Problematical archives in the digital age

When I was in university at a time on the brink of the computer age, doing research meant going into an archive and bring out clusters of maps around a topic. All communications, e.g. missives, letters, internal documents, drafts, media, etc., could be found in such maps, where I could have them copied or could take notes from. On these documents it was completely clear who had added what to the first, the second, etc., draft, all the way up to the minister. That sort of research is no more for future and current scientists of modern history.

When I became a civil servant the work was digitalised, although I still worked with a paper file. What was printed and filed was the outcome document. All the versions in between were in maps on my computer or pieces of paper thrown away after use, later in a central database and probably by now in the cloud. When I stopped being a civil servant I was asked to delete most of my maps. In other words destroyed most of the files of potential interest to future historians.

Communities and archiving

The recent news that local councils have problems with archiving, because of systems or tools they can’t access any more, does not surprise me (see: Any one who lived through the change from Word Perfect to Word, knows that after a while these documents couldn’t be accessed. So if a pc no longer has a floppy driver, first the soft big ones and then the small hard ones, how is someone to access the floppies? It’s nothing new, that happened to older systems as well, but they were not as commonly used. Still, the people with that experience could have sounded some more alarm bells. People just don’t learn it seems.

It’s far worse

As I started with, archiving has in part become a private consideration. What does somebody keep or not? A finger on the delete button is an easy and very private decision for the past two decades. This way a lot of the reasons behind decisions and outcomes in public and private realms are no longer existent. Someone deleted them, by request, through leaving, having too many maps or for whatever reason. This unconscious, perhaps unlawful, deleting prevents organisations from learning lessons from its own past and historians from coming to weighed and informed conclusions in the future.

The world does not have to store everything, but a conscious decision following the local law would be a fair judgement to go by.

Wout de Natris, De Natris Consult

Haarlem, 23 May 2016


Posted in International cooperation: IP resources | Leave a comment

Interesting times call for leadership

This post I’ve been pondering on for a long time, but never found the right angle and perhaps I still haven’t. Basically I have these observations, thoughts, ideas and a truckload of questions. Where to start? With the future prospects of us all. Thomas Picketty showed us the rise of inequality. He was recently joined by Robert J. Gordon who not only joins Picketty, but adds that we live in a period of stagnation, for decades already. “All great inventions lie over 40 years and more behind us”, he points out. In stark contradiction to the jubilant voices of Silicon Valley. The end of Moore’s law was announced for the world to read in The Economist of mid March. So where does that leave the continuous growth of The Internet of Things? Is this ending good for employment? Will that stifle the rise of populism and angry white men feeling left out?

What a job does
That last thing is why the rise of robots, artificial intelligence and algorithms puzzles me so much. In order to spend money (on whatever), people have to make money and most do so through a job. Next to that a job provides a feeling of belonging, a purpose in life, regularity and a sense of fulfilment when something gets done. On top of that money comes in.

The rise of the masses
In the 19th century the slow rise from poverty of the masses started in the western world. Probably urged by the rise of socialism and communism employers gave away some rights, started paying better wages and the world changed in many ways because of that. People all got wealthier and healthier. Governments could levy more taxes, making it possible to work on great projects that made life better again. And employers got richer as well, being able to sell more produce to the workers they paid ever better. Think Henry Ford who not only started the mass production of cars, but also enabled his employees to buy them from him.

Enter the robots
This all stops when people are replaced by things, whether a robot or a machine on algorithms. No pay means poverty, eviction from houses, less health, no education. From an economic point of view it means that less and less products are sold. So where is the economic rationale behind this race to the automated bottom? No demand in the end leads to no supply and no profit for the AI and robot owners and manufacturers. And to economic decline. Gordon seems to be right there.

‘Free money’
So will Patti Smith be right in the end? Will we all get free money (yes, I know it’s a cover, but my favourite version of the song) or helicopter money as they call it in 2016? Aside from the fact that this money has to come from somewhere, it does not take into account the other less tangible features of having a job. Those features that all together lead to grave discontent when they are not met.

The end of Moore’s law.
So is the end of Moore’s law a blessing in disguise? If the rise of processing power is stopped in its tracks, is that a good thing for employment? Especially for the middle class?

There’s no way of telling of course. When Thomas Maltus predicted his disasters for human kind in the late 18th century, the Industrial Revolution came along changing the game as Gordon writes on. Malthus’ prediction became obsolete fast, although it is used often in other ways.

Major breakthroughs?
The world as we know it may be on the brink of major breakthroughs in IT as The Economist article gives a few insights on. A lot is uncertain though as researchers run into great challenges, for years on end already. There’s no predicting a breakthrough as a lot are stumbled upon by accident.

