Archief - In de marge van het economische nieuws

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.

sandervdw

Legacy Member
SithCloud zei:
1) als iets publiekelijks beschikbaar is: google indexeert enkel maar. Het zijn de webservers waarop die data staat (van uw bedrijf bijvoorbeeld) die het er maar moeten afhalen

2) Pas op: het is niet omdat je zegt "goh nee dat gaat ons toch niet lukken" dat je er mee wegkomt hé. Het moet een beetje gefudneerd blijven :) Bij papieren kan je al moeilijker zeggen "dat is moeilijk". Maar bij een geëncrypteerde harde schijf waarbij data integriteit belangrijk is, kan dat al is tegenvallen. Ik vermoed wel dat je als firma sowieso transparant moet communiceren dat je deze data nog hebt.

3) Auto heeft een nummerplaat en is gelinkt aan een persoon. Daarom mag je ook niet zomaar foto's van wagens online smijten, dat hield de privacy wetgeving reeds tegen. Maar een huis is een huis. Neem de witte gids en je kent ook alle adressen toch ? Ik kan me wel indenken dat er bepaalde contexten zijn waar een adres gelinkt is en onder de noemer persoonsgegeven valt, maar ik kan niet meteen een "case" bedenken.

1) Maar wat is in dat opzicht het verschil met eender welk ander datalek? Facebook zijn ook publieke gegevens, nochtans is het evengoed illegaal om dat te scrapen...

2) Genoeg bedrijven die gewoon alles naar Merak sturen waar dat nog jarenlang wordt bijgehouden. Bij "the right to be forgotten" kan je in principe eisen dat ze al die 1000-en dozen moeten doorbladeren op zoek naar uw naam... Dat lijkt me niet veel beter dan een backup bvb.

3) Dat voorbeeld van auto is een goed voorbeeld: De persoon achter een nummerplaat achterhalen is in veel gevallen moeilijker dan de persoon achter een adres. En inderdaad, de witte gids (of deze overheidsinstantie) biedt u gewoon een lijst van adressen wat dus overeenkomt met het lekken van een lijst met e-mailadressen. Een goed voorbeeld van een Case is trouwens Telenet die op basis van uw adres (aansluiting) uw volledig surf/kijkgedrag kunnen analyseren.

Kort samengevat: ik ben akkoord met het feit dat die bewustwording een goede zaak is. Maar ik kan 10-tallen gevallen bedenken waarbij telkens het antwoord is: "dat zullen we dan moeten bezien", alleen is die "dan" eigenlijk wel binnen 2 weken.

SithCloud

Legacy Member
sandervdw zei:
1) Maar wat is in dat opzicht het verschil met eender welk ander datalek? Facebook zijn ook publieke gegevens, nochtans is het evengoed illegaal om dat te scrapen...

2) Genoeg bedrijven die gewoon alles naar Merak sturen waar dat nog jarenlang wordt bijgehouden. Bij "the right to be forgotten" kan je in principe eisen dat ze al die 1000-en dozen moeten doorbladeren op zoek naar uw naam... Dat lijkt me niet veel beter dan een backup bvb.

3) Dat voorbeeld van auto is een goed voorbeeld: De persoon achter een nummerplaat achterhalen is in veel gevallen moeilijker dan de persoon achter een adres. En inderdaad, de witte gids (of deze overheidsinstantie) biedt u gewoon een lijst van adressen wat dus overeenkomt met het lekken van een lijst met e-mailadressen. Een goed voorbeeld van een Case is trouwens Telenet die op basis van uw adres (aansluiting) uw volledig surf/kijkgedrag kunnen analyseren.

Kort samengevat: ik ben akkoord met het feit dat die bewustwording een goede zaak is. Maar ik kan 10-tallen gevallen bedenken waarbij telkens het antwoord is: "dat zullen we dan moeten bezien", alleen is die "dan" eigenlijk wel binnen 2 weken.

let op bij dat scrapen hé, dat is niet persé illegaal.

