Voordat ik op het onderwerp van mijn column van vandaag kom, wil ik eerst deze observatie vermelden.
Vanmorgen ontving ik mijn nieuwe OV-chipcard. Netjes op een begeleidend schrijven geplakt, met een toelichting in de bijsluiter. In de brief staat vermeld dat ik deze OV chipcard op termijn overal in het het openbaar vervoer kan gebruiken. Ook staat er dat ik steeds maar één OV chipcard tegelijk bij mij moet dragen, omdat het systeem het anders niet meer snapt. In de toelichting staat aangegeven dat de verschillende OV-aanbieders hun eigen chipkaarten uitdelen. Het wordt mij op het hart gedrukt voorlopig slechts de OV chipcard op de lijn van de aanbieder van de betreffende card te gebruiken.
Dat wordt wel lastig bij samengestelde reizen, met trein en bus, of met trein en trein naar Noord-Nederland, als je maar één OV chipcard bij je mag hebben!
Vanochtend stond in De Pers (30 oktober 2007, voorpagina) een interessante waarschuwing over ontwikkelingen rond de OV chipcard en bluetooth telefoons. Wat is nu het geval? Het bluetooth protocol valt buiten de reclamebeperkingen die voor spam gelden. En de RFID signalen die een OV chipcard afgeeft zijn goed te detecteren. Door de informatie die deze signalen met zich meebrengen ("hier loopt een OV-gebruiker") te combineren is reclame op maat mogelijk. Bijvoorbeeld een bluetooth bericht op de mobiele telefoongebruikers in het bezit van een OV chipcard op station Bloemendaal, met de boodschap dat de saucijzenbroodjes vandaag half geld zijn.
Je hebt geen Big Brother nodig om gevolgd te worden - we doen het onszelf aan!
Waarom was het ook alweer dat wij de Big Brother Award 2007 hebben gewonnen?
dinsdag 30 oktober 2007
woensdag 24 oktober 2007
Bedrijven moeten gegevens opslaan....
Als de overheid ze dit verteld krijgt de uitdrukking "met de hakken in het zand" een totaal nieuwe dimensie! Maar wel beschouwd slaan bedrijven al veel gegevens op. Belastinggegevens moeten minstens 7 jaar worden bewaard. Internet en telecommunicatie verkeersgegevens worden 18 maanden opgeslagen. En wat dichter bij huis, de logbestanden op mailservers en fileservers worden net zo lang bewaard tot ze worden overschreven.
Het is meer de schrik dat de bedrijven iets moeten wat ze mogelijk geld gaat kosten als ze het (niet) doen, dan echte onwil. Want de meeste bedrijven en instanties die hun interne processen enigzins op orde hebben doen al aan opslag van gegevens. Volgens het COBIT model hebben ze behoefte aan kwaliteitseisen, financiele eisen en beveiligingseisen. Die zijn te vertalen in een aantal kwaliteitscriteria: effectiviteit, efficiency, vertrouwelijkheid, integriteit, beschikbaarheid, naleving en betrouwbaarheid.
Op basis van deze criteria is het wel mogelijk de eisen op te stellen van de gegevens die bedrijven moeten vastleggen, terwijl dit bedrijfsmatig verantwoord is. Aan de andere kant, waarom zouden ze dat doen? In goed nederlands: "Wat hep ik eran?". Daar hebben ze een punt. Want kosten en baten moeten in verhouding zijn en de bedrijfsvoering gaat voor. Natuurlijk mag het beheer van de opslag (en de gegevens) geen extra inspanning kosten. En de gegevens mogen niet "lekken", omdat dit grote gevolgen kan hebben op forensisch, juridisch en privacy gebied.
Aan de andere kant zitten er ook voordelen aan. Doordat een bedrijf volgens de richtlijnen gegevens vastlegt wordt de kans op een huiszoeking verkleint en wordt slechts een beperkt capaciteitsbeslag gevraagd bij een forensisch onderzoek. Het inrichten van het opslagproces helpt ook bij het nakomen van compliancy wetgeving. En uiteindelijk kan RIVEO gebruikt worden voor de bescherming van de eer en goede naam.
Het is meer de schrik dat de bedrijven iets moeten wat ze mogelijk geld gaat kosten als ze het (niet) doen, dan echte onwil. Want de meeste bedrijven en instanties die hun interne processen enigzins op orde hebben doen al aan opslag van gegevens. Volgens het COBIT model hebben ze behoefte aan kwaliteitseisen, financiele eisen en beveiligingseisen. Die zijn te vertalen in een aantal kwaliteitscriteria: effectiviteit, efficiency, vertrouwelijkheid, integriteit, beschikbaarheid, naleving en betrouwbaarheid.
