In the midst of the #COVID19 corona pandemic, the ISO (International Organization for Standardization) has unlocked free reading access to a bunch of relevant standards, including
ISO 22301:2019, Security and resilience – Business continuity management systems –Requirements
ISO 22316:2017, Security and resilience – Organizational resilience – Principles and attributes
ISO 22320:2018, Security and resilience – Emergency management – Guidelines for incident management
ISO 13485:2016, Medical devices — Quality management systems – Requirements for regulatory purposes
The general access page with all online, fully accessible standards can be found here: https://www.iso.org/covid19.
Important note:
these standards are available online, but not downloadable (for legitimate downloads you need to purchase your copy in the ISO shop or with your national standards organisation)
there is no guarantee for continued free access once the Covid pandemic is over, if ever. That’s the sole discretion of the ISO, of course.
De nieuwe editie pakt opnieuw uit met interessante bijdragen van Ruben De Smet (met co-auteurs Thibaut Vandervelden, Kris Steenhaut en An Braeken), Koen Vervloesem, Arthur Zeeuw, Olivier Sustronck,Arno Jansen, Liesbet Demasure en mezelf.
In totaal 36 pagina’s artikels met volgende onderwerpen:
Voorwoord door Matthias Dobbelaere-Welvaert
End-to-end encryptie is niet het einde – Ruben De Smet
De Tandeloze Identiteit – Arthur Zeeuw
Hoe GDPR-conform is ‘The Squid Game’? – Olivier Sustronck
Voorstelling board member: Redona Ukshinaj
Pegasus in Europa. Een blijver? – Arno Jansen
Kort privacynieuws
GDPR killed the direct-marketing star- Peter Geelen
“Datamacht en tegenkracht” – Koen Vervloesem
Voorstelling board member: William Leemans
2022, het jaar van cybersecurity. Niet? – Liesbet Demasure
Het magazine sluit af met een echte gloednieuwe cartoon van privacymakker Lectrr!
At the end of this article, you can also find the download link for an offline version of this article.
Als je echt om privacy geeft en het is van het grootste belang…
Zoals hieronder uitgelegd, kun je WhatsApp zeker beveiligen, maar ze hebben nog steeds je gegevens en metadata en ze definiëren de regels waarmee WhatsApp de show uitvoert. En dat kan veranderen, wanneer ze maar willen.
En je moet weten dat WhatsApp eigendom is van en wordt beheerd door Facebook. En Facebook heeft al bewezen dat ze een echt slechte reputatie hebben als het gaat om privacy …
Als je echt niet wilt toegeven qua privacy, kijk dan eens naar alternatieven die niet zijn gebouwd door bedrijven die geld verdienen met je persoonlijke gegevens… (zie einde van dit artikel).
Het is aan jou om te beslissen welk risico je wilt nemen. Als je het gebruik van WhatsApp en je privacy wilt afwegen tegen de best mogelijke beveiliging, lees dan verder.
Als je om privacy geeft en toch Whatsapp wilt gebruiken
End-to-end encryptie
Het goede nieuws is dat WhatsApp een end-to-end encryptie gebruikt.
En hoewel Facebook of andere partijen mogelijk niet meeluisteren met uw gesprekken, kunnen de contactgegevens, de metagegevens (de gegevens over uw gesprekken) worden onderschept en eigendom zijn van / worden beheerd door Facebook / WhatsApp.
Verder is het belangrijk om te weten dat encryptie NIET van toepassing is op de WhatsApp back-ups.
Zoals hieronder wordt uitgelegd, kunt u dus overwegen whatsApp-back-up uit te schakelen om uw gegevens te beschermen.
En als je er toch voor wilt kiezen om WhatsApp te gebruiken, kun je de privacy en beveiliging in alle lagen van de applicatie beter vergrendelen.
Algemene beveiligingsregels
Minimaliseer uw gegevens
Over het algemeen is het altijd slim om uw gegevens in de applicatie te minimaliseren.
Geef geen persoonsgegevens weg
houd uw profielgegevens tot het minimum dat nodig is
Ga naar het WhatsApp status tabblad (rechts naast chats)
en klik vervolgens op “Instellingen” (Settings)
Ook, heel belangrijk, beperk het delen van persoonlijke gegevens, er is een specifieke set opties in het gedeelte Privacy.
uw profiel alleen delen met vertrouwde contactpersonen
De publicatie van
“laatst gezien” tijdstempel
profielfoto
status
groepen
live locatie
…
Stel voor elk van deze opties de juiste keuze in om delen uit te schakelen.
Kies “Alleen delen met…” (Only Share with…) > geen contactpersonen selecteren (of enkel een beperkte set vertrouwde contactpersonen)
Resultaat
Zorg er ook voor dat u het “Vingerafdrukslot” (Fingerprint lock) inschakelt, indien beschikbaar op uw smartphone.
