• https://indianexpress.com/article/technology/social/whatsapp-account-stolen-hacked-how-to-recover-6470640/

Andere bronnen – aanvullende referenties die je kan raadplegen

• https://www.theverge.com/2020/1/23/21068815/whatsapp-two-factor-authentication-how-to-security-privacy-hacking-pin-backup
• https://learn.tibcert.org/knowledge-base/best-practices-to-make-whatsapp-more-secure-and-private/
• https://www.wired.co.uk/article/whatsapp-privacy-security-settings
• https://www.forbes.com/sites/zakdoffman/2020/11/29/stop-using-dangerous-whatsapp-settings-on-apple-iphone-and-google-android/
• https://www.howtogeek.com/658977/how-to-secure-your-whatsapp-account/
• 8 Tips to Make WhatsApp More Secure and Private: https://www.makeuseof.com/tag/whatsapp-secure-tips/

Download

Dit artikel in het Nederlands kan je in PDF downloaden via deze link:

https://identityunderground.files.wordpress.com/2021/06/whatsapp-security-lockdown-step-by-step-nl-v1.pdf

Whatsapp security lockdown step-by-step

(NL versie vind je hier: https://identityunderground.wordpress.com/2021/06/07/whatsapp-security-dichttimmeren-stap-voor-stapnl/)

Are you using WhatsApp, or considering (or invited to, by contacts)?

Then the checklist below should provide you with detailed steps to

• consider if it’s worth using WhatsApp
• lock down the security of your WhatsApp to keep as secure as possible

Download this article

At the end of this article, you can also find the download link for an offline version of this article.

If you really care about privacy and it’s paramount…

As explained below you surely can lockdown WhatsApp, but they still have your data and metadata and they define the rules by which WhatsApp runs the show. And that can change, whenever they want.

And you should know that WhatsApp is owned and managed by Facebook.
And Facebook already has proven to maintain a really bad reputation when it comes down to privacy…

If you really do not want to give in on privacy, better check for alternatives that are not built by companies that make money with your personal data… (see end of this article).

It’s up to you to decide what risk you want to take. If you want to balance the use of WhatsApp and your privacy with the best possible security, continue to read.

If you care about privacy and still want to use Whatsapp

End-to-end encryption

The good news is, WhatsApp is using an end-to-end encryption.

And although Facebook or other parties might not listen in on your conversations, the contact data, the meta data (the data about your conversations) might be intercepted, and is owned/managed by Facebook/WhatsApp.

Furthermore it’s important to know that encryption DOES NOT apply to the WhatsApp backups.

So, as explained below, you might consider disabling WhatsApp backup to protect your data.

And if you still want to choose to use WhatsApp, better lock down the privacy and security in all layers of the application.

General security rules

Minimize your data

In general it’s always smart, to minimize your data in the application.

• Don’t give away personal data
• keep your profile data to the minimum needed

Go to the WhatsApp status tab

then click “Settings”

Also, very important, limit personal data sharing, there is a specific set of options in the Privacy section.

• only share your profile with trusted contacts
• Disable the publication of
  • “last seen” time stamp
  • profile photo
  • status
  • groups
  • live location
  • …

For each of these options set the right choice to disable sharing.

Choose “Only Share with…” > do not select any contacts (or a limited set of trusted contacts)

Result

Also make sure to enable the “Fingerprint lock” if available on your smartphone.

Buyers tip: for next smartphone purchase you must consider the availability of a fingerprint scanner on your phone.

Keep the app up to date

Continuously update your apps, incl. WhatsApp, to the latest version, to make sure that all security bugs or security issues are fixed right away.

Most of security breaches or hacks do specifically target outdated software.

How to lock down your WhatsApp security, the check list

Without security configuration it’s fairly easy to hijack a WhatsApp account, as the initial registration is only based on mobile number registration and/or SMS (short message).

This makes the initial WhatsApp user extremely sensitive to account take over. Don’t be the next victim, and lock down WhatsApp from the first use.

Enable Whatsapp Two-step (2FA) or multifactor authentication (MFA)

First of all you need to enable MFA, it’s a must.

When you enable 2FA/MFA on the WhatsApp settings, you avoid that someone else simply can take over your phone number or WhatsApp account.

Use phone strong authentication

Register email address to the account

Set a pin/password

Be aware that the PIN in WhatsApp is not a login method but a recovery/reinstallation feature.

More info: https://faq.whatsapp.com/android/security-and-privacy/adding-a-password/?lang=en

But you can use the smartphone security to enable application access security.

It’s strongly suggested to enable 2FA or MFA (multifactor authentication, as explained in previous paragraphs.

Enable Whatsapp Two-step or multifactor authentication

Use phone strong authentication

Finger print

Within the privacy settings, you can find the option “Fingerprint lock” (if your smartphone has the fingerprint scanner on board).

To enable the fingerprint lock, Go to Settings > Account > Privacy

Then select the last option (Fingerprint lock)

In this Fingerprint lock menu, you can enable the unlock and choose the time-out period. Keep it short.

(Maybe immediately is a bit inconvenient…)

Enable the security notifications

In the account settings

there is a security option

Make sure to enable the “Show Security notifications” option.

This will make sure you get notifications when the security code of your contacts change.

Lock down the privacy settings

Remove redundant personal data from your profile

There is not a lot of info you can add to your profile yourself.

Keep it to the strict minimum, and I also would suggest not to add a personal photo, but rather a general photo.

In the privacy settings, disable all publication of your profile data.

Stop location tracking

An important option in previous list is also to disable location tracking (“Live location”).

Disable backup

Although WhatsApp is using end-to-end encryption for it’s messaging, the encryption is not maintained when the data is stored in the backup

If you really are concerned about privacy and security, you disable the backup.

By the way, if you activate message expiration, the backup is redundant anyway…

Select the “Chats” option

In the chats option, choose the “Chat backup” option

In the Google drive settings (at least for Android devices), select “Backup to Google Drive” and then select “‘Never”.

Enable message expiration (disappearing messages)

To enable message expiration, you’ll need to set it on the account level of your contact or on group level

There is no general security setting, nor can you set it on the message level.

Warning

Please be aware that disappearing messages in WhatsApp might have some issues: https://www.androidauthority.com/whatsapp-disappearing-messages-feature-1173692/

On contact level

Enable message expiration on group level

You can set the same options on group level too.

It’s highly suggested to enable these group options, and make sure information is not kept longer as needed.

