Velen zullen de nieuwe video hebben gezien, waarin Bernie Sanders in een gesprek met Claude de risico's van AI inzichtelijk maakt (zie https://youtu.be/h3AtWdeu_G0?is=WaFaDE3b9gXHORL7).

Hoewel sommigen (terecht) kritiek leveren dat het wel een wat hoog Anthropic-promo gehalte heeft, vind ik het wel een sterke video. Zorgen waar velen (waaronder ik) al tijden voor waarschuwen worden eenvoudig uitgelegd.

Enorme databanken met persoonlijke informatie worden op een gevaarlijke manier gecombineerd voor commerciëel (en erger!) belang.

Waar de video nog te weinig over vertelt is: waarom accepteren we dat er op zoveel onnodige plekken sporen van ons worden verzameld?

En dan denk ik in de eerste plaats aan Meta en Google die bij de mensen echt vrijwel *iedere* online stap volgen.

En in het bijzonder van Meta, dat zich herhaaldelijk als groot schurkenbedrijf heeft geprofileerd, vind ik dat onbegrijpelijk.

Mensen, als je net als Bernie en ik je terecht zorgen maakt over de manipulatie die Bernie beschrijft, laat dan geen boeven iedere stap die je zet volgen, en verwijder gisteren nog de apps van Facebook, Instagram en WhatsApp van je telefoon.

Kan gewoon. Ik zie jullie graag op Mastodon en Signal! ✊

Zorg dat je niet wordt opgelicht!

Na de vreselijke datalekken van het afgelopen jaar heb ik mijn moeder op het hart gedrukt nooit betalingen te doen zonder die eerst aan mij voor te leggen. Het kan er nog zo professioneel uitzien, oplichting via brieven, sms, whatsapp en mail zijn schering en inslag tegenwoordig. De oplichters weten veel teveel van ons en daardoor lijkt het al snel legitiem.

Ze merkte scherp op dat een brief voor lokale belastingen bij de Gemeente Nijmegen was voorzien van een nieuw rekeningnummer. Nieuwe websites, telefoonnummers en zeker bankrekeningnummers zijn altijd een alarmsignaal!

Dus keek ik samen met haar of alles in orde was. De gemeente Nijmegen had inderdaad recentelijk uit duurzaamheidsoverwegingen van bank gewisseld.

Hoe controleer je of het in orde is? De meest eenvoudige manier is om te kijken of er op de website van de organisatie zelf, in dit geval Nijmegen.nl, melding wordt gemaakt van het nieuwe rekeningnummer. Dat was het geval! Op https://www.nijmegen.nl/nieuws/gemeente-nijmegen-heeft-vanaf-1-juni-2025-nieuwe-bankrekeningnummers/ kun je zien welke rekeningnummers allemaal zijn vervangen.

Twijfel je over een rekening? Ga dan naar de website van de organisatie om het te controleren. Meer dan 99% van de oplichting kun je daarmee voorkomen. Let op: als je wordt opgelicht zullen oplichters in hun mailtjes of brieven je misschien naar een valse website sturen met foute informatie. Dus klik ter controle nooit op links in de brieven, maar navigeer zelf vanuit je webbrowser! Hetzelfde geldt voor telefoonnummers: zoek die altijd zelf op via de website als je een brief/mail/sms niet vertrouwt.

Tevens een advies voor bedrijven en organisaties: zorg dat dit soort informatie op je website eenvoudig vindbaar is (zoals bij de gemeente Nijmegen)!

DE BASICS VAN DATABESCHERMING (deel 2)

Grootschalige datalekken bij ODIDO, Clinical Diagnostics en Dienst Justitiële Inrichtingen. Ze maken mensen het leven zuur en zijn helaas aan de orde van de dag.

Daarom besloot ik een paar stukjes te schrijven over preventieve technieken.

In mijn vorige stuk (https://hear-me.social/@joepbc/116125280522155344) schreef ik over ‘Fijnmazig toegangsbeheer’, tegen lekken en identificatie.

Identificatie tegengaan werkt alleen als data geen eenvoudig identificerende identifiërs heeft. En daarom wil ik vandaag iets vertellen over:

* Micropseudonimisatie! *

Een bloedgroep, een allergie of een rapportcijfer an sich is niet zo gevoelig. Laat ik een paar voorbeelden geven: O-, Coeliakie en 8+.

Ik heb van niemand een verwerkingsgrondslag nodig voor bovenstaande zin. Zelfs zelfs niet als ze van studenten van studie X zijn (in werkelijkheid heb ik ze uit de mouw geschud).

Het wordt minder prettig voor deze studenten als ik hun namen of BSN-nummers erbij zou geven. Maar als ik een studie wil doen naar eiwitten in bloed bij bloedgroepen, heb ik die namen of BSN-nummers niet nodig. Als iemand een glutenvrije maaltijd wil bestellen is die informatie ook niet nodig. En een computersysteem dat een studieadvies geeft... idem dito.