Koperstip: voor de volgende smartphoneaankoop moet u rekening houden met de beschikbaarheid van een vingerafdrukscanner op uw telefoon.
Houd de app up-to-date
Werk uw apps continu bij, incl. WhatsApp, naar de nieuwste versie, om ervoor te zorgen dat alle beveiligingsfouten of beveiligingsproblemen meteen worden opgelost.
De meeste beveiligingsinbreuken of hacks richten zich specifiek op verouderde software.
Hoe u uw WhatsApp-beveiliging kunt vergrendelen, de controlelijst
Zonder beveiligingsconfiguratie is het vrij eenvoudig om een WhatsApp-account te kapen, omdat de eerste registratie alleen is gebaseerd op mobiele nummerregistratie en / of sms (kort bericht).
Dit maakt de eerste WhatsApp-gebruiker extreem gevoelig voor accountovername. Wees niet het volgende slachtoffer en vergrendel WhatsApp vanaf het eerste gebruik.
Whatsapp tweestapsverificatie (2FA) of multifactorauthenticatie (MFA) inschakelen
Allereerst moet je MFA inschakelen, het is een must.
Wanneer je 2FA / MFA inschakelt op de WhatsApp-instellingen, voorkom je dat iemand anders gewoon je telefoonnummer of WhatsApp-account kan overnemen.
Gebruik de sterke authenticatie van je telefoon
E-mailadres registreren voor je account
Een pincode instellen
Houd er rekening mee dat de pincode in WhatsApp geen inlogmethode is, maar een herstel- / herinstallatiefunctie.
Maar u kunt de smartphonebeveiliging gebruiken om toegang tot toepassingen in te schakelen.
Het wordt sterk aangeraden om 2FA of MFA (multifactorauthenticatie, zoals uitgelegd in eerdere paragrafen) in te schakelen.
Whatsapp-tweestaps- of multifactorauthenticatie inschakelen
Gebruik telefoon sterke authenticatie
Vingerafdruk
Binnen de privacy-instellingen vindt u de optie “Vingerafdrukvergrendeling” (als uw smartphone de vingerafdrukscanner aan boord heeft).
Ga naar Instellingen > Account > Privacy om de vingerafdrukvergrendeling in te schakelen
Selecteer vervolgens de laatste optie (Vingerafdrukvergrendeling)
In dit vingerafdrukvergrendelingsmenu kunt u de ontgrendeling inschakelen en de time-outperiode kiezen. Hou het kort.
(Misschien is “meteen”/”immediately” een beetje lastig, zet ‘m dan op 1 minuut bijvoorbeeld…)
De beveiligingsmeldingen inschakelen
In de account settings
er is een beveiligingsoptie
Zorg ervoor dat u de optie “Beveiligingsmeldingen weergeven” inschakelt.
Dit zorgt ervoor dat u meldingen ontvangt wanneer de beveiligingscode van uw contacten verandert.
De privacy-instellingen vergrendelen
Verwijder overbodige persoonsgegevens uit uw profiel
Er is niet veel informatie die u zelf aan uw profiel kunt toevoegen.
Houd het tot het strikte minimum, en ik stel ook voor om geen persoonlijke foto toe te voegen, maar eerder een algemene foto.
Schakel in de privacyinstellingen alle publicatie van uw profielgegevens uit.
Locatietracking stoppen
Een belangrijke optie in de vorige lijst is ook het uitschakelen van locatietracking (“Live locatie”).
Back-up uitschakelen
Hoewel WhatsApp end-to-end-codering gebruikt voor zijn berichten, wordt de codering niet gehandhaafd wanneer de gegevens in de back-up worden opgeslagen
Als u zich echt zorgen maakt over privacy en beveiliging, schakelt u de back-up uit.
Trouwens, als u het verlopen van het bericht activeert, is de back-up toch overbodig…
Select de “Chats” optie
Kies in de chatoptie de optie “Chat back-up”
In de Google drive settings (tenminste voor Android devices), selecteer “Backup to Google Drive” en selecteer dan “Nooit/Never”.
It’s highly suggested to enable these group options, and make sure information is not kept longer as needed.
Andere operationele beveiligingstaken
Verouderde leden uit groepen verwijderen
Het is heel belangrijk om groepen die u beheert te bewaken en overbodige leden zo snel mogelijk te verwijderen.
Zo voorkom je dat er gegevens ‘lekken’ naar deelnemers die die informatie niet nodig hebben.
Groepen verlaten die u niet meer gebruikt
Controleer groepen waarvan u lid bent en sluit deze groepen af/afsluit deze groepen als u ze niet meer nodig hebt, als u geen informatie meer wilt delen of als u niet wilt dat leden uw informatie/berichten zien.
Zo voorkomt u dat u gegevens ‘lekt’ naar deelnemers om u te zien of te volgen.