Other operational security tasks

Remove obsolete members from groups

It’s quite important to monitor groups you manage and remove redundant members as soon as possible.

This way you avoid ‘leaking’ data to participants who do not need that information.

Leave groups you don’t use anymore

Monitor groups you are member of, and you should quit/exit these groups if you do not need them anymore, or you do not want to share information anymore, or if you don’t want members to see your information/messages.

This way you avoid ‘leaking’ data to participants to see you or track you.

Data access request

If you want to check the information that WhatsApp knows about you, you can request a copy of that infromation

Go to your account settings

And then click the “Request Information option”

Consider to use other tools, some alternatives

Source:

• https://www.makeuseof.com/tag/forget-whatsapp-6-secure-communication-apps-youve-probably-never-heard/

If you really do not want to give in on privacy, better check for alternatives that are not built by companies that make money with your personal data…, like

• Signal (free) (https://signal.org/)
• Threema (which has versions… check https://threema.ch/en)

Reference

Whatsapp

• WhatsApp Security: https://www.whatsapp.com/security/
• About end-to-end encryption: https://faq.whatsapp.com/general/security-and-privacy/end-to-end-encryption/?lang=en
• https://www.whatsapp.com/safety
• WhatsApp Encryption Overview: http://www.cdn.whatsapp.net/security/WhatsApp-Security-Whitepaper.pdf
• WhatsApp Stolen Accounts: https://faq.whatsapp.com/general/account-and-profile/stolen-accounts/?lang=en

Protecting yourself from WhatsApp hacking

• https://www.csa.gov.sg/singcert/advisories/ad-2020-007

Recover your stolen account

• https://www.thequint.com/tech-and-auto/tech-news/whatsapp-account-hacked-here-is-how-you-can-recover
• https://indianexpress.com/article/technology/social/whatsapp-account-stolen-hacked-how-to-recover-6470640/

Other sources – additional references you can check

• https://www.theverge.com/2020/1/23/21068815/whatsapp-two-factor-authentication-how-to-security-privacy-hacking-pin-backup
• https://learn.tibcert.org/knowledge-base/best-practices-to-make-whatsapp-more-secure-and-private/
• https://www.wired.co.uk/article/whatsapp-privacy-security-settings
• https://www.forbes.com/sites/zakdoffman/2020/11/29/stop-using-dangerous-whatsapp-settings-on-apple-iphone-and-google-android/
• https://www.howtogeek.com/658977/how-to-secure-your-whatsapp-account/
• 8 Tips to Make WhatsApp More Secure and Private: https://www.makeuseof.com/tag/whatsapp-secure-tips/

Download

The current article is available for download here: https://identityunderground.files.wordpress.com/2021/06/whatsapp-security-lockdown-step-by-step.pdf

Note-to-self: Crowdstrike has published their 2021 Global Threat report

Crowdstrike has published their 2021 Global Threat report.

It’s always an interesting reference to see what the world in cybersecurity is about, certainly with the turbulent pandemic year.

They look at:

• cybersecurity during COVID19
• cybersecurity in health care
• significant political, state based attacks
• evolution of ransomware

And no one has to tell you, we’ve not seen the end yet.

Hang in, get ready, protect yourself for more bad stuff to come.

Keep patching your systems, all of them, all the time.

And by the way, don’t ay with your personal data for the download. Direct download is available at:

PECB MS : Building your data protection foundation by using the ISO/IEC 27701 core components

I had a great opportunity working with PECB MS, writing an article on building a #dataprotection foundation, using #ISO27701,.. perfectly fit for small business #SMB/#smebusiness.

Your data protection is a very strong #marketing tool to become the #trustedpartner of your customers.

No doubt: Get started! Doing nothing will cost you.

You can find the article over here:

• LinkedIn: https://www.linkedin.com/posts/pecbms_marchforprivacy-activity-6780841429439700992-XByf
• Facebook: https://www.facebook.com/100057386892197/posts/205262784729950/?d=n
• Website: https://bit.ly/31edIFw

Enjoy!

And even better, get in touch if you want to have a chat building your data protection.

Me on LinkedIN

Security & Privacy Life Hack: advantages of a personal mail alias

Table of Contents

• Introduction.
  • What’s the issue? .
• Implementing the mail alias .
  • What is a mail alias? .
  • Purchase a Custom domain name
  • Use the “+” mail alias
• Using dummy or temporary addresses against spam and registration wall
  • Your custom domain.
  • Temporary mail (when using your custom domain)
• Advantages
  • Keep your inbox clean : Mail filtering using simple mail rules
  • Securing internet logins
  • Detecting data breaches
  • On/Off Temporary mail (when using your custom domain)
  • One time use temporary mail domains
• Disadvantages
  • Custom domain management
  • If you cannot disable “+” aliases … .
  • Temporary mail domains blocked & open access
• Bonus: the “oh shit mail rule”
• Some useful references
  • Gmail
  • Microsoft Office 365 “+” alias
  • Yahoo
  • Other providers
  • Custom mail address RFC standard

Introduction

You’ve probably got one or more personal and professional mail addresses. Who doesn’t?

And you probably want to keep that mail address safe from spammers, scammers or data theft.

Althoug you primarily use mail to communicate (send/receive messages), many platforms also use your mail address for authentication.

Security remark: It’s not always the best option to use single sign-on with platforms like LinkedIn, Facebook, Microsoft Account, Google, …

What’s the security issue?

The main issue with single sign-on is: when your mail address is breached or hacked, the hacker can use the breached mailbox fairly easily to login to the linked platforms.

And from a practical point of view, if you use that single personal mail address to subscribe to newsletters or you use that mail address for downloads protected by a “registration” wall, you’ll quickly experience a mailbox overload because of ‘spam’, eh.. .sorry commercial messages you didn’t ask for.

Another issue is, you usually have only 1 (one) personal mail address available on your mail platform, certainly for enterprise systems, you can’t create other alternative mail addresses at free will. Unless you own the domain name, of course, but that’s rather possible for personal use or small companies…

And except for the mail overload, you’ll notice that many companies sell your mail address to address brokers. And even with the GDPR in place, many of these address brokers have bad habits to scrape mail addresses from the internet, incl. public sources, government sources…

So, the question is, how do you manage this, to protect your personal data, to protect mailbox overload and abuse of your mail address?

First option is using MFA to increase security and block illegal authentication.

But MFA does not stop mail abuse. The mail alias to the rescue!

Implementing the mail alias

What is a mail alias?