In het geval van gdpr is uw intentieproces minstens even belangrijk, wat ik ook niet slecht vind. Maar bon, hoeveel echte techneuten waren erbij betrokken. Als zelfs den icann zijn whois database gaat moeten toegooien :p

sandervdw

Legacy Member
SithCloud zei:
let op bij dat scrapen hé, dat is niet persé illegaal.

In het geval van gdpr is uw intentieproces minstens even belangrijk, wat ik ook niet slecht vind. Maar bon, hoeveel echte techneuten waren erbij betrokken. Als zelfs den icann zijn whois database gaat moeten toegooien :p

En daar zit imo het grote probleem in die wetgeving. Er zijn amper techneuten bij betrokken want dan zou die wetgeving er helemaal anders uitgezien. De originele insteek was om 2 dingen op te lossen:
1) De googles en facebooks in bedwang houden
2) Hacking/dataleks/... voorkomen

Het resultaat is echter dat ze een hele hoop kleine bedrijven in moeilijkheden brengen en de grote spelers gewoon verder doen.

zarathustra

Legacy Member
sandervdw zei:
Het is goed dat er bewustwording is (en daar draait het uiteindelijk om). Maar vraag aan eender welke specialist een concrete vraag en ze moeten u het antwoord schuldig blijven.
Een paar voorbeelden:
* Zijn Google zoekresultaten gdpr gebonden?
* Moet je bij "the right to be forgotten" ook al uw backups restoren om dezelfde actie te doen om dan terug te backuppen?
* Is een adres een persoonsgegeven?

Als iemand mij hierop kan antwoorden, graag.

Verstuurd vanaf mijn ONEPLUS A5010 met Tapatalk

Van onze 'Data detox day'

Q: What am I looking for?
A: Personal data is almost any data that can be tracked to a specific person, for example:
••
E-mail address
••
Phone number
••
Photo
••
Social security number
••
Date of birth
••
Home address

En wij doen backup as a service, data restoren, zaken deleten en dan terug backuppen is nu een optie.

sandervdw

Legacy Member
zarathustra zei:
Van onze 'Data detox day'



En zij doen backup as a service, data restoren, zaken deleten en dan terug backuppen is nu een optie.

Dat is een mooi voorbeeld van dus onduidelijke informatie. Als adres een persoonsgegeven is, dan mag je alles wat ooit is opgezet rond "Open Data" direct terug de vuilbak inkieperen.

beryl

Legacy Member
sandervdw zei:
Dat is een mooi voorbeeld van dus onduidelijke informatie. Als adres een persoonsgegeven is, dan mag je alles wat ooit is opgezet rond "Open Data" direct terug de vuilbak inkieperen.

Zowat alle informatie die gelinkt kan worden aan een specifieke en identificeerbare persoon is persoonsinformatie onder GDPR. Er zijn heel wat zaken die vaag gehouden zijn, maar dat adresgegevens onder persoonsgegevensvallen lijkt me toch redelijk duidelijk.

Epyon

Legacy Member
sandervdw zei:
Dat is een mooi voorbeeld van dus onduidelijke informatie. Als adres een persoonsgegeven is, dan mag je alles wat ooit is opgezet rond "Open Data" direct terug de vuilbak inkieperen.
Moest open data ooit persoonsgegevens zoals adressen bevatten zou het ook in de vorige wetgeving direct verwijderd moeten worden.

Mij lijkt de wet zeer duidelijk. Alle informatie die opgeslagen wordt en die per persoon verschilt, zoals namen, adressen, mobiliteitsgegevens, energieverbruik, bankgegevens etc. zijn persoonsgegevens en dienen aldus behandeld te worden. Ook voor 'indexers' zoals zoekmachines. Google is daar bijv. al vaker voor veroordeeld en voldoet daar reeds aan.

sandervdw

Legacy Member
Epyon zei:
Moest open data ooit persoonsgegevens zoals adressen bevatten zou het ook in de vorige wetgeving direct verwijderd moeten worden.

