privacy

Whatsapp security dichttimmeren: stap voor stap (NL)

English version here: https://identityunderground.wordpress.com/2021/06/07/whatsapp-security-lockdown-step-by-step/

Gebruik je WhatsApp, of overweeg je om het te gebruiken (of ben je uitgenodigd door contacten)?

Dan kan de onderstaande checklist je stap-per-stap in detail uitleggen om

  • te evalueren of het de moeite waard is om WhatsApp te gebruiken, en
  • de beveiliging van je WhatsApp dicht te timmeren, om zo veilig mogelijk te blijven als je Whatsapp wil gebruiken.

Download dit article

At the end of this article, you can also find the download link for an offline version of this article.

Als je echt om privacy geeft en het is van het grootste belang…

Zoals hieronder uitgelegd, kun je WhatsApp zeker beveiligen, maar ze hebben nog steeds je gegevens en metadata en ze definiëren de regels waarmee WhatsApp de show uitvoert. En dat kan veranderen, wanneer ze maar willen.

En je moet weten dat WhatsApp eigendom is van en wordt beheerd door Facebook. En Facebook heeft al bewezen dat ze een echt slechte reputatie hebben als het gaat om privacy …

Als je echt niet wilt toegeven qua privacy, kijk dan eens naar alternatieven die niet zijn gebouwd door bedrijven die geld verdienen met je persoonlijke gegevens… (zie einde van dit artikel).

Het is aan jou om te beslissen welk risico je wilt nemen. Als je het gebruik van WhatsApp en je privacy wilt afwegen tegen de best mogelijke beveiliging, lees dan verder.

Als je om privacy geeft en toch Whatsapp wilt gebruiken

End-to-end encryptie

Het goede nieuws is dat WhatsApp een end-to-end encryptie gebruikt.

En hoewel Facebook of andere partijen mogelijk niet meeluisteren met uw gesprekken, kunnen de contactgegevens, de metagegevens (de gegevens over uw gesprekken) worden onderschept en eigendom zijn van / worden beheerd door Facebook / WhatsApp.

Verder is het belangrijk om te weten dat encryptie NIET van toepassing is op de WhatsApp back-ups.

Zoals hieronder wordt uitgelegd, kunt u dus overwegen whatsApp-back-up uit te schakelen om uw gegevens te beschermen.

En als je er toch voor wilt kiezen om WhatsApp te gebruiken, kun je de privacy en beveiliging in alle lagen van de applicatie beter vergrendelen.

Algemene beveiligingsregels

Minimaliseer uw gegevens

Over het algemeen is het altijd slim om uw gegevens in de applicatie te minimaliseren.

  • Geef geen persoonsgegevens weg
  • houd uw profielgegevens tot het minimum dat nodig is

Ga naar het WhatsApp status tabblad (rechts naast chats)

This image has an empty alt attribute; its file name is whatsapp_settings1.png

en klik vervolgens op “Instellingen” (Settings)

This image has an empty alt attribute; its file name is whatsapp_personal-info-1.png

Ook, heel belangrijk, beperk het delen van persoonlijke gegevens, er is een specifieke set opties in het gedeelte Privacy.

  • uw profiel alleen delen met vertrouwde contactpersonen
  • De publicatie van
    • “laatst gezien” tijdstempel
    • profielfoto
    • status
    • groepen
    • live locatie

Stel voor elk van deze opties de juiste keuze in om delen uit te schakelen.

Kies “Alleen delen met…” (Only Share with…) > geen contactpersonen selecteren (of enkel een beperkte set vertrouwde contactpersonen)

This image has an empty alt attribute; its file name is whatsapp_status-privacy.png

Resultaat

This image has an empty alt attribute; its file name is whatsapp_settings_privacy.png

Zorg er ook voor dat u het “Vingerafdrukslot” (Fingerprint lock) inschakelt, indien beschikbaar op uw smartphone.

Koperstip: voor de volgende smartphoneaankoop moet u rekening houden met de beschikbaarheid van een vingerafdrukscanner op uw telefoon.

Houd de app up-to-date

Werk uw apps continu bij, incl. WhatsApp, naar de nieuwste versie, om ervoor te zorgen dat alle beveiligingsfouten of beveiligingsproblemen meteen worden opgelost.

De meeste beveiligingsinbreuken of hacks richten zich specifiek op verouderde software.

Hoe u uw WhatsApp-beveiliging kunt vergrendelen, de controlelijst

Zonder beveiligingsconfiguratie is het vrij eenvoudig om een WhatsApp-account te kapen, omdat de eerste registratie alleen is gebaseerd op mobiele nummerregistratie en / of sms (kort bericht).

Dit maakt de eerste WhatsApp-gebruiker extreem gevoelig voor accountovername. Wees niet het volgende slachtoffer en vergrendel WhatsApp vanaf het eerste gebruik.

This image has an empty alt attribute; its file name is whatsapp_settings_account-2.png

Whatsapp tweestapsverificatie (2FA) of multifactorauthenticatie (MFA) inschakelen

Allereerst moet je MFA inschakelen, het is een must.

Wanneer je 2FA / MFA inschakelt op de WhatsApp-instellingen, voorkom je dat iemand anders gewoon je telefoonnummer of WhatsApp-account kan overnemen.

Gebruik de sterke authenticatie van je telefoon

This image has an empty alt attribute; its file name is whatsapp_settings_2fa.png

E-mailadres registreren voor je account

This image has an empty alt attribute; its file name is whatsapp_settings_2fa_mail.png

Een pincode instellen

Houd er rekening mee dat de pincode in WhatsApp geen inlogmethode is, maar een herstel- / herinstallatiefunctie.

Meer info: https://faq.whatsapp.com/android/security-and-privacy/adding-a-password/?lang=en

Maar u kunt de smartphonebeveiliging gebruiken om toegang tot toepassingen in te schakelen.

Het wordt sterk aangeraden om 2FA of MFA (multifactorauthenticatie, zoals uitgelegd in eerdere paragrafen) in te schakelen.

This image has an empty alt attribute; its file name is whatsapp_settings_2fa_pin.png

Whatsapp-tweestaps- of multifactorauthenticatie inschakelen

Gebruik telefoon sterke authenticatie

Vingerafdruk

Binnen de privacy-instellingen vindt u de optie “Vingerafdrukvergrendeling” (als uw smartphone de vingerafdrukscanner aan boord heeft).

