gdpr

Inhoud Schrijfster Maria Genova is in de wereld van identiteitsdiefstal en - fraude gedoken en schreef daarover het boek 'Komt een vrouw bij de hacker'. Het blijkt kinderlijk eenvoudig om iemands identiteit te stelen. Een gestolen portemonnee is al voldoende voor een telefoonrekening van 13.000 euro. Maria Genova schrijft al jaren over criminaliteit, in het bijzonder over vrouwenhandel. Maar een paar jaar geleden gooide ze het over een andere boeg: ze dook in de wereld van identiteitsfraude. Haar nieuwe boek, Komt een vrouw bij de h@cker, (lees hier meer werk van Maria Genova) is een paar weken geleden verschenen. In het boek beschrijft ze de bizarre manieren waarop er met iemands identieit gefraudeerd kan worden. Maria heeft een hoofdstuk aan mij beschikbaar gesteld, bij wijze van voor/na-publicatie.  In dit hoofdstuk maken we kennis met het fenomeen identiteitsdiefstal en leren we hoe ontwrichtend deze groeiende vorm van criminaliteit kan zijn voor de slachtoffers. Een korte disclaimer: ik ken Maria niet goed, maar was wel een van haar meelezers voor dit boek.  ‘Nou, nu is het gebeurd. Het begon met een rekeningafschrift dat uit mijn brievenbus is gehengeld. Toen is er een bankpasje aangevraagd en daarna is mijn rekening geplunderd. Hoe kan de bank zomaar mijn geld aan iemand anders geven? Heb ik straks allerlei rekeningen en incasso’s aan mijn broek? Ik vind het zo erg, naïeve tut die ik ben.’  Ik lees dat op een forum op internet. De angst en de onzekerheid van die vrouw spatten van het scherm. Dat lijkt me het lastigste: dat je niet weet hoe ver criminelen kunnen gaan. In het horrorscenario van identiteitsfraude neem je het vrijwel altijd tegen een onzichtbare vijand op.    Criminelen zetten 1.737 auto’s op zijn naam. Romet wordt opgepakt en brengt maanden in de gevangenis door.  Hij kan niet bewijzen dat hij met zijn uitkering geen 1.737 auto’s kan kopen Steven Romet is daar een mooi voorbeeld van. Hij krijgt vrijwel dagelijks boetes, aanmaningen en brieven van officiële instanties nadat iemand zijn rijbewijs in een discotheek heeft gestolen. In korte tijd zetten criminelen 1.737 auto’s op zijn naam. Romet wordt opgepakt en brengt maanden in de gevangenis door. Hij kan simpelweg niet bewijzen dat hij met zijn uitkering geen 1.737 auto’s kan kopen. Hij kan de Rijksdienst voor het Wegverkeer er niet van overtuigen dat het onmogelijk is om nieuwe auto’s vanuit de gevangenis te registreren. De logica van een systeem blijkt sterker dan de logica van een individu. Zijn uitkering wordt stopgezet, want volgens de ambtenaar heeft iemand die in staat is zoveel auto’s te kopen geen uitkering meer nodig.  Voordat de zaak definitief opgelost wordt, is Romet zeventien jaar verder, zeventien jaar vol angst en ellende. Pas in 2012 krijgt hij gerechtigheid van het Europees Hof voor de Rechten van de Mens. Als slachtoffer van een ambtelijke dwaling ontvangt hij negenduizend euro schadevergoeding.  Het ergste is dat je niet eens je rijbewijs hoeft te verliezen om slachtoffer van dit soort praktijken te worden. Er is een levendige internationale handel in kopietjes en die blijken even bruikbaar om fraude mee te plegen. Ik vraag me af hoeveel kopietjes van mijn paspoort en rijbewijs er rondslingeren. Hotels, autoverhuurbedrijven, overheidsinstellingen, banken, telefoonmaatschappijen: iedereen vraagt om een kopie. Op mijn paspoort staat een Burgerservicenummer en tot voor kort wist ik niet eens dat ik het moet doorstrepen om fraude te voorkomen.    