Verzoek om toegang tot gegevens
Als je de informatie wilt controleren die WhatsApp over je weet, kun je een kopie van die infromation aanvragen
Ga naar je accountinstellingen
En klik vervolgens op de optie “Informatie aanvragen”
Overweeg om andere tools te gebruiken, enkele alternatieven
Als je echt niet wilt toegeven aan privacy, kijk dan eens naar alternatieven die niet zijn gebouwd door bedrijven die geld verdienen met je persoonlijke gegevens…
At the end of this article, you can also find the download link for an offline version of this article.
If you really care about privacy and it’s paramount…
As explained below you surely can lockdown WhatsApp, but they still have your data and metadata and they define the rules by which WhatsApp runs the show. And that can change, whenever they want.
And you should know that WhatsApp is owned and managed by Facebook. And Facebook already has proven to maintain a really bad reputation when it comes down to privacy…
If you really do not want to give in on privacy, better check for alternatives that are not built by companies that make money with your personal data… (see end of this article).
It’s up to you to decide what risk you want to take. If you want to balance the use of WhatsApp and your privacy with the best possible security, continue to read.
If you care about privacy and still want to use Whatsapp
End-to-end encryption
The good news is, WhatsApp is using an end-to-end encryption.
And although Facebook or other parties might not listen in on your conversations, the contact data, the meta data (the data about your conversations) might be intercepted, and is owned/managed by Facebook/WhatsApp.
Furthermore it’s important to know that encryption DOES NOT apply to the WhatsApp backups.
So, as explained below, you might consider disabling WhatsApp backup to protect your data.
And if you still want to choose to use WhatsApp, better lock down the privacy and security in all layers of the application.
General security rules
Minimize your data
In general it’s always smart, to minimize your data in the application.
Don’t give away personal data
keep your profile data to the minimum needed
Go to the WhatsApp status tab
then click “Settings”
Also, very important, limit personal data sharing, there is a specific set of options in the Privacy section.
only share your profile with trusted contacts
Disable the publication of
“last seen” time stamp
profile photo
status
groups
live location
…
For each of these options set the right choice to disable sharing.
Choose “Only Share with…” > do not select any contacts (or a limited set of trusted contacts)
Result
Also make sure to enable the “Fingerprint lock” if available on your smartphone.
Buyers tip: for next smartphone purchase you must consider the availability of a fingerprint scanner on your phone.
Keep the app up to date
Continuously update your apps, incl. WhatsApp, to the latest version, to make sure that all security bugs or security issues are fixed right away.
Most of security breaches or hacks do specifically target outdated software.
How to lock down your WhatsApp security, the check list
Without security configuration it’s fairly easy to hijack a WhatsApp account, as the initial registration is only based on mobile number registration and/or SMS (short message).
This makes the initial WhatsApp user extremely sensitive to account take over. Don’t be the next victim, and lock down WhatsApp from the first use.
Enable Whatsapp Two-step (2FA) or multifactor authentication (MFA)
First of all you need to enable MFA, it’s a must.
When you enable 2FA/MFA on the WhatsApp settings, you avoid that someone else simply can take over your phone number or WhatsApp account.
Use phone strong authentication
Register email address to the account
Set a pin/password
Be aware that the PIN in WhatsApp is not a login method but a recovery/reinstallation feature.
It’s highly suggested to enable these group options, and make sure information is not kept longer as needed.
Other operational security tasks
Remove obsolete members from groups
It’s quite important to monitor groups you manage and remove redundant members as soon as possible.
This way you avoid ‘leaking’ data to participants who do not need that information.
Leave groups you don’t use anymore
Monitor groups you are member of, and you should quit/exit these groups if you do not need them anymore, or you do not want to share information anymore, or if you don’t want members to see your information/messages.
This way you avoid ‘leaking’ data to participants to see you or track you.
Data access request
If you want to check the information that WhatsApp knows about you, you can request a copy of that infromation
If you really do not want to give in on privacy, better check for alternatives that are not built by companies that make money with your personal data…, like
With the publication of the GDPR in 2016, it quickly became clear that it would massively impact the direct marketing sector, simply because direct marketing runs on personal data.
On 25 may 2018, the GDPR came into force, changing the global mindset on data protection (and privacy by extension).
Anno 2020, 2 years after the publication, many enterprises, large and small still struggle to apply the data protection regulation and best practices.
And for the direct marketing companies, this is a particular difficult topic, after 4 years.
So, maybe, the newly (june 2020) published standard can provide a practical help to implement consent management. Please remind that the GDPR is a regulation/law… not a best practice with hints and tips.
While there has been a lot of guidance, communication & education on implementing a direct marketing that is compliant with GDPR and ePrivacy/eCommunication regulation and directives.