Toch kunnen we hier geen gebruik maken van ‘anonieme’ gegevens (een veelgemaakte verwarring). De bloedgroep hoort bij andere persoonsgegevens. In de kantine wil je dat de juiste maaltijd terechtkomt bij de persoon met de allergie, en een studieadvies hoort ook bij iemand.

En toch kan de bloed-analist werken zonder de student te identificëren. De kok werkt op basis van een bestelnummer. Het computersysteem kan cijfers analyseren zonder te weten over wie ze gaan.

Allemaal dankzij *Micropseudonimisatie!*

We werken met ‘codes’ die voor de rest van de wereld niets betekenen.

Vaak wordt al gewerkt met pseudoniemen. Bijvoorbeeld door een naam of BSN te vervangen door een studentnummer. Maar als je vervolgens alle verwerkingen doet op basis van studentnummers wordt het studentnummer an sich ook een identificerende code. Gevoelsmatig zul je ook vinden dat het niet nodig moet zijn om je studentnummer met de keuken te delen als je iets wil eten.

Een computersysteem kan studieresultaten analyseren en er een advies bij geven zonder te weten over wie het gaat. Ook dit systeem, waar misschien ook andere (systeem)beheerders toegang toe hebben, geven we liever een eenmalige code. Mogelijk altijd dezelfde code bij dezelfde student, maar altijd een ‘identifier’ die verder voor niemand op de wereld relevantie heeft.

Als dat computersysteem gehackt wordt, of de (systeem)beheerder ervan omgekocht, dan zijn de cijfers met die codes bijna waardeloos.

Dan hebben we alleen nog een systeem nodig om die codes (micropseudoniemen) allemaal aan elkaar te koppelen, in combinatie met het databeheer van de vorige keer, zonder dat er daardoor weer iemand komt die bij al die data mag. Ook dat is mogelijk! Daarover later meer!

Stay tuned!

DE BASICS VAN DATABESCHERMING (deel 1)

Het lijkt erop dat de hack bij ODIDO (tenminste) het gevolg is van social engineering. Medewerkers die bij gegevens konden zijn misleid door hackers, en hebben deze hackers zo direct of indirect toegang gegeven tot veel gevoelige informatie.

Onderstaande (aanpassing op het bekende) XKCD stripje stipt een terecht punt aan: in sommige gevallen is de menselijke gebruiker de zwakte, niet de onderliggende versleuteling.

"Kun je dan technisch niets doen om dit soort hacks te voorkomen?" zul je misschien denken.

"Au the contraire!" Zou ik in goed Frans willen reageren. Er zijn hele goede databeveiligingstechnieken die beschermen tegen dit soort hacks, en die de schade als ze toch optreden veel minder erg maken.

Ik wil de komende dagen tenminste *drie* methodes wat verder toelichten. Allemaal technieken die we hebben ingebouwd in onze PEP Repository voor verantwoord datagebruik. Deze software ontwikkelen we open source aan de Radboud University.

Vandaag wil ik aftrappen met:

1) Fijnmazig toegangsbeheer.

In de meeste gevallen hoeven onderzoekers of medewerkers maar toegang tot kleine onderdelen van een dataset.

Bijvoorbeeld: de collega die moet controleren of de consentformulieren goed zijn ingevuld hoeft waarschijnlijk geen toegang tot medische gegevens of ingevulde vragenlijsten van deze mensen. Het 'vinkje' dat deze medewerker zet is genoeg voor de onderzoekers die met de medische data aan de slag gaan. Zo hoeven de mensen over wie de data gaat voor hen niet herleidbaar te zijn.

Een ander voorbeeld: een computersysteem waarmee vragenlijsten worden ingevuld moet de antwoorden ergens (permanent) kunnen opslaan zodat die toegankelijk worden voor onderzoekers. Dit systeem hoeft deze data alleen maar te kunnen schrijven/exporteren, zodat als het wachtwoord van dat systeem op straat komt te liggen, de nieuwe eigenaar de reeds ingevulde vragenlijsten niet kan opvragen.

En wanneer opgeslagen persoonsgegevens worden gedeeld met een onderzoeker, wil je alleen _die_ data delen die noodzakelijk is voor dat onderzoek. "Data minimalisatie" noemen we dat (en dat stelt de AVG ook verplicht). Als data dan onverhoopt uitlekt blijft de schade beperkt. Natuurlijk zorg je er voor onderzoek voor dat er nooit namen, BSN's of andere direct herleidbare gegevens in de dataset zitten.

To be continued! Morgen wil ik iets meer vertellen over Micropseudonimisatie. Stay tuned!

(graag vragen, opmerkingen en verzoeken in de commentaren!)

Wat doen verslavende telefoons met de gezondheid van jongeren?

En wat doen Amerikaanse bedrijven met de gezondheid van onze overheid?