This image has an empty alt attribute; its file name is whatsapp_fingerprint.png

Ga naar Instellingen > Account > Privacy om de vingerafdrukvergrendeling in te schakelen

This image has an empty alt attribute; its file name is whatsapp_settings_privacy_fp.png

Selecteer vervolgens de laatste optie (Vingerafdrukvergrendeling)

In dit vingerafdrukvergrendelingsmenu kunt u de ontgrendeling inschakelen en de time-outperiode kiezen. Hou het kort.

(Misschien is “meteen”/”immediately” een beetje lastig, zet ‘m dan op 1 minuut bijvoorbeeld…)

This image has an empty alt attribute; its file name is whatsapp_privacy_fingerprint.png

De beveiligingsmeldingen inschakelen

In de account settings

This image has an empty alt attribute; its file name is whatsapp_settings_account.png

er is een beveiligingsoptie

This image has an empty alt attribute; its file name is whatsapp_settings_security.png

Zorg ervoor dat u de optie “Beveiligingsmeldingen weergeven” inschakelt.

Dit zorgt ervoor dat u meldingen ontvangt wanneer de beveiligingscode van uw contacten verandert.

De privacy-instellingen vergrendelen

Verwijder overbodige persoonsgegevens uit uw profiel

Er is niet veel informatie die u zelf aan uw profiel kunt toevoegen.

Houd het tot het strikte minimum, en ik stel ook voor om geen persoonlijke foto toe te voegen, maar eerder een algemene foto.

This image has an empty alt attribute; its file name is whatsapp_settings_account-1.png

Schakel in de privacyinstellingen alle publicatie van uw profielgegevens uit.

This image has an empty alt attribute; its file name is whatsapp_settings_privacy-1.png

Locatietracking stoppen

Een belangrijke optie in de vorige lijst is ook het uitschakelen van locatietracking (“Live locatie”).

Back-up uitschakelen

Hoewel WhatsApp end-to-end-codering gebruikt voor zijn berichten, wordt de codering niet gehandhaafd wanneer de gegevens in de back-up worden opgeslagen

Als u zich echt zorgen maakt over privacy en beveiliging, schakelt u de back-up uit.

Trouwens, als u het verlopen van het bericht activeert, is de back-up toch overbodig…

This image has an empty alt attribute; its file name is whatsapp_settings_account2.png

Select de “Chats” optie

This image has an empty alt attribute; its file name is whatsapp_chats.png

Kies in de chatoptie de optie “Chat back-up”

This image has an empty alt attribute; its file name is whatsapp_backup1.png

In de Google drive settings (tenminste voor Android devices), selecteer “Backup to Google Drive” en selecteer dan “Nooit/Never”.

This image has an empty alt attribute; its file name is whatsapp_backup.png

Berichtvervaltijd inschakelen (berichten verdwijnen)

Als u het verlopen van berichten wilt inschakelen, moet u dit instellen op accountniveau van uw contactpersoon of op groepsniveau

Er is geen algemene beveiligingsinstelling en u kunt deze ook niet instellen op berichtniveau.

Waarschuwing

Houd er rekening mee dat het verdwijnen van berichten in WhatsApp enkele problemen kan hebben: https://www.androidauthority.com/whatsapp-disappearing-messages-feature-1173692/

Op contactniveau

This image has an empty alt attribute; its file name is whatsapp_contact_group_setting.png

Berichtvervaltijd op groepsniveau inschakelen

You can set the same options on group level too.

It’s highly suggested to enable these group options, and make sure information is not kept longer as needed.

Andere operationele beveiligingstaken

Verouderde leden uit groepen verwijderen

Het is heel belangrijk om groepen die u beheert te bewaken en overbodige leden zo snel mogelijk te verwijderen.

Zo voorkom je dat er gegevens ‘lekken’ naar deelnemers die die informatie niet nodig hebben.

Groepen verlaten die u niet meer gebruikt

Controleer groepen waarvan u lid bent en sluit deze groepen af/afsluit deze groepen als u ze niet meer nodig hebt, als u geen informatie meer wilt delen of als u niet wilt dat leden uw informatie/berichten zien.

This image has an empty alt attribute; its file name is whatsapp_leave-group.png

Zo voorkomt u dat u gegevens ‘lekt’ naar deelnemers om u te zien of te volgen.

Verzoek om toegang tot gegevens

Als je de informatie wilt controleren die WhatsApp over je weet, kun je een kopie van die infromation aanvragen

Ga naar je accountinstellingen

This image has an empty alt attribute; its file name is whatsapp_settings_requestinfo.png

En klik vervolgens op de optie “Informatie aanvragen”

Overweeg om andere tools te gebruiken, enkele alternatieven

Source:

Als je echt niet wilt toegeven aan privacy, kijk dan eens naar alternatieven die niet zijn gebouwd door bedrijven die geld verdienen met je persoonlijke gegevens…

Referenties

Whatsapp

Jezelf beschermen tegen WhatsApp-hacks

Uw gestolen account herstellen

Andere bronnen – aanvullende referenties die je kan raadplegen

Download

Dit artikel in het Nederlands kan je in PDF downloaden via deze link:

https://identityunderground.files.wordpress.com/2021/06/whatsapp-security-lockdown-step-by-step-nl-v1.pdf

Whatsapp security lockdown step-by-step

(NL versie vind je hier: https://identityunderground.wordpress.com/2021/06/07/whatsapp-security-dichttimmeren-stap-voor-stapnl/)

Are you using WhatsApp, or considering (or invited to, by contacts)?

Then the checklist below should provide you with detailed steps to

  • consider if it’s worth using WhatsApp
  • lock down the security of your WhatsApp to keep as secure as possible

Download this article

At the end of this article, you can also find the download link for an offline version of this article.

If you really care about privacy and it’s paramount…

As explained below you surely can lockdown WhatsApp, but they still have your data and metadata and they define the rules by which WhatsApp runs the show. And that can change, whenever they want.

And you should know that WhatsApp is owned and managed by Facebook.
And Facebook already has proven to maintain a really bad reputation when it comes down to privacy…

If you really do not want to give in on privacy, better check for alternatives that are not built by companies that make money with your personal data… (see end of this article).

It’s up to you to decide what risk you want to take. If you want to balance the use of WhatsApp and your privacy with the best possible security, continue to read.