Even, for other markets than direct marketing where managing personal data is optional (meaning, not part of core business), you can use this guide to manage privacy or data protection notices for your newsletters and website.
Side note
The ISO 29184 is strictly and only about privacy notices and consent, it’s not an in depth guide for direct marketing, but it’s an essential part of it.
After the mandatory basic chapters (Foreword, 1. Scope), the document hints to ISO 29100 in chapter 2 (Normative References) and 3. (Terms and definitions.
Important note here is that the definition of “explicit consent” has been updated to match the GDPR requirement for unambiguous affirmative consent.
Chapter 5 contains the “general requirements and recommendations”.
A major requirement (and typical for ISO compliance like in ISO9001 and ISO27001) is that you need to document the implementation of each control in this standard.
The content is structured in 5 chapters (Level 2)
Overall objective
Notice
Contents of notice
Consent
Change of conditions
To read the full details, you know what to do,…
But it’s interesting to see the technical/operations controls required in this standard
General conditions on privacy notice
Provide information to all interested parties about your privacy practices, including
the identity and registered address of the data controller, and
contact points where the subject (in this standard the subject is called “PII principal”)
Provide clear and easy to understand information
with regards the target audience,
which are usually NOT lawyers or data protection specialists),
taking care of the expected language of your audience
You must determine and document the appropriate time for providing notice
Remember the Art. 13 and Art 14 definitions in GDPR
By preference, you should notify the subject immediately before collecting PII (and/or consent)
You must provide notices in a appropriate way
by preference in more than 1 way,
to make sure the subject can find and consult the notices,
digitally and in a easy accessible method
also after initial contact
As also defined in many GDPR guidelines, the consent standard refers to a multilayer approach (avoiding to provide too much information at the same time, but provide the details when needed)
Make sure that the privacy notice is accessible all the time.
Notice content
make sure you’re absolutely clear, honest and transparent about your personal data processing
Define, document and describe clearly
the processing purpose
each element of the processing (remember the processing definitions defined in Art. 4 of GDPR)
the identification of the data controller
the data collection details, incl
methods used
details of data collected
type of collection (direct, indirect, observation, inference…)
timing and location of collection
use of data, including
direct use without data transformation
reprocessing data
combining, like enrichment
automated decision making
transfer of data to 3rd party
data retention (incl backup)
data subject rights
access request
authentication to provide access
timelines
any fees that apply
how to revoke consent
how to file a compliant
how to submit a inquiry
Evidence about consent provided (and changed) by the subject
the legal basis for processing PII/personal data
the risks related with the data and the plausible impact to the subject privacy
Consent management
Identify if whether consent is appropriate
Remember that there are other purposes and reasons for processing data, which usually have a more stable, more solid background, like
contracts
compliance with legal obligations and regulations
vital interest,
public interest
(legitimate interest, which is usually way more difficult to enforce or to convince the subject)
Informed and freely given consent
how do you guarantee that the subject is providing consent without any feeling of coercing, force, conditions, …
Independence from other processing or consent
Remember the GDPR guidelines where you CANNOT force consent as
Inform the subject which account this processing is related to
provide a clear description of the identifier (userID, mail, login, …)
ISO29184 also introduces the consent lifecycle, meaning that is it’s not sufficient to provide notice at first contact with the subject, but you also need to maintain, to update and to renew it on a regular basis, taking into account that the conditions of consent might change (or might have changed after initial consent).
The last part of the ISO 29184 are annexes with interesting user interface examples.
The perfect document set
To make the online privacy and consent management work, this ISO/IEC 29184 will not do on itself as the standard links to the following documents:
If not available for free download, then you’ll need to purchase the ISO standards documents from the ISO e-shop or from the national standards organisation (like NBN for Belgium, NEN for Netherlands, …)
Following list of articles is a memory help and quick reference to interesting and useful articles from regarding the use of eID (Belgian Identity Card), related to privacy, data protection and GDPR.
This article will be updated regularlywhen interesting items are discussed or noted on workshops, discussions or other social media like LinkedIn.
This is a memory help for quick references to interesting court cases and DPA decisions in regards to subject rights under GDPR. This reference list will grow over time, but this saves on physical brain space.
OP 6 feb jongstleden, presenteerde ik een sessie bij Privatum, voor hun avondsessies van “Privacy After Work”.
Dat is een lichte, interessante aanpak om mensen bij elkaar te brengen ivm privacy en gegevensbescherming, dus ideaal voor netwerking en interessante dingen te leren.
Microsoft heeft een open-source mapping gepubliceerd tussen de controles in ISO / IEC 27701 (de nieuwe uitbreiding van de gegevensbescherming van ISO 27001 en 27002) en verschillende wettelijke regels, waaronder de GDPR (Europese Unie).
