Temperatuur opnemen

Zeker door Corona is afgelopen maanden veel gebeurd op het gebied van privacy en beveiliging. Ik laat een paar dingen de revue passeren en neem een paar zaken onder de loep waar al eerder op deze site artikelen over verschenen zijn.

Thuiswerken

Allereerst: thuiswerken in tijden van Corona. Het gebruik van remote werkplekken voor thuiswerkers leverde een tekort op aan toetsenborden, monitoren en muizen. Immers, al die thuiswerkers moeten wel de middelen hebben om thuis te kunnen werken. Ook vergaderen gebeurt op afstand en met webcams; dat leverde wat problemen op. Een van de in het oog springende (relatief nieuwe) spelers op de markt van videovergaderen is Zoom, waar beveiligingsproblemen mee vastgesteld zijn. Hoe de markt er op dit moment mee omgaat is duidelijk. Veel bedrijven en overheden laten Zoom voorlopig links liggen.

Citrix

Al langer geleden, in januari, kwamen er berichten naar buiten over een kwetsbaarheid in Citrix. Het probleem is waarschijnlijk overal wel opgelost, maar IT afdelingen hebben er moeite voor moeten doen om de boel op orde te krijgen. Nogal wat lokale overheden (gemeenten) zijn nog altijd niet klaar met uitfaseren van hun verouderde software. Daar ligt nog wat werk.

Overheid

In het verlengde van de catastrofe met de toeslagen bij de belastingdienst, kwam naar voren dat er al jaren een SyRI (Systeem Risico Indicatie) systeem bestaat. Dit geautomatiseerde systeem ‘zoekt’ naar personen om te zien of er mogelijk fraude in het spel is. In 2013 is het systeem zonder al te veel ophef ingevoerd. SyRI is uiteindelijk door de rechter aangemerkt als een onevenredige bedreiging van de privacy van burgers. Het systeem heeft vrijwel niets concreets opgeleverd.

NL-Alert

De laatste ontdekking op het gebied van privacy en overheid zijn de twee (!) lekken in de NL-alert app. Het tweede lek blijkt heel ernstig te zijn en de minister roept dan ook op om de betreffende app van je telefoon te verwijderen.

Donorregister

Dan het kwijt raken van donorregistratieformulieren. De formulieren waren door de belastingdienst gedigitaliseerd en de schijven met de bestanden zijn aan het donorregister overhandigd. Deze schijven zijn op een zeker moment zoekgeraakt. Althans, ze lagen niet meer in de kluis. Er is in de kamerbrief sprake van een backup van de bestanden en in de beantwoording van kamervragen lijkt het om de originele versie te gaan. Zo blijkt maar weer dat een backup van data minstens net zo belangrijk is als het origineel.

Corona-app

Een actueel onderwerp is de Corona-app voor de overheid. Het is allemaal wat snel, misschien overhaast aangekondigd. Veel experts en privacy-savvy mensen hebben de plannen en de ontwikkeling niet toegejuicht. Er zijn vooral bedenkingen over de mogelijke verzameling van persoonsgebonden informatie op een centrale plaats. Ook de Autoriteit Persoonsgegevens (AP) maakt zich zorgen over deze ontwikkeling. Hoewel de AP geen standpunt kan innemen over plannen of ontwikkelingen, heeft het ministerie wel advies aan de AP gevraagd. Omdat er geen kader is en gegevens over de apps ontbreken kan de AP daar voorlopig geen oordeel over geven.

Het laatste nieuws: Apple en Google hebben voorwaarden bekend gemaakt voor ontwikkelaars van dit soort apps. Per land mag er één app toegang krijgen tot de Blue-tooth data. We blijven de ontwikkelingen volgen.