IT breakthroughs do tend to come with a loss of jobs. A reason a lot of people live in fear that their children will not live in a better world. Come in Trump, Pegida, Geert Wilders, Brexit, Marine le Pen, Beppe Grillo, etc., etc. People and movements that feed on and spread fear, but offer not one single solution to one of the major challenges this world faces. Unless you take the shooting of refugees at the border as a serious option of course.

As a question in this category. Recently several chains of department and retail stores keeled over in The Netherlands. There are several reasons attributed to the bankruptcies, but one of them is the rise of webstores. Online shopping is not replacing shopping in general (yet?), but the loss of how many percentages in sales are enough to facilitate the bankruptcy of the physical store? This is an interesting question to answer though. I never read it so far. Thousands of people lost their jobs. Are there new ones for them and in what sector(s)? It’d be interesting to learn this too.

The future seems bleak to many
At the Internet Governance Forum workshop organised by NLIGF, just like the workshop in The Netherlands on this topic, it was hard to find a person who spoke out in favour of current developments, except from a technical point of view. Conclusions were the following. Education runs horribly behind demand, algorithms are a black box in the hands of the private sector, privacy is in danger, as is employment, politicians do not understand the implications of current developments. Most participants, over one hundred at both sessions, saw a bleak future if the current developments do not changed course for the better.

Political leadership?
We live in interesting times, that much is for certain. Where we are heading I just don’t know. What I would appreciate is to have politicians that lead, explain, decide. In short: indicate what they are about. And I don’t mean a strong muscle like in a few countries not too far away from here is the standard. No. I’m looking for leadership in the current politicians in power in the western world. Who stand for what they do, explain in a clear way why their solution is the right one and start making decisions on an ICT world, the second machine age or fourth industrial revolution, whatever you like to call it. What is acceptable and what not, so we all live in a society where we can fulfil our lives in meaningful ways. A form of leadership that is frighteningly missing.

To conclude
Change is scary and certainly for those who fear change the most. These people need to be included and remain included. If not we are heading towards very uncertain times. This is something that leaders in the private and public sector have to start acknowledging and act upon. For me it isn’t hard to picture self-driving cars, surgical machines or fully automated ships, I have a hard time picturing what all the people who have lost these jobs will do instead, while I can easily imagine the discontent.

There’s no denying, things change. They always have, but the past always offered alternatives when the paradigm shifted. From what I hear and read these sort of alternatives are not in sight in 2016. Hence the main question of this post: what is acceptable in the current change and what is not? Leaders, public and private, have to make some important choices that decide on the kind of world we all live in. Times are interesting enough as is, thank you.

Wout de Natris

Leiderdorp, 21 March 2016

Posted in Cyber ethics, Internet governance, Privacy | Tagged , , , , | Leave a comment

Voorwaarden voor succes: Autoriteit Persoonsgegevens. Een ongevraagd advies

Het College Bescherming persoonsgegevens krijgt een nieuwe naam: Autoriteit Persoonsgegevens. Deze nieuwe naam sluit beter aan bij het regime dat de Europese Commissie komend jaar hoopt te introduceren, dat de privacy regulering aanmerkelijk zal verzwaren. Daarop vooruitlopend maakte staatssecretaris Teeven op 24 november 2014 bekend dat het CBp al een uitbreiding van haar sanctionerende mogelijkheden krijgt. Wat betekent dit en wat komt er bij kijken om succesvol te kunnen zijn? Een, zoals gezegd, ongevraagd advies.

Uitbreiding bevoegdheden
Het CBp ziet toe op het beheer van persoonsgegevens, die gegevens die data aan een individueel adres, geloof, geaardheid, telefoonnummer, e.d. van een individu koppelen. Als een instantie, bedrijf vereniging, etc. dit soort gegevens opvragen, dan moet het deze zodanig opslaan, verwerken, dat deze niet ongeoorloofd in handen van derden kunnen vallen of zonder toestemming overgedragen of verkocht worden. Ook mogen dit soort gegevens niet langer worden opgeslagen dan strikt noodzakelijk. Deze regels raken heel veel organisaties direct. Tot op heden kon (en wilde?) het CBp daar weinig meer tegen doen dan een onderzoek instellen en rapporteren. Het had geen sterke sanctionerende bevoegdheden. Dit verandert als het aan de staatssecretaris ligt.