If you care about privacy and still want to use Whatsapp

End-to-end encryption

The good news is, WhatsApp is using an end-to-end encryption.

And although Facebook or other parties might not listen in on your conversations, the contact data, the meta data (the data about your conversations) might be intercepted, and is owned/managed by Facebook/WhatsApp.

Furthermore it’s important to know that encryption DOES NOT apply to the WhatsApp backups.

So, as explained below, you might consider disabling WhatsApp backup to protect your data.

And if you still want to choose to use WhatsApp, better lock down the privacy and security in all layers of the application.

General security rules

Minimize your data

In general it’s always smart, to minimize your data in the application.

  • Don’t give away personal data
  • keep your profile data to the minimum needed

Go to the WhatsApp status tab

then click “Settings”

Also, very important, limit personal data sharing, there is a specific set of options in the Privacy section.

  • only share your profile with trusted contacts
  • Disable the publication of
    • “last seen” time stamp
    • profile photo
    • status
    • groups
    • live location

For each of these options set the right choice to disable sharing.

Choose “Only Share with…” > do not select any contacts (or a limited set of trusted contacts)

Result

Also make sure to enable the “Fingerprint lock” if available on your smartphone.

Buyers tip: for next smartphone purchase you must consider the availability of a fingerprint scanner on your phone.

Keep the app up to date

Continuously update your apps, incl. WhatsApp, to the latest version, to make sure that all security bugs or security issues are fixed right away.

Most of security breaches or hacks do specifically target outdated software.

How to lock down your WhatsApp security, the check list

Without security configuration it’s fairly easy to hijack a WhatsApp account, as the initial registration is only based on mobile number registration and/or SMS (short message).

This makes the initial WhatsApp user extremely sensitive to account take over. Don’t be the next victim, and lock down WhatsApp from the first use.

Enable Whatsapp Two-step (2FA) or multifactor authentication (MFA)

First of all you need to enable MFA, it’s a must.

When you enable 2FA/MFA on the WhatsApp settings, you avoid that someone else simply can take over your phone number or WhatsApp account.

Use phone strong authentication

Register email address to the account

Set a pin/password

Be aware that the PIN in WhatsApp is not a login method but a recovery/reinstallation feature.

More info: https://faq.whatsapp.com/android/security-and-privacy/adding-a-password/?lang=en

But you can use the smartphone security to enable application access security.

It’s strongly suggested to enable 2FA or MFA (multifactor authentication, as explained in previous paragraphs.

Enable Whatsapp Two-step or multifactor authentication

Use phone strong authentication

Finger print

Within the privacy settings, you can find the option “Fingerprint lock” (if your smartphone has the fingerprint scanner on board).

To enable the fingerprint lock, Go to Settings > Account > Privacy

Then select the last option (Fingerprint lock)

In this Fingerprint lock menu, you can enable the unlock and choose the time-out period. Keep it short.

(Maybe immediately is a bit inconvenient…)

Enable the security notifications

In the account settings

there is a security option

Make sure to enable the “Show Security notifications” option.

This will make sure you get notifications when the security code of your contacts change.

Lock down the privacy settings

Remove redundant personal data from your profile

There is not a lot of info you can add to your profile yourself.

Keep it to the strict minimum, and I also would suggest not to add a personal photo, but rather a general photo.

In the privacy settings, disable all publication of your profile data.

Stop location tracking

An important option in previous list is also to disable location tracking (“Live location”).

Disable backup

Although WhatsApp is using end-to-end encryption for it’s messaging, the encryption is not maintained when the data is stored in the backup

If you really are concerned about privacy and security, you disable the backup.

By the way, if you activate message expiration, the backup is redundant anyway…

Select the “Chats” option

In the chats option, choose the “Chat backup” option

In the Google drive settings (at least for Android devices), select “Backup to Google Drive” and then select “‘Never”.

Enable message expiration (disappearing messages)

To enable message expiration, you’ll need to set it on the account level of your contact or on group level

There is no general security setting, nor can you set it on the message level.

Warning

Please be aware that disappearing messages in WhatsApp might have some issues: https://www.androidauthority.com/whatsapp-disappearing-messages-feature-1173692/

On contact level

Enable message expiration on group level

You can set the same options on group level too.

It’s highly suggested to enable these group options, and make sure information is not kept longer as needed.

Other operational security tasks

Remove obsolete members from groups

It’s quite important to monitor groups you manage and remove redundant members as soon as possible.

This way you avoid ‘leaking’ data to participants who do not need that information.

Leave groups you don’t use anymore

Monitor groups you are member of, and you should quit/exit these groups if you do not need them anymore, or you do not want to share information anymore, or if you don’t want members to see your information/messages.

This way you avoid ‘leaking’ data to participants to see you or track you.

Data access request

If you want to check the information that WhatsApp knows about you, you can request a copy of that infromation

Go to your account settings

And then click the “Request Information option”

Consider to use other tools, some alternatives

Source:

If you really do not want to give in on privacy, better check for alternatives that are not built by companies that make money with your personal data…, like

Reference

Whatsapp

Protecting yourself from WhatsApp hacking

Recover your stolen account

Other sources – additional references you can check

Download

The current article is available for download here: https://identityunderground.files.wordpress.com/2021/06/whatsapp-security-lockdown-step-by-step.pdf

A quick walk-through of the new ISO29184 – Online Privacy notices and consent

Source and download: https://www.iso.org/standard/70331.html

With the publication of the GDPR in 2016, it quickly became clear that it would massively impact the direct marketing sector, simply because direct marketing runs on personal data.

On 25 may 2018, the GDPR came into force, changing the global mindset on data protection (and privacy by extension).

Anno 2020, 2 years after the publication, many enterprises, large and small still struggle to apply the data protection regulation and best practices.

And for the direct marketing companies, this is a particular difficult topic, after 4 years.

So, maybe, the newly (june 2020) published standard can provide a practical help to implement consent management. Please remind that the GDPR is a regulation/law… not a best practice with hints and tips.

For hints & tips and practical advice on GDPR, check the EDPB (previously known as WP29) website: https://edpb.europa.eu/our-work-tools/general-guidance_en (Check the Our Work & Tools menu).

While there has been a lot of guidance, communication & education on implementing a direct marketing that is compliant with GDPR and ePrivacy/eCommunication regulation and directives.