Mij lijkt de wet zeer duidelijk. Alle informatie die opgeslagen wordt en die per persoon verschilt, zoals namen, adressen, mobiliteitsgegevens, energieverbruik, bankgegevens etc. zijn persoonsgegevens en dienen aldus behandeld te worden. Ook voor 'indexers' zoals zoekmachines. Google is daar bijv. al vaker voor veroordeeld en voldoet daar reeds aan.

beryl zei:
Zowat alle informatie die gelinkt kan worden aan een specifieke en identificeerbare persoon is persoonsinformatie onder GDPR. Er zijn heel wat zaken die vaag gehouden zijn, maar dat adresgegevens onder persoonsgegevensvallen lijkt me toch redelijk duidelijk.

Dat heeft dus tot gevolg dat bvb navigatiesoftware daar nooit aan kan voldoen. Ook is die lijst van adressen gewoon te downloaden van een overheidsinstantie (crab voor Vlaanderen, PICC voor Wallonië).

sandervdw

Legacy Member
Epyon zei:
Zijn die adressen ook aan de naam gekoppeld?

Nee, maar dat is net het punt. Een ip-adres is ook niet aan een naam gekoppeld. Een e-mailadres ook niet. Maar lijsten van emailadressen zijn bvb zéker wel gebonden aan GDPR. Vanaf wanneer is iets niet meer traceerbaar tot een persoon?

jack|herrer

Legacy Member
Toen we hiet met het GDPR compliancy project gestart zijn, zijn we naar een paar semenaries geweest. Daar werd een mooi voorbeeld gegeven.

Anoniem geregistreerde taxi ritten zouden binnen de GDPR vallen.

Een groep studenten heeft in NY een onderzoek gedaan in hoeverre ze deze ritten konden traceren. Dmv de anonieme taxiritten te cross referencen met google maps, facebook en een hoop andere sites hebben ze 75 % van de ritten kunnen pinpointen naar 1 persoon.

Deze riiten zouden dus niet opgeslaan mogen worden, want ze zijn te herleiden naar een natturlijk persoon.

Ik zit in de telecom en de impact van deze wetgeving binnen dit bedrijf is immens groot. Eigenlijk bijna ondoenbaar. Ben benieuwd hoe het gaat lopen binnen een paar weken. Spannend :)

Epyon

Legacy Member
sandervdw zei:
Nee, maar dat is net het punt. Een ip-adres is ook niet aan een naam gekoppeld. Een e-mailadres ook niet. Maar lijsten van emailadressen zijn bvb zéker wel gebonden aan GDPR. Vanaf wanneer is iets niet meer traceerbaar tot een persoon?
Het gebruik van die adressen is aan GDPR gebonden, het gewoon bestaan en opvraagbaar zijn van de adressen niet per se. GDPR is enkel van toepassing als je met de gegevens "goederen of diensten wil aanbieden of het gedrag van de betrokkenen wil monitoren".

Zo is bijv. ook het bijhouden van een lijst van IP adressen of zelfs locatiegegevens zonder dat deze data aan een identificeerbare persoon kan toegewezen worden niet verboden. Maar eenmaal je die data begint te crossreferencen met als bedoeling een of meerdere elementen kenmerkend voor de identiteit van een persoon te bekomen, dan moet je eerst goedkeuring van die persoon hebben.

beryl

Legacy Member
sandervdw zei:
Nee, maar dat is net het punt. Een ip-adres is ook niet aan een naam gekoppeld. Een e-mailadres ook niet. Maar lijsten van emailadressen zijn bvb zéker wel gebonden aan GDPR. Vanaf wanneer is iets niet meer traceerbaar tot een persoon?

maar dat is wel de vraag die gesteld moet worden. Als je iets "voldoende gemakkelijk" aan een persoon kan linken is het een persoonsgegeven, anders niet. Adresgegevens zijn op zichzelf geen persoonsgegeven. Dat ik kan opzoeken of er een kerkstraat 5 in Brugge bestaat en waar die ligt schendt niemand's privacy, als ik kan opzoeken wie daar woont misschien wel. Adressen lijken mij iets dat rap in de categorie "persoonsgegevens" zal vallen, maar in het voorbeeld navigatiesoftware denk ik niet dat dat het geval is.