Het CBp mag boetes gaan opleggen tot een hoogte van € 810.000 voor recidivisten, bijvoorbeeld zij die herhaald en opzettelijk handelen in persoonsgegevens. Op het NOS journaal sprak J. Kohnstamm, de college voorzitter, echter al de woorden uit niet onmiddellijk te zullen gaan beboeten. Dat riep bij mij de vraag op: “hoe effectief gaat de Autoriteit Persoonsgegevens zijn”?

In ogenschouwnemende dat de regels nog veel strenger gaan worden vanaf circa 2017, neem ik u tien jaar terug in de tijd. De Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA, nu Autoriteit Consument en Markt) kreeg in 2004 een onderdeel van de Privacy richtlijn in zijn toezichtpakket: spambestrijding.

De OPTA pakte dit voortvarend aan. Direct na inwerkingtreding van de wet werden een aantal onderzoeken ingesteld naar reeds bekende spammers, die na de inwerkingtredingsdatum in mei 2004 nogmaals spam verzonden. Deze onderzoeken leidden tot een aantal boetes in hetzelfde jaar en de eerste maanden van 2005. Het feit dat OPTA een onderzoek op locatie had ingesteld bij deze spammers ging heel snel rond in het wereldje, zo bleek uit gevolgde fora van spammers. Het resultaat was bekend: de organisatie Spamvrij hief zichzelf op, wegens groot succes van de wetgeving in combinatie met direct handhavend optreden: 85% van de identificeerbare, Nederlandstalige spam was binnen een half jaar verdwenen. Iedereen wist dat er een toezichthouder was die tanden had. Op die paar bedrijven na die dit was ontgaan. Daarna zijn het de partijen die bewust en zo anoniem mogelijk, spammen, er alles aan doen om uit zicht te blijven van de autoriteiten en vaak internationaal opereren.

Keuzes in aanpak
Het CBp maakt een andere leuze bekend. Dat is haar goed recht. Persoonlijk zou ik dat echter anders doen en meer gefaseerd te werk gaan.

Veruit de meeste bedrijven, organisaties, etc. zijn van goede wil en willen in het geheel niet met de wet in aanraking komen. Waar het om gaat, is dat deze bedrijven een beeld krijgen van de maatregelen die ze moeten treffen en een besef waarom het anders moet, maar ook een beeld krijgen hoe het anders kan. Daar kan het CBp aan bijdragen door, in tegenstelling tot het verleden, actief mee te werken aan voorlichting en zelf outreach te verrichten naar betrokken partijen toe. Dat kan bijvoorbeeld door een roadshow, aansluiten bij bestaande activiteiten van branche organisaties en koepels en het opstellen van Richtsnoeren. Hier valt enorm veel winst te behalen en tijd en kosten te besparen. Tijd en geld die het CBp aan de volgende categorie kan besteden

Waar het CBp bovenal beducht voor moet zijn, is de recidivist. Partijen die bestaan van handel in persoonsgegevens en/of gebruiken voor hun andere wetsovertredende activiteiten en dit op de achtergrond doen. Dit vergt specialistische kennis van (digitale) opsporing en de bereidheid om medewerkers maanden, wellicht jaren aan zaken te laten werken. Kennis die voorhanden is bij bijvoorbeeld de ACM. Het is niet de eerste keer dat ik pleit om deze kennis samen te brengen. Bestrijding van spam, botnets, online fraude en data mining en verhandeling, etc. zitten zo dicht tegen elkaar aan dat het eigenlijk onzinnig is deze disciplines nog langer bij diverse instanties onder te brengen. Een onderwerp dat het Best Practice Forum over “spam” van het Internet Governance Forum ook aansnijdt en adresseert.

Veel van de partijen die het CBp gaat tegenkomen, opereren internationaal (of hebben hun hoofdkwartier elders en halen hier enkel data weg). Het grote voordeel van het CBp is dat zij een internationaal samenwerkend platform heeft, in tegenstelling tot de spambestrijders. De effectiviteit bij wetenschappelijke onderzoeken heeft zich reeds bewezen. Nu moet gaan blijken of dat ook voor onderzoeken op basis van sanctionerende bevoegdheden gaat gelden. Het CBp zal zijn collega’s hard nodig hebben.

Dit hangt af van wat het uitgangspunt is. Als dit is, in principe worden privacy gevoelige data op juiste wijze verwerkt, tijdig verwijderd, in beginsel niet verhandeld, etc., dan is er sprake van succes als dit op grote schaal zo is ingevoerd. Door overheden, organisaties, bedrijven, verenigingen, etc. Zelfregulering zal hier veel werk weg kunnen nemen. Dit kan een, gestimuleerd, uitvloeisel zijn van de bovengenoemde suggestie tot actieve outreach door het CBp. Een belangrijke les is echter dat zelfregulering wel degenen stopt die van goede wil zijn, maar niet hen die de wet bewust breken. Voor die categorie is het CBp echt nodig en daar helpt een waarschuwing niet. Daar is adequaat en gericht onderzoek voor nodig, leidend tot een (zware) boete. Wat zijn bijvoorbeeld benodigdheden voor succes?