Op woensdag 25 februari organiseert Bibliotheek Gelderland Zuid (in het centrum van Nijmegen) vanaf 19:30 een thema-avond over digitale onafhankelijkheid en over het effect van smartphones en verslavende techniek op onze maatschappij.

Dat gesprek voeren we met tech-expert Brenno de Winter en toekomstonderzoeker Lilian de Jong.

Daarnaast nemen deel aan het gesprek voormalig wethouder ICT en directeur van een middelbare school Petra Molenaar, kandidaat raadslid voor het CDA Clemens Keultjes en ik als kandidaat raadslid voor GroenLinks.

Er zijn nog plekken beschikbaar, dus schrijf je snel in via https://obgz.op-shop.nl/20021/bijeenkomst-over-digitale-onafhankelijkheid-en-smartphonevrij-opgroeien/25-02-2026 !

Zie ik jullie woensdag?

Extreem rijke conservatieven, zoals Elon Musk, zitten achter de grote sociale media platforms en ze maken het steeds bonter.

Met ondoorzichtige algoritmes promoot het X van Musk actief zijn politieke agenda terwijl andere stemmen op de tijdlijnen worden weggedrukt. Het platform grossiert sinds Musks overname in de verspreiding van nepnieuws en haat, en sinds kort ook nog in deep fake AI afbeeldingen waarop mensen, zelfs kinderen, ongevraagd zijn uitgekleed door Grok, de AI bot van X.

Het beschadigt onze democratie en onze veiligheid, en het schetst een misleidend wereldbeeld. Wat ons betreft is de grens daarom bereikt en gaat de gemeente Nijmegen weg van X. Als gemeente moeten we inzetten op sociale media die eerlijk en onafhankelijk zijn. Zoals Mastodon.

Daarom stelde ik, samen met @Mikakraft van de Nijmeegse PvdA, schriftelijke vragen aan het Nijmeegse college over het gebruik van X en Mastodon.

Vanavond stemde de Nijmeegse raad over ons amendement waarmee we duidelijk richting onze regionale ICT dienstverlener communiceren dat we versneld onafhankelijk willen worden van techbedrijven, en zeker die van buiten de EU. Zie https://mastodon.social/@joepbc/116012897536108509

Ik sprak daarbij de onderstaande tekst:
--
Het was tijdens precies deze raadsvergadering, maar dan 7 jaar geleden. Bij de bespreking van de Kadernota iRvN werd de motie “Nijmegen Digitaal Onafhankelijk” raadsbreed omarmd. En hoewel veel Nijmegenaren het gemist zullen hebben schreef het Open Source Observatory van de Europese Commissie hier vol lof over, net als een journalist van het internationale OpenSource.com.

In Nijmegen gingen we het vanaf dat moment digitaal anders doen. Zouden we ons los wrikken van techmonopolisten. Alleen in uiterste gevallen zouden we het nog toestaan dat ze ons gevangen hielden in hun digitale houtgrepen. Alleen als het niet anders kon.

En hier zijn we dan.

Overal in Nederland gebruiken overheden volop IT-producten van voornamelijk Amerikaanse leveranciers. Met grote afhankelijkheden van deze partijen, en grote privacyrisico’s voor de mensen wier persoonlijke data hierbij betrokken zijn. De Amerikaanse veiligheidsdiensten luisteren mee met veel van wat we doen.

Het goede nieuws is: de afgelopen weken is van links tot rechts door alle experts glashelder bevestigd: we hebben Amerika niet nodig voor onze taken. Nederland heeft toegang tot alle benodigde kennis en middelen om alles Europees te doen. Zonder invloed van Amerikaanse partijen, Amerikaans recht, en buiten de scope van Amerikaanse veiligheidsdiensten. Tel uit ook de winst voor onze economie.

Het kan dus wel. Maar gaan we het ook doen? Dit keer echt?

Ik heb veel vertrouwen in het werk en de ambities van dit college en onze ambtelijke organisatie. Maar we hebben ook gezien wat er kan gebeuren als de kaders teveel ruimte laten voor business as usual.

Als onderdeel van het proces ‘Visie op Digitaal Nijmegen’ stellen we als raad de komende periode steeds meer details hieromtrent vast.

Aan de ene Europese grens worden we bedreigd door Putin, en aan de andere kant worden we gechanteerd door Trump. Er is dus geen dag te verliezen met deze transitie, en daar hebben we onze dienstverlener iRvN bij nodig.

Met het amendement “Meer dan hopen en bidden voor Soevereine ICT”, mede ingediend door PvdD, SP, PvdA en CDA, communiceren we klip en klaar met onze belangrijke dienstverlener iRvN welke kant we op willen. De tijd van ‘of’ is voorbij, het is nu tijd voor ‘hoe’.

--

Wil je meer weten over dit onderwerp? Kijk dan op https://StemJoep.nl