Note-to-self

Hoe zit dat met data brokers, direct marketing en KBO. Is dat legaal? En is dat nu GDPR of niet? Hoe aanpakken?

Je kan dit document als PDF downloaden als je het offline wil lezen.

Overzichtstabel

  1. In het kort
  2. Publieke verplichting van de overheid om bedrijfsgegevens te publiceren
  3. Direct marketing
  4. Direct marketing met KBO data
  5. Nog andere spelregels van toepassing?
    • GDPR
  6. Wat is het GDPR probleem?
  7. Wat moet je dan WEL doen als data broker of direct marketing?
  8. Hoe kan je zelf misbruik tegengaan?
  9. Referentiemateriaal

1. In het kort

Sinds een aantal jaren (2003) heeft de overheid, met name de Federale Overheidsdienst (FOD) Economie, het bedrijvenregister gemoderniseerd en via KBO (Kruispuntbank Ondernemingen) op internet ter beschikking gesteld. Het is een publieke en wettelijke verplichting van de overheid om dat te doen.

Maar dat register bevat natuurlijk heel wat interssante data van bedrijven en hun verantwoordelijke personen.
Niet alleen om contractuele partijen te valideren… maar ook gebruiken heel wat commerciële bedrijven de collectie om die data door te verkopen in de vorm van adressenlijsten.

Er zijn een aantal spelregels die het gebruik van die data aan banden leggen en die je moet kennen, met name de Belgische wet op KBO, de gebruikerslicenties van KBO en … GDPR die belangrijke verplichtingen oplegt voor het hergebruik van publieke data.

Maar daar vegen heel veel data brokers en direct marketing bedrijven dus gewoon hun voeten aan.

Disclaimer: niet alle databrokers schenden de wet en gebruiken wel de juiste data, door persoonlijke gegevens te verwijderen uit hun data collectie. Maar dit is eerder uitzondering dan regel.

Dit artikel

  • geeft je wat meer achtergrond bij de spelregels,
  • legt uit wat er fout loopt en waar je moet op letten en
  • geeft je ook wat tips hoe je jezelf kan beschermen tegen deze praktijk.

Samenvatting

  • Direct marketing is elke communicatie, in welke vorm dan ook, gericht op de promotie of verkoop (m.u.v overheid)
  • De wet verbiedt om direct marketing te doen met alle KBO data
  • In geval van GDPR data zijn er nog bijkomende richtlijnen te volgen
  • Neem maatregelen tegen misbruik (verwijder overbodige data of gebruik specifiek mail adres)

2. Publieke verplichting van de overheid om bedrijfsgegevens te publiceren

De contactgegevens van de entiteiten die geregistreerd zijn bij de Kruispuntbank van Ondernemingen worden beschikbaar gesteld zowel via onze “public search” website als via webdiensten / hergebruikbestanden.

Dus de KBO Webdiensten omvatten ondermeer

Het ter beschikking stellen via de “public search” is in overeenstemming met artikel III.31 van het Wetboek van economisch recht en overeenkomstig artikel 1 van het koninklijk besluit van 28 maart 2014 tot uitvoering van artikel III.31 van het Wetboek van economisch recht inzonderheid de bepaling van de gegevens van de Kruispuntbank van Ondernemingen die via internet toegankelijk zijn evenals de voorwaarden voor het raadplegen ervan.

Dit laatste bepaalt dus het volgende: « Artikel 1, §1. De volgende gegevens van de Kruispuntbank van Ondernemingen zijn via het internet toegankelijk: 

  • 1° het ondernemingsnummer en het (de) vestigingseenheidsnummer(s);
  • 2° de benamingen van de onderneming en/of van haar vestigingseenheden;
  • 3° de adressen van de onderneming en/of van haar vestigingseenheden;
  • (…)
  • 10° de verwijzing naar de website van [1 de geregistreerde entiteit]1, haar telefoon- en faxnummer alsook haar e-mailadres.

Deze laatste (het mail adres) is natuurlijk cruciaal en zeer interessant voor direct marketing (of als je het spam wil noemen, ook goed).

Met betrekking tot het verstrekken van contactgegevens in het kader van webdiensten/ hergebruik-bestanden, stelt de Kruispuntbank van Ondernemingen, via het volledige bestand voor hergebruik van gegevens, een aantal gegevens ter beschikking. Tussen deze gegevens, zitten ook persoonsgegevens. Het gaat om het geheel van de informatie betreffende de entiteiten natuurlijk persoon alsook de namen en voornamen van de personen die, binnen rechtspersonen, functies uitoefenen of de ondernemersvaardigheden bewijzen.

Belangrijk om te weten is ook dat je als verantwoordelijke van een bedrijf ook “declaratieve”, bijkomende contact gegevens kan toevoegen (dus je mail adres).

Zelfs als je vrijwillig contact data in KBO ingeeft, blijven dat KBO bedrijfsgegevens, maar het kan dus ook persoonlijke data zijn (zoals je mail adres) zijn die onder GDPR valt.

Later in dit artikel lees je meer daarover.

Het verstrekken van contactgegevens in het kader van webdiensten / hergebruikbestanden gebeurt in overeenstemming met artikel III.33 van het Wetboek van economisch recht en het koninklijk besluit van 18 juli 2008 over het hergebruik van openbare gegevens van de Kruispuntbank van Ondernemingen.

3. Direct marketing?

Voor we verder gaan wil ik toch even de interpretatie van “direct marketing” toelichten, want dat vind ik niet zelf uit. En ik wil ook vermijden dat er door de data brokers of de commerciële bedrijven zelf een twist aan gegeven wordt.

