Info

Learning a little every day

Foto van het boek van Huib Modderkolk

Vorige week las ik ‘Het is oorlog maar niemand die het ziet’. Daarin neemt onderzoeksjournalist Huib Modderkolk ons mee op zijn ontdekkingsreis door de digitale wereld. Waar het nog maar draait om één ding:

Ooit was het [internet] een uitwisselingsplek waar staten geen autoriteit hadden. Maar het grootkapitaal en de overheden hebben hun plek opgeëist. Het gaat niet langer alleen om verbinden, netwerken en communicatie. Hoe meer het internet het leven van mensen binnendringt via smart-tv, smartphone, slimme energiemeters en DigiD, des te meer gaat het over veiligheid.

Veiligheid, hét thema van de afgelopen jaren. Met twee duidelijk gerelateerde kanten:

  1. De gebrekkige beveiliging van veel systemen. Waar veel organisaties het afgelopen decennium de wrange vruchten van plukten. Zoals Diginotar en KPN.
  2. Het professionele hacken. Waarvan Stuxnet, de Russische cyberaanval op de Oekraïne (en indirect op de Rotterdamse haven) of de geavanceerde hack van Belgacom bekende voorbeelden zijn.

Hoe verstrekkend de Diginotar-hack wel niet had kunnen zijn vond ik opnieuw schokkend om te lezen. Net als het gebrek aan kennis bij politici en bestuurders over de basiselementen van onze digitale infrastructuur. Daar duurde het toch wat langer tot men zich realiseerde dat digitaal nu ‘best belangrijk is’.

En nog een trapje erger was — en is — de manier waarop organisaties hacks ontkennen of onder het tapijt proberen te vegen. Of het nu KPN is, of Belgacom, imagoschade voorkomen staat voorop. En wat dat betekent voor hun klanten of de rest van het land kan ze gestolen worden.
Wat dat betreft is gemeente Lochem gelukkig een positief voorbeeld: burgemeester Sebastiaan van ‘t Erve deelt juist overal en met iedereen wat er bij hen precies misging:

Lochem heeft alle onderzoeken (naar de hack, red.) openbaar gemaakt, om ervan te leren. Maar vooralsnog is deze gemeente de enige. Onverstandig, meent Van ’t Erve.

“Denk je nou echt dat die mensen alleen Lochem kiezen om in te breken? Dat moet ook elders zijn gebeurd. Maar je hoort er alleen niets over. We delen niets met elkaar. Want als iedereen gaat vertellen hoe het bijna fout ging, dan schrikken we uiteraard verschrikkelijk met z’n allen. Daarom doen we het waarschijnlijk niet.”

Onkunde, onwil en angst voor imagoschade gaan voor ons de komende jaren gevaarlijker zijn dan hackers in achterkamertjes. Maar er is ook een positieve noot: wereldwijd blazen de hackers van de AIVD een aardig deuntje mee. 🎺

Het goed ontwerpen van digitale overheidsdienstverlening is een kunst, en de UK Government Digital Service is daarbij een voorloper. Lou Downe, voorheen Design Director van UK Gov, schreef er een boek over: Good Services. Daarin beschrijft ze 15 design principes die de basis vormen voor goede dienstverlening. Want:

Maike Klip las het en vertaalde de 15 principes ook direct naar het Nederlands:

  1. Makkelijk te vinden. Iemand moet je dienst kunnen vinden zonder dat die de taal van je organisatie spreekt. Bijvoorbeeld iemand die wil leren autorijden, moet de weg naar ‘een rijbewijs’ kunnen vinden als onderdeel van die dienst zonder hulplijnen.
  2. Legt de bedoeling duidelijk uit. Het doel van een dienst is helder voor iedereen die het gebruikt bij de start. Dat betekent dat iemand die het niet eerder heeft gebruikt, begrijpt wat de dienst voor hen doet en hoe het werkt.
  3. Voldoet aan de verwachting van de gebruiker. Een goede dienst legt helder uit wat nodig is van iemand om de dienst te kunnen gebruiken en wat iemand vervolgens van de dienst mag verwachten. Hierbij hoort ook hoelang het duurt om iets af te maken, hoeveel het kost en of er voorwaarden aan de dienst zijn verbonden.
  4. Zorgt ervoor dat je kunt doen wat je wilde doen. Een goede dienst helpt je om je doel te bereiken, bijvoorbeeld een bedrijf beginnen, leren autorijden of verhuizen, in een zo soepel mogelijke volgorde van taken. Dit begint op het moment dat iemand het idee krijgt om iets te doen tot het moment dat het doel bereikt is, inclusief alle stappen ter ondersteuning erna.
  5. Voelt vertrouwd aan. Mensen baseren hun kennis van de wereld op basis van eerdere ervaringen. Als er een vaste gewoonte is voor je dienst waar mensen voordeel bij hebben, voldoe daar dan aan. Hou in je achterhoofd dat niet alle gewoontes in het voordeel van je doelgroep werken. Sommigen zijn eerder in het voordeel van je eigen organisatie. Vermijd gewoontes met negatieve effecten op je doelgroep en die inefficiënt en achterhaald zijn.
  6. Vraagt niet om voorkennis. Een dienst moet er niet van uitgaan dat iemand al weet hoe het werkt.
  7. Heeft geen last van organisatorische structuren. Een dienst moet zo werken dat het niet onnodig laat zien hoe de organisatie in elkaar zit die de dienst aanbiedt.
  8. Heeft zo min mogelijk stappen nodig om te doorlopen. Een goede dienst vraagt zo min mogelijk interactie van iemand om het doel te bereiken. Soms betekent dit om pro-actief aan iemands verwachting te voldoen zonder dat die de interactie uitlokt. Bijvoorbeeld door soms het proces te vertragen om iemand te helpen de informatie te begrijpen of een moeilijke beslissing te maken zonder dat die daarvoor contact met je hoeft te zoeken.
  9. Is van a tot z consistent. De dienst werkt, voelt en ziet eruit als een geheel, ongeacht het kanaal waarop de dienst wordt gebruikt. De taal is consistent, net zoals de visuele en interactiepatronen.
  10. Heeft geen losse eindjes. Een dienst stuurt mensen naar een duidelijk doel, of iemand nu wel of niet aan de voorwaarden van de dienst voldoet. Niemand mag achterblijven of halverwege in de dienst vastlopen zonder te weten hoe die verder moet.

Good services pagina lou downes

  1. Voor iedereen even bruikbaar. Het maakt niet uit wie de dienst gebruikt, wat diens omstandigheden of vaardigheden zijn: iedereen moet de dienst evengoed kunnen gebruiken.
  2. Moedigt het juiste gedrag aan van gebruikers en medewerkers. De dienst moet veilig en productief gedrag aanmoedigen, zowel voor gebruikers als medewerkers. Voor gebruikers: de dienst maakt onveilig gedrag onmogelijk, bijvoorbeeld dat je niet per ongeluk data deelt zonder dat je weet waarvoor. Voor medewerkers: de dienst hoort je niet af te rekenen op KPI’s waardoor je een slechte service aan gebruikers geeft.
  3. Kan snel met verandering omgaan. De dienst past zich makkelijk en snel aan degene die het gebruikt. Bijvoorbeeld als iemand online het telefoonnummer wijzigt, wordt het nieuwe nummer herkend bij persoonlijk contact.
  4. Legt beslissingen duidelijk uit. Wanneer een beslissing wordt gemaakt in de dienst, moet de gebruiker begrijpen waarom dat zo is. De dienst moet dit duidelijk communiceren en laten zien hoe je er tegen in kunt gaan.
  5. Biedt altijd makkelijk persoonlijke hulp. Een dienst hoort iemand altijd op een makkelijke manier persoonlijke contact aan te bieden, als die daar behoefte aan heeft.

Als je je organisatie meekrijgt in het menselijker maken van jullie dienstverlening, en daarbij in gedachten houdt dat digitale vaardigheden erg verschillen, zijn deze principes hele goede handvatten.

Tot vandaag had ik er nog nooit van gehoord, maar dankzij Daniël Verlaan weet ik nu wat stalkerware is:

Met stalkerware neemt een (ex-)partner de smartphone van het doelwit over. Hij kan meelezen met WhatsAppgesprekken, foto’s en video’s bekijken en de locatie van de telefoon opvragen. Zelfs verwijderde WhatsAppberichten zijn nog zichtbaar. Met meer geavanceerde stalkerware is het mogelijk om op afstand de microfoon en camera in te schakelen, bijvoorbeeld om mee te luisteren met (telefoon)gesprekken.

Ons hele persoonlijke leven staat natuurlijk op onze telefoon. Waar een bekende bij kan zodra hij één keer fysiek toegang tot je telefoon heeft gehad.

  • Op Android door de ingebouwde malware scanner Play Protect uit te zetten en vervolgens een stalkerware app te installeren.
  • Op iOS meestal via het iCloud-account van de getroffene. Dan kunnen de gegevens uit de back-ups naar iCloud door de stalkerware software worden opgehaald.
  • Al kunnen de technisch onderlegden natuurlijk ook een Android-telefoon ‘rooten’ of een iPhone ‘jailbreaken’. En daarmee nog veel dieper toegang verkrijgen tot een telefoon.