SithCloud

Legacy Member
sandervdw zei:
Nee, maar dat is net het punt. Een ip-adres is ook niet aan een naam gekoppeld. Een e-mailadres ook niet. Maar lijsten van emailadressen zijn bvb zéker wel gebonden aan GDPR. Vanaf wanneer is iets niet meer traceerbaar tot een persoon?

een lijst met louter ip adressen is geen persoonsgegeven. (als we spreken over dynamische ip adressen hé, geen fixed)

Li1quid

Legacy Member
SithCloud zei:
een lijst met louter ip adressen is geen persoonsgegeven. (als we spreken over dynamische ip adressen hé, geen fixed)

Alle persoonsdata is context gebonden. Bijvoorbeeld voor Telenet zijn dynamische ip adressen te herleiden naar een persoon.

SithCloud

Legacy Member
Li1quid zei:
Alle persoonsdata is context gebonden. Bijvoorbeeld voor Telenet zijn dynamische ip adressen te herleiden naar een persoon.

Daarom dat ik expliciet zei "loute reen lijst met ip adressen"

als je een ip-adres hebt met daaraan een mac-adres van een telenet router en het uur van uitdelen van dat ip-adres of zo dan begint het al gevaarlijk te worden hé :)

sandervdw

Legacy Member
SithCloud zei:
Daarom dat ik expliciet zei "loute reen lijst met ip adressen"

als je een ip-adres hebt met daaraan een mac-adres van een telenet router en het uur van uitdelen van dat ip-adres of zo dan begint het al gevaarlijk te worden hé :)

De opslag van die data is wel degelijk GDPR gebonden (al is het maar om een datalek te voorkomen). Stel bvb dat een hacker ergens een lijst van adressen, en ergens anders een lijst van ip-adressen en ergens ander surfgedrag kan vinden, kan hij die 3 perfect aan elkaar koppelen en kan hij dus een persoon zijn surfgedrag analyseren.

beryl

Legacy Member
sandervdw zei:
De opslag van die data is wel degelijk GDPR gebonden (al is het maar om een datalek te voorkomen). Stel bvb dat een hacker ergens een lijst van adressen, en ergens anders een lijst van ip-adressen en ergens ander surfgedrag kan vinden, kan hij die 3 perfect aan elkaar koppelen en kan hij dus een persoon zijn surfgedrag analyseren.

Om te weten of iemand identificeerbaar is voor gdpr en bepaalde informatie onder GDPR valt moet er getest worden of die identificatie mogelijk is via "all means reasonably likely to be used". Het hangt er dus vanaf hoe likely het is dat een hacker je data steelt. Je zou dus misschien kunnen zeggen dat hoe slechter je beveiliging is, hoe meer kans er is dat bepaalde data onder gdpr valt, omdat het meer likely is dat het gaat gebeuren.

SithCloud

Legacy Member
sandervdw zei:
De opslag van die data is wel degelijk GDPR gebonden (al is het maar om een datalek te voorkomen). Stel bvb dat een hacker ergens een lijst van adressen, en ergens anders een lijst van ip-adressen en ergens ander surfgedrag kan vinden, kan hij die 3 perfect aan elkaar koppelen en kan hij dus een persoon zijn surfgedrag analyseren.

gasten ik zeg letterlijk "gewoon een lijst met ip adressen" dat is geen persoonsgegeven. Ik kan die evengoed random gegenereerd hebben hé. Het zal op dat moment van al dan niet aanwezige metadata te bepalen zijn of dat bruikbaar is.


Net zoals ik gewoon een random lijst aan straatnamen en huisnummers kan hebben.


Context.
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan