Tag Archives: belastingdienst

Voorstel WOZ Openbaar is schending Privacy

Posted on by

In de Metro van 1 maart las ik een artikel waarin de D66 Kamerleden Wassila Hachchi en Kees Verhoeven voorstellen om de WOZ gegevens openbaar te maken.  “Het is voor gemeenten belangrijk transparant te zijn, terwijl het voor woningeigenaren handig is zelf te checken hoe die waarde tot stand is gekomen. Je kunt bijvoorbeeld kijken hoe het bij de buren zit. Nu kom je daar alleen achter door er eens beleefd op een verjaardagsfeestje naar te vragen.” Dit lijkt sympathiek en handig, maar ik vraag me af in hoeverre deze politici de impact van hun voorstel overzien.

Foto WFA/Metro

De WOZ informatie wordt al jaren gebruikt door de belastingdienst, makelaars en banken. Voor potentiële kopers is het natuurlijk handig om zelf even na te kunnen kijken hoeveel hun droomhuis waard is. De site Kadasterdata springt daar al handig op in en biedt deze informatie tegen betaling. Hoewel dit ook al op een glijdende schaal zit, wordt het pas echt gevaarlijk als de WOZ gegevens in de categorie ‘Open Data’ gaan vallen zoals de kamerleden voorstellen. In een eerder artikel schreef ik;

Vanuit de Europese Commissie, De Nederlandse Overheid en de lokale overheden wordt er vol ingezet op Open Data: Gemeenten en overheden moeten hun informatie beschikbaar stellen voor andere partijen. Op deze wijze kan miljarden bespaard worden. Volgens het EPSI Platform zelfs 27 Miljard. Maar om welke informatie gaat het dan? De plek van de lantaarnpalen in uw gemeente, de WOZ waarde van uw woning (zoals in het eerder genoemde voorbeeld van Kadasterdata), demografische gegevens, kwaliteitsmetingen enzovoorts. Dit alles gelukkig wel onder bepaalde voorwaarden. Welke informatie wel en niet? Blijkbaar de informatie uit het basisregister kadaster wel. Gaat de informatie uit het Handelsregister ook openbaar worden?

Financiële gegevens ervaren we vaak toch wel een beetje als privé. Ik heb ook wel eens een collega gevraagd wat hij precies verdiende. Je wordt toch een beetje vreemd aangekeken. Dat vraag je toch niet! Behalve dat het ‘not done’ is om naar de financiële situatie van je buren of collega’s te vragen vraag ik me sterk af of informatie als de WOZ waarde ook niet in de categorie privacy gevoelige gegevens hoort te vallen en het CBP hier toezicht op moet uitoefenen.

Want hoewel sec gezien de WOZ waarde gaat over de waarde van objecten ontstaat er met het openstellen van de WOZ gegevens een nieuwe bron met gegevens die aan personen gekoppeld kunnen worden. En daar wordt het eng! Nu is het zo dat Makelaars en banken deze gegevens kunnen opvragen t.b.v. het verstrekken van een hypotheek. Ook particulieren kunnen dit doen, maar nog wel met een drempel: Betalen voor de gegevens. Bij het volledig openstellen van de data vervalt deze drempel. Een slimme crimineel doet wat aan datamodulatie en legt het bestand naast de telefoongids en weet precies welke persoon eigenaar van het huis is en de waarde daarvan. Met een beetje Funda rekenen we de maandlasten uit. Een beetje verder frunniken weten we via LinkedIn wat voor baan die persoon heeft en via Salarisindicatie hoeveel die ongeveer verdiend. Reken maar uit wat er nog aan besteedbaar maandinkomen is. Is iemand chantabel? Of moet hij wel veel overhouden en is er wat te halen voor het dievengilde?

WOZ Open Data is een eerste bron. Hoeveel zullen er volgen? De crimineel van morgen begint zijn dag achter de PC. Informatiebronnen combineren en modelleren. Hij doet aan profiling. Op basis van de beschikbare datamodellen creëert hij het meest lucratieve slachtoffer profiel en voor het donker wordt heeft hij de route uitgestippeld die hem het meest oplevert!

Aan de andere kant: Wat doet de overheid met deze informatie? Natuurlijk beschikt de gemeente en de belastingdienst al over deze informatie. Ze wordt immers daar bepaald om de gemeente heffingen te waarderen. Maart wanneer bijvoorbeeld de politie aan dezelfde datamodulatie gaat doen als de crimineel zit je met een tikkeltje zware hypotheek misschien direct in het verdachtenbankje als het om fraudezaken gaat.

Om deze redenen valt de waarde van mijn woning voor mij ook in de categorie privacy gevoelige informatie, en dat deze data niet publiek toegankelijk mag worden. Wel kan deze onder bepaalde voorwaarden raadpleegbaar zijn door gespecificeerde afnemers, net als bij bijvoorbeeld de basisregistratie Persoonsgegevens. Daar zijn landelijk zo’n 900 afnemers van de gegevens die aan strikte voorwaarden moeten voldoen om over deze gegevens te kunnen beschikken. Dit alles staat onder toezicht van het CBP. Wat mij betreft dus ook de WOZ gegevens onder dat toezicht.

Komt een man bij de Notaris…

Posted on by

Door het starten van een blog over Security in deze dagen kan ik natuurlijk niet voorbij gaan aan de meest recente ontwikkelingen die heel Nederland in haar greep houdt: De inbreuk op DigiNotar. Wat is er nu eigenlijk aan de hand?