Bron: https://gegevensbeschermingsautoriteit.be/burger/thema-s/marketing/wat-is-direct-marketing

“De GBA stelt voor het begrip direct marketing als volgt te interpreteren:

elke communicatie, in welke vorm dan ook, gevraagd of ongevraagd, afkomstig van een organisatie of persoon en gericht op de promotie of verkoop van diensten, producten (al dan niet tegen betaling), alsmede merken of ideeën, geadresseerd door een organisatie of persoon die handelt in een commerciële of niet-commerciële context, die rechtstreeks gericht is aan een of meer natuurlijke personen in een privé- of professionele context en die de verwerking van persoonsgegevens met zich meebrengt.

Direct marketing omvat alle vormen van communicatie, ongeacht of deze gericht zijn op de promotie van goederen of diensten, de promotie van ideeën, voorgesteld of ondersteund door een persoon of organisatie, maar ook de promotie van die persoon of organisatie zelf, met inbegrip van zijn/haar merkimago of de merken die zijn/haar eigendom zijn of door hem/haar worden gebruikt, met uitzondering van de promotie die wordt uitgevoerd op initiatief van overheidsinstanties die strikt handelen in het kader van hun wettelijke verplichtingen of openbare dienstverleningstaken voor diensten waarvoor zij alleen verantwoordelijk zijn.

De berichten kunnen bijgevolg zowel uit de commerciële als de niet-commerciële sector komen, zoals de politieke sector of non-profitorganisaties.”

https://gegevensbeschermingsautoriteit.be/burger/thema-s/marketing/wat-is-direct-marketing

4. Direct marketing met KBO data

De bekendmaking van de contactgegevens is dus volledig in overeenstemming met de taken die de wetgever aan de KBO/FOD Economie heeft toevertrouwd. Voor de FOD Economie is de verwerking is dus rechtmatig in de zin van artikel 6 c) van de GDRR, aangezien die noodzakelijk is voor de naleving van een wettelijke verplichting waaraan de FOD Economie is onderworpen.

Voor het overige moet je weten dat het gebruik voor directmarketingdoeleinden van door de KBO ter beschikking gestelde persoonsgegevens verboden is.

Dit verbod komt zowel in artikel 2, §1 van bovenvermeld Koninklijk Besluit van 18 juli 2008 als in alle KBO hergebruikcontracten van de FOD Economie terug.

  Art. 2.§ 1. De openbare gegevens van de Kruispuntbank van Ondernemingen kunnen overeenkomstig de nadere regels en de voorwaarden van dit besluit, door de beheersdienst doorgegeven worden aan derden met het oog op [1 …]1 hergebruik.
  Derden mogen evenwel geen persoonsgegevens voor direct marketingdoeleinden gebruiken en/of herverspreiden.

artikel 2, §1 van bovenvermeld Koninklijk Besluit van 18 juli 2008

Voor de hergebruik contracten, kan je de voorwaarden terugvinden in de privacy policy en de specifieke gebruiksovereenkomsten, zoals:

Die zeggen allemaal hetzelfde, conform de Belgische wet uiteraard:

“2.2 De licentienemer mag de persoonsgegevens niet gebruiken voor direct-marketing
doeleinden, in overeenstemming met artikel 2 van het koninklijk besluit van 18 juli 2008
betreffende het hergebruik van publieke gegevens van de Kruispuntbank van
Ondernemingen.”

Van: webservice-Public-Search-gebruiksvoorwaarden.pdf

5. Nog andere spelregels van toepassing?

De gegevens van de Kruispuntbank van Ondernemingen (KBO) zijn dus publiek, maar er is in de wet dus een uitdrukkelijk verbod om de gegevens te gebruiken voor direct marketing doeleinden.

Maar dat zijn niet alle regels die hier van toepassing zijn. Want ook GDPR is hier van toepassing, tenminste op de persoonsgegevens die in de bedrijfsdata zitten.

5.1. GDPR

Want GDPR definieert persoonsgegevens als data die een persoon (kunnen) identificeren, dus dat betekent ook dat een persoonlijk professioneel mail adres GDPR data is. Let op, niet alle data in KBO is GDPR data, want algemene bedrijfsdata valt buiten GDPR.

Waarom is de GDPR belangrijk hier?

Buiten het verbod op direct marketing, zeggen KBO en de Belgische wet NIKS over transparantie naar de betrokken bedrijven als je data kopieert uit KBO.

Dat is natuurlijk heel andere koek in GDPR, met name

  • Art.5 (Beginselen inzake verwerking van persoonsgegevens)
    • ze moeten “worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”)”
  • Art 6 (Rechtmatigheid van de verwerking)
    • Dit is van belang als publieke data plots gebruikt wordt voor een ander doel, bijvoorbeeld commerciële adreslijsten
    • Verhouding tussen gerechtvaardigd belang en toestemming, “wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.”
  • Art. 12: Transparantie voor toepassing van Art. 13 en 14.
  • Art. 13: “Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld”
  • Art. 14: “Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen”

6. Wat is het GDPR probleem?

6.1 Overheid

Ook op vlak van GDPR heeft de overheid de verplichting om deze data te publiceren, in functie van hun publieke verantwoordelijkheid.

Dit valt onder GDPR artikel 6) 1.c (wettelijke verplichting) en nog belangrijker Art.6.1.e. “taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen”

En bij het opstarten van je bedrijf, bij registratie in KBO dus, krijg je de uitleg en de privacy policy van KBO vult de andere transparantieverplichtingen aan. Je hebt niet veel keuze, het is een publieke verplichting.

6.2 Data broker / direct marketing

Maar dat verandert dus helemaal als een data broker of een direct marketing je data van KBO steelt.

Wat moeten zij dan doen, als je het volgens de regels van GDPR speelt?

