AVG en zo...

Voor als het echt nergens anders thuis hoort.
Bericht
Auteur
TomNL
Berichten: 491
Lid geworden op: 06 feb 2013, 10:22

Re: AVG en zo...

#16 Bericht door TomNL »

elsinga schreef: De AVG zegt overigens niet veel over wat je niet mag, alleen dat je moet melden wat je met persoonsgegevens in je bezit doet.
Je* hebt wel degelijk plichten. Maar dan maar reageren op het laatste: waar is de privacyverklaring te vinden? Of kijk ik er gewoon langs?
Want er zijn wel degelijk persoonsgegevens te vinden in de database. Denk alleen maar aan de IP adressen. Dat de gebruiker toestemming geeft betekent niet dat je dus maar mag doen wat je wilt. Toestemming is wél een van de grondslagen waarop je gegevensverwerking kunt baseren. Zie ook https://autoriteitpersoonsgegevens.nl/n ... -verwerken

*de verwerker.


En stel dat je gelijk hebt en SSL niet verplicht is (ik denk dat dat wel verplicht is), wat is er precies op tegen om het wél aan te zetten?

TomNL
Berichten: 491
Lid geworden op: 06 feb 2013, 10:22

Re: AVG en zo...

#17 Bericht door TomNL »

PA0LMD schreef: De wacht woorden kunnen eenvoudig onderschept worden is mij verteld.
Heel eenvoudig is het niet. Maar met een eenvoudige handeling van de beheerders wordt het zeker een heel stuk lastiger.

In het algemeen: het is wel verstandig om voor elke website / applicatie / wat dan ook een uniek wachtwoord te gebruiken. Als er dan waar dan ook iets mis gaat blijft de schade beperkt. En weet ook dat een slotje bij een website zeker niet betekent dat de website veilig en dus te vertrouwen is. Op de server kan van alles mis zijn.

Gebruikersavatar
PE1PQX
Berichten: 4528
Lid geworden op: 06 jun 2011, 21:51
Roepletters: PE1PQX
Locatie: Emmen (JO32LS)
Contacteer:

Re: AVG en zo...

#18 Bericht door PE1PQX »

Dan de volgende vraag: wat verstaat men onder persoonsgegevens??

Zo weten de meeste internet gebruikers hun WAN-IP adres niet eens.

Bekijk het ook eens van de andere kant: welke gegevens heb je in de loop van tijd al eens op het web ingevuld??
Ik weet vrijwel zeker dat het in ieder geval om BSN nummer gaat (i.v.m. met een DigiD bijvoorbeeld) en vaak ook je adres omdat je wel eens wat besteld hebt.

De ophef over privacy en ontbreken van een SSL certificaat op een (relatief) eenvoudige forum zoals dit snap ik dan weer niet. Je weet immers toch wat je bij een registratie hebt ingevuld? Jups: in ieder geval een valide e-mail adres. En wie helemaal gesteld is op een stukje anonimiteit gebruikt daarvoor een @gmail, @hotmail of ander (gratis) mailhost en maakt via een VPN dienst contact met de rest van het web.

Ik vind het belangrijker dat zaken als mijn bank-data, medische gegevens en gegevens bij mijn werkgever goed beveiligd zijn.
Nogmaals: maak je niet al te druk over dit forum, de data die daar gejat zou kunnen worden zijn hooguit een username (zie je profiel) en je e-mail adres. Hoe belangrijk is dan nu?!?


Ondertussen hebben we wel al onze gegevens op QRZ.com ingevuld...? Call + compleet huisadres?
73', André PE1PQX (Site: http://www.pe1pqx.eu)

"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation"
John Young, Astronaut (Gemini 3, Gemini 10, Apollo 10, Apollo 16, STS-1, STS-9)

PA1WBU
Berichten: 649
Lid geworden op: 21 apr 2013, 16:19
Roepletters: PA1WBU
Locatie: Arnhem

Re: AVG en zo...

#19 Bericht door PA1WBU »

pa0bak schreef:
PA0LMD schreef:Gezien het feit dat de beheerders er geen duidelijkheid over geven ga ik er van uit dat zowel de server als ook de verbinding onveilig is.
De wacht woorden kunnen eenvoudig onderschept worden is mij verteld.
De server is gewoon veilig, net als de meeste andere servers.
Wachtwoorden kunnen onderschept worden, dat klopt, maar dan moet wel iemand een kabeltje monitoren (kuiltje graven voor je deur), je omleiden via een andere server (je moet dan ook het URL controleren), maar het grootste gevaar is Wifi en dat zit bij mensen thuis..........
Er zit dus meer risico bij je thuis, dan op de server :idea:
In algemene zin is WiFi niet onveilig. Je kunt ongeveer alles onveilig maken met halfbakken inrichting, das wat anders.