Even, for other markets than direct marketing where managing personal data is optional (meaning, not part of core business), you can use this guide to manage privacy or data protection notices for your newsletters and website.

Side note

The ISO 29184 is strictly and only about privacy notices and consent, it’s not an in depth guide for direct marketing, but it’s an essential part of it.

If you need more information on the EU ePrivacy/eCommunications directive , see here: https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A32002L0058

ISO 29184 content walk through

Document structure

After the mandatory basic chapters (Foreword, 1. Scope), the document hints to ISO 29100 in chapter 2 (Normative References) and 3. (Terms and definitions.

Important note here is that the definition of “explicit consent” has been updated to match the GDPR requirement for unambiguous affirmative consent.

Chapter 5 contains the “general requirements and recommendations”.

A major requirement (and typical for ISO compliance like in ISO9001 and ISO27001) is that you need to document the implementation of each control in this standard.

The content is structured in 5 chapters (Level 2)

  1. Overall objective
  2. Notice
  3. Contents of notice
  4. Consent
  5. Change of conditions

To read the full details, you know what to do,…

But it’s interesting to see the technical/operations controls required in this standard

General conditions on privacy notice

  • Provide information to all interested parties about your privacy practices, including
    • the identity and registered address of the data controller, and
    • contact points where the subject (in this standard the subject is called “PII principal”)
  • Provide clear and easy to understand information
    • with regards the target audience,
    • which are usually NOT lawyers or data protection specialists),
    • taking care of the expected language of your audience
  • You must determine and document the appropriate time for providing notice
    • Remember the Art. 13 and Art 14 definitions in GDPR
    • By preference, you should notify the subject immediately before collecting PII (and/or consent)
  • You must provide notices in a appropriate way
    • by preference in more than 1 way,
    • to make sure the subject can find and consult the notices,
    • digitally and in a easy accessible method
    • also after initial contact
    • As also defined in many GDPR guidelines, the consent standard refers to a multilayer approach (avoiding to provide too much information at the same time, but provide the details when needed)
  • Make sure that the privacy notice is accessible all the time.

Notice content

  • make sure you’re absolutely clear, honest and transparent about your personal data processing
  • Define, document and describe clearly
    • the processing purpose
    • each element of the processing (remember the processing definitions defined in Art. 4 of GDPR)
    • the identification of the data controller
    • the data collection details, incl
      • methods used
      • details of data collected
      • type of collection (direct, indirect, observation, inference…)
      • timing and location of collection
    • use of data, including
      • direct use without data transformation
      • reprocessing data
      • combining, like enrichment
      • automated decision making
      • transfer of data to 3rd party
      • data retention (incl backup)
    • data subject rights
      • access request
      • authentication to provide access
      • timelines
      • any fees that apply
      • how to revoke consent
      • how to file a compliant
      • how to submit a inquiry
    • Evidence about consent provided (and changed) by the subject
    • the legal basis for processing PII/personal data
    • the risks related with the data and the plausible impact to the subject privacy

Consent management

  • Identify if whether consent is appropriate
    • Remember that there are other purposes and reasons for processing data, which usually have a more stable, more solid background, like
      • contracts
      • compliance with legal obligations and regulations
      • vital interest,
      • public interest
      • (legitimate interest, which is usually way more difficult to enforce or to convince the subject)
    • Informed and freely given consent
      • how do you guarantee that the subject is providing consent without any feeling of coercing, force, conditions, …
      • Independence from other processing or consent
        • Remember the GDPR guidelines where you CANNOT force consent as
    • Inform the subject which account this processing is related to
      • provide a clear description of the identifier (userID, mail, login, …)

ISO29184 also introduces the consent lifecycle, meaning that is it’s not sufficient to provide notice at first contact with the subject, but you also need to maintain, to update and to renew it on a regular basis, taking into account that the conditions of consent might change (or might have changed after initial consent).

The last part of the ISO 29184 are annexes with interesting user interface examples.

The perfect document set

To make the online privacy and consent management work, this ISO/IEC 29184 will not do on itself as the standard links to the following documents:

  • (FREE, EN – FR) ISO 27000: ISMS vocabulary
  • (*) ISO27001: ISMS, Information Security Management Systems
  • (*) ISO27002: Code of practice for ISO 27001)
  • ISO27701: PIMS, Privacy Information Management System, the privacy or data protection extension of ISO27001
  • (FREE, EN – FR) ISO29100: Privacy framework
  • ISO29151: Code of Practices – Privacy Framework (the ISO27002 version of ISO29100)
  • ISO29134: PIA, Privacy Impact Assessment (foundation of the DPIA in GDPR)

References

Free downloads

ISO Public documents: https://ffwd2.me/FreeISO

If not available for free download, then you’ll need to purchase the ISO standards documents from the ISO e-shop or from the national standards organisation (like NBN for Belgium, NEN for Netherlands, …)

Note-to-self: Reference Articles on eID, privacy & GDPR

Following list of articles is a memory help and quick reference to interesting and useful articles from regarding the use of eID (Belgian Identity Card), related to privacy, data protection and GDPR.

This article will be updated regularlywhen interesting items are discussed or noted on workshops, discussions or other social media like LinkedIn.

eID

GBA Advisory on photocopy identity card

https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/aanbeveling_03_2011.pdf

LinkedIN articles

Denk 2 keer na voor je een fotokopie laat maken van je identiteitskaart

(Think twice before you let someone photocopy your identity card)

https://www.linkedin.com/pulse/denk-2-keer-na-voor-je-een-fotokopie-laat-maken-van-peter-geelen-/

Het gebruik van uw identiteitskaart als waarborg? (Using your identity card as waranty. NOT.)

https://www.linkedin.com/pulse/het-gebruik-van-uw-identiteitskaart-als-waarborg-peter-geelen/

Direct Marketing

Direct marketing and protection of personal data

Interesting cases & decisions

See other post: collecting interesting cases and decisions by the Belgian DPA:

https://identityunderground.wordpress.com/2020/06/11/note-to-self-interesting-dpa-decisions-court-cases-regarding-gdpr-it-security/

Note-to-self: Interesting DPA decisions & Court cases regarding GDPR & IT Security

This is a memory help for quick references to interesting court cases and DPA decisions in regards to subject rights under GDPR.
This reference list will grow over time, but this saves on physical brain space.