Algemene taak als verwerkingsverantwoordelijke

Eerst en vooral bij het copieren van KBO data, zeker voor het gebruik voor commerciele doeleinden, met name werven van klanten, gaat het dus bijna altijd om “direct marketing”.
Het kopieren en gebruiken van KBO data is illegaal door de Belgische wet, jammer maar helaas, dat heeft niks met GDPR te maken.

Je zou dus “gerechtvaardigd belang” kunnen inroepen, maar zelfs dan zijn er belangrijke voorwaarden aan verbonden. Dat leg ik straks uit onder de verplichting van art. 14.

Transparantie

GDPR Art. 12. 1

De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt,

Bepaling van DAR/SAR (subject data access request), Art. 12. 3

“De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven.”

Eerste direct contact betrokken persoon (Art. 13)

Art.13 is van toepassing als je de gegevens direct van de betrokken persoon krijgt.

Indirect contact (Art. 14)

Volgens Art. 14 moet je de betrokken persoon verwittigen bij het verzamelen van de gegevens als ze niet rechtstreeks van de betrokken persoon komen en de nodige details bezorgen, inclusief

  • wanneer de gegevens verkregen zijn
  • doeleinde verwerking;
  • de ontvangers (dus de marketing bedrijven, in dit geval)
  • hoelang de gevens opgeslagen worden;
  • gerechtvaardigde belangen;
  • de bron. (“Art. 14 §2.f de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen;”)
  • en nog andere info…

En nog veel belangrijker volgens Art. 14 §3, moet de betrokken persoon moet daarvan verwittigd worden, ik citeer : “

  • a) binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt;
  1. b) indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact met de betrokkene; of
  2. c) indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt.

En net daar gaan HEEL VEEL data brokers en direct-marketing bedrijven NOG EENS in de fout, geen transparantie, geen bronvermelding, geen details van collectie, … Een simpele vermelding in de “privacy policy” is niet voldoende…

7. Wat moet je dan WEL doen als data broker of direct marketing?

Enkele tips

  • Zorg dat je een heel duidelijke en expliciete privacy en data protection policy hebt, die publiek beschikbaar is en goed leesbaar.
  • Gebruik GEEN KBO data.
    • Dat is illegaal. Heeft niks met GDPR te maken, geen direct marketing met KBO data volgens de wet.
  • Contacteer het prospectbedrijf via de algemene contact gegevens, via hun website, … via andere kanalen.
  • Bij gebruik van algemene bedrijfsgegevens (algemeen telefoon nummer, info@bedrijf.url…) dan is GDPR niet van toepassing.
  • Als je gegevens van persoon, de bedrijfsverantwoordelijke zélf ontvangt
    • Pas Art.12 -, 13 en 14 toe
    • Wees transparant, vertel waar de gegevens vandaan komen
    • Vraag bij eerste contact om toestemming, of regel een andere wettelijke grond die stand houdt.
    • Bij weigering of intrekken toestemming, verwijder data onmiddellijk, tenzij andere redenen van toepassing zijn.
  • Als je contact gegevens verzamelt uit andere bronnen dan de persoon zelf,
    • VERWIJDER ALLE PERSOONLIJKE DATA, dan is het géén GDPR data.
    • Pas Art.12, 13 en 14 toe
    • Wees transparant, vertel waar de gegevens vandaan komen
    • Vraag bij eerste contact om toestemming
    • Bij weigering, verwijder de data onmiddellijk
  • Onderhoud je data op regelmatige tijdstippen, vb check met de contactpersoon minstens 1x per jaar dat de data nog up to date is, bij weigering of gebrek aan antwoord: wis de data
  • Beperk de data opslag tot redelijke bruikbare termijn, dat is een paar jaar. GEEN 15 jaar, zoals sommige data brokers doen. Email adressen zijn na een paar jaar niet meer vers. Er verandert vrij veel in de contact gegevens.

7. Hoe kan je zelf misbruik tegen gaan?

Dit heb ik in het kort uitgelegd in dit LinkedIn artikel: Data Protection Life Hack: stop de direct-marketing spam met je KBO data.

7.1 Proactief/preventief

Verwijder je declaratieve gegevens uit KBO

Voor de details zie: Data Protection Life Hack: stop de direct-marketing spam met je KBO data.

Declaratieve gegevens zijn optioneel, en niet strikt noodzakelijk voor de werking van KBO.
Maar het kan om bepaalde redenen toch wel handig zijn…

Zorg dat je KBO-gegevens als persoonsgegevens onder GDPR vallen

Gebruik geen algemeen mail adres. Maak het persoonlijk, dan kan je de rechten onder GDPR afdwingen.

Let op: Bij gebruik van algemene bedrijfsgegevens (algemeen telefoon nummer, info@bedrijf.url…) dan is GDPR niet van toepassing.

Natuurlijk als je graag marketing ontvangt of het nodig hebt, dan is deze discussie niet zo belangrijk.

TIP: gebruik een alias zoals uitgelegd in het LinkedIN article, zodat je je mailbox netjes kan houden.

7.2 Reactief

Als je ondanks de voorzorgen TOCH spam krijgt, die je niet wil ontvangen, kan je actie ondernemen.
Hou er rekening mee dat dit vaak tijd neemt en soms een lastige administratieve route is.