A mail alias is an alternative name for the master mailbox. Usually a mail alias is forwarding mail to the target mailbox.

In many cases, that mail alias can also be setup or used as a temporary name for the target mailbox. It’s pretty cumbersome or difficult to switch a master mailbox on or off when you need it.

Purchase a Custom domain name

The most interesting option is purchasing a custom domain name (by preference a short URL).

In most cases, local domain registrars can offer you a custom mail domain of choice for a few bucks a year. It’s worth the money, I promise. Further explanation below.

Just a practical hint: make sure to use a domain registrar that offers unlimited mail aliases.

When you control the mail domain, you can forward any mail alias of the custom domain to your mailbox (eg news@short.url to subscribe to newsletters and filter them in your mailbox in a subfolder for newsletters).

Furthermore, when you own a domain, you can enable/disable a mailbox or alias. Meaning: block mail reception without deleting the mail address (keep the address, but desactivate it.)

Using the “+” mail alias option

If purchasing a custom domain is not an option, you can check with your mail platform or mail administrator to use a “+” alias.

That’s format supported by the internet standards (RFC 5233: https://tools.ietf.org/html/rfc5233), that allows to extend a master mail address with receiver suffixes (BEFORE the @ sign), that still deliver the mail to the receiver. Google calls it “task based” variations of the mail address.

You’ll generally find it back on the internet as “+” aliases (“plus” aliases).

Some examples:

• firstname.lastname+download@yourdomain.url, or
• name+news@yourdomain.url

See the references section at the end of the article, for details how this “+” alias works for the well known mail platforms… Google, Microsoft, … and the major free mail providers support the plus-alias.

Using dummy or temporary addresses against spam and registration walls

I don’t know how you do it, but it frequently happens that I need to download a “free” white paper, which only seems to be free if you ‘pay’ with your contact details.

In most of the cases, they force you to “consent” with the requirement to send you marketing,… in GDPR terms it’s not considered consent if it’s forced… But essentially they force you to submit your personal data.

If you don’t want to disclose your data, just for that single download, or … if you want to avoid getting too much spam, what do you do?

One-time use, temporary mail domains (not your own domain)

First and easy option is to search the internet for “temp mail”, “temporary mail addresses” or “disposable mail“, … synonyms for one time use mails.

You use these addresses for quick use, one shot hit.

Samples:

• mailinator.com
• temp-mail.org
• guerillamail.com
• mail.tm
• many more…

Use your custom domain

An easier, but less free, but still cheap option, is to purchase your own custom domain (on the condition you can have multiple mailbox aliases).

The quick and dirty: create an alias like download@yourdomain.url, keep it disabled by default and only enable it when you need to receive a download link. Afterwards, disable it again.

In some cases you literally need to have a mail address just once. Eg, when you want to download a “free” white paper, many companies harvest your mail, put it in a CRM system and keep spamming you afterwards. It’s fairly difficult to escape the forced consent or registration.

Then you can use a temporary mail alias:

1. you enable an alias or dummy address,
2. register for the download with the alias/dummy,
3. then disable the alternative mail address again.

That way the address cannot be harvested for spam or marketing you don’t need. Easy.

(When a address broker tries to use the disabled alias, they will get an NDR, non-delivery report, and delete the invalid mail registration from their farm…)

Advantages

Keep your inbox clean : Mail filtering using simple mail rules

One the most prominent advantages of using aliases is that most of the mail clients can use the receiver address (or alias) to filter and manage incoming mail.

Based on the target receiver alias, you can set simple rules to move incoming mail from your inbox to another folder.

Basically an mail alias offers a simple mailbox optimization technique to make your life easy.

Securing internet logins

Another major advantage of aliases: use it as an alternative identifier for single sign-on.

Instead of logging in to multiple platforms with the same mail address, you better use 1 unique alias address per platform.

For example:

• linkedin@short.url for LinkedIn,
• facebook@short.url for facebook
• twitter@short.url for Twitter
• and so on…

Of course it’s quite important to use different passwords or authentication methods too (incl. MFA).

The main reasoning behind this approach is: if 1 login is breached or leaked, the other accounts are not impacted. If you don’t think you can manage this collection of passwords, there is one good tip: use a password manager to replace your memory.

Use a password manager anyway.

Detecting data breaches

When you use 1 mail address (alias) for every internet login, you can also trace very easily if a website is selling your data to partners, other companies or personal data brokers. You can simply see who sends mail, if that source domain is correctly linked to your alias… or not. If your login is used by unauthorized party you can initiate GDPR subject data access request to track how it got there (against both the original data controller and the secondary party).

And when using a custom domain (or some “+” alias mail providers), you can simple disable or remove the mail alias, so it becomes useless for the perpetrators.

On/Off Temporary mail (when using your custom domain)

In some cases you literally need to have a mail address just once. Eg, when you want to download a “free” white paper, many companies harvest your mail, put it in a CRM system and keep spamming you afterwards. It’s fairly difficult to escape the forced consent or registration.

When you can use a temporary mail, you enable an alias or dummy address, register for the download with the alias/dummy, then disable the alternative mail address again. That way the address cannot be used for spam or marketing you don’t want. Easy.

One-time use temporary mail domains

First and easy option is to search the internet for “temp mail” or “temporary mail addresses”

You use these addresses for quick use, one shot hit. No hassle, no admin. Quick and dirty.

Some more advantages

You can also link your custom domain to shortener tools like bit.ly. This way you can manage your social media and easily track your popularity or maintain statistics on your articles and views. (For Bitly, search for “bitly custom domain”)

Disadvantages

Custom domain management

Managing your own custom domain might be cumbersome, depending how user friendly the management of aliases is. Certainly managing dynamic aliases for multiple users… can time consuming. Certainly if you have a large volume of mailboxes and/or aliases to manage.

But managing a custom domain for own personal use, for a few bucks a year, is really worth the time and money. 

If you cannot disable “+” aliases …

… then you might be in trouble, because you cannot stop the abuse once the senders have registered the alias in their mail system.
In many cases, you’ll need to unsubscribe or directly contact the platform owner and demand to remove your data, which can be cumbersome or time consuming… Or you need to excercise your right to be forgotten in the official way. (Ref. GDPR, …)

Temporary mail domains blocked & open access

The major disadvantage is that a lot of spam (eh sorry), marketing websites that offer these ‘free’ downloads, will recognize and block public temporary mail domains (like mailinator, guerilla mail, temp mail, …).

In most cases you’ll have to try a few options, as some of these temporary mail domains have alternative mail domain options, like dynamic domains not only hosting main on the master domain.