1. Onderzoekers
Medewerkers die de juiste skill set in huis hebben: onderzoekers/rechercheurs die met digitale, forensische apparatuur kunnen omgaan en bewijs op de juiste wijze kunnen vergaren en presenteren.

2. Enforcement tools
De wet mee moet de juiste onderzoeksbevoegdheden meegeven. Als die niet afdoende zijn of zelfs ontbreken, is deze exercitie kans- en doelloos. Daar zijn veel voorbeelden van te vinden in het buitenland.

3. De interne wil
Er moet de wil zijn om door te pakken waar dit nodig is. Die cultuur kent het CBp tot op heden niet en vergt een serieuze omslag.

4. Middelen
Het CBp moet de middelen, geld, mensen en tools krijgen die dit alles ook mogelijk maken op een manier die er toe doet. Zonder gaat het niets of in ieder geval weinig worden.
Naast dit alles valt of staat een internationale zaak met vergelijkbare skills, tools en wil (om samen te werken) bij de collega’s in het buitenland. (En een noodzaak tot harmonisatie, het mogen delen van IP adressen, e.d., etc., etc.)

Daarom een klein advies. Splits de activiteiten in a) actieve voorlichting richting hen die willen (en pak daarna de recidivist of sukkelaar onder hen aan) en b) een direct serieuze aanpak van notoire wetsovertreders. Wacht hier niet mee, maar start op dag een. Er zijn al teveel jaren verloren gegaan bij de gerichte aanpak van deze categorie. En werk samen met iedereen die kan helpen bij het maken van een verschil.

Staatssecretaris Teeven heeft een belangrijke eerste voorwaarde gecreëerd om de verwerking van privacy gevoelige data beter te laten verlopen. Of dit een succes wordt, hangt af van de nagels en tanden van de toezichthouder. De Autoriteit Persoonsgegevens zal zich nu moeten bewijzen. Waarschuwingen kunnen daarbij een mooi middel zijn, maar schrikt de echte overtreder niet af. Die les is reeds getrokken! Op dag een moet deze categorie een van de topprioriteiten zijn. Pas dan wordt Nederland minder interessant om data in te vergaren op ongeoorloofde wijze.

Wout de Natris, De Natris Consult

Leiderdorp, 25 november 2015

Posted in Privacy | Tagged , , , , | Leave a comment

A brave new world or do we need to discuss IT and ethics?

Every day comes with another digital security breach, surveillance disclosure and what not. The world seems have grown used to it and continues its business as usual. It doesn’t seem to be bad enough to really act.

Every day comes with new stories about the end of the Middle Class, IT taking over jobs in places where up to very recently that was inconceivable, not in people’s wildest dreams would these jobs disappear. Also this is not so terribly disturbing as the news continues without debates on discussing potential limits of IT development for the sake of job security. Earlier this year I had already concluded in a blog post that there are no 21st century Luddites.

Recently people that work in the IT field, whether from a technical angle or IT law, have uttered that they are disturbed by recent developments, the speed of that development and the potential effects of those developments for the individual and society as a whole. Think of the near endless leaking of personal data to hardly known companies and governments, leading to combinations of data being made that can lead to profiling, with unknown impact on a person(‘s private life). The data that is or soon will be generated by the Internet of Things, including apps, sensors, cameras , etc. attached to a person, his personal devices, his home, car, roads, etc., is going to add to that commercial profiling and governments storing even more data on its citizens.

The question that is in need of asking at the turn of 2014 is: What society do you and I want to live in? It is time to start a fundamental discussion on the ethical side of IT development.

The Digital Revolution
In 2014 the world is in a major transition, if not in the midst of a digital revolution. Things happen because they can happen. The technology is there, the will to invest in the development and/or the deployment of that technology also. Faster and faster researchers and inventors come up with new techniques, faster and better software, the hardware to store it in, the gadget to make them more attractive to users. Entrepreneurs find new ways to deploy, use, analyse and sell the resulting data stream.