BE – GBA (Privacy Commission References)

Mainframe vs Subject Rights

https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Be01-2019ANO.pdf#overlay-context=beslissingen-van-de-geschillenkamer

Mainframe part 2

Arrest in beroep

NL – GBA (Autoriteit persoonsgegevens)

NL – Justice

It-bedrijf moet schade door ransomware bij klant grotendeels vergoeden

https://www.security.nl/posting/660081/It-bedrijf+moet+schade+door+ransomware+bij+klant+grotendeels+vergoeden

Privatum – Privacy After Work (2020-02-06 collaterals)

OP 6 feb jongstleden, presenteerde ik een sessie bij Privatum, voor hun avondsessies van  “Privacy After Work”.

Dat is een lichte, interessante aanpak om mensen bij elkaar te brengen ivm privacy en gegevensbescherming, dus  ideaal voor netwerking en interessante dingen te leren.

Meer info hier: https://www.privatum.be/privacy-after-work-2/

Hieronder vind je een overzicht van de links en URLs waar ik naar verwees tijdens de sessie.

De handouts van de sessie vind je op SlideShare:

Slide 10; de ISO27701 bouwstenen:

 

Slide 11: (*) Gratis downloads

Slide 21

Uitgebreide ISO27701 mapping met GDPR in XLS formaat (wat handiger)

https://github.com/PeterGeelen/ISO27701Collaterals

Direct links

Extended mapping

https://github.com/PeterGeelen/ISO27701Collaterals/blob/master/20200129%20PECB%20ISO27701%20vs%20GDPR%20-%20extended%20mapping.xlsx?raw=true

Handy mapping

https://github.com/PeterGeelen/ISO27701Collaterals/blob/master/20200129%20PECB%20ISO27701%20vs%20GDPR%20-%20handy%20mapping.xlsx?raw=true

Slide 52

Meer info: https://identityunderground.wordpress.com/2017/11/06/note-to-self-iso27001-iso27002-downloads-tools/

http://www.iso27001security.com/html/toolkit.html

GDPR-ISO27k mapping:  http://www.iso27001security.com/ISO27k_GDPR_mapping_release_1.docx

Meer info over de ISO27701, incl webinars & LinkedIn articles met Q&A

https://www.linkedin.com/in/pgeelen/detail/recent-activity/posts/

Interessante update:

Microsoft heeft een open-source mapping gepubliceerd tussen de controles in ISO / IEC 27701 (de nieuwe uitbreiding van de gegevensbescherming van ISO 27001 en 27002) en verschillende wettelijke regels, waaronder de GDPR (Europese Unie).
Het project bevat een Excel-bestand met de onbewerkte gegevens: zie https://github.com/microsoft/data-protection-mapping-project/raw/master/src/assets/database.xlsx

De directe link naar het volledige open source-project zelf is: https://github.com/microsoft/data-protection-mapping-project

Privacy Life-Hack: het omzeilen van de registratie-walls voor “gratis” downloads. Betaal niet met jouw persoonlijke gegevens.

Wanneer was jouw laatste download van een “gratis” paper, een “gratis” eBook, of een “gratis” aangeboden document… terwijl in feite deze download werd verborgen achter een “privacy wall” of “registratie wall”?

Het is een veel voorkomende praktijk van commerciële bedrijven om jouw contactgegevens te verzamelen voor het opbouwen van hun prospectendatabase of erger (alleen de verkoop van jouw gegevens).

Met de term “Privacy Wall” , “Free Registration Wall” of “consent wall”, verwijs ik naar het equivalent van een “pay wall” wanneer je moet betalen voor toegang tot inhoud. Met een “Privacy Wall“, in plaats van geld te moeten betalen, vereist de provider dat jij je ‘gratis’ registreert om toegang te krijgen tot hun inhoud.

In dat opzicht betaal je in feite met jouw persoonsgegevens.

Onthoud: niets is gratis. Zoals ze in het Engels zeggen “There ain’t no such thing as a free lunch” (eh… Download).

Voordat ik in detail inga op het omzeilen van “Privacy Walls“, zijn er toch een paar opmerkingen over de legitimiteit van deze “Privacy Walls“.

Als je niet geïnteresseerd bent in de achtergrondinformatie, kan je direct naar de privacy life-hack sectie beneden kijken.

Welke gegevens zijn er eigenlijk nodig voor een gratis download?

Echt gratis download

In het kort, technisch gezien heb je geen persoonlijke gegevens nodig om een gratis download te laten werken. Geen! Publiceer het gewoon online en geef de URL aan iedereen.

Beveiligde Download

Maar, wat als…

  • je de download wilt aanbieden voor geregistreerde leden (Ref. gerechtvaardigd belang), of
  • het document wil beveiligen met Digital Rights Management (dat een unieke identitier of mail nodig heeft) en een persoonlijke download link naar de aanvrager wil sturen, of
  • je een digitaal watermerk met gebruikers-id wil toepassen?

…dan is het volkomen zinvol om het e-mailadres te registreren of op te vragen…
(Maar nog steeds onder AVG Art. 13 of soortgelijke wetgeving).

In de praktijk, het echte leven: het verzamelen van jouw persoonlijke gegevens voor commerciële doeleinden…

… veel commerciële of marketing bedrijven vereisen (of dwingen) je om een uitgebreide of volledige set van persoonlijke gegevens in te vullen als voorwaarde om te downloaden… dat is absoluut niet relevant voor de download zelf. Maar het kan zinvol zijn om hun commerciële redenen en dat vertellen ze je (niet) … (Opnieuw: AVG Art. 13)

Juridische overwegingen

Allereerst is het belangrijk om te begrijpen dat in de meeste gevallen wel het legitiem is om contactgegevens te vragen, maar met een grote dubbele als voorwaarde…

Je zou legitiem belang kunnen overwegen om persoonlijke gegevens te verzamelen of de gebruikelijke toestemming van de downloader. (Ik laat de andere 4 AVG opties buiten het bereik voor dit artikel, om het simpel te houden.)

Als AVG van toepassing is (je weet: mensen in de EU,.. enzovoort) en als een verwerker persoonlijke gegevens op vraagt, moet deze voldoen aan AVG Art. 13 die bepaalt dat “informatie moet worden verstrekt wanneer persoonsgegevens worden verzameld van betrokkene “. Dit betekent dat de verwerkingsverantwoordelijke moet uitleggen welke gegevens zij verzamelen, doeleinden van verwerking, contactgegevens van de verwerkingsverantwoordelijke,…en meer.

