Nieuwsflits

Mijn literatuurstudie is gereed en geaccepteerd!

De resultaten tot nu toe:

• Literatuurstudie gereed
• Afbakening verscherpt: bedrijfseconomische aspecten onderzoek ik niet
• De deelnemers aan het privacy debat leven in hun eigen werkelijkheid
• De politie heeft te veel werk om de Big Brother uit te hangen
• Een commerciële BB is veel waarschijnlijker
• Mijn forensische aspecten richten zich op het “forensisch gereed” zijn van bedrijven
• De integratie van het scriptie hoofdstuk "Juridische omgeving" en het hoofdstuk "Privacy" uit mijn literatuurstudie is nagenoeg afgerond

Wat komt er nog aan?
Het Forensic Zachman model (FORZA) is door de ontwikkelaar Ricci Ieong toegepast in een paar zaken. Dit model is bedoeld om de rollen in een forensisch onderzoek duidelijk te beschrijven, met inachtneming van de juridische aspecten. Het hoofdstuk “Forensische aspecten” bevat weinig nieuwe inzichten op technisch gebied. Mijn originele wens aan het begin van het afstudeertraject was het ontwikkelen van een Forensisch Informatie Systeem (FIS). Door allerlei goede redenen ben ik daarvan afgestapt. Toch zijn de organisatorische kanten van een dergelijk informatiesysteem en de problemen dit met zich meebrengt interessant en relevant. Een van de onderwerpen in het hoofdstuk "Forensische aspecten" zal daarom betrekking hebben op de verankering van de randvoorwaarden die ik op basis van mijn onderzoek opstel.

Externe risico's

Macht corrumpeert
De risico's voor de privacy door RIVEO komen niet uit de lucht vallen, maar door een grote dataverzameling komen zij bij elkaar. Het risico dat grote dataverzamelingen met persoonsgegevens en andere privacy gevoelige informatie in handel van de politiek een gevaar voor de democratische samenleving zijn is niet denkbeeldig. Koops geeft aan in [Versmissen 2002](1) dat als de infrastructuur er ligt het gemakkelijker wordt voor de politiek om, op basis van ad hoc argumenten, besluiten te nemen die diep indringen in de persoonlijke levenssfeer van mensen. Dat hóeft niet maar het kán wel. Lord Acton gaf dat als volgt aan:
"Power tends to corrupt, and absolute power corrupts absolutely. Great men are almost always bad men." (2)

Misinterpretatie
Een ander risico voor de mensen, van wie gegevens over handelen en hun persoonsgegevens worden opgeslagen, wordt gevormd door de kans op fouten en foute conclusies door verkeerde interpretaties of door het gebruik van de gegevens in een verkeerde context. De eis in de Wbp (art. 9 lid 1-3 Wbp) ten aanzien van doelbinding is dan ook terecht. Kardinaal Richelieu combineert het eerste risico (machtsmisbruik) met misinterpretatie:
“Met twee geschreven regels van zijn hand, kan ik zelfs de meest onschuldige veroordelen.” (3)

Gegevensdiefstal
Een totaal andere invalshoek van risicoinschatting komt van Steward Brand. Als informatie zo belangrijk is en de data is van goede kwaliteit, dan valt er veel geld mee te verdienen. Dat wil zeggen dat gegevensverzamelingen kwetsbaar zijn van binnenuit, maar ook voor aanvallen van buitenaf.
“Information wants to be free (1987). Information also wants to be expensive. Information wants to be free because it has become so cheap to distribute, copy, and recombine -- too cheap to meter. It wants to be expensive because it can be immeasurably valuable to the recipient. That tension will not go away. It leads to endless wrenching debate about price, copyright, 'intellectual property', the moral rightness of casual distribution, because each round of new devices makes the tension worse, not better.” (4)

Samengevat
Zo bezien zijn er enkele kernrisico's te bepalen waar bij de invoering van RIVEO rekening mee moet worden gehouden:
• fouten in gegevensverzamelingen en conclusies op basis hiervan;
• gegevensgebruik in een verkeerde context;
• criminelen van binnenuit of van buitenaf die de gegevens in handen krijgen;
• de politieke macht, die uitbreiding van toepassingsmogelijkheden achteraf goedkeuring geeft.