VERY IMPORANT SECURITY NOTICE: whatever mailbox you use on these temporary domains, anyone can read or access these mailboxes, so make sure nothing important or private is sent to these mailboxes.

Bonus: the “oh shit rule”

While I’ve been focusing on the security & data protection features of the mail alias, I still want to mention an important principle to protect your reputation: the “oh shit rule”.

The principle is simple: delay the sent articles with one or more minutes before the mails are actually sent to the receiver.

It gives you a bit of slack if you want to fix a mail, or in worst case scenario cancel the mail if you have second thoughts or regret sending the mail, to avoid embarrassment or being forced to search for a new job.

Some useful references

Below you’ll find some interesting articles on managing aliases on the well-known mail providers

Gmail

• Gmail “+” alias: https://support.google.com/a/users/answer/9308648
• Gmail variations: Dots don’t matter in Gmail addresses

Microsoft Office 365 “+” alias

• Plus Addressing in Exchange Online
• Exchange Online PowerShell V2 module

Yahoo

• https://help.yahoo.com/kb/create-edit-delete-disposable-email-addresses-yahoo-mail-sln28338.html

Other providers

Other providers, like Protonmail, … also provide the alias “+” option, sometimes by default. Carefully check if you can remove the “+” alias or not, in case the alias got listed by address brokers.

Custom mail address RFC standard

https://tools.ietf.org/html/rfc5233

BTW, did you know… that following the RFC standards, an email address is case sensitive. 😉

Hoe zit dat met data brokers, direct marketing en KBO. Is dat legaal? En is dat nu GDPR of niet? Hoe aanpakken?

Je kan dit document als PDF downloaden als je het offline wil lezen.

Overzichtstabel

1. In het kort
2. Publieke verplichting van de overheid om bedrijfsgegevens te publiceren
3. Direct marketing
4. Direct marketing met KBO data
5. Nog andere spelregels van toepassing?
   • GDPR
6. Wat is het GDPR probleem?
7. Wat moet je dan WEL doen als data broker of direct marketing?
8. Hoe kan je zelf misbruik tegengaan?
9. Referentiemateriaal

1. In het kort

Sinds een aantal jaren (2003) heeft de overheid, met name de Federale Overheidsdienst (FOD) Economie, het bedrijvenregister gemoderniseerd en via KBO (Kruispuntbank Ondernemingen) op internet ter beschikking gesteld. Het is een publieke en wettelijke verplichting van de overheid om dat te doen.

Maar dat register bevat natuurlijk heel wat interssante data van bedrijven en hun verantwoordelijke personen.
Niet alleen om contractuele partijen te valideren… maar ook gebruiken heel wat commerciële bedrijven de collectie om die data door te verkopen in de vorm van adressenlijsten.

Er zijn een aantal spelregels die het gebruik van die data aan banden leggen en die je moet kennen, met name de Belgische wet op KBO, de gebruikerslicenties van KBO en … GDPR die belangrijke verplichtingen oplegt voor het hergebruik van publieke data.

Maar daar vegen heel veel data brokers en direct marketing bedrijven dus gewoon hun voeten aan.

Disclaimer: niet alle databrokers schenden de wet en gebruiken wel de juiste data, door persoonlijke gegevens te verwijderen uit hun data collectie. Maar dit is eerder uitzondering dan regel.

Dit artikel

• geeft je wat meer achtergrond bij de spelregels,
• legt uit wat er fout loopt en waar je moet op letten en
• geeft je ook wat tips hoe je jezelf kan beschermen tegen deze praktijk.

Samenvatting

• Direct marketing is elke communicatie, in welke vorm dan ook, gericht op de promotie of verkoop (m.u.v overheid)
• De wet verbiedt om direct marketing te doen met alle KBO data
• In geval van GDPR data zijn er nog bijkomende richtlijnen te volgen
• Neem maatregelen tegen misbruik (verwijder overbodige data of gebruik specifiek mail adres)

2. Publieke verplichting van de overheid om bedrijfsgegevens te publiceren

De contactgegevens van de entiteiten die geregistreerd zijn bij de Kruispuntbank van Ondernemingen worden beschikbaar gesteld zowel via onze “public search” website als via webdiensten / hergebruikbestanden.

Dus de KBO Webdiensten omvatten ondermeer

• Public search: https://economie.fgov.be/nl/themas/ondernemingen/kruispuntbank-van/diensten-voor-iedereen/kruispuntbank-van-0
• Open data: https://kbopub.economie.fgov.be/kbo-open-data die je kan consulteren via maandelijkse updates (gratis download, na registratie) of via API (met een gebruikskost per download)

Het ter beschikking stellen via de “public search” is in overeenstemming met artikel III.31 van het Wetboek van economisch recht en overeenkomstig artikel 1 van het koninklijk besluit van 28 maart 2014 tot uitvoering van artikel III.31 van het Wetboek van economisch recht inzonderheid de bepaling van de gegevens van de Kruispuntbank van Ondernemingen die via internet toegankelijk zijn evenals de voorwaarden voor het raadplegen ervan.

Dit laatste bepaalt dus het volgende: « Artikel 1, §1. De volgende gegevens van de Kruispuntbank van Ondernemingen zijn via het internet toegankelijk: 

• 1° het ondernemingsnummer en het (de) vestigingseenheidsnummer(s);
• 2° de benamingen van de onderneming en/of van haar vestigingseenheden;
• 3° de adressen van de onderneming en/of van haar vestigingseenheden;
• (…)
• 10° de verwijzing naar de website van [1 de geregistreerde entiteit]1, haar telefoon- en faxnummer alsook haar e-mailadres.

Deze laatste (het mail adres) is natuurlijk cruciaal en zeer interessant voor direct marketing (of als je het spam wil noemen, ook goed).

Met betrekking tot het verstrekken van contactgegevens in het kader van webdiensten/ hergebruik-bestanden, stelt de Kruispuntbank van Ondernemingen, via het volledige bestand voor hergebruik van gegevens, een aantal gegevens ter beschikking. Tussen deze gegevens, zitten ook persoonsgegevens. Het gaat om het geheel van de informatie betreffende de entiteiten natuurlijk persoon alsook de namen en voornamen van de personen die, binnen rechtspersonen, functies uitoefenen of de ondernemersvaardigheden bewijzen.

Belangrijk om te weten is ook dat je als verantwoordelijke van een bedrijf ook “declaratieve”, bijkomende contact gegevens kan toevoegen (dus je mail adres).

