Voorwaarden voor succes: Autoriteit Persoonsgegevens. Een ongevraagd advies

Het College Bescherming persoonsgegevens krijgt een nieuwe naam: Autoriteit Persoonsgegevens. Deze nieuwe naam sluit beter aan bij het regime dat de Europese Commissie komend jaar hoopt te introduceren, dat de privacy regulering aanmerkelijk zal verzwaren. Daarop vooruitlopend maakte staatssecretaris Teeven op 24 november 2014 bekend dat het CBp al een uitbreiding van haar sanctionerende mogelijkheden krijgt. Wat betekent dit en wat komt er bij kijken om succesvol te kunnen zijn? Een, zoals gezegd, ongevraagd advies.

Uitbreiding bevoegdheden
Het CBp ziet toe op het beheer van persoonsgegevens, die gegevens die data aan een individueel adres, geloof, geaardheid, telefoonnummer, e.d. van een individu koppelen. Als een instantie, bedrijf vereniging, etc. dit soort gegevens opvragen, dan moet het deze zodanig opslaan, verwerken, dat deze niet ongeoorloofd in handen van derden kunnen vallen of zonder toestemming overgedragen of verkocht worden. Ook mogen dit soort gegevens niet langer worden opgeslagen dan strikt noodzakelijk. Deze regels raken heel veel organisaties direct. Tot op heden kon (en wilde?) het CBp daar weinig meer tegen doen dan een onderzoek instellen en rapporteren. Het had geen sterke sanctionerende bevoegdheden. Dit verandert als het aan de staatssecretaris ligt.

Het CBp mag boetes gaan opleggen tot een hoogte van € 810.000 voor recidivisten, bijvoorbeeld zij die herhaald en opzettelijk handelen in persoonsgegevens. Op het NOS journaal sprak J. Kohnstamm, de college voorzitter, echter al de woorden uit niet onmiddellijk te zullen gaan beboeten. Dat riep bij mij de vraag op: “hoe effectief gaat de Autoriteit Persoonsgegevens zijn”?

Effectiviteit
In ogenschouwnemende dat de regels nog veel strenger gaan worden vanaf circa 2017, neem ik u tien jaar terug in de tijd. De Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA, nu Autoriteit Consument en Markt) kreeg in 2004 een onderdeel van de Privacy richtlijn in zijn toezichtpakket: spambestrijding.

De OPTA pakte dit voortvarend aan. Direct na inwerkingtreding van de wet werden een aantal onderzoeken ingesteld naar reeds bekende spammers, die na de inwerkingtredingsdatum in mei 2004 nogmaals spam verzonden. Deze onderzoeken leidden tot een aantal boetes in hetzelfde jaar en de eerste maanden van 2005. Het feit dat OPTA een onderzoek op locatie had ingesteld bij deze spammers ging heel snel rond in het wereldje, zo bleek uit gevolgde fora van spammers. Het resultaat was bekend: de organisatie Spamvrij hief zichzelf op, wegens groot succes van de wetgeving in combinatie met direct handhavend optreden: 85% van de identificeerbare, Nederlandstalige spam was binnen een half jaar verdwenen. Iedereen wist dat er een toezichthouder was die tanden had. Op die paar bedrijven na die dit was ontgaan. Daarna zijn het de partijen die bewust en zo anoniem mogelijk, spammen, er alles aan doen om uit zicht te blijven van de autoriteiten en vaak internationaal opereren.

Keuzes in aanpak
Het CBp maakt een andere leuze bekend. Dat is haar goed recht. Persoonlijk zou ik dat echter anders doen en meer gefaseerd te werk gaan.

Voorlichting
Veruit de meeste bedrijven, organisaties, etc. zijn van goede wil en willen in het geheel niet met de wet in aanraking komen. Waar het om gaat, is dat deze bedrijven een beeld krijgen van de maatregelen die ze moeten treffen en een besef waarom het anders moet, maar ook een beeld krijgen hoe het anders kan. Daar kan het CBp aan bijdragen door, in tegenstelling tot het verleden, actief mee te werken aan voorlichting en zelf outreach te verrichten naar betrokken partijen toe. Dat kan bijvoorbeeld door een roadshow, aansluiten bij bestaande activiteiten van branche organisaties en koepels en het opstellen van Richtsnoeren. Hier valt enorm veel winst te behalen en tijd en kosten te besparen. Tijd en geld die het CBp aan de volgende categorie kan besteden

Handhaving
Waar het CBp bovenal beducht voor moet zijn, is de recidivist. Partijen die bestaan van handel in persoonsgegevens en/of gebruiken voor hun andere wetsovertredende activiteiten en dit op de achtergrond doen. Dit vergt specialistische kennis van (digitale) opsporing en de bereidheid om medewerkers maanden, wellicht jaren aan zaken te laten werken. Kennis die voorhanden is bij bijvoorbeeld de ACM. Het is niet de eerste keer dat ik pleit om deze kennis samen te brengen. Bestrijding van spam, botnets, online fraude en data mining en verhandeling, etc. zitten zo dicht tegen elkaar aan dat het eigenlijk onzinnig is deze disciplines nog langer bij diverse instanties onder te brengen. Een onderwerp dat het Best Practice Forum over “spam” van het Internet Governance Forum ook aansnijdt en adresseert.