Het project bevat een Excel-bestand met de onbewerkte gegevens: zie https://github.com/microsoft/data-protection-mapping-project/raw/master/src/assets/database.xlsx
Wanneer was jouw laatste download van een “gratis” paper, een “gratis” eBook, of een “gratis” aangeboden document… terwijl in feite deze download werd verborgen achter een “privacy wall” of “registratie wall”?
Het is een veel voorkomende praktijk van commerciële bedrijven om jouw contactgegevens te verzamelen voor het opbouwen van hun prospectendatabase of erger (alleen de verkoop van jouw gegevens).
Met de term “Privacy Wall” , “Free Registration Wall” of “consent wall”, verwijs ik naar het equivalent van een “pay wall” wanneer je moet betalen voor toegang tot inhoud. Met een “Privacy Wall“, in plaats van geld te moeten betalen, vereist de provider dat jij je ‘gratis’ registreert om toegang te krijgen tot hun inhoud.
In dat opzicht betaal je in feite met jouw persoonsgegevens.
Onthoud: niets is gratis. Zoals ze in het Engels zeggen “There ain’t no such thing as a free lunch” (eh… Download).
Voordat ik in detail inga op het omzeilen van “Privacy Walls“, zijn er toch een paar opmerkingen over de legitimiteit van deze “Privacy Walls“.
Als je niet geïnteresseerd bent in de achtergrondinformatie, kan je direct naar de privacy life-hack sectie beneden kijken.
Welke gegevens zijn er eigenlijk nodig voor een gratis download?
Echt gratis download
In het kort, technisch gezien heb je geen persoonlijke gegevens nodig om een gratis downloadte laten werken. Geen! Publiceer het gewoon online en geef de URL aan iedereen.
Beveiligde Download
Maar, wat als…
je de download wilt aanbieden voor geregistreerde leden (Ref. gerechtvaardigd belang), of
het document wil beveiligen met Digital Rights Management (dat een unieke identitier of mail nodig heeft) en een persoonlijke download link naar de aanvrager wil sturen, of
je een digitaal watermerk met gebruikers-id wil toepassen?
…dan is het volkomen zinvol om het e-mailadres te registreren of op te vragen…
(Maar nog steeds onder AVG Art. 13 of soortgelijke wetgeving).
In de praktijk, het echte leven: het verzamelen van jouw persoonlijke gegevens voor commerciële doeleinden…
… veel commerciële of marketing bedrijven vereisen (of dwingen) je om een uitgebreide of volledige set van persoonlijke gegevens in te vullen als voorwaarde om te downloaden… dat is absoluut niet relevant voor de download zelf. Maar het kan zinvol zijn om hun commerciële redenen en dat vertellen ze je (niet) … (Opnieuw: AVG Art. 13)
Juridische overwegingen
Allereerst is het belangrijk om te begrijpen dat in de meeste gevallen wel het legitiemis om contactgegevens te vragen, maar met een grote dubbele als voorwaarde…
Je zou legitiem belang kunnen overwegen om persoonlijke gegevens te verzamelen of de gebruikelijke toestemming van de downloader. (Ik laat de andere 4 AVG opties buiten het bereik voor dit artikel, om het simpel te houden.)
Als AVG van toepassing is (je weet: mensen in de EU,.. enzovoort) en als een verwerker persoonlijke gegevens op vraagt, moet deze voldoen aan AVG Art. 13 die bepaalt dat “informatie moet worden verstrekt wanneer persoonsgegevens worden verzameld van betrokkene “. Dit betekent dat de verwerkingsverantwoordelijke moet uitleggen welke gegevens zij verzamelen, doeleinden van verwerking, contactgegevens van de verwerkingsverantwoordelijke,…en meer.
Dat is waar het in de praktijk vaak fout gaat, de GDPR wordt (nog steeds) niet correct toegepast.
Als je bijvoorbeeld niet de vereiste privacyverklaring opgeeft op het moment van verzamelen, geraak je in de problemen, zoals bijvoorbeeld:
Als AVG niet van toepassing is, controleer dan best ook andere wetgeving die van toepassing is zoals e-commerce of eCommunication bescherming. Er is een grote kans dat andere soortgelijke wettelijke regels van toepassing zijn, vergelijkbaar met de eerder genoemde AVG-vereisten.
Wat het geval ook is, je kan jouw persoonlijke gegevens beter zelf beschermen.
Hoe kan je jouw persoonsgegevens beschermen met betrekking tot gratis downloads? Voordat ik die vraag kan beantwoorden, moet je de volgende vraag beantwoorden.
— Matthias Dobbelaere-Welvaert (@deJuristen) March 28, 2019
“/.. /Wat je eigenlijk moet denken, elke keer dat je een stukje van je privacy afgeeft,… moet je eigenlijk denken dat je 50 euro afgeeft, … Daar kan geld mee verdiend worden . /.. /”
Belangrijke opmerking: deze uitzending op vier, zit ook achter een registratie wall (!) …
Wil je betalen met persoonsgegevens (€50 €… KA-CHING!) voor een gratis download?