Zelfs als je vrijwillig contact data in KBO ingeeft, blijven dat KBO bedrijfsgegevens, maar het kan dus ook persoonlijke data zijn (zoals je mail adres) zijn die onder GDPR valt.

Later in dit artikel lees je meer daarover.

Het verstrekken van contactgegevens in het kader van webdiensten / hergebruikbestanden gebeurt in overeenstemming met artikel III.33 van het Wetboek van economisch recht en het koninklijk besluit van 18 juli 2008 over het hergebruik van openbare gegevens van de Kruispuntbank van Ondernemingen.

3. Direct marketing?

Voor we verder gaan wil ik toch even de interpretatie van “direct marketing” toelichten, want dat vind ik niet zelf uit. En ik wil ook vermijden dat er door de data brokers of de commerciële bedrijven zelf een twist aan gegeven wordt.

Bron: https://gegevensbeschermingsautoriteit.be/burger/thema-s/marketing/wat-is-direct-marketing

“De GBA stelt voor het begrip direct marketing als volgt te interpreteren:

elke communicatie, in welke vorm dan ook, gevraagd of ongevraagd, afkomstig van een organisatie of persoon en gericht op de promotie of verkoop van diensten, producten (al dan niet tegen betaling), alsmede merken of ideeën, geadresseerd door een organisatie of persoon die handelt in een commerciële of niet-commerciële context, die rechtstreeks gericht is aan een of meer natuurlijke personen in een privé- of professionele context en die de verwerking van persoonsgegevens met zich meebrengt.

Direct marketing omvat alle vormen van communicatie, ongeacht of deze gericht zijn op de promotie van goederen of diensten, de promotie van ideeën, voorgesteld of ondersteund door een persoon of organisatie, maar ook de promotie van die persoon of organisatie zelf, met inbegrip van zijn/haar merkimago of de merken die zijn/haar eigendom zijn of door hem/haar worden gebruikt, met uitzondering van de promotie die wordt uitgevoerd op initiatief van overheidsinstanties die strikt handelen in het kader van hun wettelijke verplichtingen of openbare dienstverleningstaken voor diensten waarvoor zij alleen verantwoordelijk zijn.

De berichten kunnen bijgevolg zowel uit de commerciële als de niet-commerciële sector komen, zoals de politieke sector of non-profitorganisaties.”

https://gegevensbeschermingsautoriteit.be/burger/thema-s/marketing/wat-is-direct-marketing

4. Direct marketing met KBO data

De bekendmaking van de contactgegevens is dus volledig in overeenstemming met de taken die de wetgever aan de KBO/FOD Economie heeft toevertrouwd. Voor de FOD Economie is de verwerking is dus rechtmatig in de zin van artikel 6 c) van de GDRR, aangezien die noodzakelijk is voor de naleving van een wettelijke verplichting waaraan de FOD Economie is onderworpen.

Voor het overige moet je weten dat het gebruik voor directmarketingdoeleinden van door de KBO ter beschikking gestelde persoonsgegevens verboden is.

Dit verbod komt zowel in artikel 2, §1 van bovenvermeld Koninklijk Besluit van 18 juli 2008 als in alle KBO hergebruikcontracten van de FOD Economie terug.

  Art. 2.§ 1. De openbare gegevens van de Kruispuntbank van Ondernemingen kunnen overeenkomstig de nadere regels en de voorwaarden van dit besluit, door de beheersdienst doorgegeven worden aan derden met het oog op [¹ …]¹ hergebruik.
  Derden mogen evenwel geen persoonsgegevens voor direct marketingdoeleinden gebruiken en/of herverspreiden.

artikel 2, §1 van bovenvermeld Koninklijk Besluit van 18 juli 2008

Voor de hergebruik contracten, kan je de voorwaarden terugvinden in de privacy policy en de specifieke gebruiksovereenkomsten, zoals:

• privacy policy Public search: https://economie.fgov.be/nl/themas/ondernemingen/kruispuntbank-van/diensten-voor-iedereen/kruispuntbank-van-0
• licentie public search: https://economie.fgov.be/sites/default/files/Files/Entreprises/KBO/Licentie-webservice-Public-Search-gebruiksvoorwaarden.pdf
• …

Die zeggen allemaal hetzelfde, conform de Belgische wet uiteraard:

“2.2 De licentienemer mag de persoonsgegevens niet gebruiken voor direct-marketing
doeleinden, in overeenstemming met artikel 2 van het koninklijk besluit van 18 juli 2008
betreffende het hergebruik van publieke gegevens van de Kruispuntbank van
Ondernemingen.”

Van: webservice-Public-Search-gebruiksvoorwaarden.pdf

5. Nog andere spelregels van toepassing?

De gegevens van de Kruispuntbank van Ondernemingen (KBO) zijn dus publiek, maar er is in de wet dus een uitdrukkelijk verbod om de gegevens te gebruiken voor direct marketing doeleinden.

Maar dat zijn niet alle regels die hier van toepassing zijn. Want ook GDPR is hier van toepassing, tenminste op de persoonsgegevens die in de bedrijfsdata zitten.

5.1. GDPR

Want GDPR definieert persoonsgegevens als data die een persoon (kunnen) identificeren, dus dat betekent ook dat een persoonlijk professioneel mail adres GDPR data is. Let op, niet alle data in KBO is GDPR data, want algemene bedrijfsdata valt buiten GDPR.

Waarom is de GDPR belangrijk hier?

Buiten het verbod op direct marketing, zeggen KBO en de Belgische wet NIKS over transparantie naar de betrokken bedrijven als je data kopieert uit KBO.

Dat is natuurlijk heel andere koek in GDPR, met name

• Art.5 (Beginselen inzake verwerking van persoonsgegevens)
  • ze moeten “worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”)”
• Art 6 (Rechtmatigheid van de verwerking)
  • Dit is van belang als publieke data plots gebruikt wordt voor een ander doel, bijvoorbeeld commerciële adreslijsten
  • Verhouding tussen gerechtvaardigd belang en toestemming, “wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.”

• Art. 12: Transparantie voor toepassing van Art. 13 en 14.
• Art. 13: “Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld”
• Art. 14: “Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen”

6. Wat is het GDPR probleem?

6.1 Overheid

Ook op vlak van GDPR heeft de overheid de verplichting om deze data te publiceren, in functie van hun publieke verantwoordelijkheid.