Mogelijke acties

Dus, dan zijn er een aantal mogelijke opties (- eenvoudig, +/- vergt wat werk, ++ moeilijk)

  • (-) Dien een subject data acces request (DAR/SAR) in bij het direct marketing bedrijf dat je contacteert, zodat je weet
    • waar de data vandaan komt,
    • welke data ze hebben,
    • enz…
    • TIP: zorg dat je voldoende details opvraagt, zie GDPR art. 13 en 14.
  • (-) Dien een DAR/SAR in bij de data broker die contact data levert
  • (+/-) Stel het direct marketing bedrijf officieel in gebreke, dit is een eerste officiële klacht, los van de GDPR rechten, die vaststelt dat er een inbreuk is gepleegd. Het is wettelijk geldig om dit via mail te doen.
  • (+/-)Stel de data broker officieel in gebreke, dit is een officiële klacht, los van de GDPR rechten, die vaststelt dat er een inbreuk is gepleegd. Het is wettelijk geldig om dit via mail te doen.
  • (+/-) Leg een klacht neer bij de GBA, wanneer
    • blijkt dat ze illegaal data verzameld wordt
    • je GDPR rechten niet gerespecteerd worden

GDPR SAR/DAR + ingebreke stelling

Klacht bij KBO & FOD Eco

Hoewel de FOD Economie weinig kan doen aan het misbruik van data, hebben een aantal data brokers een licentie bij KBO. Dus het loont om misbruiken te rapporteren, zo dat ze actie kunnen nemen, waar mogelijk.

Klacht GBA

Op de website van de gegevensbeschermingsautoriteit vind deze link om een klacht in te dienen.

https://gegevensbeschermingsautoriteit.be/burger/acties/klacht-indienen

Wees voorbereid, neem voldoende tijd om dit goed aan te pakken,

  • want ze vragen dat je eerst probeert om de klacht op te lossen met de tegenpartij.
  • En ze vragen bewijs te leveren, en om je klacht goed te onderbouwen.

En besef dat een procedure met de GBA tijd neemt. Dus verwacht niet meteen resultaat op korte termijn.

Daarentegen is het wel belangrijk om klacht neer te leggen, want dat geeft ook duidelijk aan bij de GBA hoe ernstig dit probleem is, als er meerdere slachtoffers dit rapporten. Zowel binnen de sector van direct marketing, of specifiek voor een bepaald bedrijf dat de regels niet respecteert.

8. Referentie materiaal

Direct marketing en de aanbevelingen van GBA

Direct marketing en privacy: zo moet het volgens de GBA I DGDM (degroote-deman.be)

Gegevensbeschermingsautoriteit (GBA)

https://gegevensbeschermingsautoriteit.be/burger/thema-s/marketing/wat-is-direct-marketing

Note-to-self: public website/server certificate quick check.

Today my ESET Endpoint Security blocked my browser for what I know is (sorry, should be) a legitimate magazine website…

Using other browsers (Chrome, Firefox, Opera, Tor, …) on my machine, I had the same issue…

Microsoft Edge

ESET Endpoint Security is reporting

“Website certificate revoked

The certificate used by this server has been marked as untrustworthy and the connection is not safe

Try connecting again later or from a different internet connection.
Access to it has been blocked.

Tor

Using another pc or smartphone (not using ESET) … I was able to connect.

So what’s going on?

ESET protecting you…

Eset forums

When you look up the Eset message (“Website Certificate Revoked” eset), you’ll probably land on the ESET forums or knowledge base, … seems to be a pretty popular topic.
Like for example: https://forum.eset.com/topic/21531-eset-giving-website-certificate-revoked-message/

ESET knowledge base

https://support.eset.com/en/kb6258-website-certificate-is-revoked-is-displayed-when-visiting-legitimate-web-pages

ESET explains

“This warning is displayed when your ESET product detects that the security certificate for a website is revoked.

ESET cannot resolve the issue because only the owner of a domain can renew their security certificate. You cannot choose to continue to the site using the insecure certificate.”

How do you double check this information?

The ESET forums point to a very interesting and eays to use tool: SSLTest at SSLLabs.com

Open: https://www.ssllabs.com/ssltest/index.html

Then you can enter the URL of the website you want to visit or check…

Depending the status of the website (good…or bad), it will take a few seconds… to minutes… to scan the website and show the quality of the certificate.

In this case, it’s fairly clear why the website was blocked:

Just for your reference if you would check a website like: https://docs.microsoft.com, you’ll get A+ (that’s the other end of the scale..)

If you want to know more about the website rating, check the SSLLabs rating guide:

https://github.com/ssllabs/research/wiki/SSL-Server-Rating-Guide

The grading results in a score from A (top), (B) good, (C) average .. to (F) big fail lowest score …

So, it’s a very handy and free tool to check your website for issues.

Why are these websites not blocked by other tools or browsers?

First of all, check if you have an anti-virus or antimalware tool that checks the URL.

Because other browsers, apps or URL filters will not always check for the CRL (the certificate revocation list, containing certificates that are no longer valid…).

Or the CRL is not updated or and old CRL is cached. The ESET KB article mentioned, explains how to clear the CRL cache on your system.

Other interesting tools

The website (or mail) certificate is just one of the security indicators …
If you want to check the reputation of your URL, domain, website, mail system, DNS, … there are some more interesting tools you should have at hand, like https://mxtoolbox.com/NetworkTools.aspx.

Quite a while ago I posted an article on web and mail reputation, there is some more interesting free tools you can use to check the domain reputation.

See here: (TechNet Wiki) Hotmail/Outlook.com Solving Mass Mailing Delivery Issues

Conclusion

This situation show how easy it is to land on a website using revoked or unverified certificates…

Make sure to use a decent anti-malware and anti-virus tool. It’s worth to spend a small bit of money to protect your systems.

And if you combine it with some free tools to check the health of (your) websites and systems… you can achieve a decent level of security without spending a lot of money.

Note-to-self: Reference Articles on eID, privacy & GDPR

Following list of articles is a memory help and quick reference to interesting and useful articles from regarding the use of eID (Belgian Identity Card), related to privacy, data protection and GDPR.