Dat is waar het in de praktijk vaak fout gaat, de GDPR wordt (nog steeds) niet correct toegepast.

Als je bijvoorbeeld niet de vereiste privacyverklaring opgeeft op het moment van verzamelen, geraak je in de problemen, zoals bijvoorbeeld:

privacywall1.png

Als AVG niet van toepassing is, controleer dan best ook andere wetgeving die van toepassing is zoals e-commerce of eCommunication bescherming. Er is een grote kans dat andere soortgelijke wettelijke regels van toepassing zijn, vergelijkbaar met de eerder genoemde AVG-vereisten.

Wat het geval ook is, je kan jouw persoonlijke gegevens beter zelf beschermen.

Hoe kan je jouw persoonsgegevens beschermen met betrekking tot gratis downloads? Voordat ik die vraag kan beantwoorden, moet je de volgende vraag beantwoorden.

Wat wil je betalen voor een gratis download?

Sta mij toe om Matthias Dobbelaere-welvaert te citeren uit een televisie-uitzending van VIER (trafiek Axel- aflevering 6, Axel Estate een identiteit),

Korte versie via Matthias’ tweet:

“/.. /Wat je eigenlijk moet denken, elke keer dat je een stukje van je privacy afgeeft,… moet je eigenlijk denken dat je 50 euro afgeeft, … Daar kan geld mee verdiend worden . /.. /”

Belangrijke opmerking: deze uitzending op vier, zit ook achter een registratie wall (!) …

Wil je betalen met persoonsgegevens (€50 €… KA-CHING!) voor een gratis download?

Wil je betalen met persoonsgegevens (… nog eens €50) voor bijna 50′ van hoge kwaliteit televisie over diefstal van persoonlijke gegevens…? Het is aan jou om te beslissen. Ik weet het al.

Maar… gelieve te beseffen dat in veel gevallen deze verplichte registratie (“privacy Wall”) voor gratis downloads gewoon NEP is.

Ik bedoel, alleen bedoeld om jouw persoonlijke gegevens te verzamelen, en na registratie krijg je toegang tot een openbaar, daadwerkelijk gratis download.

Als je het op voorhand wist, zou je niet registreren om toegang te krijgen. Omdat het ook niet hoeft, in de meeste gevallen.

Ik wil de voorbeelden hier niet noemen en de schuld geven, maar het kost weinig tijd om de voorbeelden op mijn LinkedIn-tijdlijn te vinden… het is heel gemakkelijk om deze voorbeelden elders op het Internet te vinden.

De privacy life-hack voor “gratis” downloads

In veel gevallen kan je de gratis download uitvoeren zonder jouw persoonlijke gegevens te gebruiken. Het probleem: je weet dat alleen na registratie. Dus…

Optie 1: gebruik een wegwerp mailadres om toegang te krijgen tot de daadwerkelijke gratis openbare link

Zoek op internet naar ‘temporary email‘ of ‘ anonymous email ‘, er zijn veel diensten die je toelaten om een wegwerp mailadres te gebruiken (zoals temp, getnada,… en mijn favoriete mailinator).

Geef ook dummy persoonlijke gegevens in, zoals voornaam, achternaam en adres…

Voordeel: snel, eenvoudig, geen gedoe, geen spam. “Hit and run”, klaar.

Nadeel (beperkt): veel gratis download providers blokkeren deze gekende anonieme mails. Anonieme mail is niet altijd bruikbaar.

Alternatief: Probeer een andere temp mailprovider of schakel over naar optie 2.

Optie 2: Activeer jouw eigen tijdelijke e-mailadres en schakel het opnieuw uit na het downloaden

Registreer je eigen internetdomein, voor een paar dollar per jaar. Vervolgens beheert je je eigen e-mail aliassen of e-mail doorstuurservers.

Je maakt gewoon een download alias zoals Download@yourveryshortdomain.root, Activeer het voor download, Download en deactiveer het na het downloaden. Gedaan.

Voordeel: snel, eenvoudig, geen spam, je hebt de controle.

Nadeel: je moet een paar dollar per jaar doorbrengen. (ongeveer 10 EUR/yr)

Alternatief: vast gratis e-mailadres…

Optie 3: gebruik een apart, gratis e-mailadres voor de downloads

Hotmail, Outlook.com, Gmail,… noem het gewoon.

Voordeel: gescheiden van jouw reguliere post

NADEEL (BELANGRIJK): je krijgt nog steeds de spam en marketing die je niet wil. Je moet jouw registratie annuleren. Ze misbruiken nog steeds jouw persoonlijke gegevens.

Conclusie & tips

Denk eerst hard na of je wil betalen met jouw persoonlijke gegevens (echt?)

Houd er rekening mee: 50 EUR voor een “gratis” Download??!! (Standaardantwoord is Nee!)

  1. Indien nee, registreer met allemaal dummy gegevens
  2. Zo ja, registreer met minimale persoonsgegevens

TIP: gebruik alle dummy gegevens als persoonsgegevens irrelevant zijn

TIP: gebruik een wegwerp-, tijdelijk, anoniem e-mailadres, Download en dan verdwijnen.

TIP: Voeg alleen absoluut noodzakelijke persoonlijke gegevens toe, niets meer.

TIP: Maak de registratie zo snel mogelijk ongedaan (indien van toepassing)

TIP: beheer jouw e-mailadres en-profielen (een wachtwoord-beheersapplicatie kan je helpen). Controleer ze een paar keer per jaar. Ruim ze op, waar mogelijk.

Laatste update: 2020-12-28

Note-to-self: (e)ID kaart als waarborg?

Updates

Update 2020-09-08: Links bijgewerkt met info nieuwe website GBA BE.

Update 2020-05-29: link toegevoegd naar advies van GBA (Gegevensbeschermingsautoriteit), over het gebruik van de identiteitskaart als waarborg en ook over het nemen van fotokopies van identiteitskaart.

Waarborg?

Hoewel je het in privé omstandigheden waarschijnlijk wat minder zal tegenkomen, zullen heel wat professionele collega’s (en zeker consultants en/of security specialisten) de situatie wel herkennen dat je bij het bezoek aan een organisatie door de receptionist of bewaker gevraagd wordt om je identiteitskaart af te geven in ruil voor een (tijdelijke) toegangsbadge. Bij het inleveren van die badge krijg je dan nadien je identiteitskaart (aka eID) terug, normaalgezien.