Veel van de partijen die het CBp gaat tegenkomen, opereren internationaal (of hebben hun hoofdkwartier elders en halen hier enkel data weg). Het grote voordeel van het CBp is dat zij een internationaal samenwerkend platform heeft, in tegenstelling tot de spambestrijders. De effectiviteit bij wetenschappelijke onderzoeken heeft zich reeds bewezen. Nu moet gaan blijken of dat ook voor onderzoeken op basis van sanctionerende bevoegdheden gaat gelden. Het CBp zal zijn collega’s hard nodig hebben.

Succes
Dit hangt af van wat het uitgangspunt is. Als dit is, in principe worden privacy gevoelige data op juiste wijze verwerkt, tijdig verwijderd, in beginsel niet verhandeld, etc., dan is er sprake van succes als dit op grote schaal zo is ingevoerd. Door overheden, organisaties, bedrijven, verenigingen, etc. Zelfregulering zal hier veel werk weg kunnen nemen. Dit kan een, gestimuleerd, uitvloeisel zijn van de bovengenoemde suggestie tot actieve outreach door het CBp. Een belangrijke les is echter dat zelfregulering wel degenen stopt die van goede wil zijn, maar niet hen die de wet bewust breken. Voor die categorie is het CBp echt nodig en daar helpt een waarschuwing niet. Daar is adequaat en gericht onderzoek voor nodig, leidend tot een (zware) boete. Wat zijn bijvoorbeeld benodigdheden voor succes?

1. Onderzoekers
Medewerkers die de juiste skill set in huis hebben: onderzoekers/rechercheurs die met digitale, forensische apparatuur kunnen omgaan en bewijs op de juiste wijze kunnen vergaren en presenteren.

2. Enforcement tools
De wet mee moet de juiste onderzoeksbevoegdheden meegeven. Als die niet afdoende zijn of zelfs ontbreken, is deze exercitie kans- en doelloos. Daar zijn veel voorbeelden van te vinden in het buitenland.

3. De interne wil
Er moet de wil zijn om door te pakken waar dit nodig is. Die cultuur kent het CBp tot op heden niet en vergt een serieuze omslag.

4. Middelen
Het CBp moet de middelen, geld, mensen en tools krijgen die dit alles ook mogelijk maken op een manier die er toe doet. Zonder gaat het niets of in ieder geval weinig worden.
Naast dit alles valt of staat een internationale zaak met vergelijkbare skills, tools en wil (om samen te werken) bij de collega’s in het buitenland. (En een noodzaak tot harmonisatie, het mogen delen van IP adressen, e.d., etc., etc.)

Advies
Daarom een klein advies. Splits de activiteiten in a) actieve voorlichting richting hen die willen (en pak daarna de recidivist of sukkelaar onder hen aan) en b) een direct serieuze aanpak van notoire wetsovertreders. Wacht hier niet mee, maar start op dag een. Er zijn al teveel jaren verloren gegaan bij de gerichte aanpak van deze categorie. En werk samen met iedereen die kan helpen bij het maken van een verschil.

Conclusie
Staatssecretaris Teeven heeft een belangrijke eerste voorwaarde gecreëerd om de verwerking van privacy gevoelige data beter te laten verlopen. Of dit een succes wordt, hangt af van de nagels en tanden van de toezichthouder. De Autoriteit Persoonsgegevens zal zich nu moeten bewijzen. Waarschuwingen kunnen daarbij een mooi middel zijn, maar schrikt de echte overtreder niet af. Die les is reeds getrokken! Op dag een moet deze categorie een van de topprioriteiten zijn. Pas dan wordt Nederland minder interessant om data in te vergaren op ongeoorloofde wijze.

Wout de Natris, De Natris Consult

Leiderdorp, 25 november 2015

Posted in Privacy | Tagged , , , , | Leave a comment

A brave new world or do we need to discuss IT and ethics?

Every day comes with another digital security breach, surveillance disclosure and what not. The world seems have grown used to it and continues its business as usual. It doesn’t seem to be bad enough to really act.

Every day comes with new stories about the end of the Middle Class, IT taking over jobs in places where up to very recently that was inconceivable, not in people’s wildest dreams would these jobs disappear. Also this is not so terribly disturbing as the news continues without debates on discussing potential limits of IT development for the sake of job security. Earlier this year I had already concluded in a blog post that there are no 21st century Luddites.

Recently people that work in the IT field, whether from a technical angle or IT law, have uttered that they are disturbed by recent developments, the speed of that development and the potential effects of those developments for the individual and society as a whole. Think of the near endless leaking of personal data to hardly known companies and governments, leading to combinations of data being made that can lead to profiling, with unknown impact on a person(‘s private life). The data that is or soon will be generated by the Internet of Things, including apps, sensors, cameras , etc. attached to a person, his personal devices, his home, car, roads, etc., is going to add to that commercial profiling and governments storing even more data on its citizens.

The question that is in need of asking at the turn of 2014 is: What society do you and I want to live in? It is time to start a fundamental discussion on the ethical side of IT development.

The Digital Revolution
In 2014 the world is in a major transition, if not in the midst of a digital revolution. Things happen because they can happen. The technology is there, the will to invest in the development and/or the deployment of that technology also. Faster and faster researchers and inventors come up with new techniques, faster and better software, the hardware to store it in, the gadget to make them more attractive to users. Entrepreneurs find new ways to deploy, use, analyse and sell the resulting data stream.

On the other hand there are (non-suspecting) consumers and users that adapt so fast to this new world. The younger generation does not know any better and is encapsulated totally in this new world. They live a totally different sort of life than all generations before them. Hardly anyone understood the business model of Google, Facebook, etc. at the start of using these services. Perhaps most still do not. It was there, free and easy to use and consumers started using it and quite rightly so. Changes happen so fast, that there is no time for reflection and those who do are just calling out in a desert. No one seems to hear or understand those calling out.

It won’t come as a surprise to you that in the past years I personally have made the digital transition as well. From PC to cell phone, to an Internet connection, to a laptop, to ADSL, to smart phone, to Internet banking, you can find me on a few, not all, social media, etc. Like most people have, and although I had some doubts concerning digital security, there is no stopping the development. Not as an individual and why should we? Things are much easier, often better than before. But should that keep us from asking some serious questions? I do not think so.

IT in politics
At the ecp Year conference, 20 November 2014, I heard a Dutch parliamentarian quoting an unnamed colleague, also an ICT spokesperson, as having said: “but I know nothing about ICT”, in parliament and added: “Suppose that another colleague would say: “I know nothing about health care””, while being the spokesperson of his or her party for health care. That would be unacceptable, while for IT it is acceptable. And that is sort of unacceptable, isn’t it?  IT is the defining topic of this decade and about to change the way humans live at least for a considerable period of time if not for ever. In other words, there is no escaping discussing IT and investments, IT and education, IT and cyber security, IT and surveillance, IT and …., IT and ethics. How can a debate about the consequences of IT ever take place if the spokespersons have hardly or even any knowledge of the topic?

I am not saying that parliament is the only place for a debate. Where are trade unions in this discussion? Where are consumer organisations? To name a few. So far only free speech and digital rights activists are heard mostly. Those from the desert.

Conclusion
It is normal and acceptable to discuss ethics in gen technique, cloning, euthanasia, etc. In fact a debate is started before there is any consensus on anything. Where IT and the changes, we all are in the middle of, IT brings to our personal lives, well-being, etc. is concerned, there is mostly ear-shattering silence. While developments race on at the speed of light. It is time that at different levels in society, including parliament, a debate is started on the topic of robotica, domotica, Internet and privacy, commercial personal data analysis, etc. from an ethical point of view.

Ethics and Internet? It is not too late to have that discussion. It may just be an excellent topic for the upcoming (NL)IGF. The Internet Governance Forum can unite different stakeholders, including those with different interests, in this debate and provide topics to reflect on for future use.

Wout de Natris, De Natris Consult

Leiderdorp, 24 November 2014

Posted in Cyber awareness, Cyber ethics, Internet governance, Privacy | Tagged | Leave a comment

Internetstandaarden en implementatie

Op het ecp jaarcongres van 2014 werd een sessie geweid aan Internetstandaarden onder leiding van Gerben Klein Baltink, de kwartiermaker namens de Nederlandse overheid van het Platform Internetstandaarden. De drie panelleden spraken over (succesvolle) implementatie van standaarden, bijvoorbeeld om het mailverkeer veiliger maken en phishing e-mails tijdig te onderscheppen.

Hoe druk het ook was op het jaarcongres en hoe goed de individuele tracks ook bezocht werden, de zaal over standaarden wilde zich niet vullen. Die ervaring had ik zelf tijdens het laatste Internet Governance Forum, waar ik namens ecp en het Ministerie van Economische Zaken een workshop leidde onder de titel ‘The impact of (non-)adoption of Internet standards on cyber security’. Ondanks dat Internet standaarden (en best practices) veel besproken zijn op conferenties en andere bijeenkomsten, wil het met de urgentie niet vlotten. Is hier een reden voor aan te wijzen?

Enkele Observaties
Ik zal niet pretenderen dit antwoord te kunnen geven, wel heb ik een paar observaties die ik wil delen.

Te duur?

Het argument: “het kan niet, maar als het moet, dan is het heel moeilijk en vooral heel duur” is vaak gebruikt door telco’s die niet mee willen in veranderingen of bestaande belangen verdedigen. Toch zit hier waar het gaat om grootschalige veranderingen als gevolg van een nieuwe Internet standaard een kern van waarheid in. Wat daar nog bij komt, is dat er vaak geen business case aanwezig is. Sterker, er lijkt/is sprake van een first mover disadvantage. Internet standaarden voer je in voor het grote geheel, niet zo nodig jouw bedrijf (alleen). Degene die als enige of eerste een standaard invoert, maakt kosten die andere partijen dus niet hebben. Die kosten zijn soms niet gering. Off the record willen bedrijven daar best een inkijkje in geven. Bijvoorbeeld, het invoeren van IPv6 brengt zeer hoge kosten met zich mee en het verdient zich als zodanig nauwelijks terug.

Markt falen?

Het Ministerie van Economische Zaken benoemde dit zeer stellig in Istanbul op het IGF: “er is sprake van markt falen”. Zover wil ik zelf nog niet gaan, maar er is zeker iets wat marktpartijen weerhoudt van een vlotte implementatie. Een voorwaarde om vooruit te gaan is dan ook te achterhalen wat dat “iets” is. Als dit niet wordt achterhaald, praten we over tien jaar nog voor half lege zaaltjes. Zodra dat iets is benoemd, kunnen er maatregelen getroffen worden die de belemmeringen wegnemen.