This article will be updated regularlywhen interesting items are discussed or noted on workshops, discussions or other social media like LinkedIn.

eID

GBA Advisory on photocopy identity card

https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/aanbeveling_03_2011.pdf

LinkedIN articles

Denk 2 keer na voor je een fotokopie laat maken van je identiteitskaart

(Think twice before you let someone photocopy your identity card)

https://www.linkedin.com/pulse/denk-2-keer-na-voor-je-een-fotokopie-laat-maken-van-peter-geelen-/

Het gebruik van uw identiteitskaart als waarborg? (Using your identity card as waranty. NOT.)

https://www.linkedin.com/pulse/het-gebruik-van-uw-identiteitskaart-als-waarborg-peter-geelen/

Direct Marketing

Direct marketing and protection of personal data

Interesting cases & decisions

See other post: collecting interesting cases and decisions by the Belgian DPA:

https://identityunderground.wordpress.com/2020/06/11/note-to-self-interesting-dpa-decisions-court-cases-regarding-gdpr-it-security/

€750.000 per year for some onepager PDF, you can do that too.

scam-3933004_1920

(Image Credits: mohamed Hassan via Pixabay)

Dear Annie BG Mathews,

Dear CIO Applications Europe,

(quote, feb 2020) “I am Annie from CIO Applications Europe magazine and it is my pleasure to inform you that we have pre-screened the top players who have carved a niche in the Information Security arena and have shortlisted them to be featured as one of the “Top 10 Information Security Consulting/Service Companies 2020”, <…> being one of them.”

(quote, apr 2020) “I am Annie from CIO Applications Europe magazine, and it is my pleasure to inform you that we have pre-screened the top players who have carved a niche in the GDPR arena and have shortlisted them to feature as one of the “Top 10 GDPR Consulting/Service Companies 2020”, <…> being one of them.”

Did you also get the same mail  from “CIO Applications Europe”, with their fabulous “Top 10” marketing, asking a small fee of €2500,- to be featured as top-player in the <see below> field, for which you get a fabulous … eh.. 1 single pager PDF. And using their top 10 logo in your marketing.

Top, you make me feel so special!

Just.. ehm… radio couloir says lots of my sector contacts and LinkedIn network contacts got the exact same mail.. So, top 10, my @§§.

Marvelous quick win

Just a bit of 12y-old math says: that is a smart turnover of 25.000 EUR per top 10 published. Knowing that they have published roughly 30 of their “top 10” articles for 2019, this means a quick win of €750.000 on one-pagers only.

The categories they have listed last year:

(Look it up yourself: https://www.google.be/search?q=inurl:cioapplicationseurope.com+%22Top+10%22+%22-+2019%22)

  • Agile Technology, Asset management, Automotive, Blockchain, Blockchain Solutions, Business Intelligence, CEM solution, Contact center, Cognitive consulting, ERP, FinTech Solution, GDPR Solutions, GDPR consulting, IBM Solution, Information Security, IoT solution, IT services management, Legal technology, Mar tech, Microsoft solution, Microsoft Consulting, Procurement, Proptech, Salesforce, Smart City Tech,…

Forgive me if  I forgot another €25.000,- in the 30x Top 10 of 2019 they listed.

But some important categories missing, so you can do that too, some ideas below.

If the “Top 10” on GDPR is completed, you create new categories like “GDPR consulting”, “GDPR legal advice”, “GDPR breach specialist”, “GDPR expert”, “GDPR Services”, that’s another 125K of revenue, easy deal to fill the 1 million bucket.

So, you can buy yourself a list in the Top 10.

So here’s the deal, for 2499 EUR, you can get listed in the 2020 Top 10 spam and scam companies, you get a full A6 print page (special 7pt Wingdings font) with a 3 minute made-up interview with your CSSO. (Chief Spam’n Scam Officer.)

Legit business??

For €2499,- you get an interview, a one pager and a logo for display.

I quote: “We want to work with you towards a single page article after an interview with the senior management projecting the unique story of your company. For a nominal amount of 2,500 Euros, you will own complete print and digital rights to use the pdf of profile in your process of acquiring new clients along with many other prominent benefits like rights to use the Top 10 logo in your communications, single page complimentary advertisement placement and many more which I would love to explain when we connect.

It’s not forbidden to make you a ridiculous offer, but do you really want to sponsor this scam and spam practice and keep it alive?

Fact is, this is not ‘just a spam’ campaign.. It’s setup as legitimate business, at first sight.

You can still ask yourself why CIO Applications “EUROPE” would have a phone number in the US.

#GDPR!

It’s not only about the scam, they are using personal data without notification.

And you can argue they can use “legitimate interest”. Yes, for sure. But still they need to apply article 13 and 14, when collecting personal data. Their privacy notice (https://www.cioapplicationseurope.com/privacy-policy/) is not mentioned in the mail communication, it does not mention how they collect my data and how the process it. Neither do they refer to the required legal GDRP mentions (like DPA contact and so on…).

There is no reference how to file a subject-data access request… you can always spam their marketing department as mentioned in their privacy notice.

So, this could even be a valid reason for contacting your DPA and file a complaint.

I don’t want to unsubscribe to spam mail, because I don’t want to give you just more information if you don’t respect me from the beginning.

What’s the real problem then?

What do you think of a “Top-10” ranking, that is only based on the fee you pay? The first 10 that pay, are in the top 10. Number 11, bad luck. Oh wait, we’ll setup another top 10.

This feels like bribery. And mental pressure.

They send out the requests to new companies, struggling to conquer the market. They make your feel important, but it’s only about the money.