Naar aanleiding van een aantal weerkerende discussies die ik afgelopen tijd met verschillende klanten en collega’s had, over het gebruik van de (elektronische) identiteitskaart als onderpand of waarborg, ben ik bij het opzoekings-/onderzoekswerk een aantal interessante bronnen en referenties tegengekomen.

Die zijn relatief makkelijk te vinden, ware het niet dat de links van de vroegere ‘privacy commission” (NL/FR) niet meer correct doorverwijzen naar de Belgische GBA , waardoor heel veel oude publieke referenties jammer genoeg niet doorverwezen worden, maar stranden op een onbeschikbare pagina.

Bovendien heeft de vernieuwde website van de Gegegevensbeschermingsautoriteit er nog een schep bovenop gedaan, dus er is nog even werk om dit in de artikels aan te passen.

[Update]

Referentie materiaal

GBA dossier eID

https://www.gegevensbeschermingsautoriteit.be/professioneel/thema-s/eid

Praktische toepassingen met eID

https://www.gegevensbeschermingsautoriteit.be/burger/thema-s/elektronische-identiteitskaart-eid/praktische-toepassingen,

Dit bespreekt het gebruik van eID als getrouwheidskaart, lezen gegevens, gebruik certificaten, …

Het voorleggen van eId aan overheid of privé bedrijven

https://www.gegevensbeschermingsautoriteit.be/burger/thema-s/elektronische-identiteitskaart-eid/eid-voorleggen

Gebruik van eID gegevens (rijksregisternummer, foto, vingerafdruk)

https://www.gegevensbeschermingsautoriteit.be/burger/thema-s/elektronische-identiteitskaart-eid/eid-uitlezen

Dus ik hoop dat onderstaande info alvast interessant is en nuttig om te delen, al is het maar als geheugensteun voor toekomstige discussies [of om bepaalde discussies aan de receptie vanaf nu meteen kort te sluiten 🙂 ].

Wetgeving

Eerst en vooral, focus ik hier op de BELGISCHE eID en de Belgische wetgeving. Voor de buitenlandse identiteitskaarten is er wat meer opzoekingswerk nodig en wellicht is de wetgeving daar anders of heeft andere nuances in de toepassing…

De basis over het gebruik van de eID en het RRN/SSN (Rijksregisternummer, Social Security Number), vind je terug bij FOD Binnenlandse zaken.

Uiteraard vind je daar alle details in de wetgeving, maar hier voldoet de FAQ over de eID. Die vindt je hier: http://www.ibz.rrn.fgov.be/nl/faq/identiteitsdocumenten/eid/

Eerst en vooral, moet je een duidelijk verschil tussen

  1. het overhandigen van de ID als waarborg en
  2. het tonen van een identiteitskaart, en
  3. het gebruik van de RRN/SSN

Als je in de FAQ de “Historiek” sectie overslaat, kom je meteen op de kern van de zaak, die aan de basis ligt van alle antwoorden op de kernvraag en de tweede vraag.

“Moet ik verplicht mijn identiteitskaart bij me hebben?”

“Het KB (koninklijk besluit) van 25 maart 2003 betreffende de identiteitskaarten bepaalt dat iedere Belg vanaf de leeftijd van 15 jaar, zijn identiteitskaart steeds bij zich moet hebben . “

Meer info: http://www.ejustice.just.fgov.be/eli/besluit/2003/03/25/2003000227/justel

De volgende vraag in de FAQ is ook uitermate interessant als we de oorspronkelijke vraag willen beantwoorden.

“Mag men bij het onthaal van een openbaar gebouw een identiteitskaart vragen en bijhouden?

/../. Dit is het geval bij elk verzoek van de politie, in het kader van haar wettelijke en reglementaire opdrachten, alsmede bij elke vraag naar certificaten en uittreksels door gemeentelijke of door andere openbare diensten.

Over het algemeen sluiten deze bepalingen de mogelijkheid niet uit om naar de identiteitskaart te vragen bij het onthaal van een gebouw dat tot de openbare of privésfeer behoort. Het spreekt voor zich dat voornoemde bepalingen niet toelaten dat het onthaalpersoneel, bijvoorbeeld, de identiteitskaart langer bijhouden dan nodig om kennis te nemen van de identiteit .

Wat de verplichting betreft om zijn identiteitskaart voor te leggen (zonder dat deze bijgehouden wordt), bepaalt het koninklijk besluit van 25 maart 2003 dat de identiteitskaart voorgelegd moet worden “als de houder het bewijs van zijn identiteit dient te leveren”, dit wil zeggen dat dit beoordeeld moet worden in functie van het algemene principe dat geldt voor de bescherming van de persoonlijke levenssfeer, namelijk dat het doel waarvoor de voorlegging van de kaart wordt geëist, wettig, bepaald en expliciet moet zijn. Het feit om zich te moeten verzekeren van de identiteit van de bezoekers in het licht van het eigendomsrecht en van de noodzaak om de veiligheid van een gebouw te verzekeren, lijkt aan deze criteria te voldoen . Het is echter niet gerechtvaardigd om de identiteitskaart bij te houden tijdens de duur van het bezoek . Het feit om aan een derde te vragen om zijn identiteitskaart voor te leggen, moet bepaald worden door een wet, een besluit of een intern reglement.”

Op de website van Agoria staat ook een goed artikel met meer praktische uitleg van deze situatie. (artikel dd 23 april 2015)

Bron: https://www.agoria.be/nl/Mag-een-onderneming-de-identiteitskaart-van-bezoekers-controleren

“Volgens het KB van KB van 25 maart 2003 betreffende de identiteitskaarten mag de identiteitskaart enkel door daartoe bevoegde personen en enkel in welbepaalde gevallen gecontroleerd worden.

In een onderneming mogen alleen bewakingsfirma’s waaraan de beveiliging van het bedrijf wordt uitbesteed of interne bewakingsdiensten voorlegging van identiteitsdocumenten vragen. Ze mogen deze documenten enkel laten voorleggen gedurende de tijd die nodig is om de identiteit te controleren bij toegang tot niet-publiek toegankelijke plaatsen.