Op basis van deze criteria is het wel mogelijk de eisen op te stellen van de gegevens die bedrijven moeten vastleggen, terwijl dit bedrijfsmatig verantwoord is. Aan de andere kant, waarom zouden ze dat doen? In goed nederlands: "Wat hep ik eran?". Daar hebben ze een punt. Want kosten en baten moeten in verhouding zijn en de bedrijfsvoering gaat voor. Natuurlijk mag het beheer van de opslag (en de gegevens) geen extra inspanning kosten. En de gegevens mogen niet "lekken", omdat dit grote gevolgen kan hebben op forensisch, juridisch en privacy gebied.
Aan de andere kant zitten er ook voordelen aan. Doordat een bedrijf volgens de richtlijnen gegevens vastlegt wordt de kans op een huiszoeking verkleint en wordt slechts een beperkt capaciteitsbeslag gevraagd bij een forensisch onderzoek. Het inrichten van het opslagproces helpt ook bij het nakomen van compliancy wetgeving. En uiteindelijk kan RIVEO gebruikt worden voor de bescherming van de eer en goede naam.
dinsdag 9 oktober 2007
Ze mogen alles van mij weten ... of toch niet?
Je kent ze wel, die mensen die vinden dat ze geen privacy nodig hebben, omdat ze toch geen geheimen hebben. Maar als je vraagt of je een foto van ze mag maken in hun blootje en die dan aan de hele straat uitdelen dan is dat toch anders. Dat zijn ook de mensen die thuis wel gordijnen voor de ramen hebben hangen.
Eigenlijk hebben deze mensen ergens wel gelijk, maar ze drukken zich wat ongelukkig uit. Privacy is een complex begrip, een samenstel van begrippen, definities en gevoelens die op allerlei manieren met elkaar verbonden zijn. Daarom is er eigenlijk nog geen goede beschrijving van opgesteld: het is met privacy steeds afhankelijk van de situatie.
In 1890 kwamen Samuel Warren en Louis Brandeis al tot de conclusie dat privacy iets ongrijpbaars is, dat ongeveer viel te omschrijven als "The right to be let alone".
Bij de meeste discussies waar privacy onderwerp van gesprek is wordt vaak langs elkaar heen gesproken. Door te focussen op de aan privacy gerelateerde problemen is het mogelijk ze te bespreken in plaats van te vermijden of te vereenvoudigen. Uiteindelijk blijkt dan dat het argument "Ik heb niets te verbergen" geen geheimen heeft.
Eigenlijk hebben deze mensen ergens wel gelijk, maar ze drukken zich wat ongelukkig uit. Privacy is een complex begrip, een samenstel van begrippen, definities en gevoelens die op allerlei manieren met elkaar verbonden zijn. Daarom is er eigenlijk nog geen goede beschrijving van opgesteld: het is met privacy steeds afhankelijk van de situatie.
In 1890 kwamen Samuel Warren en Louis Brandeis al tot de conclusie dat privacy iets ongrijpbaars is, dat ongeveer viel te omschrijven als "The right to be let alone".
Bij de meeste discussies waar privacy onderwerp van gesprek is wordt vaak langs elkaar heen gesproken. Door te focussen op de aan privacy gerelateerde problemen is het mogelijk ze te bespreken in plaats van te vermijden of te vereenvoudigen. Uiteindelijk blijkt dan dat het argument "Ik heb niets te verbergen" geen geheimen heeft.
vrijdag 5 oktober 2007
Een normale afwijking?
Wat is normaal en wat een afwijking? Dat is de vraag die ik mijzelf stel bij mijn onderzoek. Want niet alle gegevens hoeven altijd te worden opgeslagen. Maar er zijn situaties denkbaar dat gegevens die normaal niet worden bewaard, opeens afwijkend zijn van normaal en toch moeten worden opgeslagen. De kunst is te definiëren wanneer gegevens normaal zijn en wanneer zij deel uitmaken van een afwijking.
Normaal is dat niet zo moeilijk te bepalen, de normaal is de weergave van geconsolideerd standaard niet afwijkend gedrag. Zo wordt de referentiestandaard bepaald. En een afwijking is ongelijk aan die normaal.
Moet nu al het afwijkende van de normaal worden opgeslagen? Dat lijkt mij een onderwerp voor een andere column.