Afwezigheid

Wat mij ook opvalt, is dat de partijen om wie het draait, denk hier aan Internet Service Providers, telco’s, maar zeker ook soft- en hardwarefabrikanten, appbouwers, Internetplatformen, niet altijd aanwezig zijn bij deze bespreken en als ze er zijn, beslist niet het achterste van hun tong laten zien. Veruit de meeste partijen zijn nog nooit aangesproken. Toch zijn zij nodig voor de implementatie. Sterker, zonder hen gaat dat niet. Kortom, hier zit de eerste winst. Breng aan tafel wie aan tafel moest zitten. Daar begint de inventarisatie van uitdagingen.

De afwezige business case

“Het ontbreekt aan een business case”. Als dat de reden is dat er geen implementatie plaatsvindt, dan is dat snel te verhelpen. Simpelweg als grote partijen er naar gaan vragen. “Wij willen IPv6”. “Wij willen veilig kunnen e-mailen, internetten, een wifiverbinding opzetten”, etc. De overheid zou hier als katalysator kunnen optreden, al dan niet in samenwerking met een aantal grote partijen die gebaat zijn bij een veiliger Internet. Denk bijvoorbeeld aan de financiële sector. Vlak de consument niet uit. Gerichte campagnes met belangenorganisaties kunnen ook een groot verschil maken. Denk aan de Consumentenbond, de HCC, VNO/NCW, branche organisaties, etc. Vraag is een grote stimulus.

Kansen MKB?

Die business case ontbreekt op de korte termijn misschien bij grote bedrijven. Maar hoe zit dat bij kleinere bedrijven? MKB’ers die een nichemarkt bedienen en juist kunnen scoren op een grotere veiligheid? De signalen die ik tot op heden opvang, zijn nog niet bemoedigend. Toch liggen her kansen voor het midden- en kleinbedrijf om klanten binnen te halen, door een veiligere omgeving te creëren waarbinnen hun klanten online diensten kunnen afnemen.

Veiligheid kost geld?

Hoe zit het dan met veiligheid? Kapitalen geeft de overheid momenteel uit aan “cyber”. Hoe zit dat nu echt?, vraag ik me dan af. De tijd dat iedereen voor een dubbeltje op de eerste rang zit bij het Internet moet maar eens voorbij zijn. Veiligheid kost geld. Voor jou, voor mij, voor het bedrijfsleven, de overheid, organisaties, etc. Het besef moet gaan indalen dat het Internet net is als het gewone leven. We vinden het heel normaal een extra slot voor onze fiets te kopen, maar niet voor ICT. “Dat begrijpen wij niet”. Juist dat moet ook zo gaan worden voor de pc, laptop, smartphone, tablet, etc. Laat dat nou vraag creëren. En vraag zal de implementatie van standaarden versnellen, partijen die ontbreken veel eerder naar de tafel brengen en als zij niet willen, anderen in staat stellen de markt te betreden met innovatieve producten die inherent veiliger zijn: secure by design, privacy by design. De rest laat men achter zich.

Internet ingenieurs en derden

Als laatste. Internet ingenieurs zorgen er al jaren voor dat het Internet werkt. Daar verdienen zij alle hulde voor. Maar, vraag ik heel voorzichtig, is de wereld in 2014 niet anders dan toen zij hun vrijwillige werk starten? De tijd lijkt aangebroken om te onderzoeken hoe zij interacties kunnen aangaan met andere partijen die verantwoordelijkheden hebben (aangemeten) op of rond het Internet en een gereed belang hebben in veiligheid. Als dit lukt, kan de technische samenwerking vruchtbaarder worden, meer rekening houden met de belangen en wensen van derden, maar bovenal de implementatie van de standaarden en best practices, die tot stand komen na veel werk, versnellen. In het belang van iedereen.

Conclusie

Als ik alles optel, liggen er legio mogelijkheden voor hen die hier in durven springen en het juiste verhaal gaan vertellen. Daarnaast moet men nog heel veel praten c.q. inventariseren, maar vooral is het noodzakelijk de box waarin men zo comfortabel converseert over de invoering van Internet standaarden en best practices (zo snel mogelijk) achter zich te laten. In die box zit de oplossing zeker niet. Wel in het inventariseren en adresseren van problemen en uitdagingen, het aangaan van nieuwe samenwerkingsverbanden en het creëren van vraag.

Wout de Natris, De Natris Consult

Leiderdorp 21 november 2014

Posted in International cooperation: IP resources, Internet governance, Internet standards;, Self regulation | Tagged | Leave a comment

Dat geldt toch niet voor mij? Digitale veiligheid in het MKB

Op donderdag 30 oktober 2014 organiseerde MKB Cyber Advies Nederland in samenwerking met Rabobank een bijeenkomst in het kader van de campagne Alert Online onder de titel: ‘Digitale weerbaarheid. Randvoorwaarde voor ondernemend Nederland’.