Komt een man bij de Notaris… En loopt even later weer naar buiten met het briefpapier en het stempel. Met het papier en het stempel kan hij trouwaktes, verkoopaktes enz. opstellen en verkopen.

DigiNotar is de digitale notaris die de echtheid van websites garandeert. Vanaf het begin
van het internet tijdperk is het wereld wijde web een anonieme wereld geweest. Je hebt contact met mensen over de hele wereld, zonder ze te kennen of echt te ontmoeten. In de eerste jaren was het gebruikelijk om op bulletin boards en fora een zogenaamd ‘handle’ te gebruiken, een alias zonder je eigen naam te vermelden. Hoe weet je nu wie wie is?

Op een forum is dat misschien nog niet zo spannend en maakt het je misschien niet uit
met wie je van doen hebt. Het wordt anders als het gaat om een bedrijf waar je iets wilt kopen. Dan wil je wel zeker weten dat je de spullen geleverd krijgt. Hiervoor zijn CA’s opgericht. CA staat voor ‘Certification Authority’, de instantie die websites certificeert op echtheid. Een soort digitale Notaris die het stempel ‘betrouwbaar’ op een website zet.

(Zie o.m. Security.nl voor een wat diepere uitleg van hoe SSL certificaten werken)

Wat is er gebeurd?

Het is al ruim twee jaar geleden dat DigiNotar gehackt is. Hierbij zijn bestanden op de
servers van DigiNotar achter gelaten. Nu twee jaar later komt men daar achter en constateert men dat er ruim 500 Certificaten gekaapt zijn. De vraag is of DigiNotar dit zelf wist en verzwegen heeft, of het gewoon niet opgemerkt heeft. In beide gevallen een kwalijke zaak.

Verschillende hackers hebben de afgelopen jaren meerdere keren de portal van het Nederlandse DigiNotar gehackt, maar of deze aanvallen ook verband houden met de recente SSL-blunder is onbekend. DigiNotar gaf onlangs een SSL-certificaat uit voor alle *.Google.com domeinen. Daarmee werden vervolgens Iraanse Gmail-gebruikers afgeluisterd. Hoe de hackers bij het Nederlandse bedrijf wisten binnen te dringen is onbekend. De aanvallers lieten wel twee meldingen achter, die op het moment van schrijven nog online stonden.

Deze meldingen zijn echter al jaren oud, aldus het Finse F-Secure. Een andere melding van Turkse hackers zou al uit 2009 stammen. “Deze hacks zijn zo oud, dat het waarschijnlijk niets met het huidige probleem te maken heeft, althans, dat hopen we”, zegt Mikko Hypponen. Eerder liet hij nog weten: “Deze kleine Nederlandse SSL-winkel moet waarschijnlijk zo trots zijn geweest toen Google besloot hun SSL-certificaat bij hen te vernieuwen.”

Bron: Security.nl

Wat is het gevolg?

Uit het bovenvermelde citaat blijkt al dat er Gmail gebruikers zijn afgeluisterd, maar
daarnaast heeft de hack verstrekkende gevolgen voor de Nederlandse overheid. Na
eerdere berichten over de betrouwbaarheid van DigID lijkt dit een zware slag
voor de e-overheid.

Alle efforts richten zich nu op het geruststellen van de burger, getuige bijvoorbeeld de verklaring op de website van de Belastingdienst.

De communicatie is gericht op het geruststellen van de ondernemer. Het regeltje
over de particulier is echter veelzeggend: Nu Even Niet!

Betrouwbaarheid

Betrouwbaarheid is het sleutelwoord voor een CA. Als het vertrouwen weg is, is het einde
oefening. Dat zie je nu ook gebeuren bij de klanten van DigiNotar, en dan met name de Nederlandse Overheid. Ook Roel Schouwenaar van antivirusbedrijf Kaperski ziet dit als het einde van DigiNotar;

The main reason why Diginotar has been excommunicated is the fact they didn’t disclose the breach. With some 500 authorities out there globally it’s hard to believe Diginotar is the only compromised CA out there. Diginotar will quite likely go out of business. This should serve as a very strong message for CAs to go public with any breach.

Maar ook als een zeer sterke motivator om nu eindelijk security eens hoog op de agenda
te zetten;

The attack on Diginotar doesn’t rival Stuxnet in terms of sophistication or coordination. However, the consequences of the attack on Diginotar will far outweigh those of Stuxnet. The attack on Diginotar will put cyberwar on or near the top of the political agenda of Western governments.

Bron: Securelist

Van Bulletin Board naar Facebook

Waar we vroeger via Bulletin Boards met elkaar communiceerden en ondertekenden met een anonieme handle zijn we na 9/11 een stuk persoonlijker geworden op het internet. 9/11 stimuleerde de drang om met elkaar te delen en kreeg het sociale internet momentum. We delen nu steeds meer van onze eigen identiteit, geven steeds meer prijs.

Met alles wat we van onszelf weggeven is het voor de geoefende – en kwaadwillende
– hacker geen probleem om een identiteit te stelen. De roep om een persoonlijke CA wordt langzaam groter; een instantie die niet alleen een bedrijf of website kan certificeren maar een autoriteit je digitale identiteit kan bevestigen. Maar met deze informatie in huis is zo’n CA hack target nummer 1.