On the other hand there are (non-suspecting) consumers and users that adapt so fast to this new world. The younger generation does not know any better and is encapsulated totally in this new world. They live a totally different sort of life than all generations before them. Hardly anyone understood the business model of Google, Facebook, etc. at the start of using these services. Perhaps most still do not. It was there, free and easy to use and consumers started using it and quite rightly so. Changes happen so fast, that there is no time for reflection and those who do are just calling out in a desert. No one seems to hear or understand those calling out.

It won’t come as a surprise to you that in the past years I personally have made the digital transition as well. From PC to cell phone, to an Internet connection, to a laptop, to ADSL, to smart phone, to Internet banking, you can find me on a few, not all, social media, etc. Like most people have, and although I had some doubts concerning digital security, there is no stopping the development. Not as an individual and why should we? Things are much easier, often better than before. But should that keep us from asking some serious questions? I do not think so.

IT in politics
At the ecp Year conference, 20 November 2014, I heard a Dutch parliamentarian quoting an unnamed colleague, also an ICT spokesperson, as having said: “but I know nothing about ICT”, in parliament and added: “Suppose that another colleague would say: “I know nothing about health care””, while being the spokesperson of his or her party for health care. That would be unacceptable, while for IT it is acceptable. And that is sort of unacceptable, isn’t it?  IT is the defining topic of this decade and about to change the way humans live at least for a considerable period of time if not for ever. In other words, there is no escaping discussing IT and investments, IT and education, IT and cyber security, IT and surveillance, IT and …., IT and ethics. How can a debate about the consequences of IT ever take place if the spokespersons have hardly or even any knowledge of the topic?

I am not saying that parliament is the only place for a debate. Where are trade unions in this discussion? Where are consumer organisations? To name a few. So far only free speech and digital rights activists are heard mostly. Those from the desert.

It is normal and acceptable to discuss ethics in gen technique, cloning, euthanasia, etc. In fact a debate is started before there is any consensus on anything. Where IT and the changes, we all are in the middle of, IT brings to our personal lives, well-being, etc. is concerned, there is mostly ear-shattering silence. While developments race on at the speed of light. It is time that at different levels in society, including parliament, a debate is started on the topic of robotica, domotica, Internet and privacy, commercial personal data analysis, etc. from an ethical point of view.

Ethics and Internet? It is not too late to have that discussion. It may just be an excellent topic for the upcoming (NL)IGF. The Internet Governance Forum can unite different stakeholders, including those with different interests, in this debate and provide topics to reflect on for future use.

Wout de Natris, De Natris Consult

Leiderdorp, 24 November 2014

Posted in Cyber awareness, Cyber ethics, Internet governance, Privacy | Tagged | Leave a comment

Internetstandaarden en implementatie

Op het ecp jaarcongres van 2014 werd een sessie geweid aan Internetstandaarden onder leiding van Gerben Klein Baltink, de kwartiermaker namens de Nederlandse overheid van het Platform Internetstandaarden. De drie panelleden spraken over (succesvolle) implementatie van standaarden, bijvoorbeeld om het mailverkeer veiliger maken en phishing e-mails tijdig te onderscheppen.

Hoe druk het ook was op het jaarcongres en hoe goed de individuele tracks ook bezocht werden, de zaal over standaarden wilde zich niet vullen. Die ervaring had ik zelf tijdens het laatste Internet Governance Forum, waar ik namens ecp en het Ministerie van Economische Zaken een workshop leidde onder de titel ‘The impact of (non-)adoption of Internet standards on cyber security’. Ondanks dat Internet standaarden (en best practices) veel besproken zijn op conferenties en andere bijeenkomsten, wil het met de urgentie niet vlotten. Is hier een reden voor aan te wijzen?

Enkele Observaties
Ik zal niet pretenderen dit antwoord te kunnen geven, wel heb ik een paar observaties die ik wil delen.

Te duur?

Het argument: “het kan niet, maar als het moet, dan is het heel moeilijk en vooral heel duur” is vaak gebruikt door telco’s die niet mee willen in veranderingen of bestaande belangen verdedigen. Toch zit hier waar het gaat om grootschalige veranderingen als gevolg van een nieuwe Internet standaard een kern van waarheid in. Wat daar nog bij komt, is dat er vaak geen business case aanwezig is. Sterker, er lijkt/is sprake van een first mover disadvantage. Internet standaarden voer je in voor het grote geheel, niet zo nodig jouw bedrijf (alleen). Degene die als enige of eerste een standaard invoert, maakt kosten die andere partijen dus niet hebben. Die kosten zijn soms niet gering. Off the record willen bedrijven daar best een inkijkje in geven. Bijvoorbeeld, het invoeren van IPv6 brengt zeer hoge kosten met zich mee en het verdient zich als zodanig nauwelijks terug.