This type of practice puts other legitimate rankings in such a bad daylight… the smell of money on a “Top 10 …something”. This destroys the reputation of other communities, value papers and IT or security sectors. It’s not isolated to this one bad apple.

Be smart

Think. If it doesn’t feel right, it is not right. For a bare €2499,- you can achieve a lot more than a single page PDF and a top 10 logo.

For the same money and the support of a real marketing specialist, and some smart channel management, you can create real impact.

But most important of all, do what you do best. Create impact. Create great stuff, create buzz, let customers tell your story…

Stay out of the pile of bad apples.

#justthinking

Note-to-self: MNM van KSZ (Minimale normen – Sociale Zekerheid)

Minimale Normen / Normes Minimales van de KSZ (Kruispuntbank van de Sociale Zekerheid) gebaseerd op de ISO27001/ISO27002

“De toepassing van de minimale normen informatieveiligheid en privacy is verplicht voor instellingen van sociale zekerheid overeenkomstig artikel 2, eerste lid, 2° van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid (KSZ). Bovendien moeten de minimale normen informatieveiligheid en privacy eveneens toegepast worden door alle organisaties die deel uitmaken van het netwerk van de sociale zekerheid overeenkomstig artikel 18 van deze wet. Tenslotte kan het sectoraal comité van de sociale zekerheid en van de gezondheid de naleving van de minimale normen informatieveiligheid en privacy ook opleggen aan andere instanties dan de hogervermelde.  ”

Bookmark:

(NL) https://www.ksz-bcss.fgov.be/nl/gegevensbescherming/informatieveiligheidsbeleid

(FR) https://www.ksz-bcss.fgov.be/fr/protection-des-donnees/politique-de-securite-de-linformation

(edit)

Opmerking: voor alle duidelijkheid, op zich zijn deze documenten geen nieuwigheid maar buiten de SZ zijn deze normen minder gekend… vandaar dat het toch nuttig is om ze bij te houden als geheugensteun en referentie. Je komt er sneller mee in contact als je denkt…

Useful GDPR resources (Working doc)

Certification

IAPP article: 4 GDPR-certification myths dispelled (EN)

EDPB (European Data protection Board)

GDPR docs: https://edpb.europa.eu/node/28

Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation – version adopted after public consultation

ENISA

Interplay between standardisation and the General Data Protection Regulation: https://www.enisa.europa.eu/events/enisa-cscg-2017/presentations/kamara

Recommendations on European Data Protection Certification

 

 

Note-to-self: logging policy considerations

Few days ago I got a question from a security officer for guidance on event and system logging.

What I can recommend: a good guideline and indication is this from OWASP.
You know OWASP is THE reference for software security …. with their OWASP top 10 etc.

Check this: https://owasp.org/www-project-cheat-sheets/cheatsheets/Logging_Cheat_Sheet

Another reference from NIST see below, very handy.

These are fairly complete in terms of guideline.

What you should pay special attention to from a policy point of view is

Special accounts

  •  Sensitive accounts
    • Highly priviliged accounts
    • Admin accounts
    • Service accounts
  • Sensitive systems
    • Domain controllers
    • Application servers
  • Sensitive data
    • HR data
    • Finance data
    • Legal data

Regarding the classification of accounts, check these:

For the users you also have to think carefully about events

  • Large volume of failed logons from sensitive users, may indicate
    • Attack
    • Denial of service
    • Hacking
  • Attack on the password database, large volumes of password change attempts …
    •  Smart password ‘testers’ will stay just below the blocking limit ..
  • Successful logons from special accounts at abnormal places or times
  • Changing the rights of sensitive accounts
    • Promotion of regular users to admins or other sensitive accounts in AD or central database

CLASSIFICATION

Make sure you have a data, user and system classification policy.
Define roles and / or categories.
Which objects are “not important”, “not sensitive”, sensitive, important, critical.
The protection must be tailored to the category type.

STORAGE

In addition, you should also write a policy on saving data.
This often poses a logistical problem with disk space.

If you know that sometimes attacks are only detected after 200-300 days, you should be able to do a forensic investigation in that period.
But that does not have to be on live data, if it is in backup, that is also good.

In terms of operational data you have to decide how much should be available immediately, for immediate consultation.
For example, that can be 1 month. (if the system can save so much)

BACKUP

Ensure that a backup can be guaranteed for a year (combination of full / differential and / or incremental backups or virtual snapshots …)
This is not a fixed period, but depending on risk management this may be more or less.

IMPORTANT: Time synchronization

Also make sure that you require NTP time synchronization, so that the clocks are exactly matched to each other on all systems.
Log analysis is impossible without correct timing.

SECURITY

Ensure that logs on source systems cannot be deleted by administrators.
Ensure that the logs following are shielded from system owners;
Ideally, you are obliged to store logs centrally (for example in a SIEM system).

Secure backups

Consider managed encryption of data and backups (not ransomware or malware).

Healthy logging and healthy backups

Make sure to test backups and restores!

Check the logs and backup for malware.

LOG CENTRALIZATION

Store logs centrally with sufficient storage capacity, security and backup.

LOG MANAGEMENT

A good management process and regular inspection must become mandatory.
Ensure monitoring for special events or special trends (sudden growth or sudden decrease or disappearance of logs)

Arrange forensic surveillance / detention if a burglary or data breach may need to be reported to the government / DPA / police.

The NIST documentation below provides useful hints and tips about the type of systems, routers, switches, firewalls, servers …

LEGISLATION

Take into account legislation such as GDPR or ePrivacy or others that impose your obligations (legal, judicial, international, fed gov, …)

EXPERIENCE

View and learn from past incidents and known use cases or accidents, which give a clear hint of what protect first.