Normaal is dat niet zo moeilijk te bepalen, de normaal is de weergave van geconsolideerd standaard niet afwijkend gedrag. Zo wordt de referentiestandaard bepaald. En een afwijking is ongelijk aan die normaal.
Moet nu al het afwijkende van de normaal worden opgeslagen? Dat lijkt mij een onderwerp voor een andere column.
woensdag 3 oktober 2007
Wat slaan wij op?
De huidige trend bij registratiesystemen is gewoon álles te registreren en op te slaan. Dat gaat goed, zolang je die gegevens niet al te lang hoeft te bewaren. Nu hoeft dat niet bij video-opnames, die mogen meestal maar 24 uur worden bewaard. Maar er zijn ook systemen waar de gegevens 18 maanden of maximaal 2 jaar moeten worden bewaard, zoals de verkeersgegevens van ISP's.
Voor bedrijven die van Internet niet hun core business hebben gemaakt, maar wel iets willen of moeten vastleggen over hun verkeersgegevens (of dat nu intern of extern verkeer betreft) is het een ander verhaal. Waar de ISP's verplicht worden de verkeersgegevens te registreren en te bewaren, hebben andere bedrijven een verschillend belang. Misschien moeten ze het vanwege internationale of nationale regelgeving, zoals HIPAA, SOX, Code Tabaksblatt. Of misschien willen ze het zelf, zoals banken doen.
Toch lopen ze allemaal tegen hetzelfde probleem aan: wat moeten ze registreren om, als er zich een incident voordoet, bruikbare gegevens te kunnen overhandigen aan de opsporingsinstanties. Want ze kunnen niet zomaar van alles registreren en oneindig bewaren. Dit kost teveel opslagruimte en indien de data niet logisch worden opgeborgen is het als zoeken naar een naald in een hooiberg om de gewenste gegevens terug te kunnen vinden. Daar komt bij dat er allerlei regels en wetten zijn die het willekeurig opslaan van gegevens inperken.
Om nu toch in staat te zijn een goede gegevensregistratie op te zetten moeten er wat afwegingen worden gemaakt. Zoals het vaststellen of het juridisch acceptabel is dat de gegevens worden opgeslagen, of de opslag bedrijfskundig voordelen (of in ieder geval geen directe nadelen) heeft, of het privacy-technisch mogelijk is de gegevens op te slaan en niet als minste, of de gegevens een meerwaarde bieden bij het forensisch onderzoek.
Hiertoe zullen wat filters moeten worden gedefineerd, waaraan de te registreren gegevens moeten voldoen om voor opslag in aanmerking te komen. Dat is het startpunt voor een van mijn volgende artikelen.
Voor bedrijven die van Internet niet hun core business hebben gemaakt, maar wel iets willen of moeten vastleggen over hun verkeersgegevens (of dat nu intern of extern verkeer betreft) is het een ander verhaal. Waar de ISP's verplicht worden de verkeersgegevens te registreren en te bewaren, hebben andere bedrijven een verschillend belang. Misschien moeten ze het vanwege internationale of nationale regelgeving, zoals HIPAA, SOX, Code Tabaksblatt. Of misschien willen ze het zelf, zoals banken doen.
Toch lopen ze allemaal tegen hetzelfde probleem aan: wat moeten ze registreren om, als er zich een incident voordoet, bruikbare gegevens te kunnen overhandigen aan de opsporingsinstanties. Want ze kunnen niet zomaar van alles registreren en oneindig bewaren. Dit kost teveel opslagruimte en indien de data niet logisch worden opgeborgen is het als zoeken naar een naald in een hooiberg om de gewenste gegevens terug te kunnen vinden. Daar komt bij dat er allerlei regels en wetten zijn die het willekeurig opslaan van gegevens inperken.
Om nu toch in staat te zijn een goede gegevensregistratie op te zetten moeten er wat afwegingen worden gemaakt. Zoals het vaststellen of het juridisch acceptabel is dat de gegevens worden opgeslagen, of de opslag bedrijfskundig voordelen (of in ieder geval geen directe nadelen) heeft, of het privacy-technisch mogelijk is de gegevens op te slaan en niet als minste, of de gegevens een meerwaarde bieden bij het forensisch onderzoek.
Hiertoe zullen wat filters moeten worden gedefineerd, waaraan de te registreren gegevens moeten voldoen om voor opslag in aanmerking te komen. Dat is het startpunt voor een van mijn volgende artikelen.
Abonneren op:
Posts (Atom)