Markt falen?

Het Ministerie van Economische Zaken benoemde dit zeer stellig in Istanbul op het IGF: “er is sprake van markt falen”. Zover wil ik zelf nog niet gaan, maar er is zeker iets wat marktpartijen weerhoudt van een vlotte implementatie. Een voorwaarde om vooruit te gaan is dan ook te achterhalen wat dat “iets” is. Als dit niet wordt achterhaald, praten we over tien jaar nog voor half lege zaaltjes. Zodra dat iets is benoemd, kunnen er maatregelen getroffen worden die de belemmeringen wegnemen.


Wat mij ook opvalt, is dat de partijen om wie het draait, denk hier aan Internet Service Providers, telco’s, maar zeker ook soft- en hardwarefabrikanten, appbouwers, Internetplatformen, niet altijd aanwezig zijn bij deze bespreken en als ze er zijn, beslist niet het achterste van hun tong laten zien. Veruit de meeste partijen zijn nog nooit aangesproken. Toch zijn zij nodig voor de implementatie. Sterker, zonder hen gaat dat niet. Kortom, hier zit de eerste winst. Breng aan tafel wie aan tafel moest zitten. Daar begint de inventarisatie van uitdagingen.

De afwezige business case

“Het ontbreekt aan een business case”. Als dat de reden is dat er geen implementatie plaatsvindt, dan is dat snel te verhelpen. Simpelweg als grote partijen er naar gaan vragen. “Wij willen IPv6”. “Wij willen veilig kunnen e-mailen, internetten, een wifiverbinding opzetten”, etc. De overheid zou hier als katalysator kunnen optreden, al dan niet in samenwerking met een aantal grote partijen die gebaat zijn bij een veiliger Internet. Denk bijvoorbeeld aan de financiële sector. Vlak de consument niet uit. Gerichte campagnes met belangenorganisaties kunnen ook een groot verschil maken. Denk aan de Consumentenbond, de HCC, VNO/NCW, branche organisaties, etc. Vraag is een grote stimulus.

Kansen MKB?

Die business case ontbreekt op de korte termijn misschien bij grote bedrijven. Maar hoe zit dat bij kleinere bedrijven? MKB’ers die een nichemarkt bedienen en juist kunnen scoren op een grotere veiligheid? De signalen die ik tot op heden opvang, zijn nog niet bemoedigend. Toch liggen her kansen voor het midden- en kleinbedrijf om klanten binnen te halen, door een veiligere omgeving te creëren waarbinnen hun klanten online diensten kunnen afnemen.

Veiligheid kost geld?

Hoe zit het dan met veiligheid? Kapitalen geeft de overheid momenteel uit aan “cyber”. Hoe zit dat nu echt?, vraag ik me dan af. De tijd dat iedereen voor een dubbeltje op de eerste rang zit bij het Internet moet maar eens voorbij zijn. Veiligheid kost geld. Voor jou, voor mij, voor het bedrijfsleven, de overheid, organisaties, etc. Het besef moet gaan indalen dat het Internet net is als het gewone leven. We vinden het heel normaal een extra slot voor onze fiets te kopen, maar niet voor ICT. “Dat begrijpen wij niet”. Juist dat moet ook zo gaan worden voor de pc, laptop, smartphone, tablet, etc. Laat dat nou vraag creëren. En vraag zal de implementatie van standaarden versnellen, partijen die ontbreken veel eerder naar de tafel brengen en als zij niet willen, anderen in staat stellen de markt te betreden met innovatieve producten die inherent veiliger zijn: secure by design, privacy by design. De rest laat men achter zich.

Internet ingenieurs en derden

Als laatste. Internet ingenieurs zorgen er al jaren voor dat het Internet werkt. Daar verdienen zij alle hulde voor. Maar, vraag ik heel voorzichtig, is de wereld in 2014 niet anders dan toen zij hun vrijwillige werk starten? De tijd lijkt aangebroken om te onderzoeken hoe zij interacties kunnen aangaan met andere partijen die verantwoordelijkheden hebben (aangemeten) op of rond het Internet en een gereed belang hebben in veiligheid. Als dit lukt, kan de technische samenwerking vruchtbaarder worden, meer rekening houden met de belangen en wensen van derden, maar bovenal de implementatie van de standaarden en best practices, die tot stand komen na veel werk, versnellen. In het belang van iedereen.