Dit valt onder GDPR artikel 6) 1.c (wettelijke verplichting) en nog belangrijker Art.6.1.e. “taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen”

En bij het opstarten van je bedrijf, bij registratie in KBO dus, krijg je de uitleg en de privacy policy van KBO vult de andere transparantieverplichtingen aan. Je hebt niet veel keuze, het is een publieke verplichting.

6.2 Data broker / direct marketing

Maar dat verandert dus helemaal als een data broker of een direct marketing je data van KBO steelt.

Wat moeten zij dan doen, als je het volgens de regels van GDPR speelt?

Algemene taak als verwerkingsverantwoordelijke

Eerst en vooral bij het copieren van KBO data, zeker voor het gebruik voor commerciele doeleinden, met name werven van klanten, gaat het dus bijna altijd om “direct marketing”.
Het kopieren en gebruiken van KBO data is illegaal door de Belgische wet, jammer maar helaas, dat heeft niks met GDPR te maken.

Je zou dus “gerechtvaardigd belang” kunnen inroepen, maar zelfs dan zijn er belangrijke voorwaarden aan verbonden. Dat leg ik straks uit onder de verplichting van art. 14.

Transparantie

GDPR Art. 12. 1

“De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt,“

Bepaling van DAR/SAR (subject data access request), Art. 12. 3

“De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven.”

Eerste direct contact betrokken persoon (Art. 13)

Art.13 is van toepassing als je de gegevens direct van de betrokken persoon krijgt.

Indirect contact (Art. 14)

Volgens Art. 14 moet je de betrokken persoon verwittigen bij het verzamelen van de gegevens als ze niet rechtstreeks van de betrokken persoon komen en de nodige details bezorgen, inclusief

• wanneer de gegevens verkregen zijn
• doeleinde verwerking;
• de ontvangers (dus de marketing bedrijven, in dit geval)
• hoelang de gevens opgeslagen worden;
• gerechtvaardigde belangen;
• de bron. (“Art. 14 §2.f de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen;”)
• en nog andere info…

En nog veel belangrijker volgens Art. 14 §3, moet de betrokken persoon moet daarvan verwittigd worden, ik citeer : “

• a) binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt;

1. b) indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact met de betrokkene; of
2. c) indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt.

En net daar gaan HEEL VEEL data brokers en direct-marketing bedrijven NOG EENS in de fout, geen transparantie, geen bronvermelding, geen details van collectie, … Een simpele vermelding in de “privacy policy” is niet voldoende…

7. Wat moet je dan WEL doen als data broker of direct marketing?

Enkele tips

• Zorg dat je een heel duidelijke en expliciete privacy en data protection policy hebt, die publiek beschikbaar is en goed leesbaar.
• Gebruik GEEN KBO data.
  • Dat is illegaal. Heeft niks met GDPR te maken, geen direct marketing met KBO data volgens de wet.
• Contacteer het prospectbedrijf via de algemene contact gegevens, via hun website, … via andere kanalen.
• Bij gebruik van algemene bedrijfsgegevens (algemeen telefoon nummer, info@bedrijf.url…) dan is GDPR niet van toepassing.
• Als je gegevens van persoon, de bedrijfsverantwoordelijke zélf ontvangt
  • Pas Art.12 -, 13 en 14 toe
  • Wees transparant, vertel waar de gegevens vandaan komen
  • Vraag bij eerste contact om toestemming, of regel een andere wettelijke grond die stand houdt.
  • Bij weigering of intrekken toestemming, verwijder data onmiddellijk, tenzij andere redenen van toepassing zijn.
• Als je contact gegevens verzamelt uit andere bronnen dan de persoon zelf,
  • VERWIJDER ALLE PERSOONLIJKE DATA, dan is het géén GDPR data.
  • Pas Art.12, 13 en 14 toe
  • Wees transparant, vertel waar de gegevens vandaan komen
  • Vraag bij eerste contact om toestemming
  • Bij weigering, verwijder de data onmiddellijk
• Onderhoud je data op regelmatige tijdstippen, vb check met de contactpersoon minstens 1x per jaar dat de data nog up to date is, bij weigering of gebrek aan antwoord: wis de data
• Beperk de data opslag tot redelijke bruikbare termijn, dat is een paar jaar. GEEN 15 jaar, zoals sommige data brokers doen. Email adressen zijn na een paar jaar niet meer vers. Er verandert vrij veel in de contact gegevens.

7. Hoe kan je zelf misbruik tegen gaan?

Dit heb ik in het kort uitgelegd in dit LinkedIn artikel: Data Protection Life Hack: stop de direct-marketing spam met je KBO data.

7.1 Proactief/preventief

Verwijder je declaratieve gegevens uit KBO

Voor de details zie: Data Protection Life Hack: stop de direct-marketing spam met je KBO data.

Declaratieve gegevens zijn optioneel, en niet strikt noodzakelijk voor de werking van KBO.
Maar het kan om bepaalde redenen toch wel handig zijn…

Zorg dat je KBO-gegevens als persoonsgegevens onder GDPR vallen

Gebruik geen algemeen mail adres. Maak het persoonlijk, dan kan je de rechten onder GDPR afdwingen.

Let op: Bij gebruik van algemene bedrijfsgegevens (algemeen telefoon nummer, info@bedrijf.url…) dan is GDPR niet van toepassing.

Natuurlijk als je graag marketing ontvangt of het nodig hebt, dan is deze discussie niet zo belangrijk.

TIP: gebruik een alias zoals uitgelegd in het LinkedIN article, zodat je je mailbox netjes kan houden.

7.2 Reactief

Als je ondanks de voorzorgen TOCH spam krijgt, die je niet wil ontvangen, kan je actie ondernemen.
Hou er rekening mee dat dit vaak tijd neemt en soms een lastige administratieve route is.