Wil je betalen met persoonsgegevens (… nog eens €50) voor bijna 50′ van hoge kwaliteit televisie over diefstal van persoonlijke gegevens…? Het is aan jou om te beslissen. Ik weet het al.
Maar… gelieve te beseffen dat in veel gevallen deze verplichte registratie (“privacy Wall”) voor gratis downloads gewoon NEP is.
Ik bedoel, alleen bedoeld om jouw persoonlijke gegevens te verzamelen, en na registratie krijg je toegang tot een openbaar, daadwerkelijk gratis download.
Als je het op voorhand wist, zou je niet registreren om toegang te krijgen. Omdat het ook niet hoeft, in de meeste gevallen.
Ik wil de voorbeelden hier niet noemen en de schuld geven, maar het kost weinig tijd om de voorbeelden op mijn LinkedIn-tijdlijn te vinden… het is heel gemakkelijk om deze voorbeelden elders op het Internet te vinden.
De privacy life-hack voor “gratis” downloads
In veel gevallen kan je de gratis download uitvoeren zonder jouw persoonlijke gegevens te gebruiken. Het probleem: je weet dat alleen na registratie. Dus…
Optie 1: gebruik een wegwerp mailadres om toegang te krijgen tot de daadwerkelijke gratis openbare link
Zoek op internet naar ‘temporary email‘ of ‘ anonymous email ‘, er zijn veel diensten die je toelaten om een wegwerp mailadres te gebruiken (zoals temp, getnada,… en mijn favoriete mailinator).
Geef ook dummy persoonlijke gegevens in, zoals voornaam, achternaam en adres…
Voordeel: snel, eenvoudig, geen gedoe, geen spam. “Hit and run”, klaar.
Nadeel (beperkt): veel gratis download providers blokkeren deze gekende anonieme mails. Anonieme mail is niet altijd bruikbaar.
Alternatief: Probeer een andere temp mailprovider of schakel over naar optie 2.
Optie 2: Activeer jouw eigen tijdelijke e-mailadres en schakel het opnieuw uit na het downloaden
Registreer je eigen internetdomein, voor een paar dollar per jaar. Vervolgens beheert je je eigen e-mail aliassen of e-mail doorstuurservers.
Je maakt gewoon een download alias zoals Download@yourveryshortdomain.root, Activeer het voor download, Download en deactiveer het na het downloaden. Gedaan.
Voordeel: snel, eenvoudig, geen spam, je hebt de controle.
Nadeel: je moet een paar dollar per jaar doorbrengen. (ongeveer 10 EUR/yr)
Alternatief: vast gratis e-mailadres…
Optie 3: gebruik een apart, gratis e-mailadres voor de downloads
Hotmail, Outlook.com, Gmail,… noem het gewoon.
Voordeel: gescheiden van jouw reguliere post
NADEEL (BELANGRIJK): je krijgt nog steeds de spam en marketing die je niet wil. Je moet jouw registratie annuleren. Ze misbruiken nog steeds jouw persoonlijke gegevens.
Conclusie & tips
Denk eerst hard na of je wil betalen met jouw persoonlijke gegevens (echt?)
Houd er rekening mee: 50 EUR voor een “gratis” Download??!! (Standaardantwoord is Nee!)
Indien nee, registreer met allemaal dummy gegevens
Zo ja, registreer met minimale persoonsgegevens
TIP: gebruik alle dummy gegevens als persoonsgegevens irrelevant zijn
TIP: gebruik een wegwerp-, tijdelijk, anoniem e-mailadres, Download en dan verdwijnen.
TIP: Voeg alleen absoluut noodzakelijke persoonlijke gegevens toe, niets meer.
TIP: Maak de registratie zo snel mogelijk ongedaan (indien van toepassing)
TIP: beheer jouw e-mailadres en-profielen (een wachtwoord-beheersapplicatie kan je helpen). Controleer ze een paar keer per jaar. Ruim ze op, waar mogelijk.
Update 2020-09-08: Links bijgewerkt met info nieuwe website GBA BE.
Update 2020-05-29: link toegevoegd naar advies van GBA (Gegevensbeschermingsautoriteit), over het gebruik van de identiteitskaart als waarborg en ook over het nemen van fotokopies van identiteitskaart.
Waarborg?
Hoewel je het in privé omstandigheden waarschijnlijk wat minder zal tegenkomen, zullen heel wat professionele collega’s (en zeker consultants en/of security specialisten) de situatie wel herkennen dat je bij het bezoek aan een organisatie door de receptionist of bewaker gevraagd wordt om je identiteitskaart af te geven in ruil voor een (tijdelijke) toegangsbadge. Bij het inleveren van die badge krijg je dan nadien je identiteitskaart (aka eID) terug, normaalgezien.