Als ik alles optel, liggen er legio mogelijkheden voor hen die hier in durven springen en het juiste verhaal gaan vertellen. Daarnaast moet men nog heel veel praten c.q. inventariseren, maar vooral is het noodzakelijk de box waarin men zo comfortabel converseert over de invoering van Internet standaarden en best practices (zo snel mogelijk) achter zich te laten. In die box zit de oplossing zeker niet. Wel in het inventariseren en adresseren van problemen en uitdagingen, het aangaan van nieuwe samenwerkingsverbanden en het creëren van vraag.

Wout de Natris, De Natris Consult

Leiderdorp 21 november 2014

Posted in International cooperation: IP resources, Internet governance, Internet standards;, Self regulation | Tagged | Leave a comment

Dat geldt toch niet voor mij? Digitale veiligheid in het MKB

Op donderdag 30 oktober 2014 organiseerde MKB Cyber Advies Nederland in samenwerking met Rabobank een bijeenkomst in het kader van de campagne Alert Online onder de titel: ‘Digitale weerbaarheid. Randvoorwaarde voor ondernemend Nederland’.

Dit blog is een bewerking van het openingswoord op het mini-congres ‘Digitale weerbaarheid’ van dagvoorzitter Wout de Natris, adviseur en mede-eigenaar van MKB Cyber Advies Nederland

Voor degenen die niet bekend zijn met Alert Online, dit is een initiatief van het Ministerie van Veiligheid & Justitie waarbij verschillende partijen hun krachten bundelen om via de campagne en allerlei activiteiten aandacht te vragen voor bewust en veilig gebruik van internet en mobiele communicatie, om mensen en organisaties bewust te maken van hun internet en mobiel gebruik en de risico’s die dit met zich mee kan brengen. Dit jaar nemen ruim 140 organisaties deel als partner. Het thema is dit jaar ‘kennis over cyber security’. Tijdens het mini-congres is gefocust op digitaal veilig ondernemen en dan met name voor het midden en kleinbedrijf. Het is geen geheim dat bedrijven en personen op vele manieren aan het internet verbonden zijn. Zelf zeg ik het altijd dat we met zijn allen het Internet ingerommeld zijn. Het kon, het mocht, werd aangeboden en steeds mooier en meer; en wij stapten allemaal in. Pas in de laatste jaren komen de negatieve kanten steeds meer in het nieuws. Het bewustzijn omtrent de negatieve kanten van het Internet is nog steeds groeiende, terwijl het aantal diensten, applicaties en ingebouwde software spectaculair toenam en toeneemt.

Maandag 27 oktober 2014 besteedde het 8 uur journaal aandacht aan de start van Alert Online met een item over wifi en hoe makkelijk iemand kan “meelezen” op een onveilige wifiverbinding. Het meisje dat het item mocht eindigen zei, haar laptop dichtklappend in de gelegenheid waar ze Facebook had zitten bij werken: “maar ik heb toch niets te verbergen?” Hopelijk heeft ze gekeken om 8 uur. De NOS verslaggevers’ Facebookaccount was binnen de minuut gehackt en overgenomen. Het deed mij het volgende denken: wat als er naast haar een medewerker van een bedrijf zat, die even zijn bedrijfsmail checkt. Wat zou het effect zijn voor het bedrijf van deze medewerker als zijn wachtwoord en toegangscode in het café in verkeerde handen vallen? Zie bijvoorbeeld wat NAVO generaals overkwam in een Münchens hotel of de EU delegatie in het hotel in Bakoe tijdens het Internet Governance Forum in 2012. Allebei als gevolg van het inherent onveilige wifi beleid en aanbod van de respectievelijke hotels. Waarschijnlijk onbewust, maar wel ernstig misbruikt door kwaadwillenden.Maar dat is toch nooit voor mijn bedrijf van toepassing? Dat is toch allemaal alleen maar bangmakerij? Wie is er nu geïnteresseerd in de gegevens van mij en mijn bedrijf? Dit zijn vragen die ik regelmatig hoor. Deze middag is dan ook niet bedoeld om bang te maken. We hebben het over bewustmaken en de weg naar bewust zijn inslaan. Over bewustzijn van de noodzaak voor digitale veiligheid. Waarom eigenlijk? Het ligt voor de hand dat bedrijven en mensen in de komende jaren nog actiever worden op het Internet, er nog meer van afhankelijk worden. Bijvoorbeeld voor de bedrijfsvoering, communicatie, administratie, onderhoud, etc. Steeds meer gebeurt op afstand “in de cloud”. Inmiddels zijn er mensen met apparaten in hun lichaam die wireless zijn aangesloten op het Internet en apps die onze gezondheid meten. Dit vergt een groter bewustzijn van wat er speelt op en rond dat Internet, het gebruik, maar ook van noodzakelijke veiligheidsmaatregelen: het vergt digitale sloten met digitale sleutels en pasjes op digitale deuren. Inderdaad, dit is niet anders dan voor de voordeur, de achterdeur en de ramen van uw bedrijf. De komst van dat besef gaat leiden tot een grotere digitale weerbaarheid voor het MKB.