Hoewel het opvragen van de identiteitskaart niet geregeld wordt door de privacywet, is voorzichtigheid geboden wanneer men de informatie op de identiteitskaart leest, kopieert en in een bestand opneemt. Dat is immers een “verwerking van persoonsgegevens”. In dat geval moet de privacywet dus worden nageleefd (informatieverplichting, recht op inzage, verbetering, …).”

En dan komen ze tot de kern van de zaak

“De noodzaak om een persoon te identificeren betekent niet dat een kopie moet worden gemaakt van de identiteitskaart. Een visuele controle van de identiteitskaart volstaat.

De commissie stelt vast dat in sommige gevallen aan personen wordt gevraagd hun identiteitskaart als waarborg af te geven (bijvoorbeeld gedurende de tijd waarin een audiogids wordt gehuurd voor het bezoek aan een tentoonstelling). Die praktijk is niet aanvaardbaar aangezien de houder van de identiteitskaart hierdoor zijn wettelijke verplichting om zijn identiteitskaart bij zich te hebben niet kan nakomen.”

Voor alle duidelijkheid, de paragraaf daaronder verwijst nog naar de oude links van de Privacy commissie :

“In afwachting van toekomstige koninklijke besluiten heeft de Privacycommissie in een themadossier ‘De elektronische identiteitskaart en onze privacy’ op haar website een aantal aanbevelingen geformuleerd. 

Dit moet zijn: https://www.gegevensbeschermingsautoriteit.be/eid

Agoria verwijst dus naar het artikel van de Belgische privacy commissie, correctie: tegenwoordig de GBA of gegevensbeschermingsautoriteit, die dit topic dus al eerder aangekaart heeft.

De gegevensbeschermingsautoriteit bespreekt het onderwerp hier: https://www.gegevensbeschermingsautoriteit.be/eid.

En ook op de thema pagina van eID: https://www.gegevensbeschermingsautoriteit.be/burger/thema-s/elektronische-identiteitskaart-eid

Wetgeving

In de vernieuwde versie (2020) van de thema pagina staat ook meer uitleg over het (juiste) gebruik van de eID (onder sectie Praktische toepassingen), en heel speciek het gebruik als waarborg (“+ Inhouding van uw identiteitskaart als waarborg”)

“Uw identiteitskaart kan niet als borg worden ingehouden. Deze praktijk is niet aanvaardbaar, omdat u hierdoor in gebreke blijft met uw wettelijke verplichting om uw identiteitskaart bij zich te dragen. Deze praktijk brengt ook risico’s van identiteitsdiefstal met zich mee.

Het nemen van een kopie van uw identiteitskaart levert in deze omstandigheden ook problemen op met betrekking tot de verenigbaarheid met de AVG. Indien nodig kan alleen uw identificatie worden uitgevoerd door u te vragen uw identiteitskaart te tonen en alleen de relevante gegevens te noteren, namelijk uw naam, voornaam en het nummer van uw identiteitskaart.”

Die wijkt uiteraard niet af van de Belgische wetgeving op de identiteitskaart, maar ze voegen er wel nog een aantal interessante voorbeelden aan toe, in het licht van privacy en data protection…

Enkele voorbeelden van wat mag en niet mag:

  • een videotheekuitbater mag je identiteitskaart vragen wanneer je een dvd huurt. Stel dat iemand de dvd niet terugbrengt, dan kan hij die persoon contacteren;
  • wanneer je een verblijf in een hotel boekt, is de uitbater wettelijk verplicht om je te identificeren;
  • bij een bezoek aan een tentoonstelling moet je soms je identiteitskaart afgeven als waarborg voor de audiogids. Dit is onaanvaardbaar: niet alleen moet je je identiteitskaart op elk moment bij je hebben (ook tijdens je bezoek aan de tentoonstelling), maar je loopt ook nog eens het risico dat je elektronische handtekening en je pincode gestolen worden;”

Dus in het kort, de conclusie over het gebruik van de eID als waarborg is daarmee: nee, niet toegelaten.

Trouwens, ter info: als je de GBA website doorzoekt op ‘eid’ krijg je nog een hele hoop extra informatie, met bespreking van praktische situaties.

Zoek even op: https://www.gegevensbeschermingsautoriteit.be/search/site/eid

Het laatste voorbeeld dat de GBA in het voorgenoemde artikel geeft, verwijst naar een ander interessant onderwerp: het gebruik van het RRN/SSN nummer…

“Het rijksregisternummer dat op elke eID staat, mag enkel verwerkt worden als de verantwoordelijke voor de gegevensverwerking daartoe gemachtigd is door het Sectoraal comité van het Rijksregister. Meer informatie hierover is beschikbaar op de specifieke pagina over de machtigingsprocedure bij het Sectoraal comité van het Rijksregister . In het algemeen geldt wel dat een verantwoordelijke die geen taak van openbaar belang heeft, het rijksregisternummer niet zal mogen gebruiken”

De uitleg over de machtigingen staan nu op de website van IBZ

Waarmee we belanden bij het gebruik van het RRN (Rijksregisternummer) or “SSN (social security number)” in het Engels.

Dit is een onderwerp op zichzelf en het is niet m’n bedoeling de details te bespreken. Te meer ook omdat GDPR belangrijke bepalingen bevat hierover.

Kort door de bocht, in essentie (*):

“Het verwerken van het rijksregisternummer is bij wet verboden.”

… tenzij machtiging, volgens de wet (http://www.ejustice.just.fgov.be/eli/wet/2003/03/25/2003000234/justel):

  • “Het identificatienummer van het Rijksregister mag niet worden gebruikt zonder machtiging of
  • voor andere doeleinden dan die waarvoor die machtiging is verleend.”

En die machtigingen zijn onderworpen aan strikte regels en worden niet zomaar toegekend. Wat dus enige inventiviteit vergt om dit op te lossen in het operationeel gebruik voor identity and access management, IT Security of data protection voor burgers.

Meer info (*) kan je in dit interessant artikel (dd 26 feb 2018) vinden: https://gdpr.wolterskluwer.be/nl/nieuws/rijksregisternummer-en-privacy/.

Overzicht Referenties

Wetgeving

eID

bij GBA

Privacy:

Rijksregisternummer:

En ook:

Note-to-self: Internet, privacy and copyright (blogs, #TNWIKI, …)

While working on TechNet Wiki Governance, I stumbled into some useful links.

Saving it to my external memory for quick reference: