image

PvdD en SP willen periodieke pentesten om privacy treinreizigers te beschermen

donderdag 3 november 2022, 12:41 door Redactie, 20 reacties

Er moeten periodieke pentesten op de systemen van onder andere de NS plaatsvinden om de privacy van treinreizigers te beschermen en dat moet in de concessie over het hoofdrailnet worden opgenomen, zo vinden de PvdD en SP. Tijdens een debat over de hoofdrailnetconcessie, die bepaalt welke vervoerder op het hoofdrailnetwerk mag rijden, dienden de partijen hiervoor een motie in.

Het Kabinet en de Tweede Kamer zijn van plan om de concessie aan de NS te gunnen. De NS en andere vervoerders werken inmiddels aan allerlei nieuwe incheckmethoden, waarbij reizigers hun locatie moeten delen, aldus PvdD-Kamerlid Van Raan en SP-Kamerlid Alkaya. De hoeveelheid bedrijven die hierbij betrokken zijn en alternatieve betaalmethodes hebben gevolgen voor de privacy van treinreizigers, zo stellen Van Raan en Alkaya.

De Kamerleden willen dan ook dat er periodieke pentesten plaatsvinden en er op de "hoogste privacybescherming" wordt ingezet. Staatssecretaris Heijnen van Infrastructuur en Waterstaat ontraadde de motie, omdat de privacy volgens haar al is geborgd omdat de NS en andere vervoerders al aan de AVG moeten voldoen.

"Ze moeten voldoen aan de hoogste privacystandaarden die op papier staan. Dat is prima. Ik bedoel: dat moet sowieso bij de wet. Maar deze motie vraagt nog iets extra's, namelijk om actief bijvoorbeeld ethische hackers uit te nodigen om te kijken of de systemen wel voldoen", reageerde Van Raan daarop.

De staatssecretaris herhaalde dat de privacy van treinreizigers door de AVG is geborgd. "Als het gaat om wat de NS dan allemaal moet doen om vervolgens te komen tot een goede beoordeling, kan dat misschien wel met de testen zoals de heer Van Raan die voorstelt. Maar die ruimte laat ik aan NS zelf." De Tweede Kamer moet nog over de motie stemmen, die mede door de SP werd ingediend.

Image

Reacties (20)
03-11-2022, 13:38 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: 03-11-2022, 13:41
De staatssecretaris herhaalde dat de privacy van treinreizigers door de AVG is geborgd. "Als het gaat om wat de NS dan allemaal moet doen om vervolgens te komen tot een goede beoordeling, kan dat misschien wel met de testen zoals de heer Van Raan die voorstelt. Maar die ruimte laat ik aan NS zelf." De Tweede Kamer moet nog over de motie stemmen, die mede door de SP werd ingediend.

De bewering van de staatssecretaris is onzin, zij wil in privacy-dromenland blijven leven zodat data-rovers hun gang kunnen blijven gaan. Ten eerste kan een papieren wet per definitie feitelijke privacy niet "borgen". Daarvoor is ook een adequate interpretatie en implementatie van die wet vereist. De staatssecretaris leeft in een papieren wereld en verwart die met de echte wereld.

Ten tweede maken de uitspraken van de Raad van State in rechtszaken over de privacy van treinreizigers eind vorig jaar (https://www.security.nl/posting/731134/Privacyactivist+verliest+hoger+beroep+over+anonieme+OV-chipkaart) duidelijk dat die privacy in Nederland zelfs op papier niet is geborgd, omdat de NS door middel van het opstellen van dwingend opgelegde algemene voorwaarden, die dan als "contract" worden opgevat in de zin van artikel 6 lid 1 onder b AVG, de bedoeling van de AVG en van artikel 8 EVRM kan omzeilen.

De Raad van State weigerde zelfs om de zaak rechtstreeks aan artikel 8 EVRM te toetsen, ondanks de wettelijke plicht daartoe, omdat de RvS simpelweg aannam dat de AVG alle waarborgen biedt die artikel 8 EVRM biedt of beoogt te bieden. Zelfs als dat zo zou zijn (quod non), dan nog is een rechtstreekse toetsing verplicht als een rechtzoekende dat betwist. De RvS heeft echter, in lijn met de regeringen-Rutte, maling aan zo'n verdragsrechtelijke verplichting van Nederland. Appellant stapte in die zaak vervolgens naar het Europese Hof voor de Rechten van de Mens, maar dat hof verklaarde de zaak om onduidelijke redenen niet-ontvankelijk. Zie: https://www.privacyfirst.nl/aandachtsvelden/mobiliteit/item/1174-hoger-beroep-michiel-jonker-inzake-privacy-aantastingen-connexxion-en-ns.html onder "update 6 oktober 2022".

Er is dus geen rechtsbescherming tegen privacyschending in het OV. Daarom is het terecht dat de PvdD en de SP andere, wel functionerende waarborgen willen om het schenden van de privacy van treinreizigers tegen te gaan.

In mijn ogen gaan ze daarin nog niet ver genoeg, maar meer zal politiek op dit moment wel niet haalbaar zijn.

Ondertussen wordt onze privacy steeds verder door het afvoerputje gespoeld, in het openbaar vervoer maar ook elders. Slaapwandelend naar de afgrond, om straks wakker te worden in een wereld waarin we van wieg tot graf gecontroleerd en gemicromanaged worden met behulp van digitale bewakings- en beïnvloedingssystemen. Maar ja, schapen willen natuurlijk graag een herder en een herdershond, dat voelt prettig voor ze, het geeft een gevoel van houvast.

M.J.
03-11-2022, 14:11 door Anoniem
Laat de politiek zich alsjeblieft niet bezighouden met de specifieke details hoe privacy beveiligd moet worden. Laat dat over aan de security specialisten bij de NS en niet door een paar kamerleden die hun neefje om advies hebben gevraagd.
03-11-2022, 14:29 door Anoniem
op de systemen van onder andere de NS plaatsvinden om de privacy van treinreizigers te beschermen

Dat regel je het beste door zo min mogelijk data vast te leggen. Wat je niet hebt, kun je niet lekken.

Door anoniem reizen te faciliteren en aantrekkelijk(er) te maken. Minimaal even duur als een normaal abbo of kaarten op naam. Nog beter zou zijn om anoniem reizen dat goedkoper te maken dan reizen op naam.

Of door alleen de eerste instap en laatste uitstap halte vast te leggen, en aan de hand daarvan de korste route in rkeening te brengen.

Of door reizen per OV gratis te maken voor iedereen. Dan is registratie van individuele data niet meer nodig.
Allen aantallen.

En aangezien concurrentie op het spoor ongewenst is (zie de onderhandse gunning aan de NS), kunnen we dat hele commerciele curcus voor de buhne ook wel afschaffen. Gewoon 1 vervoersmaatschappij zonder winstoogmerk dat heel Nederland van goed en regulier OV voorziet (betaald uit gemeenschapsgelden).
Niet alleen in de randstad, maar ook in de rest van Nederland. Incl. de kleine dorpen.


En als dat gebeurd is, hebben nog de energiemarkt, de zorg (verzekeringen), etc waar de marktwerking-uitwassen vervolgens ook van aangepakt kunnen worden door de overheid.
03-11-2022, 17:29 door Anoniem
Door Anoniem: Laat de politiek zich alsjeblieft niet bezighouden met de specifieke details hoe privacy beveiligd moet worden. Laat dat over aan de security specialisten bij de NS en niet door een paar kamerleden die hun neefje om advies hebben gevraagd.
Precies dit! Kappen met individuele details en zorgen voor fatsoenlijk beleid.
03-11-2022, 18:10 door Anoniem
Door Anoniem: Laat de politiek zich alsjeblieft niet bezighouden met de specifieke details hoe privacy beveiligd moet worden. Laat dat over aan de security specialisten bij de NS en niet door een paar kamerleden die hun neefje om advies hebben gevraagd.

Ah, de specialisten van WC eend moeten de kwaliteit van WC eend beoordelen ?

Er is heel veel voor te zeggen om door buitenstaanders te laten controleren of een partij aan z'n verplichtingen voldoet , en niet de mensen van die partij zelf op hun blauwe ogen te geloven dat hun werkgever tiptop picobello ok is.

En pentesten is zeker een aan te raden manier om te zien of procedurele en technische maatregelen ook in de praktijk doen wat op papier beloofd is.
03-11-2022, 19:29 door Anoniem
Met testen kun je niks borgen! Testen kunnen alleen aantonen dat iets niet deugt, niet wat het wel deugdelijk is.
03-11-2022, 20:17 door Anoniem
Door Anoniem:
Door Anoniem: Laat de politiek zich alsjeblieft niet bezighouden met de specifieke details hoe privacy beveiligd moet worden. Laat dat over aan de security specialisten bij de NS en niet door een paar kamerleden die hun neefje om advies hebben gevraagd.

Ah, de specialisten van WC eend moeten de kwaliteit van WC eend beoordelen ?

Er is heel veel voor te zeggen om door buitenstaanders te laten controleren of een partij aan z'n verplichtingen voldoet , en niet de mensen van die partij zelf op hun blauwe ogen te geloven dat hun werkgever tiptop picobello ok is.

En pentesten is zeker een aan te raden manier om te zien of procedurele en technische maatregelen ook in de praktijk doen wat op papier beloofd is.

Ehm. Diginotar iemand?
Die hadden ook al hun papiertjes op orde.
03-11-2022, 20:37 door Anoniem
Door Anoniem: Laat de politiek zich alsjeblieft niet bezighouden met de specifieke details hoe privacy beveiligd moet worden. Laat dat over aan de security specialisten bij de NS en niet door een paar kamerleden die hun neefje om advies hebben gevraagd.
Ho nee zeker niet. Dan krijg je zo'n Microsoft oplossing. Anders kunnnen ze namelijk niet denken.
03-11-2022, 20:40 door Anoniem
Het wordt tijd dat een stuk van het hoofdrailnetwerk aan een ander gegund wordt. Zeker nu er ook al zo veel treinen uitvallen en stampvol zitten.
03-11-2022, 23:07 door Anoniem
Vroeger kocht je een kaartje, je stapte in en je stapte uit.

Wat is er aan die functie veranderd dat nu heel je privacy naar de fielestijen gehekt, gelekt en gecrackt kan worden?

Bestaat er eventueel bij uitzondering een idioot die evenwel de noodzaak daarvan kan uitleggen?
04-11-2022, 00:16 door Anoniem
Pentesten bij NS en ProRail worden al lang periodiek uitgevoerd. Aandachttrekkerij in de kamer.
04-11-2022, 00:17 door Anoniem
Met testen kun je niks borgen! Testen kunnen alleen aantonen dat iets niet deugt, niet wat het wel deugdelijk is.

Daarom moet je ook wat doen met de uitkomst van pentesten. Is het werkelijk zo ingewikkeld.....
04-11-2022, 07:51 door Anoniem
De privacy was geborgd in de tijd van de papieren treinkaartjes die je cash betaalde.
Daarna is het alleen maar berg afwaarts gegaan. De 'borgen' van tegenwoordig zijn legalisering van datagraaien.
04-11-2022, 08:40 door Anoniem
Door Anoniem: Het wordt tijd dat een stuk van het hoofdrailnetwerk aan een ander gegund wordt. Zeker nu er ook al zo veel treinen uitvallen en stampvol zitten.

Laat dat nu juist de reden zijn om het onderhands aan NS te gunnen.
Tijd om van het OV weer een staatsbedrijf (zonder winstoogmerk) te maken.

Zoals Mark R. langzaam aan aan het ontdekken is: "marktwerking maakt meer kapot dan je lief is".
Die marktwerking-fiasco's kosten keer op keer miljarden aan overheidsgeld.
De kiezer gaat die schuldenlast niet oneindig accepteren.
04-11-2022, 09:22 door Anoniem
Door Anoniem: Het wordt tijd dat een stuk van het hoofdrailnetwerk aan een ander gegund wordt. Zeker nu er ook al zo veel treinen uitvallen en stampvol zitten.
Zeker nooit in de UK met de trein gereisd. Daar zitten de treinen ook stampvol, zijn de tickets vele malen duurder en mag je op het station gaan uitzoeken welke van de tien verschillende automaten je moet hebben om de eesrte trein naar je bestemming te vinden, die dan weer vertraging heeft en je nogmaals een kaartje kunt kopen bij een andere vevoerder die misschien wel optijd gaat.
Kwaliteit op trein vervoer kost veel geld (zie zwitserland). Het privaat maken zorgt voor het omgekeerde, want kwaliteit teld dan niet meer.
04-11-2022, 09:34 door Anoniem
Ja, en dat elke pentest door een andere club gedaan wordt...
Dus het ene jaar Pilot, dan Parker, dan Waterman enz..
Anders krijg je die ik-aai-jou-jij-aait-mij papieren onzin.
En dat er ook consequenties zitten aan het niet voldoen, dus geen honderden exceptions voor apparaten die niet voldoen maar met een exception request 'groen' geverfd worden.
Met een tijdslijn.. dus niet voldoen is maximaal 3 maanden en dan gefixed ZIJN.
Want ik weet hoe die ambtenaren wer... ehm functioneren.
04-11-2022, 09:57 door Anoniem
Dit kan "relatief" eenvoudig opgelost worden. Het proces ervoor heet een audit.
Je hebt verwachtingen, een realiteit en gaat die met elkaar vergelijken inclusief de ontwikkelingen hierover.
Dus als X geclaimed wordt dan wordt dat geverifieerd.
En als X "adequate beveiliging" is dan vereist dat een pentest, maar dan een waarbij de conclusies wel verwerkt worden ipv dat een vink gezet wordt bij "pen test -gedaan".
Waarom is dit bij financiele zaken wel een eis?
04-11-2022, 11:00 door Anoniem
Door Anoniem: Vroeger kocht je een kaartje, je stapte in en je stapte uit.

Wat is er aan die functie veranderd dat nu heel je privacy naar de fielestijen gehekt, gelekt en gecrackt kan worden?

Bestaat er eventueel bij uitzondering een idioot die evenwel de noodzaak daarvan kan uitleggen?

"We moeten als organisatie mee bewegen met de vaart der volken. Papier is zo 20e eeuw."

"Digitalisering vermindert de afhankelijkheid van personeel met al hun kwaaltjes, én vermindert de druk op het milieu (want minder/geen papier verspilling)"

"Met nauwkeurige registratie wie waar wanneer geweest is, kunnen we meer geld beter verdelen tussen de vervoerders. (inkomsten optimalisatie)"

"Wij willen de reisdetails van individuele reizigers ook kunnen raadplegen, om die extreem grote groep terroristen, KPers en criminelen in Nederland te kunnen (achter)volgen."

... ... ... ...
05-11-2022, 17:18 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Laat de politiek zich alsjeblieft niet bezighouden met de specifieke details hoe privacy beveiligd moet worden. Laat dat over aan de security specialisten bij de NS en niet door een paar kamerleden die hun neefje om advies hebben gevraagd.

Ah, de specialisten van WC eend moeten de kwaliteit van WC eend beoordelen ?

Er is heel veel voor te zeggen om door buitenstaanders te laten controleren of een partij aan z'n verplichtingen voldoet , en niet de mensen van die partij zelf op hun blauwe ogen te geloven dat hun werkgever tiptop picobello ok is.

En pentesten is zeker een aan te raden manier om te zien of procedurele en technische maatregelen ook in de praktijk doen wat op papier beloofd is.

Ehm. Diginotar iemand?
Die hadden ook al hun papiertjes op orde.

Dat bevestigt precies wat ik zei - je moet dat regelmatig inhoudelijk controleren . En daar een buitenstaander.
06-11-2022, 14:45 door karma4
De bewering van de staatssecretaris is onzin, zij wil in privacy-dromenland blijven leven zodat data-rovers hun gang kunnen blijven gaan. Ten eerste kan een papieren wet per definitie feitelijke privacy niet "borgen". Daarvoor is ook een adequate interpretatie en implementatie van die wet vereist.
De staatssecretaris leeft in een papieren wereld en verwart die met de echte wereld.
Eens

Ondertussen wordt onze privacy steeds verder door het afvoerputje gespoeld, in het openbaar vervoer maar ook elders. Slaapwandelend naar de afgrond, om straks wakker te worden in een wereld waarin we van wieg tot graf gecontroleerd en gemicromanaged worden met behulp van digitale bewakings- en beïnvloedingssystemen. ...
Aub. opletten dat je uit frustratie niet in een rabithole van activisten gevangen raakt.
Voor je het weet zit je in iets wat van kwaad tot erger gaat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.