Dit blog is een bewerking van het openingswoord op het mini-congres ‘Digitale weerbaarheid’ van dagvoorzitter Wout de Natris, adviseur en mede-eigenaar van MKB Cyber Advies Nederland

Voor degenen die niet bekend zijn met Alert Online, dit is een initiatief van het Ministerie van Veiligheid & Justitie waarbij verschillende partijen hun krachten bundelen om via de campagne en allerlei activiteiten aandacht te vragen voor bewust en veilig gebruik van internet en mobiele communicatie, om mensen en organisaties bewust te maken van hun internet en mobiel gebruik en de risico’s die dit met zich mee kan brengen. Dit jaar nemen ruim 140 organisaties deel als partner. Het thema is dit jaar ‘kennis over cyber security’. Tijdens het mini-congres is gefocust op digitaal veilig ondernemen en dan met name voor het midden en kleinbedrijf. Het is geen geheim dat bedrijven en personen op vele manieren aan het internet verbonden zijn. Zelf zeg ik het altijd dat we met zijn allen het Internet ingerommeld zijn. Het kon, het mocht, werd aangeboden en steeds mooier en meer; en wij stapten allemaal in. Pas in de laatste jaren komen de negatieve kanten steeds meer in het nieuws. Het bewustzijn omtrent de negatieve kanten van het Internet is nog steeds groeiende, terwijl het aantal diensten, applicaties en ingebouwde software spectaculair toenam en toeneemt.

Maandag 27 oktober 2014 besteedde het 8 uur journaal aandacht aan de start van Alert Online met een item over wifi en hoe makkelijk iemand kan “meelezen” op een onveilige wifiverbinding. Het meisje dat het item mocht eindigen zei, haar laptop dichtklappend in de gelegenheid waar ze Facebook had zitten bij werken: “maar ik heb toch niets te verbergen?” Hopelijk heeft ze gekeken om 8 uur. De NOS verslaggevers’ Facebookaccount was binnen de minuut gehackt en overgenomen. Het deed mij het volgende denken: wat als er naast haar een medewerker van een bedrijf zat, die even zijn bedrijfsmail checkt. Wat zou het effect zijn voor het bedrijf van deze medewerker als zijn wachtwoord en toegangscode in het café in verkeerde handen vallen? Zie bijvoorbeeld wat NAVO generaals overkwam in een Münchens hotel of de EU delegatie in het hotel in Bakoe tijdens het Internet Governance Forum in 2012. Allebei als gevolg van het inherent onveilige wifi beleid en aanbod van de respectievelijke hotels. Waarschijnlijk onbewust, maar wel ernstig misbruikt door kwaadwillenden.Maar dat is toch nooit voor mijn bedrijf van toepassing? Dat is toch allemaal alleen maar bangmakerij? Wie is er nu geïnteresseerd in de gegevens van mij en mijn bedrijf? Dit zijn vragen die ik regelmatig hoor. Deze middag is dan ook niet bedoeld om bang te maken. We hebben het over bewustmaken en de weg naar bewust zijn inslaan. Over bewustzijn van de noodzaak voor digitale veiligheid. Waarom eigenlijk? Het ligt voor de hand dat bedrijven en mensen in de komende jaren nog actiever worden op het Internet, er nog meer van afhankelijk worden. Bijvoorbeeld voor de bedrijfsvoering, communicatie, administratie, onderhoud, etc. Steeds meer gebeurt op afstand “in de cloud”. Inmiddels zijn er mensen met apparaten in hun lichaam die wireless zijn aangesloten op het Internet en apps die onze gezondheid meten. Dit vergt een groter bewustzijn van wat er speelt op en rond dat Internet, het gebruik, maar ook van noodzakelijke veiligheidsmaatregelen: het vergt digitale sloten met digitale sleutels en pasjes op digitale deuren. Inderdaad, dit is niet anders dan voor de voordeur, de achterdeur en de ramen van uw bedrijf. De komst van dat besef gaat leiden tot een grotere digitale weerbaarheid voor het MKB.

Tijdens deze middag hebben o.a. Tineke Netelenbos, voorzitter KVNR en ecp en Lodewijk van Zwieten, landelijk Officier van Justitie belast met cyber crime, presentaties gegeven. Alle presentatoren gaven vanuit een andere invalshoek, elkaar aanvullende presentaties, die een goede kijk gaven op wat de stand van zaken op dit moment is. Daarnaast waren er een aantal bedrijven, initiatieven en ideeën in de zaal aanwezig, die het MKB aanmerkelijk bewuster kunnen maken en van daaruit de slag naar een veiliger MKB willen begeleiden.

MKB Cyber Advies Nederland is voornemens om een bijeenkomst als deze vaker te gaan organiseren. Hopelijk treffen we u daar ook aan. Wilt u nu al meer weten, neem dan contact met ons op. Onze gegevens staan op deze website.

Wout de Natris

Leiderdorp, 4 november 2014

Posted in International cooperation: IP resources | Tagged , , , | Leave a comment

ING, big data, privacy and spam

Today many people responded quite negatively to the plans of the Dutch bank ING to market the data of its customers in relation to custom made advertisements on the basis of purchases, salary, subsidies, personal data, etc., etc. Data that banks have though pin transactions and online banking that in 2014 almost everybody does nowadays. Your bank sees every transaction and can interpret this and sell or indirectly offer this data to companies interested in marketing. The alternate is to go back to cash. I don’t think so. Is it a bad idea or a brilliant move by ING?