Op de werkvloer

Ook werkgevers willen graag weten of medewerkers mogelijk met COVID-19 rondlopen. En daarmee dringt zich direct een flinke privacygevoelige vraag op: Mag een werkgever de temperatuur van zijn medewerkers meten? Contactloos? Nee! Dat mag dus niet! Een werkgever mag zich op geen enkele manier bezighouden met medische gegevens. Dus die temperatuurcamera kan de koelkast in, net als de infrarood thermometer. Bij de voordeur mag de temperatuur van medewerkers niet opgenomen worden. In het buitenland zien we andere ontwikkelingen.

En als we het toch over werkgevers hebben, zojuist is een behoorlijke boete (€ 725.000) aan een werkgever opgelegd voor het verplicht gebruiken van vingerafdrukken voor aanwezigheidsregistratie.

Een werkgever mag zijn personeel niet verplichten een vingerafdruk te gebruiken voor werktijdenregistratie. Een vingerafdruk is immers een bijzonder persoonsgegeven. Werktijdenregistratie is op andere manieren te doen, zonder vingerafdrukken vast te leggen in een database. De boete is behoorlijk. Het bedrijf had al lang kunnen weten dat het niet mocht. Immers, het gebruik van vingerafdrukken voor autorisatie of identificatie is gebonden aan strenge regels, waaronder het uitvoeren van een Privacy Impact Analyse.

Plannen voor vliegvelden

Er zijn plannen voor het meten van lichaamstemperatuur op vliegvelden.

Dit soort ontwikkelingen gaan in de VS wat makkelijker. Er zijn ook nogal wat landen die in het kader van de pandemie hun privacyregels loslaten. Dat is op zich heel misschien nog wel te verdedigen, we hebben immers te maken met een uitzonderlijke situatie. Maar voorlopig moeten juist werkgevers zich aan de privacyregels houden.

Deze ontwikkeling kwam ik tegen. Hoewel de titel aangeeft dat het om virusdetectie gaat, is het gewoon een warmtebeeldcamera. De vraag is: mag dit? Mag een willekeurig persoon mijn temperatuur meten op straat? En de politie of een BOA?

Om af te sluiten

Het onderzoek naar een medicijn of liefst een vaccin tegen het COVID-19 virus is in volle gang. Het probleem met dit werk is de enorme hoeveelheid mogelijkheden die er zijn om eiwitten te ‘vouwen’. Als je geïnteresseerd bent in deze materie, hier staat wat uitleg.

Mijn laptop is nu gedurende de werkdag, met de helft van zijn cores aan het rekenen voor een medicijn. Op deze manier kunnen veel kleine computers een groot gedistribueerd rekencentrum vormen. Alle aangesloten pc’s (groot of klein), krijgen een relatief kleine rekentaak en het duurt gemiddeld een uur of twee tot drie om die uit te voeren, waarna de resultaten terug gestuurd worden naar de servers van folding@home of rosetta@home. Er zijn meer van deze organisaties die volgens dezelfde methode samenwerken aan een groot probleem. Het CERN rekencentrum heeft ook een kleine 10.000 processoren gekoppeld aan dit project en op die manier is de krachtigste supercomputer ooit ontstaan. Allemaal om een oplossing te vinden voor onder andere COVID-19.

Dus, behalve mondkapjes, 1,5 meter afstand en goed je handen wassen, kan je computer nu ook meewerken aan een oplossing.

Blijf veilig en gezond.

Aanvulling

Natuurlijk worden we weer ingehaald door de ontwikkelingen. In een eerder bericht van de AP werd duidelijk gesteld dat het controleren van de gezondheidstoestand van medewerkers niet is toegestaan door een werkgever, tenzij het door een arts gebeurt. Blijkt nu dat de pandemie invloed heeft op wetgeving en uitvoering ervan. Kortom, temperaturen van medewerkers en straks ook van bezoekers gebeurt gewoon. Immers, als er niets geregistreerd wordt, kan de AP geen bezwaar maken. Als straks de horeca weer open mag, is een triage van bezoekers verplicht. Leveranciers van thermometers en warmtebeeldcamera’s staan al klaar.

Door Roland Verhaar; ITWorks4All

Tags: corona app, COVID-19, donorregister, overheid