Stalkerware herkennen en verwijderen klinkt trouwens nog niet zo simpel. Als ik het afzet tegen de gemiddelde digitale vaardigheden vermoed ik dat veel Nederlanders niet zomaar stalkerware kunnen identificeren.

P.S. Op ‘Laat Je Niet Hack Maken.nl‘ legt Daniël Verlaan trouwens op een begrijpelijke manier uit hoe je jezelf beschermt tegen hackers. 👨‍💻

De nieuwe versie van Darkroom heeft een configureerbaar Watermerk-optie bij exports. Handig!

Screenshot van de watermerk-functie in iOS app Darkroom

NRC:

De overheid moet stoppen met het gebruik van Systeem Risico Indicatie (SyRI) om fraude op te sporen. Het systeem is in strijd met het Europese Verdrag voor de Rechten van de Mens (EVRM) en privacywetgeving. Dat heeft de rechtbank in Den Haag woensdag bepaald in een principiële rechtszaak over het gebruik van data van burgers door de overheid.

De inzet van het fraudebestrijdingssysteem werd aangevochten door een ‘privacycoalitie’ die zeker niet tegen fraudebestrijding was. Maar die de manier waarop dit met SyRI werd gedaan buitenproportioneel vond.

Want SyRI ging vrij ver. Hoe ver? Arnoud Engelfriet legt het uit:

SyRI is bedoeld voor gemeenten om fraude met sociale voorzieningen op te sporen. Dat gebeurt door gegevens van burgers uit allerlei overheidsdatabases te koppelen. Via een algoritme komen vervolgens risicoprofielen en personen met een verhoogd risico op fraude naar voren. Grof gezegd: als in het weekend je waterverbruik hoger is dan normaal en je staat als alleenstaand bekend, dan ben je een mogelijke fraudeur, pardon een risico want kennelijk woont je partner in het weekend bij jou. Dus dan krijg je een onderzoek en moet je aantonen dat je in het weekend gewoon graag in bad gaat. (Let op dat jij de bewijslast hebt want jij moet alle relevante feiten melden, dus ook bewijzen dat je alles hebt gemeld. Ja dit is raar.)

Daarbij werden heel veel gegevens verzameld en gekoppeld, waarbij niet transparant was hoe die data werd vertaald naar risicoprofielen. En dat was in strijd met met artikel 8 lid 2 van het Europees Verdrag van de Rechten voor de Mens. Tweakers:

Daarin staat dat er ‘een redelijke verhouding’ moet zijn tussen het maatschappelijk belang van een wet en de inbreuk op iemands privéleven. “De wetgeving is wat betreft de inzet van SyRI onvoldoende inzichtelijk en controleerbaar. De wetgeving is onrechtmatig want in strijd met hoger recht en dus onverbindend”, staat in het vonnis. SyRI bevat te weinig waarborgen waarmee het privéleven van de burgers wordt beschermd en is daarmee buitenproportioneel voor het doel om fraude tegen te gaan. Zo wordt er te weinig gedacht aan dataminimalisatie en is er geen onafhankelijke toetsing van een derde partij om naar de proportionaliteit en de inzet te kijken.

Het systeem is dus onvoldoende uitgedacht, niet proportioneel, er is geen controle en je kunt automatische risico-beoordelingen niet aanvechten. Maar erger nog, het werkt niet. Ton Zylstra:

SyRI is sinds 2015 toegepast in Eindhoven (G.A.L.O.P. II), de Afrikaanderwijk te Rotterdam, Capelle aan den IJssel, Rotterdam Bloemhof & Hillesluis en Haarlem Schalkwijk. Altijd in sociaal zwakkere wijken. En in contrast met alle verhalen over cutting edge dingen die je met big data en algoritmen kunt doen, werkt SyRi geheel niet. Het vonnis gaat daar verder niet op in, want het was geen onderdeel van de zaak. De Volkskrant achterhaalde vorig jaar echter dat er nog géén énkel fraudegeval is opgespoord sinds SyRI in 2014 wettelijk mogelijk werd.

Terwijl men toch als eerste de mogelijke baten en verwachtte kosten had moeten inschatten.

Hopelijk zal hierdoor het heersende paradigma dat data goud waard is, en meer data overal en altijd beter, langzamerhand een beetje terrein verliezen. Want data meestal niet het grootste probleem…

Afgelopen weekend kon ik binnen 24 uur genieten van drie mooie films op het International Film Festival Rotterdam (IFFR) 2020.

Adam

Adam film maryam touzani 2020

(Still uit Adam)

In Maryam Touzani’s debuut Adam is Samia, een jonge vrouw die over straat lijkt te zwerven, op zoek naar werk en een slaapplek. Zwanger maar niet getrouwd. Ze belandt bij de bakkerij van weduwe Abla en haar dochter Warda. Een beetje met tegenzin helpt Abla haar aan een slaapplaats, maar geleidelijk blijkt dat zij net zoveel hulp nodig heeft als Samia.

Adam plays on so many levels: as a buddy-buddy story, as a feminist critique of a patriarchal society and as the story of motherhood. But what is remarkable is how Touzani never lets the societal themes feel heavy, maintaining a light, affectionate tone throughout. – Cineurope

Heel mooi gespeeld, met twee fantastische actrices en een speciale bijrol voor het kneden en bakken in de bakkerij. De beelden voelen bijna schilderachtig.

A Day in the Life of Noah Piugattuk

Still uit A Day in the Life of Noah Piugattuk

(Still uit A Day in the Life of Noah Piugattuk)

Ergens in 1961 begint de dag voor Noah met een kop thee. Heel gewoon eigenlijk. En daarna gaat hij, met andere leden van zijn groep, op jacht.

Deze dag speelt zich alleen af in het lege sneeuwlandschap van Nunavut, in het uiterste noorden van Canada. En onderweg komen ze een ‘white man’ tegen. Die is, met een vertaler, gekomen om te vertellen dat ze hun traditionele manier van leven moeten opgeven om in de nederzetting te gaan wonen en hun kinderen naar school te brengen.

Wat volgt is een conversatie die nergens toe leidt, compleet ‘lost in translation’. Waar de Inuit veel plezier hebben, maar je toch voelt dat het nooit goed zal aflopen voor hen.

Een langzaam opbouwende film die je aandacht vasthoudt tot het eind. Ook echt een aanrader.

Crash

Vrijdagavond was er een speciale vertoning van David Cronenberg’s cultfilm Crash (1996) met het Rotterdams Philharmonisch Orkest. Onder leiding van dirigent Mike Schäperclaus speelden ze live de filmmuziek van Howard Shore . Heel bijzonder.

Crash cronenberg live score rotterdam philharmonic

Wendy Grossman (via Ton):

There was a time when a computer was a wholly-owned system built by a single company that also wrote and maintained its software; if it was networked it used that company’s proprietary protocols. Then came PCs, and third-party software, and the famously insecure Internet. 5G, however, goes deeper: a network in which we trust nothing and no one, not just software but chips, wires, supply chains, and antennas, which Thomas explains “will have to contain a lot of computer components and software to process the signals and interact with other parts of the network”. It’s impossible to control every piece of all that; trying would send us into frequent panics over this or that component or supplier (see for example Super Micro). The discussion Thomas would like us to have is, “How secure do we need the networks to be, and how do we intend to meet those needs, irrespective of who the suppliers are?”

In other words, the essential question is: how do you build trusted communications on an untrusted network? The Internet’s last 25 years have taught us a key piece of the solution: encrypt, encrypt, encrypt.

Ons digitale leven wordt stapje-voor-stapje verder versleuteld. Berichten die we uitwisselen via Whatsapp zijn dat al (behalve in de back-up naar je iCloud-account), al zeker 80% van ons bezoek aan websites en langzamerhand ook de bijbehorende DNS-requests. Onze smartphones zijn standaard versleuteld, en moderne besturingssystemen bieden de optie ook. Nu onze e-mails nog. :)

Vroeger was het internet beter, vinden oude internetrotten meestal. Er was meer community-gevoel, meer online creativiteit. Maar…

…eigenlijk is het er nog steeds, constateer Dan Hon:

A global communications network now exists that’s cheap enough or in some cases even free to access, offering a pseudonymous way for people to feel safe enough to share a private experience with complete strangers? I give Facebook and Twitter a bunch of shit for their rhetoric about a global community (no, Facebook’s billions of users are no more a community than the television-watching global community) and creating authentic connection, but I will very happily admit that this, this particular example with people sharing what it is like to be me and learning what is it like to be you is the good.

This is the thing that makes free, open, networked communication brilliant. This is the thing that brings down silos and creates common understanding and humanizes us all, that creates empathy and the first steps towards compassion.

That someone can read about this insight and have a way to react to it and share their perspective and not even know who else might read it, but feel safe in doing so and maybe even with the expectation that this sharing is a net good? That is good. That is what we should strive for.

Dan heeft Craig Newmark toch gelijk.
(via Om Malik)