Digibeten bij de politie Mensen die slachtoffer zijn geworden van cybercrime klagen dat er bij de politie zulke digibeten werken dat ze er weinig van begrijpen. Op Twitter vind ik wel een ‘Agent Digitaal’, die voorlichting geeft over het onderwerp identiteitsfraude.  ‘Als ik wil, kan ik je identiteit zo stelen,’ zegt de politieman als we elkaar voor het eerst spreken.  ‘Hoe dan?’  ‘Ik stuur je een betrouwbaar uitziende e-mail. Als je die opent, geef je me onbewust toegang tot je computer. Voor altijd.’  ‘Hmm.’  ‘Wil je misschien een voorproefje? Ik kan ook je LinkedIn-gegevens kopiëren en namens jou berichten naar allerlei personen sturen. Je kunt me niet voor identiteitsdiefstal aanklagen. Al die gegevens heb je zelf openbaar gemaakt, net als de meeste burgers. Ik steel ze niet, ik gebruik ze gewoon. Wil je me tegenhouden, dan moet je bewijzen dat je er schade van ondervindt en in de praktijk is dat niet zo simpel.’  ‘Dus mijn identiteit gebruiken is niet strafbaar?’  ‘Inderdaad. Je moet eerst bewijzen dat het je schaadt.’  ‘Dat is toch logisch? Ik wil niet dat iemand me kloont en namens mij berichten verspreidt.’  Verbazing en boosheid strijden om voorrang. Ik probeer niet al te veel privé-informatie op internet te zetten, maar als je bij de bekende social media een profiel hebt, is dat gauw te veel. Ontbrekende gegevens worden simpelweg door andere sites aangevuld. De Kamer van Koophandel zet al mijn gegevens online omdat ik een bedrijfje heb, Google Maps gebruikt ze en laat iedereen op mijn huis inzoomen. Zelfs mijn telefoonnummer staat erbij, terwijl het niet eens op mijn naam is geregistreerd. Mijn gegevens worden aan elkaar gekoppeld, omdat ze geld waard zijn.  ‘Hoe ver kan iemand gaan met mijn gegevens?’ vraag ik.  ‘Hoe ver wil je gaan?’ reageert de politieman.  ‘Ik wil alleen maar weten wat er mogelijk is.’  Ik hoor een lachje aan de andere kant van de lijn. ‘Ik mail je wat informatie.’  ***   Het eerste wat ik thuis doe, is mijn computer opstarten. De e-mail van Agent Digitaal is binnen, een rapport met trieste en schokkende gevallen van identiteitsfraude. Bijvoorbeeld Sven, die een rekening van 13.000 euro voor een maand bellen ontvangt. Zijn identiteitsbewijs uit zijn gestolen portemonnee blijkt voldoende voor telefoonabonnementen, leningen en bestellingen bij postorderbedrijven. Sven kan geen huis kopen, omdat hij geregistreerd staat als wanbetaler. En hij kan ook niet meer slapen.    Fraudeurs registreren namens hem een bedrijf bij de Kamer van Koophandel. De schade is al tot 100.000 euro opgelopen als Niels de fraude ontdekt Ook bij de 24-jarige Niels zijn de gevolgen groot. Zijn nieuwe identiteitsbewijs verdwijnt tijdens het transport naar het gemeentehuis. Fraudeurs registreren namens hem een bedrijf bij de Kamer van Koophandel. De schade is al tot 100.000 euro opgelopen als Niels de fraude ontdekt. Hij krijgt hartkloppingen en raakt in een depressie. Door zijn medische klachten moet hij stoppen met werken en daardoor komt hij in financiële problemen.  De lijst van de politieman is behoorlijk lang: een man op wiens naam een valse uitkering is aangevraagd door misbruik te maken van zijn Burgerservicenummer, een vrouw bij wie de buurvrouw de sleutel van haar brievenbus heeft gekopieerd en veel producten op haar naam heeft besteld, een man van wie de wraakzuchtige ex allerlei contracten op zijn naam zet en die uiteindelijk bij de psycholoog eindigt omdat het zo moeilijk blijkt om alles ongedaan te maken.  ‘Fraaie voorbeelden,’ mail ik de politieagent.  Zijn antwoord laat niet lang op zich wachten: ‘Geloof je nu wel dat het ook jou kan overkomen?’  ‘Misschien. Ik ben vrij voorzichtig.’  ‘Dat waren die andere mensen ook.’  ‘Kun je het echt niet voorkomen?’  ‘Lastig. Controleer in elk geval geregeld je bankafschriften op vreemde transacties. Vaak begint het met kleine bedragen. Als je vermoedt dat iemand je identiteit heeft gestolen, koppel dan je computer helemaal van het internet af. En doe aangifte.’  ‘Het schijnt dat de meeste agenten grote digibeten zijn en dat een aangifte vaak nergens toe leidt.’  ‘Nou, er zitten gelukkig ook goede tussen,’ lacht Agent Digitaal. ‘Maar de pakkans is klein. Anonieme mensen op internet zijn lastig op te sporen.’    Mezelf laten hacken Opeens komt Agent Digitaal met een vreemd idee op de proppen: ‘Waarom huur je niet een hacker in? Dan zie je met eigen ogen wat die gasten allemaal kunnen. En nog een tip: zoek wel een betrouwbare hacker uit.’  Een betrouwbare hacker? In mijn oren klinkt dat niet als een logische combinatie. Maar de politieman heeft gelijk: als ik echt wil weten wat er op het gebied van cybercrime en identiteitsfraude mogelijk is, dan moet ik inderdaad iemand vinden die heel diep in de materie zit, iemand die dingen kan doen die van de wet niet mogen. Komt een vrouw bij de... hacker.  Na de mailwisseling met Agent Digitaal ben ik een stuk voorzichtiger aan het worden. Alle informatie die ik binnenkrijg, bekijk ik met argusogen voordat ik ergens op klik. Cybercrime-specialisten kijken met verbazing naar het gemak waarmee mensen hun gegevens aan criminelen doorspelen. We schijnen massaal op besmette linkjes te klikken.  Het gaat allemaal zo simpel: je hoeft alleen maar in te loggen om een ontvangen wenskaartje te zien en dan hebben de hackers toegang tot al je gegevens. Een 24-jarige hacker verzamelde op deze manier naaktfoto’s uit honderden computers, die hij vervolgens online publiceerde met vermelding van de echte namen van de slachtoffers.    Maar ook als je niet op besmette linkjes klikt, als je helemaal niets bijzonders doet, ben je niet veilig. Mensen kunnen zich simpelweg voor jou uitgeven en soms zelfs een identiteitsbewijs op je naam aanvragen. Dat overkwam bijvoorbeeld profvoetballer Kwasi Appiah, die in België speelde. Toen hij naar het buitenland vertrok, deed een illegale man zich als hem voor en meldde dat hij zijn identiteitspapieren kwijt was. Met zijn nieuwe identiteit sloot hij leningen en contracten af op de naam van de profvoetballer. Toen de echte Appiah naar België terugkeerde, werd zijn identiteitskaart in beslag genomen en werd hij een maand lang in een gesloten instelling opgesloten. De politie dacht dat hij de identiteitsdief was.    Komt een vrouw bij de hacker: het idee laat me niet los, maar ik vind het behoorlijk eng om het uit te voeren. Wie wil nou dat een onbekende in haar computer gaat wroeten en misschien lang vergeten gevoelige informatie vindt?  Auteur: Dimitri Tokmetzis   Maria Genova is gastspreker op hét GDPR-event van het jaar: GDPR, the day after tomorrow dat op 24 mei 2018 plaatsvond bij InnStyle in Maarssen. Het evenement draait uiteraard om de GDPR/AVG die de volgende dag van kracht wordt, maar gaat vooral in op hoe je - in plaats van te werken aan een tijdelijke oplossing - 'voor altijd' aan huidige én toekomstige privacywetgeving kunt voldoen.

