Archives for posts with tag: privacy-by-design

Duo (die de studiefinanciering afhandelt) blijkt aan Translink (de beheerder van het OV chipkaart systeem) reisgegevens van studenten met een OV chipkaart opgevraagd en gekregen te hebben om fraude met studiebeurzen te controleren. Zo wilde Duo controleren of studenten die zeggen uitwonend te zijn niet stiekem toch thuis wonen (en dus geen recht hebben op de hogere beurs voor uitwonenden, zoals die tot een paar jaar geleden nog bestond). Een student die gecontroleerd werd en op basis van zijn reisgegevens werd beschuldigd van fraude stapte naar de rechter. De rechter was het met de student eens dat Duo met deze vorm van fraudeonderzoek zijn privacy was geschonden.

Wat kunnen we hier van leren?

Read the rest of this entry »

The Internet Privacy Engineering Network (IPEN/EDPS), the University of Leuven (KU Leuven), and the Future of Privacy Forum (FPF) will host a transatlantic workshop dedicated to Privacy Engineering Research and the GDPR on Friday, 10 November, 2017 at the University of Leuven in Belgium. In preparation they asked a few people for a shortlist of the most pressing issues to be discussed at the workshop. I started thinking, came up with a short list, which then grew longer as I started explaining what I meant. I’m sharing the result in the hope to receive feedback and to sharpen my thinking.

Read the rest of this entry »

Gisteren (28-10-2013) publiceerde de Nationale Coördinator Terrorismebestrijding en Veiligheid de Nationale Cybersecurity Strategie 2. Hieronder mijn visie op deze belangrijke nota.

Read the rest of this entry »

Jumbo en Polare overwegen jou als klant in hun winkel te volgen met behulp van je eigen smartphone. Zo kunnen ze precies in kaart brengen hoe vaak je in de winkel komt, welke route je in de winkel volgt (loop je iedere keer langs de schappen met wijn?), en hoe lang je bij bepaalde producten stilstaat (twijfel je over de aanschaf van een bepaald tijdschrift?). Dit idee legt twee fundamentele problemen bloot.

Read the rest of this entry »

While discussing my privacy design strategies paper at PLSC 2013, an interesting issue came up. The question was whether privacy by design can be used to enforce proportionality. That question was asked to me before, and my standard response was that it only partially can. You can use strategies like minimisation and, to a lesser extent, aggregation to ensure that the system only processes the personal data that it needs. However, whether that need itself is proportional, or even legitimate, is not something the design itself can guarantee.

Read the rest of this entry »

In a very instructive description of the difference between the US and the EU in the legal protection of on-line privacy, I read something very surprising. It said that in a recent meeting commissioner Reding introduced “privacy-by-default” as a new concept and as one of the pillars on which the revision of the EU data protection laws will be based. The idea is that privacy settings are designed to be easily found and manipulated by the user, so that “you don’t have to be an engineer to set your privacy settings.” Surprisingly though, privacy-by-default does not mean that your privacy should be protected by default, and does not imply an opt-in requirement to privacy invasions.

Surely, this must be a mistake. If not, the term “privacy-by-default” is a nasty form of EU newspeak.