Naar aanleiding van een aantal weerkerende discussies die ik afgelopen tijd met verschillende klanten en collega’s had, over het gebruik van de (elektronische) identiteitskaart als onderpand of waarborg, ben ik bij het opzoekings-/onderzoekswerk een aantal interessante bronnen en referenties tegengekomen.
Die zijn relatief makkelijk te vinden, ware het niet dat de links van de vroegere ‘privacy commission” (NL/FR) niet meer correct doorverwijzen naar de Belgische GBA , waardoor heel veel oude publieke referenties jammer genoeg niet doorverwezen worden, maar stranden op een onbeschikbare pagina.
Bovendien heeft de vernieuwde website van de Gegegevensbeschermingsautoriteit er nog een schep bovenop gedaan, dus er is nog even werk om dit in de artikels aan te passen.
Dus ik hoop dat onderstaande info alvast interessant is en nuttig om te delen, al is het maar als geheugensteun voor toekomstige discussies [of om bepaalde discussies aan de receptie vanaf nu meteen kort te sluiten 🙂 ].
Wetgeving
Eerst en vooral, focus ik hier op de BELGISCHE eID en de Belgische wetgeving. Voor de buitenlandse identiteitskaarten is er wat meer opzoekingswerk nodig en wellicht is de wetgeving daar anders of heeft andere nuances in de toepassing…
De basis over het gebruik van de eID en het RRN/SSN (Rijksregisternummer, Social Security Number), vind je terug bij FOD Binnenlandse zaken.
Eerst en vooral, moet je een duidelijk verschil tussen
het overhandigen van de ID als waarborg en
het tonen van een identiteitskaart, en
het gebruik van de RRN/SSN
Als je in de FAQ de “Historiek” sectie overslaat, kom je meteen op de kern van de zaak, die aan de basis ligt van alle antwoorden op de kernvraag en de tweede vraag.
“Moet ik verplicht mijn identiteitskaart bij me hebben?”
“Het KB (koninklijk besluit) van 25 maart 2003 betreffende de identiteitskaarten bepaalt dat iedere Belg vanaf de leeftijd van 15 jaar, zijn identiteitskaart steeds bij zich moet hebben. “
De volgende vraag in de FAQ is ook uitermate interessant als we de oorspronkelijke vraag willen beantwoorden.
“Mag men bij het onthaal van een openbaar gebouw een identiteitskaart vragen en bijhouden?
/../. Dit is het geval bij elk verzoek van de politie, in het kader van haar wettelijke en reglementaire opdrachten, alsmede bij elke vraag naar certificaten en uittreksels door gemeentelijke of door andere openbare diensten.
Over het algemeen sluiten deze bepalingen de mogelijkheid niet uit om naar de identiteitskaart te vragen bij het onthaal van een gebouw dat tot de openbare of privésfeer behoort. Het spreekt voor zich dat voornoemde bepalingen niet toelaten dat het onthaalpersoneel, bijvoorbeeld, de identiteitskaart langer bijhouden dan nodig om kennis te nemen van de identiteit.
Wat de verplichting betreft om zijn identiteitskaart voor te leggen (zonder dat deze bijgehouden wordt), bepaalt het koninklijk besluit van 25 maart 2003 dat de identiteitskaart voorgelegd moet worden “als de houder het bewijs van zijn identiteit dient te leveren”, dit wil zeggen dat dit beoordeeld moet worden in functie van het algemene principe dat geldt voor de bescherming van de persoonlijke levenssfeer, namelijk dat het doel waarvoor de voorlegging van de kaart wordt geëist, wettig, bepaald en expliciet moet zijn. Het feit om zich te moeten verzekeren van de identiteit van de bezoekers in het licht van het eigendomsrecht en van de noodzaak om de veiligheid van een gebouw te verzekeren, lijkt aan deze criteria te voldoen. Het is echter niet gerechtvaardigd om de identiteitskaart bij te houden tijdens de duur van het bezoek. Het feit om aan een derde te vragen om zijn identiteitskaart voor te leggen, moet bepaald worden door een wet, een besluit of een intern reglement.”
Op de website van Agoria staat ook een goed artikel met meer praktische uitleg van deze situatie. (artikel dd 23 april 2015)
“Volgens het KB van KB van 25 maart 2003 betreffende de identiteitskaarten mag de identiteitskaart enkel door daartoe bevoegde personen en enkel in welbepaalde gevallen gecontroleerd worden.
In een onderneming mogen alleen bewakingsfirma’s waaraan de beveiliging van het bedrijf wordt uitbesteed of interne bewakingsdiensten voorlegging van identiteitsdocumenten vragen. Ze mogen deze documenten enkel laten voorleggen gedurende de tijd die nodig is om de identiteit te controleren bij toegang tot niet-publiek toegankelijke plaatsen.