Tijdens deze middag hebben o.a. Tineke Netelenbos, voorzitter KVNR en ecp en Lodewijk van Zwieten, landelijk Officier van Justitie belast met cyber crime, presentaties gegeven. Alle presentatoren gaven vanuit een andere invalshoek, elkaar aanvullende presentaties, die een goede kijk gaven op wat de stand van zaken op dit moment is. Daarnaast waren er een aantal bedrijven, initiatieven en ideeën in de zaal aanwezig, die het MKB aanmerkelijk bewuster kunnen maken en van daaruit de slag naar een veiliger MKB willen begeleiden.

MKB Cyber Advies Nederland is voornemens om een bijeenkomst als deze vaker te gaan organiseren. Hopelijk treffen we u daar ook aan. Wilt u nu al meer weten, neem dan contact met ons op. Onze gegevens staan op deze website.

Wout de Natris

Leiderdorp, 4 november 2014

Posted in International cooperation: IP resources | Tagged , , , | Leave a comment

ING, big data, privacy and spam

Today many people responded quite negatively to the plans of the Dutch bank ING to market the data of its customers in relation to custom made advertisements on the basis of purchases, salary, subsidies, personal data, etc., etc. Data that banks have though pin transactions and online banking that in 2014 almost everybody does nowadays. Your bank sees every transaction and can interpret this and sell or indirectly offer this data to companies interested in marketing. The alternate is to go back to cash. I don’t think so. Is it a bad idea or a brilliant move by ING?


Commercially it undoubtedly is a brilliant idea. There is potentially a lot of money to be made from this data. “Every customer we spoke to was very enthusiastic”, said an ING employee on the 8 o’clock news. Judging from the reactions today, ING may have been speaking to the wrong customers. Fact is that a bank is ideally positioned information wise to sell this sort of data. And why not? Everybody else is doing it. Through an ex-neighbour I know that a company like (NL incumbent telco) KPN was analysing and selling customer data at least since the 1990’s. Nobody complaint. Nobody new the source of all these irritating calls round dinnertime. Not to speak of the economic model of social media.  So why can’t ING do a Google or Facebook?


Website security

Next to the fact that I do not wish to see any advertisements when banking online, wasn’t this the weakest link in many websites? All the banners and clickable adds that the website owner doesn’t have any control over? The spots in websites that were easily hackable or manipulated? What about the security of your website, ING? Will ING always know who it’s dealing with? Or just go for the easy money? Or that a few just slip through? Damage done, reputation gone. This may become a genuine concern and grow into a headache file.



I’m not even going to go into this. Privacy guard dog CBp will deal with this, I hope at least they are able to show some teeth here. This is not an academic discourse, Mr. Kohnstamm c.s.



Putting all this aside. If through ING I’m sent commercial adds from third parties, it is down right spam (“unrequested electronic communication”). The moment I receive one, I’ll complain to ACM. Unfortunately the attribution of parties like ING in a case like this, is not dealt with in the Telecommunications Act. Is this different under the Privacy Act? Something that truly needs amending.


If presented on ING’s website it is still unrequested. What this proves to me is that the spam article of European Directive 2002/58 needs updating. There are so many unrequested online add forms out there that it is time for this update. When I visit the website of a bank I expect to read about that bank(‘s products) and not on football shoes, airline tickets, etc., just because I bought that item recently. (Just like I do not want to receive an e-mail from a ticket vendor, straight after the sale, after I wasn’t able to fly cheaper than €2.000 that I can fly for €580 to the same destination! What are these guys thinking?)


Big data is the future, but whether a bank should step into the Google and Facebook business? Only if the money they provide is free from now on. That would be a fair trade. Can I sign on now? In all other cases I’d say: don’t do it. My relationship with a bank is build on trust, privacy and security. All three will be violated. Knowing banks in three years time online banking will rise in price if I do not consent, just like with online banking itself.



To me this, again, looks like an idea that is technically possible, potentially makes a lot of money, so let’s do it. All consequences not having been thought through. Conclusion for now: bad idea.


Wout de Natris


Leiderdorp, 10 March 2014

Posted in Cyber awareness, Hacking, Privacy, spam | Tagged , , , , , , , | Leave a comment