PA1WBU
Berichten: 649
Lid geworden op: 21 apr 2013, 16:19
Roepletters: PA1WBU
Locatie: Arnhem

Re: AVG en zo...

#20 Bericht door PA1WBU »

PA0LMD schreef:
elsinga schreef:Een wachtwoord is geen persoonsgegeven, want niet naar een persoon te herleiden. Ook niet door de beheerders, ding staat gewoon niet in de database (daar staat een salted hash, meen ik).

Volens mij heeft iedereen bij phpBB een vinkje gezet bij het aanvaarden van de voorwaarden en daar staat het nodige in over wat je zelf op het forum doet en zo. Alles wat je zelf bekend maakt valt onder eigen verantwoordelijkheid. Dat is dus alles wat je post en in je publieke profiel zet. En veel meer is er niet...

De AVG zegt overigens niet veel over wat je niet mag, alleen dat je moet melden wat je met persoonsgegevens in je bezit doet.
Ik denk niet dat jullie wegkomen met "eigen verantwoordelijkheid".
Het beheer is aantoonbaar laks en slordig, nog steeds geen https !
HTTPS is absoluut geen garantie dat een website an-sich veilig is!

Je kunt een prachtig versleutelde verbinding maken naar een brakke webserver.

Wilko

PA1WBU
Berichten: 649
Lid geworden op: 21 apr 2013, 16:19
Roepletters: PA1WBU
Locatie: Arnhem

Re: AVG en zo...

#21 Bericht door PA1WBU »

PA0LMD schreef:Van de kant van de beheerders blijft het akelig stil .
Robert Elsinga, dit vraagt om een reactie.
Mij is verzekerd door een deskundige dat deze website gevaarlijk is qua bescherming passwords.
Bij misbruik zijn jullie hoofdelijk aansprakelijk !
Als je bedoelt dat phpBB een bedenkelijke historie heeft qua beveiliging, ja, daar zit wel iets in.

Gebruikersavatar
PH2LB
Berichten: 1430
Lid geworden op: 06 mar 2013, 20:31
Roepletters: PH2LB
Locatie: Almelo/JO32HI
Contacteer:

Re: AVG en zo...

#22 Bericht door PH2LB »

PA1WBU schreef:
PA0LMD schreef:Van de kant van de beheerders blijft het akelig stil . Robert Elsinga, dit vraagt om een reactie. Mij is verzekerd door een deskundige dat deze website gevaarlijk is qua bescherming passwords. Bij misbruik zijn jullie hoofdelijk aansprakelijk !
Als je bedoelt dat phpBB een bedenkelijke historie heeft qua beveiliging, ja, daar zit wel iets in.
phpBB heeft idd een bedenkelijke historie, maar dat komt omdat het zoveel gebruikt is dat het interessant is om veiligheids lekken te gaan zoeken (dit zelfde zie je ook bij Wordpress etc).

Maar wees niet bang : deze versie van phpBB slaat de wachtwoorden niet op maar een hash van het wachtwoord met een salt en controleert bij het inloggen of de berekening klopt. Daarom kun je ook alleen maar een nieuw wachtwoord aanvragen en niet je oude opvragen. Dus je supergeheime wachtwoord is echt wel veilig op geslagen en je prive gegevens heb je zelf ingevuld (dus je kunt prima bepalen welke gegevens je publiekelijk beschikbaar steld)..

Overigens een (gratis) tip van deze deskundige : gebruik voor elke website waar je inlog gegevens nodig hebt een ander wachtwoord (minimaal 12 verschillende tekens zonder herhalende delen van een ander wachtwoord) en bij voor echt belangrijke zaken gebruik 2 tier authentication.

AVG of niet, https of niet, de zwakste schakel zit nog altijd tussen de rugleuning en het toetsenbord. :wink:

Nog kleine voetnote :
elsinga schreef:Een wachtwoord is geen persoonsgegeven, want niet naar een persoon te herleiden. Ook niet door de beheerders, ding staat gewoon niet in de database (daar staat een salted hash, meen ik). Volens mij heeft iedereen bij phpBB een vinkje gezet bij het aanvaarden van de voorwaarden en daar staat het nodige in over wat je zelf op het forum doet en zo. Alles wat je zelf bekend maakt valt onder eigen verantwoordelijkheid. Dat is dus alles wat je post en in je publieke profiel zet. En veel meer is er niet... x
De AVG zegt overigens niet veel over wat je niet mag, alleen dat je moet melden wat je met persoonsgegevens in je bezit doet.
Precies, het is uitgelegd hoe of wat en je hebt zelf het vinkje gezet. Het is vrij zich te registeren of indien gewenst zich te laten verwijderen (incl alle posts) van dit publieke forum.
73, Lex

"Computers are fun, but there is more between one and zero"
www.ph2lb.nl . . . . facebook.com/PH2LB

PA3CQN
Berichten: 789
Lid geworden op: 10 dec 2014, 21:59
Roepletters: PA3CQN
Locatie: Groningen
Contacteer:

Re: AVG en zo...