Hoewel het opvragen van de identiteitskaart niet geregeld wordt door de privacywet, is voorzichtigheid geboden wanneer men de informatie op de identiteitskaart leest, kopieert en in een bestand opneemt. Dat is immers een “verwerking van persoonsgegevens”. In dat geval moet de privacywet dus worden nageleefd (informatieverplichting, recht op inzage, verbetering, …).”
En dan komen ze tot de kern van de zaak
“De noodzaak om een persoon te identificeren betekent niet dat een kopie moet worden gemaakt van de identiteitskaart. Een visuele controle van de identiteitskaart volstaat.
De commissie stelt vast dat in sommige gevallen aan personen wordt gevraagd hun identiteitskaart als waarborg af te geven (bijvoorbeeld gedurende de tijd waarin een audiogids wordt gehuurd voor het bezoek aan een tentoonstelling). Die praktijk is niet aanvaardbaar aangezien de houder van de identiteitskaart hierdoor zijn wettelijke verplichting om zijn identiteitskaart bij zich te hebben niet kan nakomen.”
Voor alle duidelijkheid, de paragraaf daaronder verwijst nog naar de oude links van de Privacy commissie :
Agoria verwijst dus naar het artikel van de Belgische privacy commissie, correctie: tegenwoordig de GBA of gegevensbeschermingsautoriteit, die dit topic dus al eerder aangekaart heeft.
In de vernieuwde versie (2020) van de thema pagina staat ook meer uitleg over het (juiste) gebruik van de eID (onder sectie Praktische toepassingen), en heel speciek het gebruik als waarborg (“+ Inhouding van uw identiteitskaart als waarborg”)
“Uw identiteitskaart kan niet als borg worden ingehouden. Deze praktijk is niet aanvaardbaar, omdat u hierdoor in gebreke blijft met uw wettelijke verplichting om uw identiteitskaart bij zich te dragen. Deze praktijk brengt ook risico’s van identiteitsdiefstal met zich mee.
Het nemen van een kopie van uw identiteitskaart levert in deze omstandigheden ook problemen op met betrekking tot de verenigbaarheid met de AVG. Indien nodig kan alleen uw identificatie worden uitgevoerd door u te vragen uw identiteitskaart te tonen en alleen de relevante gegevens te noteren, namelijk uw naam, voornaam en het nummer van uw identiteitskaart.”
Die wijkt uiteraard niet af van de Belgische wetgeving op de identiteitskaart, maar ze voegen er wel nog een aantal interessante voorbeelden aan toe, in het licht van privacy en data protection…
” Enkele voorbeelden van wat mag en niet mag:
een videotheekuitbater mag je identiteitskaart vragen wanneer je een dvd huurt. Stel dat iemand de dvd niet terugbrengt, dan kan hij die persoon contacteren;
wanneer je een verblijf in een hotel boekt, is de uitbater wettelijk verplicht om je te identificeren;
bij een bezoek aan een tentoonstelling moet je soms je identiteitskaart afgeven als waarborg voor de audiogids. Dit is onaanvaardbaar: niet alleen moet je je identiteitskaart op elk moment bij je hebben (ook tijdens je bezoek aan de tentoonstelling), maar je loopt ook nog eens het risico dat je elektronische handtekening en je pincode gestolen worden;”
Dus in het kort, de conclusie over het gebruik van de eID als waarborg is daarmee: nee, niet toegelaten.
Trouwens, ter info: als je de GBA website doorzoekt op ‘eid’ krijg je nog een hele hoop extra informatie, met bespreking van praktische situaties.
Het laatste voorbeeld dat de GBA in het voorgenoemde artikel geeft, verwijst naar een ander interessant onderwerp: het gebruik van het RRN/SSN nummer…
“Het rijksregisternummer dat op elke eID staat, mag enkel verwerkt worden als de verantwoordelijke voor de gegevensverwerking daartoe gemachtigd is door het Sectoraal comité van het Rijksregister. Meer informatie hierover is beschikbaar op de specifieke pagina over de machtigingsprocedure bij het Sectoraal comité van het Rijksregister. In het algemeen geldt wel dat een verantwoordelijke die geen taak van openbaar belang heeft, het rijksregisternummer niet zal mogen gebruiken”
De uitleg over de machtigingen staan nu op de website van IBZ
“Het identificatienummer van het Rijksregister mag niet worden gebruikt zonder machtiging of
voor andere doeleinden dan die waarvoor die machtiging is verleend.”
En die machtigingen zijn onderworpen aan strikte regels en worden niet zomaar toegekend. Wat dus enige inventiviteit vergt om dit op te lossen in het operationeel gebruik voor identity and access management, IT Security of data protection voor burgers.
Identity Underground 
You must be logged in to post a comment.