Mogelijke acties

Dus, dan zijn er een aantal mogelijke opties (- eenvoudig, +/- vergt wat werk, ++ moeilijk)

• (-) Dien een subject data acces request (DAR/SAR) in bij het direct marketing bedrijf dat je contacteert, zodat je weet
  • waar de data vandaan komt,
  • welke data ze hebben,
  • enz…
  • TIP: zorg dat je voldoende details opvraagt, zie GDPR art. 13 en 14.
• (-) Dien een DAR/SAR in bij de data broker die contact data levert
• (+/-) Stel het direct marketing bedrijf officieel in gebreke, dit is een eerste officiële klacht, los van de GDPR rechten, die vaststelt dat er een inbreuk is gepleegd. Het is wettelijk geldig om dit via mail te doen.
• (+/-)Stel de data broker officieel in gebreke, dit is een officiële klacht, los van de GDPR rechten, die vaststelt dat er een inbreuk is gepleegd. Het is wettelijk geldig om dit via mail te doen.
• (+/-) Leg een klacht neer bij de GBA, wanneer
  • blijkt dat ze illegaal data verzameld wordt
  • je GDPR rechten niet gerespecteerd worden

GDPR SAR/DAR + ingebreke stelling

Klacht bij KBO & FOD Eco

Hoewel de FOD Economie weinig kan doen aan het misbruik van data, hebben een aantal data brokers een licentie bij KBO. Dus het loont om misbruiken te rapporteren, zo dat ze actie kunnen nemen, waar mogelijk.

Klacht GBA

Op de website van de gegevensbeschermingsautoriteit vind deze link om een klacht in te dienen.

https://gegevensbeschermingsautoriteit.be/burger/acties/klacht-indienen

Wees voorbereid, neem voldoende tijd om dit goed aan te pakken,

• want ze vragen dat je eerst probeert om de klacht op te lossen met de tegenpartij.
• En ze vragen bewijs te leveren, en om je klacht goed te onderbouwen.

En besef dat een procedure met de GBA tijd neemt. Dus verwacht niet meteen resultaat op korte termijn.

Daarentegen is het wel belangrijk om klacht neer te leggen, want dat geeft ook duidelijk aan bij de GBA hoe ernstig dit probleem is, als er meerdere slachtoffers dit rapporten. Zowel binnen de sector van direct marketing, of specifiek voor een bepaald bedrijf dat de regels niet respecteert.

8. Referentie materiaal

Direct marketing en de aanbevelingen van GBA

Direct marketing en privacy: zo moet het volgens de GBA I DGDM (degroote-deman.be)

Gegevensbeschermingsautoriteit (GBA)

https://gegevensbeschermingsautoriteit.be/burger/thema-s/marketing/wat-is-direct-marketing

A quick walk-through of the new ISO29184 – Online Privacy notices and consent

Source and download: https://www.iso.org/standard/70331.html

With the publication of the GDPR in 2016, it quickly became clear that it would massively impact the direct marketing sector, simply because direct marketing runs on personal data.

On 25 may 2018, the GDPR came into force, changing the global mindset on data protection (and privacy by extension).

Anno 2020, 2 years after the publication, many enterprises, large and small still struggle to apply the data protection regulation and best practices.

And for the direct marketing companies, this is a particular difficult topic, after 4 years.

So, maybe, the newly (june 2020) published standard can provide a practical help to implement consent management. Please remind that the GDPR is a regulation/law… not a best practice with hints and tips.

For hints & tips and practical advice on GDPR, check the EDPB (previously known as WP29) website: https://edpb.europa.eu/our-work-tools/general-guidance_en (Check the Our Work & Tools menu).

While there has been a lot of guidance, communication & education on implementing a direct marketing that is compliant with GDPR and ePrivacy/eCommunication regulation and directives.

Even, for other markets than direct marketing where managing personal data is optional (meaning, not part of core business), you can use this guide to manage privacy or data protection notices for your newsletters and website.

Side note

The ISO 29184 is strictly and only about privacy notices and consent, it’s not an in depth guide for direct marketing, but it’s an essential part of it.

If you need more information on the EU ePrivacy/eCommunications directive , see here: https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A32002L0058

ISO 29184 content walk through

Document structure

After the mandatory basic chapters (Foreword, 1. Scope), the document hints to ISO 29100 in chapter 2 (Normative References) and 3. (Terms and definitions.

Important note here is that the definition of “explicit consent” has been updated to match the GDPR requirement for unambiguous affirmative consent.

Chapter 5 contains the “general requirements and recommendations”.

A major requirement (and typical for ISO compliance like in ISO9001 and ISO27001) is that you need to document the implementation of each control in this standard.

The content is structured in 5 chapters (Level 2)

1. Overall objective
2. Notice
3. Contents of notice
4. Consent
5. Change of conditions

To read the full details, you know what to do,…

But it’s interesting to see the technical/operations controls required in this standard

General conditions on privacy notice

• Provide information to all interested parties about your privacy practices, including
  • the identity and registered address of the data controller, and
  • contact points where the subject (in this standard the subject is called “PII principal”)
• Provide clear and easy to understand information
  • with regards the target audience,
  • which are usually NOT lawyers or data protection specialists),
  • taking care of the expected language of your audience
• You must determine and document the appropriate time for providing notice
  • Remember the Art. 13 and Art 14 definitions in GDPR
  • By preference, you should notify the subject immediately before collecting PII (and/or consent)
• You must provide notices in a appropriate way
  • by preference in more than 1 way,
  • to make sure the subject can find and consult the notices,
  • digitally and in a easy accessible method
  • also after initial contact
  • As also defined in many GDPR guidelines, the consent standard refers to a multilayer approach (avoiding to provide too much information at the same time, but provide the details when needed)
• Make sure that the privacy notice is accessible all the time.

Notice content

• make sure you’re absolutely clear, honest and transparent about your personal data processing
• Define, document and describe clearly
  • the processing purpose
  • each element of the processing (remember the processing definitions defined in Art. 4 of GDPR)
  • the identification of the data controller
  • the data collection details, incl
    • methods used
    • details of data collected
    • type of collection (direct, indirect, observation, inference…)
    • timing and location of collection
  • use of data, including
    • direct use without data transformation
    • reprocessing data
    • combining, like enrichment
    • automated decision making
    • transfer of data to 3rd party
    • data retention (incl backup)
  • data subject rights
    • access request
    • authentication to provide access
    • timelines
    • any fees that apply
    • how to revoke consent
    • how to file a compliant
    • how to submit a inquiry
  • Evidence about consent provided (and changed) by the subject
  • the legal basis for processing PII/personal data
  • the risks related with the data and the plausible impact to the subject privacy

Consent management

• Identify if whether consent is appropriate
  • Remember that there are other purposes and reasons for processing data, which usually have a more stable, more solid background, like
    • contracts
    • compliance with legal obligations and regulations
    • vital interest,
    • public interest
    • (legitimate interest, which is usually way more difficult to enforce or to convince the subject)
  • Informed and freely given consent
    • how do you guarantee that the subject is providing consent without any feeling of coercing, force, conditions, …
    • Independence from other processing or consent
      • Remember the GDPR guidelines where you CANNOT force consent as
  • Inform the subject which account this processing is related to
    • provide a clear description of the identifier (userID, mail, login, …)

ISO29184 also introduces the consent lifecycle, meaning that is it’s not sufficient to provide notice at first contact with the subject, but you also need to maintain, to update and to renew it on a regular basis, taking into account that the conditions of consent might change (or might have changed after initial consent).

The last part of the ISO 29184 are annexes with interesting user interface examples.

The perfect document set

To make the online privacy and consent management work, this ISO/IEC 29184 will not do on itself as the standard links to the following documents:

• (FREE, EN – FR) ISO 27000: ISMS vocabulary
• (*) ISO27001: ISMS, Information Security Management Systems
• (*) ISO27002: Code of practice for ISO 27001)
• ISO27701: PIMS, Privacy Information Management System, the privacy or data protection extension of ISO27001
• (FREE, EN – FR) ISO29100: Privacy framework
• ISO29151: Code of Practices – Privacy Framework (the ISO27002 version of ISO29100)
• ISO29134: PIA, Privacy Impact Assessment (foundation of the DPIA in GDPR)

References

Free downloads

ISO Public documents: https://ffwd2.me/FreeISO

If not available for free download, then you’ll need to purchase the ISO standards documents from the ISO e-shop or from the national standards organisation (like NBN for Belgium, NEN for Netherlands, …)

€750.000 per year for some onepager PDF, you can do that too.

(Image Credits: mohamed Hassan via Pixabay)

Dear Annie BG Mathews,

Dear CIO Applications Europe,

(quote, feb 2020) “I am Annie from CIO Applications Europe magazine and it is my pleasure to inform you that we have pre-screened the top players who have carved a niche in the Information Security arena and have shortlisted them to be featured as one of the “Top 10 Information Security Consulting/Service Companies 2020”, <…> being one of them.”

(quote, apr 2020) “I am Annie from CIO Applications Europe magazine, and it is my pleasure to inform you that we have pre-screened the top players who have carved a niche in the GDPR arena and have shortlisted them to feature as one of the “Top 10 GDPR Consulting/Service Companies 2020”, <…> being one of them.”

Did you also get the same mail  from “CIO Applications Europe”, with their fabulous “Top 10” marketing, asking a small fee of €2500,- to be featured as top-player in the <see below> field, for which you get a fabulous … eh.. 1 single pager PDF. And using their top 10 logo in your marketing.

Top, you make me feel so special!

Just.. ehm… radio couloir says lots of my sector contacts and LinkedIn network contacts got the exact same mail.. So, top 10, my @§§.

Marvelous quick win

Just a bit of 12y-old math says: that is a smart turnover of 25.000 EUR per top 10 published. Knowing that they have published roughly 30 of their “top 10” articles for 2019, this means a quick win of €750.000 on one-pagers only.

The categories they have listed last year:

(Look it up yourself: https://www.google.be/search?q=inurl:cioapplicationseurope.com+%22Top+10%22+%22-+2019%22)

• Agile Technology, Asset management, Automotive, Blockchain, Blockchain Solutions, Business Intelligence, CEM solution, Contact center, Cognitive consulting, ERP, FinTech Solution, GDPR Solutions, GDPR consulting, IBM Solution, Information Security, IoT solution, IT services management, Legal technology, Mar tech, Microsoft solution, Microsoft Consulting, Procurement, Proptech, Salesforce, Smart City Tech,…

Forgive me if  I forgot another €25.000,- in the 30x Top 10 of 2019 they listed.

But some important categories missing, so you can do that too, some ideas below.

If the “Top 10” on GDPR is completed, you create new categories like “GDPR consulting”, “GDPR legal advice”, “GDPR breach specialist”, “GDPR expert”, “GDPR Services”, that’s another 125K of revenue, easy deal to fill the 1 million bucket.

So, you can buy yourself a list in the Top 10.

So here’s the deal, for 2499 EUR, you can get listed in the 2020 Top 10 spam and scam companies, you get a full A6 print page (special 7pt Wingdings font) with a 3 minute made-up interview with your CSSO. (Chief Spam’n Scam Officer.)

Legit business??

For €2499,- you get an interview, a one pager and a logo for display.

I quote: “We want to work with you towards a single page article after an interview with the senior management projecting the unique story of your company. For a nominal amount of 2,500 Euros, you will own complete print and digital rights to use the pdf of profile in your process of acquiring new clients along with many other prominent benefits like rights to use the Top 10 logo in your communications, single page complimentary advertisement placement and many more which I would love to explain when we connect. ”

It’s not forbidden to make you a ridiculous offer, but do you really want to sponsor this scam and spam practice and keep it alive?

Fact is, this is not ‘just a spam’ campaign.. It’s setup as legitimate business, at first sight.

You can still ask yourself why CIO Applications “EUROPE” would have a phone number in the US.

#GDPR!

It’s not only about the scam, they are using personal data without notification.

And you can argue they can use “legitimate interest”. Yes, for sure. But still they need to apply article 13 and 14, when collecting personal data. Their privacy notice (https://www.cioapplicationseurope.com/privacy-policy/) is not mentioned in the mail communication, it does not mention how they collect my data and how the process it. Neither do they refer to the required legal GDRP mentions (like DPA contact and so on…).

There is no reference how to file a subject-data access request… you can always spam their marketing department as mentioned in their privacy notice.

So, this could even be a valid reason for contacting your DPA and file a complaint.

I don’t want to unsubscribe to spam mail, because I don’t want to give you just more information if you don’t respect me from the beginning.

What’s the real problem then?

What do you think of a “Top-10” ranking, that is only based on the fee you pay? The first 10 that pay, are in the top 10. Number 11, bad luck. Oh wait, we’ll setup another top 10.

This feels like bribery. And mental pressure.

They send out the requests to new companies, struggling to conquer the market. They make your feel important, but it’s only about the money.

This type of practice puts other legitimate rankings in such a bad daylight… the smell of money on a “Top 10 …something”. This destroys the reputation of other communities, value papers and IT or security sectors. It’s not isolated to this one bad apple.

Be smart

Think. If it doesn’t feel right, it is not right. For a bare €2499,- you can achieve a lot more than a single page PDF and a top 10 logo.

For the same money and the support of a real marketing specialist, and some smart channel management, you can create real impact.

But most important of all, do what you do best. Create impact. Create great stuff, create buzz, let customers tell your story…

Stay out of the pile of bad apples.

#justthinking