Inhoud Maandenlang heb ik erover gepraat. Thuis op de bank. Wanneer we een biertje dronken met vrienden. Tijdens een goed diner. Met collega’s. Uiteraard heb ik vooral de positieve punten benadrukt: “Het is geen troep zoals ze een paar jaar geleden maakten, hij kan 28 minuten vliegen, 4k camera en er is een ontwijken terugkeerfunctie. Maar waarmee ik de wederhelft echt heb overtuigd, is dat dit een fantastische manier is om onze avonturen in Australië te kunnen vastleggen.  Vol enthousiasme open ik het zo lang verwachtte pakket. En de verwachtingen worden overtroffen. Als tech-savvy vind ik deze drone prachtig. Bovendien ziet het er allemaal erg degelijk uit en met de vijf jaar garantie voel ik me comfortabel genoeg om de eerste testvlucht te maken.  In het nabijgelegen park laat ik de drone op. In één woord: fantastisch! Twee agenten komen mijn nieuwe aanwinst bewonderen. “That is flying great, mate. Pretty stable in the air as well.” Een paar weken later staat een bezoek aan Nederland gepland. Alleen al door het bekijken van de bestaande regelgeving in Nederland besluiten we de nieuwe drone maar thuis te laten. Dezelfde ervaring heb ik in mijn dagelijks werk. In Sydney bezoek ik prachtige evenementen met mijn cliënten om hen beter te leren kennen. Zoals een goed diner of een rugbywedstrijd.  Ik geloof dat het verbeteren van de band met de cliënt niet zozeer direct zorgt voor een onafhankelijkheidsconflict, maar er juist voor zorgt dat ik mijn cliënt beter leer kennen. Daardoor weet ik veel van onderwerpen die spelen bij de cliënt en die relevant zijn voor mijn audit. Wanneer ik daar de Nederlandse situatie tegenover zet: Geen activiteiten die meer dan honderd euro kosten, want dat kan de onafhankelijkheid in gevaar brengen.  Die regels, arghhh! Uiteraard begrijp ik wel waarom we de onafhankelijkheidsregels hebben en de ‘vliegregels’ voor de drone. Maar wat zijn we doorgeslagen in Nederland. Zelfs zover dat iets wat leuk hoort te zijn wordt omgevormd tot iets verschrikkelijks. Kijk maar naar de huidige accountancypraktijk. Zoveel oude regels, nieuwe maatregelen, toekomstige regels. Niet een heel erg aantrekkelijk verhaal om accountant te worden. Tijd dus om weer meer plezier en passie terug te brengen in ons beroep en regels vooral weg te laten wanneer ze niet strikt noodzakelijk zijn. Bron: Accountant   Tom Ooms is spreker op hét GDPR-event van het jaar: GDPR, the day after tomorrow dat op 24 mei 2018 plaatsvond bij InnStyle in Maarssen. Het evenement draait uiteraard om de GDPR/AVG die de volgende dag van kracht wordt, maar gaat vooral in op hoe je - in plaats van te werken aan een tijdelijke oplossing - 'voor altijd' aan huidige én toekomstige privacywetgeving kunt voldoen.  

Inhoud GDPR en AVG: onderwerpen waar begin dit jaar ongelofelijk veel over geschreven en gezegd is. Elke organisatie kreeg tenslotte te maken met wetgeving die vroeg om een nauwkeurig assessment en een herziening van de huidige organisatie, haar manier van werken, de manier waarop met data wordt omgegaan, et cetera. Geen gemakkelijke, wel een belangrijke, maar vooral heel omvangrijke klus: discussies, oplossingen, webinars en blogs waren dan ook rijkelijk aanwezig.  Het was ons al eerder opgevallen dat weinig van deze communicatie end-to-end was, maar altijd vanuit een bepaalde hoek werd aangevlogen. Denk bijvoorbeeld aan legal, of juist IT-gericht.    Wacht even – misschien goed om eerst toe te lichten wie ik bedoel met ‘ons’ Ons zijn wij: 5.25. Bestaande uit Audittrail, Mavim en Motion10. Audittrail helpt organisaties om de impact van wet- en regelgeving op hun organisaties te vertalen, veelal gericht op thema’s als privacy en informatiebeveiliging. Impact inzichtelijk maken is waar Mavim goed in is, en dat is waarom Audittrail gebruik maakt van het Mavim platform in hun trajecten. Zo laten ze aan hun klanten zien wat de impact is, wat er gedaan moet worden en hoe dit ook in de toekomst (als Audittrail weer weg is – dat willen ze namelijk zelf ook!) blijft werken.  Motion10 is een Microsoft Office 365 partner en gespecialiseerd in het inrichten van de digitale werkplek. Ook dít is onderdeel van AVG/GDPR: in deze omgeving wordt tenslotte heel veel informatie verwerkt, gebruikt en opgeslagen. Op basis van de informatie en inzichten van Audittrail, vastgelegd in Mavim, helpen zij de organisatie de vertaling naar de techniek te maken.  Door in Mavim ook het technische perspectief vast te leggen, heeft de klant een 360° kijk op hun GDPR/AVG compliance: van wet- en regelgeving tot organisatie, tot aan techniek. Hiermee is compliance iets wat daadwerkelijk geborgd is in de organisatie en haar operating model, welke veranderingen er ook gaan komen.    End-to-end en geen quick-fix Goed – dat zijn wij. En gezamenlijk viel het ons dus op dat weinig communicatie over een end-to-end oplossing ging. Met end-to-end bedoel ik van juist dat perspectief van organisatie naar techniek: al die verschillende componenten worden tenslotte geraakt door GDPR/AVG. Ook waren de gepresenteerde oplossingen vaak een ‘quick-fix’: hoe zorg je er als organisatie voor dat je NU een verwerkingsregister en een proces voor het melden van datalekken kunt maken? Of het was gericht op de dienst van een consultancy partij, waardoor het niet daadwerkelijk in de organisatie wordt geborgd.  Vandaar dat we zijn gaan samenwerken, onder de naam 5.25: de datum dat de GDPR/AVG van kracht kwam in heel Europa. En waarom dan op de Amerikaanse manier genoteerd? Omdat Microsoft erg gecharmeerd was van onze oplossing. Als software bedrijf hebben zij al snel erkend dat de digitale werkplek in Office 365 weliswaar een evident onderdeel van de GDPR/AVG is, maar dat het uiteindelijk gaat om de organisatie, haar processen en haar mensen. Daarom vroeg Microsoft ons ook met hen samen te werken én zijn we in april uitgenodigd om naar het hoofdkantoor van Microsoft (in Redmond, USA) te komen. Daar hebben we de oplossing gepresenteerd. Uiteindelijk zijn we hiermee met zijn drieën runner-up geworden als Partner of the Year voor Security & Compliance geworden!    Het is nu augustus, bijna drie maanden later Klopt! Maar GDPR/AVG is iets wat niet meer weg gaat. Sterker nog, wet- en regelgeving rondom data en privacy zal alleen maar toenemen met de duidelijke trends rondom AI, Machine Learning en IoT. 5.25 gaat voorlopig dus ook niet weg: we blijven de partij waarmee je naar data en privacy kunt kijken vanuit zowel een legal-, organisatorisch- als technisch perspectief. Voor nu, en voor de toekomst, zodat je ongehinderd gebruik kunt maken van de talloze mogelijkheden die technologie je biedt. Meer weten? Houd 5.25 in de gaten. Dit kan via de website.  Geschreven door: Suzanne Appelo

Inhoud Het afgelopen half jaar hebben bijna 10.000 mensen een privacyklacht ingediend bij de Autoriteit Persoonsgegevens (AP). Mensen trekken vooral aan de bel over een schending van hun privacyrechten, als meer gegevens worden uitgevraagd dan noodzakelijk en over het ongewenst doorgeven van hun persoonsgegevens aan derden. Zakelijke dienstverleners, de IT-sector en de overheid komen er het slechtst vanaf. Op de voet gevolgd door de financiële instellingen en zorginstellingen. Aleid Wolfsen, voorzitter van de AP: “Ik vind het bemoedigend dat veel mensen actief opkomen voor hun privacyrechten door bij de AP een klacht in te dienen. Goed dat mensen het er niet bij laten zitten. Daarmee geven ze een serieus signaal aan een organisatie zodat andere mensen niet in dezelfde situatie terecht komen. Tegelijkertijd is dit een reden tot zorg. Er moet nog veel gebeuren bij organisaties.”   Met de inwerkingtreding van de Algemene verordening gegevensbescherming (AVG) zijn de privacyrechten van mensen versterkt: iedereen kan sinds 25 mei een privacyklacht indienen bij de Autoriteit Persoonsgegevens (AP). Dat kan als iemand vermoedt dat zijn/haar persoonsgegevens zijn verwerkt op een manier die in strijd is met de privacywet. De eerste halfjaarlijkse rapportage geeft inzicht in de klachten die de AP heeft ontvangen sinds 25 mei en de manier waarop de klachten zijn behandeld.   Onderwerp van klachten De meeste klachten (32%) gaan over een schending van een privacyrecht, zoals het recht op inzage en het recht op verwijdering. Mensen krijgen bijvoorbeeld geen inzage in hun gegevens als ze daarom vragen of ondervinden drempels als zij persoonsgegevens verwijderd willen hebben. Veel organisaties vragen bijvoorbeeld om een kopie van een identiteitsbewijs, voordat zij gegevens willen verwijderen. Omdat dit in veel gevallen niet mag heeft de AP via de website de voorlichting hierover uitgebreid.  Mensen klagen ook vaak (15%) bij de AP wanneer meer gegevens worden uitgevraagd dan noodzakelijk, bijvoorbeeld het BSN bij het aanmaken van een account bij een brillenwinkel of bij aanmelding bij een rijschool. Daarnaast gaan veel klachten (12%) over organisaties die persoonsgegevens doorgeven aan derden terwijl mensen dit niet weten of willen.    Sectoren Zakelijke dienstverleners (41%), de IT-sector (12%) en de overheid (10%) zijn de sectoren waarover de AP de meeste klachten ontvangt. Op de voet gevolgd door de financiële instellingen (9%) en zorginstellingen (9%). Bij zakelijke dienstverleners, zoals detailhandel en nutsbedrijven, en de IT-sector gaan de klachten vooral over privacyrechten van mensen, zoals het recht op inzage en het recht op verwijdering. Bij gemeenten en ZBO’s, zoals de SVB en het UWV, komt de manier van gegevensverwerking het meest aan de orde.    Wijze van behandeling De AP heeft verschillende mogelijkheden om een klacht te behandelen en bekijkt per klacht wat de meest effectieve manier is om de overtreding te beëindigen. De AP heeft zich in dit eerste half jaar primair gericht op het beëindigen van de mogelijke overtreding door voorlichting aan organisaties en het sturen op herstelmaatregelen. In meer dan een derde van de gevallen heeft de AP opgetreden tegen een overtreding door een brief te versturen met normuitleg, te bemiddelen of een normoverdragend gesprek te voeren. Er zijn inmiddels 11 onderzoeken gestart. Die zijn gebaseerd op een veelvoud aan klachten.  In veel andere gevallen (33%) hebben medewerkers van de AP mensen op weg geholpen om zelf een klacht in te dienen bij de organisatie waarover de klacht gaat. De AP gaat er vanuit dat mensen eerst zelf contact opnemen met de organisatie over hun klacht. Veel mensen hebben dit nog niet gedaan op het moment dat zij zich bij de AP melden.    Iedereen heeft privacyrechten Niet iedereen is zich ervan bewust, maar iedereen heeft privacyrechten. Zoals het recht om in te zien welke persoonsgegevens een organisatie van je heeft. Die rechten zijn onder de AVG uitgebreid met het recht op dataportabiliteit (het recht om je gegevens mee te nemen) en het recht op vergetelheid (het recht dat organisaties je persoonsgegevens moeten wissen als je erom vraagt). Privacyrechten kun je zelf uitoefenen, door een organisatie op deze rechten te wijzen. Sinds 25 mei zijn die rechten versterkt: iedereen kan sindsdien ook een privacyklacht indienen bij de AP. Bron: Autoriteit PersoonsgegevensOrganisaties hebben veel tijd en aandacht gestoken in het compliant raken aan de wetgeving. Nu is het zaak om continu compliant te blijven aan de AVG. Maar hoe pak je dat aan?Benieuwd naar onze aanpak? Meld je aan voor het webinar Continuous Compliance en ontdek de eenvoud van het AVG framework in Mavim waarmee je inzicht krijgt en overzicht houdt over de AVG.