PDCA – plan-do-check-act

Require a regular review of the policy and the rules, ensure that the guidelines are updated to the requirements and changing situations.

It is difficult if you find out after the facts that your log is not working properly.

Other references

And this is also a reference (NIST)

Privacy Life-Hack: het omzeilen van de registratie-walls voor “gratis” downloads. Betaal niet met jouw persoonlijke gegevens.

Wanneer was jouw laatste download van een “gratis” paper, een “gratis” eBook, of een “gratis” aangeboden document… terwijl in feite deze download werd verborgen achter een “privacy wall” of “registratie wall”?

Het is een veel voorkomende praktijk van commerciële bedrijven om jouw contactgegevens te verzamelen voor het opbouwen van hun prospectendatabase of erger (alleen de verkoop van jouw gegevens).

Met de term “Privacy Wall” , “Free Registration Wall” of “consent wall”, verwijs ik naar het equivalent van een “pay wall” wanneer je moet betalen voor toegang tot inhoud. Met een “Privacy Wall“, in plaats van geld te moeten betalen, vereist de provider dat jij je ‘gratis’ registreert om toegang te krijgen tot hun inhoud.

In dat opzicht betaal je in feite met jouw persoonsgegevens.

Onthoud: niets is gratis. Zoals ze in het Engels zeggen “There ain’t no such thing as a free lunch” (eh… Download).

Voordat ik in detail inga op het omzeilen van “Privacy Walls“, zijn er toch een paar opmerkingen over de legitimiteit van deze “Privacy Walls“.

Als je niet geïnteresseerd bent in de achtergrondinformatie, kan je direct naar de privacy life-hack sectie beneden kijken.

Welke gegevens zijn er eigenlijk nodig voor een gratis download?

Echt gratis download

In het kort, technisch gezien heb je geen persoonlijke gegevens nodig om een gratis download te laten werken. Geen! Publiceer het gewoon online en geef de URL aan iedereen.

Beveiligde Download

Maar, wat als…

  • je de download wilt aanbieden voor geregistreerde leden (Ref. gerechtvaardigd belang), of
  • het document wil beveiligen met Digital Rights Management (dat een unieke identitier of mail nodig heeft) en een persoonlijke download link naar de aanvrager wil sturen, of
  • je een digitaal watermerk met gebruikers-id wil toepassen?

…dan is het volkomen zinvol om het e-mailadres te registreren of op te vragen…
(Maar nog steeds onder AVG Art. 13 of soortgelijke wetgeving).

In de praktijk, het echte leven: het verzamelen van jouw persoonlijke gegevens voor commerciële doeleinden…

… veel commerciële of marketing bedrijven vereisen (of dwingen) je om een uitgebreide of volledige set van persoonlijke gegevens in te vullen als voorwaarde om te downloaden… dat is absoluut niet relevant voor de download zelf. Maar het kan zinvol zijn om hun commerciële redenen en dat vertellen ze je (niet) … (Opnieuw: AVG Art. 13)

Juridische overwegingen

Allereerst is het belangrijk om te begrijpen dat in de meeste gevallen wel het legitiem is om contactgegevens te vragen, maar met een grote dubbele als voorwaarde…

Je zou legitiem belang kunnen overwegen om persoonlijke gegevens te verzamelen of de gebruikelijke toestemming van de downloader. (Ik laat de andere 4 AVG opties buiten het bereik voor dit artikel, om het simpel te houden.)

Als AVG van toepassing is (je weet: mensen in de EU,.. enzovoort) en als een verwerker persoonlijke gegevens op vraagt, moet deze voldoen aan AVG Art. 13 die bepaalt dat “informatie moet worden verstrekt wanneer persoonsgegevens worden verzameld van betrokkene “. Dit betekent dat de verwerkingsverantwoordelijke moet uitleggen welke gegevens zij verzamelen, doeleinden van verwerking, contactgegevens van de verwerkingsverantwoordelijke,…en meer.

Dat is waar het in de praktijk vaak fout gaat, de GDPR wordt (nog steeds) niet correct toegepast.

Als je bijvoorbeeld niet de vereiste privacyverklaring opgeeft op het moment van verzamelen, geraak je in de problemen, zoals bijvoorbeeld:

privacywall1.png

Als AVG niet van toepassing is, controleer dan best ook andere wetgeving die van toepassing is zoals e-commerce of eCommunication bescherming. Er is een grote kans dat andere soortgelijke wettelijke regels van toepassing zijn, vergelijkbaar met de eerder genoemde AVG-vereisten.

Wat het geval ook is, je kan jouw persoonlijke gegevens beter zelf beschermen.

Hoe kan je jouw persoonsgegevens beschermen met betrekking tot gratis downloads? Voordat ik die vraag kan beantwoorden, moet je de volgende vraag beantwoorden.

Wat wil je betalen voor een gratis download?

Sta mij toe om Matthias Dobbelaere-welvaert te citeren uit een televisie-uitzending van VIER (trafiek Axel- aflevering 6, Axel Estate een identiteit),

Korte versie via Matthias’ tweet:

“/.. /Wat je eigenlijk moet denken, elke keer dat je een stukje van je privacy afgeeft,… moet je eigenlijk denken dat je 50 euro afgeeft, … Daar kan geld mee verdiend worden . /.. /”

Belangrijke opmerking: deze uitzending op vier, zit ook achter een registratie wall (!) …

Wil je betalen met persoonsgegevens (€50 €… KA-CHING!) voor een gratis download?

Wil je betalen met persoonsgegevens (… nog eens €50) voor bijna 50′ van hoge kwaliteit televisie over diefstal van persoonlijke gegevens…? Het is aan jou om te beslissen. Ik weet het al.