#23 Bericht door PA3CQN »

Deze website is een privé-initiatief op een virtuele webserver in Duitsland waar pakweg 10 domeinen gehost worden, waarvan slechts een paar echt actief. Over die server is niets slechts te vinden, hij staat zobiezo nergens op een spam-lijst. Dus in essentie is dit gewoon een privé website. Een hobby dus.
Wat is het risico? Dat iemand je wachtwoord onderschept. Maar daar wordt je niet zoveel wijzer van. De meeste mensen hebben op QRZ meer info over zichzelf staan.
Laat staan FaceBook ..

Er zal ooit wel een ssl-certificaat moeten komen, vanwege Chrome/FireFox die gaan zeuren. Maar het is nou niet zo dat het hier om staatsgeheimen gaat.
_______________________________________________
Na jaren afwezig toch maar weer eens rondkijken.
UV-B5, RTL stick, SDRPlay2, miniwhip, magloop, X300
http://www.pa3cqn.nl
_______________________________________________

TomNL
Berichten: 491
Lid geworden op: 06 feb 2013, 10:22

Re: AVG en zo...

#24 Bericht door TomNL »

PE1PQX schreef:Dan de volgende vraag: wat verstaat men onder persoonsgegevens??

Zo weten de meeste internet gebruikers hun WAN-IP adres niet eens.
Als je die redenatie volgt is je BSN ook geen persoonsgegeven. En je DNA ook niet.

Gebruikersavatar
PE1PQX
Berichten: 4528
Lid geworden op: 06 jun 2011, 21:51
Roepletters: PE1PQX
Locatie: Emmen (JO32LS)
Contacteer:

Re: AVG en zo...

#25 Bericht door PE1PQX »

TomNL schreef:Als je die redenatie volgt is je BSN ook geen persoonsgegeven. En je DNA ook niet.
FOUT!!! Een BSN nummer is te herleiden naar één specifiek persoon.
Dit geld ook voor DNA. Denk aan die grootschalige DNA verwantschap onderzoek die in ieder geval tot één dader heeft geleid in Friesland en één verdachte in Limburg (Marianne Vaatstra en Nikky Verstappen).

Een WAN-ip adres is niet te herleiden naar één specifiek individu, maar naar een provider. En die WAN-ip adres kun je goed verbergen door gebruik te maken van proxy-servers of VPN-diensten.
73', André PE1PQX (Site: http://www.pe1pqx.eu)

"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation"
John Young, Astronaut (Gemini 3, Gemini 10, Apollo 10, Apollo 16, STS-1, STS-9)

TomNL
Berichten: 491
Lid geworden op: 06 feb 2013, 10:22

Re: AVG en zo...

#26 Bericht door TomNL »

PE1PQX schreef:
TomNL schreef:Als je die redenatie volgt is je BSN ook geen persoonsgegeven. En je DNA ook niet.
FOUT!!! Een BSN nummer is te herleiden naar één specifiek persoon.
Dit geld ook voor DNA. Denk aan die grootschalige DNA verwantschap onderzoek die in ieder geval tot één dader heeft geleid in Friesland en één verdachte in Limburg (Marianne Vaatstra en Nikky Verstappen).

Een WAN-ip adres is niet te herleiden naar één specifiek individu, maar naar een provider. En die WAN-ip adres kun je goed verbergen door gebruik te maken van proxy-servers of VPN-diensten.
Jij had het over het weten van. Natuurlijk zijn het BSN en DNA persoonsgegevens. Net als een IP adres volgens de GDPR/AVG ook gewoon een persoonsgegeven is.

Gebruikersavatar
ON9KVE
Berichten: 942
Lid geworden op: 18 jul 2009, 19:25
Roepletters: ON9KVE

Re: AVG en zo...

#27 Bericht door ON9KVE »

TomNL en beko hebben zeker een punt in relatie tot veiligheid, maar technische eisen staan niet in de AVG

Maar de meeste essentiele verplichtingen zijn:
Duidelijke privacyverklaring
Een verwerkingsregister
Een backup plan
Gegevens versleuteling
Actief onderhoud tav accounts

Nog een detail waaraan deze website zich niet conformeert:
Als een account wordt verwijderd en de persoon ervan verzoekt een verwijdering van de bijdragen, dan MOET hieraan gevolg worden gegeven.
Het argument alsdat een discussie onduidelijk maakt of onderbreekt is niet relevant wegens geen zwaarwegende betekenis.

Overigens kan akkoord zijn gegaan met voorwaarden bij het aangaan van het account, maar de geldigheid van die voorwaarden zijn met intrede van de wet geexpireerd en dus van geen waarde meer.
Strikt genomen moeten vernieuwde, aan de wet conformerende voorwaarden, opnieuw aan eenieder worden voorgelegd.
Dat kan middels een eenmalige posting.
Volgt geen toestemming, dan moeten alle gegevens inclusief bijdragen worden verwijderd.

Dus wel degelijk werk aan de winkel!
73
Kees
ON9KVE


______________________________________________________________

-Verwijderd account

Re: AVG en zo...

#28 Bericht door -Verwijderd account »

pa3kve schreef:TomNL en beko hebben zeker een punt in relatie tot veiligheid, maar technische eisen staan niet in de AVG

Maar de meeste essentiele verplichtingen zijn:
Duidelijke privacyverklaring
Een verwerkingsregister
Een backup plan
Gegevens versleuteling
Actief onderhoud tav accounts

Nog een detail waaraan deze website zich niet conformeert:
Als een account wordt verwijderd en de persoon ervan verzoekt een verwijdering van de bijdragen, dan MOET hieraan gevolg worden gegeven.
Het argument alsdat een discussie onduidelijk maakt of onderbreekt is niet relevant wegens geen zwaarwegende betekenis.
Als dit daadwerkelijk praktijk moet gaan worden, zoals jij dit aangeeft, dan kunnen we het forum beter opheffen. Immers, heel veel onderwerpen worden daardoor verziekt en feitelijk onbruikbaar voor andere lezers.
Dit zal ongetwijfeld dan ook voor vele andere forums opgaan.
Ben toch wel benieuwd of het echt zover komt en er van hogerhand ook actieve handhaving plaats gaat vinden.

Gebruikersavatar
PA0BAK
Berichten: 974
Lid geworden op: 28 jul 2014, 19:09
Roepletters: PA0BAK
Locatie: Eiland Tholen, Zeeland
Contacteer:

Re: AVG en zo...

#29 Bericht door PA0BAK »

pa3kve schreef: Als een account wordt verwijderd en de persoon ervan verzoekt een verwijdering van de bijdragen, dan MOET hieraan gevolg worden gegeven.
Dat klopt niet, wanneer de berichten ge-geanonimiseerd worden is het voldoende.
Dit is ook het beleid dat b.v. KPN en dochter maatschappijen doen, en wat ook bij veel overheids-forums wordt toegepast.
OpenStandaard Evangelist, OpenSource Promotor, OpenData Liefhebber.
Gebruiker van alternatieve besturingssystemen op de computers.

Gebruikersavatar
ON9KVE
Berichten: 942
Lid geworden op: 18 jul 2009, 19:25
Roepletters: ON9KVE

Re: AVG en zo...

#30 Bericht door ON9KVE »

pa0bak schreef:
pa3kve schreef: Als een account wordt verwijderd en de persoon ervan verzoekt een verwijdering van de bijdragen, dan MOET hieraan gevolg worden gegeven.
Dat klopt niet, wanneer de berichten ge-geanonimiseerd worden is het voldoende.
Dit is ook het beleid dat b.v. KPN en dochter maatschappijen doen, en wat ook bij veel overheids-forums wordt toegepast.
Onjuist lijkt mij.
Ook de quotes e.d. moeten dan worden aangepast.
Ook als opgemaakt kan worden wie het betreft, bv door gegevens die herleidbaar zijn naar de persoon, moeten dan worden aangepast. Dat is sneller dan je denkt. Bijvoorbeeld een beschrijving van een shack, schrijfstijl, e.d. kunnen aangemerkt worden tot herleiding.

Het kan zo worden voorgesteld door kpn c.s., dat wil nog niet zeggen dat het juist is. Er is nog onvoldoende jurisprudentie over.
Laatst gewijzigd door ON9KVE op 13 sep 2018, 21:29, 1 keer totaal gewijzigd.
73
Kees
ON9KVE


______________________________________________________________

Plaats reactie