 

Commercially it undoubtedly is a brilliant idea. There is potentially a lot of money to be made from this data. “Every customer we spoke to was very enthusiastic”, said an ING employee on the 8 o’clock news. Judging from the reactions today, ING may have been speaking to the wrong customers. Fact is that a bank is ideally positioned information wise to sell this sort of data. And why not? Everybody else is doing it. Through an ex-neighbour I know that a company like (NL incumbent telco) KPN was analysing and selling customer data at least since the 1990’s. Nobody complaint. Nobody new the source of all these irritating calls round dinnertime. Not to speak of the economic model of social media.  So why can’t ING do a Google or Facebook?

 

Website security

Next to the fact that I do not wish to see any advertisements when banking online, wasn’t this the weakest link in many websites? All the banners and clickable adds that the website owner doesn’t have any control over? The spots in websites that were easily hackable or manipulated? What about the security of your website, ING? Will ING always know who it’s dealing with? Or just go for the easy money? Or that a few just slip through? Damage done, reputation gone. This may become a genuine concern and grow into a headache file.

 

Privacy

I’m not even going to go into this. Privacy guard dog CBp will deal with this, I hope at least they are able to show some teeth here. This is not an academic discourse, Mr. Kohnstamm c.s.

 

Spam

Putting all this aside. If through ING I’m sent commercial adds from third parties, it is down right spam (“unrequested electronic communication”). The moment I receive one, I’ll complain to ACM. Unfortunately the attribution of parties like ING in a case like this, is not dealt with in the Telecommunications Act. Is this different under the Privacy Act? Something that truly needs amending.

 

If presented on ING’s website it is still unrequested. What this proves to me is that the spam article of European Directive 2002/58 needs updating. There are so many unrequested online add forms out there that it is time for this update. When I visit the website of a bank I expect to read about that bank(‘s products) and not on football shoes, airline tickets, etc., just because I bought that item recently. (Just like I do not want to receive an e-mail from a ticket vendor, straight after the sale, after I wasn’t able to fly cheaper than €2.000 that I can fly for €580 to the same destination! What are these guys thinking?)

 

Big data is the future, but whether a bank should step into the Google and Facebook business? Only if the money they provide is free from now on. That would be a fair trade. Can I sign on now? In all other cases I’d say: don’t do it. My relationship with a bank is build on trust, privacy and security. All three will be violated. Knowing banks in three years time online banking will rise in price if I do not consent, just like with online banking itself.

 

Conclusion

To me this, again, looks like an idea that is technically possible, potentially makes a lot of money, so let’s do it. All consequences not having been thought through. Conclusion for now: bad idea.

 

Wout de Natris

 

Leiderdorp, 10 March 2014

Posted in Cyber awareness, Hacking, Privacy, spam | Tagged , , , , , , , | Leave a comment

Data retention is not working, or …?

Webwereld posted an article today on data retention stating that is does not work. (Click here for the article and here for the evaluation of data retention for the Dutch Second Chamber.) In the article it is written that data retention doesn’t work, because it’s not used often and that quite often the data is too old and/or deleted by the time a Law Enforcement Agency comes to the ISP to seize data. In The Netherlands the retention period is set at six months. Does this mean that data retention does not work? No, I think. Continue reading

Posted in Court decision, Cyber crime, Cyber crime data or the absence of it, Cyber ethics, Privacy | Tagged , , , | Leave a comment

I’ve seen the future and I like/hate it

In the past few weeks doom and gloom stories about the future were printed, discussed and opined in the press. The down and out of the message of futurists is that the middle class is going to be swept away in the coming years because of software and robotic solutions (from here on: automated processes), making humans redundant. 47% of jobs is threatened. From judges that can be replaced by software giving verdicts, to surgeons replaced by robot(arms) and a person “playing” with a joystick. Taxi drivers? Who needs them with Google car? Just some examples that were published recently. Undoubtedly it is all true and perhaps in time humans will no longer be necessary to run society. Fearing the worst, we may end up in a “Terminator” world. Didn’t the movie play in 2025? That’s 11 years from now. I want to look at the topic from a few angles. In the past and present and ask several question, some open ended¥.

What is the result of endless automated processes?
There is no answering that, but let us look at a worst case scenario. Automated processes are taken so far that most people in the middle class do lose their jobs. The result would be that there are only manual labour or low service jobs left on the one hand. Jobs that in the US hardly sustain a family, as president Obama stated recently, because the wages are too low. On the other side there are high end jobs, owners of companies, higher managers and very specialised software engineers and coders/programmers. With a minimum of middle class jobs left, perhaps some sales, some marketing, some in high end services.

If we contemplate such a world, it would mean that large quantities of people do not have a job or very low ones. With no means of income and bereft of a chance to grow in society. This will be a society that is unable to bear the cost of unemployment, of insurance, of education, of infrastructures, etc. Total impoverishment of a large part of a population would be an foreseeable outcome, in which undernourishment and diseases are standard. Where life expectancy goes down dramatically. In other words not unlike many developing countries at this moment. Is this what is in store for most of middle class?

The outcome for industry
Automated processes takes place because machines and software are cheaper than humans. First machines replaced men in factories, unless labour is so cheap that humans fulfil the role of a machine, like e.g. in the clothing industry in Bangladesh. In that case the factory is closed and reopened in a developing country. Where the process starts over again. Software replaces human brainpower and standardised work like e.g. bookkeeping or scripts in call centres. But what happens when automation is carried out to its ultimate step? It means that everybody except for a few specialised people, the owner, sales/marketing, administration and service people, although even they may be external, is jobless. What does that mean for production and sales?

A result is that the entrepreneurs and large corporations all searching for profit maximization have no outlet left. Less and less people, all unemployed, are able to buy their products. There is less sold, leading to less profits and less shareholder value, dwindling investments, a stop to R&D. It just does not sound like a sensible thing to do. Henry Ford’s lesson seems to have been forgotten. It was his workers and workers like his that were to buy his products through higher wages. Ford introduced both an automated process as higher wages. If entrepreneurs and large corporations would stop and answer the question whether this is the outcome they foresee, I can’t imagine them answering: yes! Perhaps in the short run, but ten years from now? No, I can’t.

What went before
Still, recent history shows that the development of automated processes is unstoppable. Let’s go back a few centuries.

Since the beginning of history, for sake of argument here the period of which there are written accounts, most people tilled land. With that came leaders, worldly and religious, landlords who extracted products from the landowners or bound people to the land in a form of serfdom or worse, slavery. Economic development was (s)low in most countries. This form of subsistence changed with the industrial revolution. The invention of the loom, factories, steam engines, the digging of canals, etc., changed the way people produced, the way people were bound to their work, where they lived, the way they were able to transport themselves, the way they could organise. This brought changes and fears. It upset a whole society.

Different categories of people felt threatened in their existence. The Luddite movement in the U.K. was comprised of people working in the textile industry around 1815, mainly working with their hands. They were threatened by machines doing the work they used to do. In a reaction they destroyed the machines. Examples of peasants smashing machines are also well known examples from long ago. The common thing here is that they fell threatened in their respective existence.

Another threat was felt by a completely different category of people: the land owners and other people in the hierarchy, like kings and emperors, their entourage, religious leaders, etc.. People who ruled unhindered and extracted wealth from societies and lived with full power over others. In the U.K. their power had been bound by parliament, in other countries, right up to today, they remained in power much longer or are still in power. The end of World War I upset more than just who won or lost in western European countries. You can see the differences in the development of countries. Examples over time of decisions to stop or forbid development are plenty*. I’ll come back to that in relation to the internet and the debate on governance.

2014.1 Acceptation of technique at home
So back to 2014. Yes, a whole class of people are threatened by automated processes. This is going on since, well, circa 1770? A main difference is that every one, well almost everyone, has embraced the modern technique or does so at the first opportunity possible. From desktop to laptop, from smartphone to tablet, from PlayStation to Wii and chips in the refrigerator to chips in human bodies. We have all become dependent on software in our daily lives. Chances are that there will be no smashing of devices in the short run. They have become a part of our daily lives and are worn close to our bodies. So acceptation is not the problem here. Is this the same in the workspace?

2014.2 Acceptation of technique at work

There is no need to discuss a lot here. The factory was automated first. The office followed suit. Through typewriters, to mechanic calculators, computers and software. People are bringing their own devices to work for over 10 years. So there’s no discussion here. Nothing is prone to be destroyed any time soon.

2014.3 Transition in labour?
There is one topic that has to be addressed though. As history has shown, when a certain development changed the workspace, other work replaced it. The general trend has always been upwards, with crises of some sort and wars in between. People tilling the land moved to cities to work in factories or went to work in collieries. In the post-industrial era people started to work in services. When societies became more complex, more people were able to attend higher education, leading to more people working in higher end jobs. Creating the middle class. Those most talented had a chance to move upwards fast. And now these people are (to be) replaced by software and robots. The main question is, what will be the sort of work replacing what we are leaving behind? Are there some signs of what this will be? I haven’t heard them yet. Only unrealistic talk from a few politicians. I’ll get back to that also.

To put things in some perspective

Here I want to go back to basics, because is ICT all that there is? Of course not. Recently I was in a strategic meeting in which someone raved about the way the world moved forward. How much money could be made in ICT in the near future. That is all true, but. If no one would produce food anymore or work at other sustainable products, the latest app on our smartphones will not sustain us and if no one is willing to build a home or is able to fix a leaking roof, that same app is not going to keep us warm nor dry. In other words, not everything will change. Apps are not worth much if over 50% of a population is out of a job. One thing that is certain also, is that the comment of a politician stating: “We should promote making products again”, as in SME products, sounds like a smart thing to say, but isn’t that the sort of work many countries have said goodbye to? Basically because outsourcing to developing countries was cheaper or because competition made it impossible to continue a factory. That suggestion will probably not work. Although high end man made products may be a part of the solution. Then we need to face the lack of interest in technical education, but that is, at least here, off topic.

Another perspective is the automated process algorithms at banks and traders deciding on the buying or selling of stock. This would totally run out of hand, with severe consequences. There were a few examples, but all were amended in time to prevent a stockocalypse. (Where things went wrong was when the combination of human greed, unbound optimism, almost full liberalisation and consequently totally failing internal and external oversight got the better of financial institutions. It did have nothing to do with automated processes.) In other words as long as software does not have the intelligence of humans to interpret data, humans cannot be replaced to monitor, to interpret, to change course where decisions and maintenance are concerned. Not to speak of operating more accurate robot arms during operations. This brings us to a few interesting questions.

It is my personal theory that a society that does not produce any primary products, products that take a form of, semi-automated, manual labour of some kind cannot sustain itself in the midterm and beyond. It is here that the primary profits are made that are the basis for all else. Food, water, cloths, shelter, warmth are primary products that stand of the basis of (modern )life. If everyone decided to go into app development tomorrow, we’d be dead within a few weeks. Chaos would reign within a week. This work is the basis for luxury where a second layer of products are provided. Cars, gasoline, utensils, interior, etc. The profits made here are the basis for all the luxury bought and services rendered. This is not about percentages in contributions. Just imagine a whole world producing nothing but services and luxury. The money has to be made somewhere first before the rest, the more luxury side of an economy, becomes attainable. A situation that allows taxes to be collected, that give the government an opportunity to lay down the infrastructure needed for a growth and inclusive society, that allows people to develop themselves and contribute to future growth, future developments and inventions. Without it we are all lost.

Are these ethical or practical questions?
A question a society may want to ask itself is whether there is an end to the level it wants to automate itself. Another one is whether there is a level beyond which it wants to develop artificial intelligence further. Even if it is intellectually challenging to do so. Who should lead such a discussion and who are absent from the discussion as we speak?

There is no telling where present development will take us. Most likely to a society that is more automatically processed and where consumerism reigns. It is for certain that things go forward and fast. Research and development move at a faster pace than ever before in history. Sticking to the discussion I foresee three options:

– The economy develops in a way that we cannot foresee at this stage, just like happened in the late 18th, 19th and in the second half of the 20th century. Different jobs are created that we cannot foresee and are not yet familiar with;

– People lose their jobs permanently leading to a sharp decline of economies and wealth;

– The decision is made to keep certain jobs at a sub optimal level from an automated process point of view, but at a more optimal point from an economic and wealth for the masses point of view.

It is one of these three.

Political questions
Developments like these make people uncertain and afraid. Populism and reactionary forces are in place for over 10 years and growing. Politicians use the unrest and throw fuel into the fire. Instead of leading, pointing the way forward, they cater unrest, attaining power and attention in return or sit idly by hoping to remain in power.

It is important to look at who are driving forces behind these people. What are the mechanisms in place? Who, especially those in power, are being threatened by developments? What do populists and others point at and what development(s) do they try to stop? This is especially telling when a specific development is frustrated. Is this happening? Let me point to developments around internet governance and I would answer yes. The internet is a threat to the vested interests of many. Threats that drive people to stop developments. This is a point that should not be overlooked when a free and always accessible internet is discussed. In large parts of the world leaders do not want an open internet as it directly threatens their personal interests. (After posting news came in on the new internet law in Turkey. (See e.g. here at the BBC.) Why did this law get accepted at this point in time? This is an important question. Especially as the Internet Governance Forum goes to Istanbul in September 2014.) But let me return to the middle class.

If it is true and the middle class is threatened most at this point in time, then it does not yet show in the reactions. History, in the mostly untold variety, also shows that people tend to live their lives, taking it as it comes. Up to a certain point. But taking a closer look, middle parties are losing ground steadily to extremes on left and right. Who are the people shifting positions? Who are the ones that stop being members of political parties? Who are the people losing faith in politics as a whole? Is this just because people are disappearing behind their iPads, game consoles or touch screens surfing the internet? Riding the high waves of consumerism? Or is there something else going on, a certain discontent or fear? It is questions like these that need studying and answering. It is the answers to questions like these that may co-decide where societies are going to and what they will develop towards or help convincing people that another direction is inevitable. Problems, fears, challenges that need to be faced. Fear is a bad counsellor, a Dutch proverb says, but fear that is not addressed is allowed to grow and fester. This has to stop.

Conclusions?
I do not have any clear cut answers here, sorry, but I am pondering these questions regularly and certainly would like to discuss further. To sharpen this discussion and my mind. These are interesting times. Development is going at a fast pace and society is changing fast as a consequence. People embrace the fun side of the changes happily, while apprehensions and discontent grow as well. It is hard to keep up as there is so much information available. I’m looking forward to hear your opinion. Where do you think we are moving towards? Doom and gloom? Just the same old thing? Or are we on route to a glorious future? We may well be, but those responsible, politicians, leaders of industry and inventors alike, have to make sure that this future is inclusive, with chances for all, including a fair distribution of wealth. Only this guarantees a future that is worth being a part of.

I´ve seen the future and I like/hate it. Please cross out your preference. The questions raised in this article could use an answer. Who picks up the challenge?

Wout de Natris, De Natris Consult

6 February 2014, Leiderdorp

*A good read here is ‘Why nations fail. The origins of power, prosperity and poverty. Daron Acemoglu and James Robinson. This books gives some excellent examples. Examples that can shed a light on discussions on internet governance taking place right now.

¥ I started this blog from several angles. The first was a mention in a paper of a quote of Dutch trendwatcher Adjiedj Bakas. It is here that the politician’s quote comes from, I found. e.g. http://www.unie.nl/dunk/artikelen/articletype/articleview/articleid/11329/we-moeten-als-de-sodemieter-van-de-euro-af. His ideas are to be published soon as part of his new book ‘Trends 2014’.

The 47% comes from an article from Oxford University researchers Carl Benedict Frey and Michael Osborn. You can find ‘The future of employment’ here.

A fourth source was Syracuse University Researcher in Internet Governance Brendan Kuerbis’ article on IGP blog ‘The ‘iron cage’ of multistakeholder governance’.

Posted in Cyber awareness, Cyber education, Cyber ethics, Internet governance | Tagged , , , , , , | Leave a comment