Maar… gelieve te beseffen dat in veel gevallen deze verplichte registratie (“privacy Wall”) voor gratis downloads gewoon NEP is.

Ik bedoel, alleen bedoeld om jouw persoonlijke gegevens te verzamelen, en na registratie krijg je toegang tot een openbaar, daadwerkelijk gratis download.

Als je het op voorhand wist, zou je niet registreren om toegang te krijgen. Omdat het ook niet hoeft, in de meeste gevallen.

Ik wil de voorbeelden hier niet noemen en de schuld geven, maar het kost weinig tijd om de voorbeelden op mijn LinkedIn-tijdlijn te vinden… het is heel gemakkelijk om deze voorbeelden elders op het Internet te vinden.

De privacy life-hack voor “gratis” downloads

In veel gevallen kan je de gratis download uitvoeren zonder jouw persoonlijke gegevens te gebruiken. Het probleem: je weet dat alleen na registratie. Dus…

Optie 1: gebruik een wegwerp mailadres om toegang te krijgen tot de daadwerkelijke gratis openbare link

Zoek op internet naar ‘temporary email‘ of ‘ anonymous email ‘, er zijn veel diensten die je toelaten om een wegwerp mailadres te gebruiken (zoals temp, getnada,… en mijn favoriete mailinator).

Geef ook dummy persoonlijke gegevens in, zoals voornaam, achternaam en adres…

Voordeel: snel, eenvoudig, geen gedoe, geen spam. “Hit and run”, klaar.

Nadeel (beperkt): veel gratis download providers blokkeren deze gekende anonieme mails. Anonieme mail is niet altijd bruikbaar.

Alternatief: Probeer een andere temp mailprovider of schakel over naar optie 2.

Optie 2: Activeer jouw eigen tijdelijke e-mailadres en schakel het opnieuw uit na het downloaden

Registreer je eigen internetdomein, voor een paar dollar per jaar. Vervolgens beheert je je eigen e-mail aliassen of e-mail doorstuurservers.

Je maakt gewoon een download alias zoals Download@yourveryshortdomain.root, Activeer het voor download, Download en deactiveer het na het downloaden. Gedaan.

Voordeel: snel, eenvoudig, geen spam, je hebt de controle.

Nadeel: je moet een paar dollar per jaar doorbrengen. (ongeveer 10 EUR/yr)

Alternatief: vast gratis e-mailadres…

Optie 3: gebruik een apart, gratis e-mailadres voor de downloads

Hotmail, Outlook.com, Gmail,… noem het gewoon.

Voordeel: gescheiden van jouw reguliere post

NADEEL (BELANGRIJK): je krijgt nog steeds de spam en marketing die je niet wil. Je moet jouw registratie annuleren. Ze misbruiken nog steeds jouw persoonlijke gegevens.

Conclusie & tips

Denk eerst hard na of je wil betalen met jouw persoonlijke gegevens (echt?)

Houd er rekening mee: 50 EUR voor een “gratis” Download??!! (Standaardantwoord is Nee!)

  1. Indien nee, registreer met allemaal dummy gegevens
  2. Zo ja, registreer met minimale persoonsgegevens

TIP: gebruik alle dummy gegevens als persoonsgegevens irrelevant zijn

TIP: gebruik een wegwerp-, tijdelijk, anoniem e-mailadres, Download en dan verdwijnen.

TIP: Voeg alleen absoluut noodzakelijke persoonlijke gegevens toe, niets meer.

TIP: Maak de registratie zo snel mogelijk ongedaan (indien van toepassing)

TIP: beheer jouw e-mailadres en-profielen (een wachtwoord-beheersapplicatie kan je helpen). Controleer ze een paar keer per jaar. Ruim ze op, waar mogelijk.

Laatste update: 2020-12-28

Note-to-self: Blocking ‘Promoted’ feed from your LinkedIn page (with Adblock Plus for Edge, Firefox, Chrome… not IE)

Do you also get these annoying ‘Promoted’ advertisement posts on your LinkedIn feed?
I managed to configure AdBlock Plus to kick out the ‘Promoted’ advertisements on LinkedIn… works on FireFox, Chrome, a bit slow on Edge, … (forget about IE…)

I know from the AdBlock forums, it’s not always easy to get it working. It might change with updates to the adblocker or the way the websites work, … so I hope it’s worth sharing it.

The filter configuration might have some duplicates, but at least it works.

Essentially, it’s hiding the ‘Promoted’ ads in your newsfeed and it’s hiding the “Promoted” right hand side of the LinkedIn page…

This is the filter to use in your AdBlock Plus.

linkedin.com#?#.feed-shared-update:-abp-contains(Promoted)
linkedin.com##.ad-banner
linkedin.com#?#.feed-shared-update-v2:-abp-contains(Promoted)
linkedin.com##iframe[src=”about:blank”]

How to configure?

First install AdBlock Plus

Install AdBlock Plus…. for Edge, Chrome, Firefox… (v3+)
Just FYI, the version for IE (1.6) is not supporting the advanced custom filters, AFAIK.

Configure AdBlock Plus

adblockplus1

In the latest version (on Edge), you need to click the configuration button, on the upper right corner

adblock config

Then click the ‘Advanced’ settings / Edit Filters, then paste the filter text mentioned above.

adblockplus2

Done.

IMPORTANT REMARK

You leave the “allow acceptable ads” option unchecked, because this will override some of the promotion or marketing banners…

When you check this option, “less aggressive” banners will still show.

And typically these are the ads that are shown on LinkedIn, because they adhere to the content you view on LinkedIn… so it’s not considered ‘out-of-band” spam.

adblock setting acceptable ads.png