(1) Versmissen, J.A.G., Heij, A.C.M. (2002). Elektronische overheid en privacy. Bescherming van persoonsgegevens in de informatiestructuur van de overheid. A&V25; College bescherming persoonsgegevens, Den Haag 2002.
(2) This arose as a quotation by John Emerich Edward Dalberg Acton, first Baron Acton (1834–1902). The historian and moralist, who was otherwise known simply as Lord Acton, expressed this opinion in a letter to Bishop Mandell Creighton in 1887.
(3) Kardinaal Richelieu (Armand Jean du Plessis de) (1585-1642), eerste minister van Lodewijk XIII (1610-1643) «Avec deux lignes d’écriture d’un homme, on peut faire le procès du plus innocent.» [ Cardinal de Richelieu ] - Cité par Françoise Bertaut dans Mémoires pour servir à l’histoire d’Anne d’Autriche
(4) S. Brand, The Media Lab: Inventing the Future at MIT (New York: Viking Penguin Inc., 1987) at 202.

De laatste risico's

RIVEO kan, maar er zijn wel randvoorwaarden op een hoger niveau die ingevuld moeten zjin. Zoals een overheid die niet bij de gegevens kan van bedrijfsinformatiesystemen die volgens RIVEO zijn ingericht.
Dit is meteen een van de grootste faalkansen. Het hoeft niet per sé zo te zijn dat "de overheid" of "ze" erbij kunnen. Als bij de burger de perceptie bestaat dat het zou kunnen gebeuren, dan is ook RIVEO niet haalbaar.
Een ander probleem ontstaat als de gegevens in handen komen van criminelen of van vreemde mogendheden. Minder grote risico's (maar zeker niet klein!) worden gevormd door fouten in de gegevens die tot verkeerde conclusies leiden, door gelekte gegevens of door gegevens die om wat voor reden dan ook niet meer toegankelijk zijn (verloren, vernietigd of ten onrechte afgeschermd voor de eigenaar).

De laatste risico's zijn relatief eenvoudig te beheersen met technische en andere min of meer normale beveiligingsmaatregelen. Voor de beeldvorming over de overheid bestaat geen andere remedie dan goed communiceren. En zelfs dan moet rekening worden gehouden met samenzwerings- en complottheorieën die de komst van "1984" verkondigen.
Natuurlijk mogen zich geen incidenten voordoen die tot pijnlijk gezichtsverlies leiden. Zoals de constante stroom vermiste dossiers, harde schijven, laptops, usb sticks en backuptapes uit Engeland en de Verenigde Staten.

KDD

KDD

Knowledge discovery in databases (KDD) is een probleem. Niet als je het gewoon in je bedrijfssituatie toepast, maar wel als het op jou wordt toegepast. En dat kan al bij toepassing van ongerichte zoekslagen in grote databases het geval zijn. Dit soort zoekslagen zijn bedoeld om onvermoede verbanden tussen gegevens zichtbaar te maken en zijn - uiteraard - populair bij opsporingsinstanties en veiligheidsdiensten. Vanuit forensisch oogpunt bezien valt er dan ook veel voor deze techniek te zeggen.

Een overheidsorganisatie (of willekeurig welke grote organisatie) zal een stuk minder welwillend staan tegen een verzoek tot ongerichte zoekopdrachten binnen de bedrijfsomgeving. Naast de bedrijfseconomische risico's (het openbaar worden van bedrijfsgeheimen) loopt het bedrijf ook privacy risico's.

Om toch deze weg in te kunnen slaan moeten er op voorhand wel bepaalde eisen worden gesteld en veiligheden zijn ingebouwd. Dit kan van wetgeverzijde, maar bedrijven en organisaties kunnen daar ook een rol in spelen. Eén daarvan is het beperken van registratie. Door slechts data vast te leggen van processen die er toe doen en daarbinnen alleen de relevante gegevens op te slaan, is een beperkte hoeveelheid informatie beschikbaar.

Daarnaast is een onvoorwaardelijke beperking van de toegang tot deze gegevens noodzakelijk. Overigens is dit al geregeld via de Wpolr, waarbij een datawarehouse als tijdelijk politieregister kan worden ingezet. Hier gelden dan restricties, zoals het handelen onder leiding van de OvJ door de politie bij de gerichte doorzoeking van het datawarehouse. Ongericht doorzoekingen, dat wil zeggen, zonder dat er een duidelijk afgebakende onderzoeksvraag aan ten grondslag ligt zijn een stuk moeilijker uit te voeren.

Met de toestemming van de Tweede Kamer om telecommunicatie verkeersgegevens 1 jaar op te slaan (in plaats van de voorgestelde anderhalf jaar) hebben veiligheidsdiensten volop bestanden beschikbaar voor ongerichte zoekslagen. Zij mogen namelijk wel met datamining technieken zoeken naar onvermoede dwarsverbanden in informatie. Vervelende bijkomstigheid is dat bij grote databases de kans op fouten ook groter wordt. Hierdoor neemt eveneens de kans toe dat op basis van foutieve gegevens de verkeerde conclusies getrokken worden.

Dat noemen we collateral damage.

Writers tools

Vandaag hadden wij de eerste bijeenkomst van de Haagsche Studiekring. Het is heel motiverend om je studiegenoten in dezelfde situatie aan te treffen, en met elkaar studietips uit te wisselen. Tijdens de terugkomdag in Eindhoven hebben we al een paar handige tips gekregen voor het verzamelen en catalogiseren van websites en pdf bestanden (Zotero), maar vandaag kwamen er meer handige tips voorbij.

Zoals het gebruik van Dark Room voor het dóórschrijven van je scriptie nadat je al je literatuur klaar hebt liggen. Dit is een rtf-tekstverwerker met geen andere functionaliteit dan een zelf gedefinieerde achtergrondkleur en kleur van het lettertype (Amber of groen op zwart, doet dat je niet ergens aan denken?). Ideaal om door te werken zonder dat je wordt afgeleid door allerlei handige iconen en pratende paperclips. Of door je mailboxindicator. Het vraagt wel de installatie van .NET, maar dat had je al omdat je Paint.NET hebt geïnstalleerd (de veel betere opvolger van Paint).

Ook kwam de problematiek van de bookmarks ter sprake. Want leuke en interessante sites kom je overal tegen, maar hoe houd je enkele tientallen van die dingen nu uit elkaar? Firefox biedt met zijn bladwijzerbeheerder voldoende mogelijkheden een en ander te sorteren. Maar dat is vaak alleen voor de blijverdjes. Eenmalige of gelijksoortige links kun je snel en handig op onderwerp sorteren door per onderwerp een Firefox venster te openen. Iedere site open je dan op een eigen tabblad. En door alles in één keer te markeren als bookmark (in een eigen map) kun je een index opbouwen. Die bookmarkgroup maak je door met de rechtermuisknop op een tabblad te klikken en de optie "Bladwijzer voor alle tabbladen maken" te selecteren. Je kunt vervolgens nog een passende naam opgeven.

Op speciaal verzoek heb ik dit weblog nog voorzien van een RSS-feed (Atom). Kijk maar onderaan.

Succes met de studie!

Terrorismewetgeving - houdbaar tot 2012?

Onderdeel van de Wet bescherming persoonsgegvens (Wbp) is het artikel 80, waarin staat aangegeven dat deze wet na 5 jaar dient te worden geëvalueerd.

Artikel 80
Onze Ministers van Justitie en van Binnenlandse Zaken en Koninkrijksrelaties zenden binnen vijf jaren na de inwerkingtreding van deze wet aan de Staten-Generaal een verslag over de doeltreffendheid en de effecten van deze wet in de praktijk.

Een dergelijk evaluatiemoment is een uitgelezen gelegenheid om de wet aan te passen, uit te breiden of in te perken of zelfs helemaal op te heffen.

Nu we toch bezig zijn met het invullen van de terrorisme wetgeving en andere inperkingen van de burgerlijke rechten, lijkt het mij een goed idee om ook eens verder de toekomst in te kijken. Want de terrorisme wetgeving is, gelijk aan de oorlogswetten, bedoeld om door inperking van de rechten de door anderen afgenomen rechten weer te herwinnen.

Slechts het afnemen van rechten kan dan ook niet het uiteindelijke beoogde doel zijn. En als het dat wél is in de ogen van een selecte groep, dan is het aan de burger om daar tegenin te gaan.

In de uitgevaardigde wetten die dienen om de groei en (toekomstige) activiteiten van terroristen en andere subversieve elementen tegen te gaan, ernstig te verstoren of om deze figuren op te sporen, zou ook rekening moeten worden gehouden met de eindigheid van de situatie waarin deze wetten praktische toepassing hebben. In het kader van de detectie en opsporing van afwijkende communicatiepatronen is de opslag van elektronisch postverkeer en telecommunicatie gegevens heel handig en verklaarbaar.

Maar als alle terroristen zijn opgepakt is het meer dan ongewenst dat deze wetgeving nog steeds van kracht blijft en erger nog, actief toegepast wordt.

IT controls en Compliancy

Voor mijn vrienden en vriendinnen van de MISM/MSIT...

Met dank aan Wessel!