Piratenpartij Delft

voor een vrije informatiesamenleving

Delft

Initiatiefvoorstel voor digitale soevereiniteit positief ontvangen

door Reageer

Het zomerreces is voorbij en de Delftse gemeenteraad komt inmiddels ook weer fysiek bijeen. Een mooi moment voor een update. Dit jaar stond voor de Piratenpartij Delft grotendeels in het teken van het opstellen van een initiatiefvoorstel. Een voorstel over een onderwerp waar de Piratenpartij sinds haar oprichting een duidelijk standpunt over heeft.

Al in 2010, het oprichtingsjaar van de Piratenpartij Nederland, stonden er diverse paragrafen over vrije opensourcesoftware, open formaten en open standaarden in het landelijke verkiezingsprogramma. De Piratenpartij Delft pleit sinds haar oprichting voor vrije opensourcesoftware bij de gemeente. Begin 2016 stelde de Piratenpartij Delft schriftelijke vragen aan de gemeente over de omgang met vrije opensourcesoftware. Daaropvolgend werd er met hulp van deskundige Arjen Kamphuis een FOSS workshop voor beleidsambtenaren en enkele raadsleden gegeven. In de gemeenteraad was STIP een partij die positief ten opzichte van vrije opensourcesoftware stond. Sinds de gemeenteraadsverkiezingen van 2018 werken wij intensief samen met STIP, dat maar liefst zes zetels behaalde. Vrije opensourcesoftware en een transparante overheid waren in 2018 verkiezingsprogrammapunten.

Het initiatiefvoorstel ‘Delftse principes voor digitale soevereiniteit’ beoogt de digitale dienstverlening van de gemeente te verbeteren. Door vijf Delftse principes:

  • Vrijheid door opensourcesoftware en contractafspraken;
  • Gebruik van open standaarden;
  • Inzetten op hergebruik;
  • Open tenzij;
  • Duurzame samenwerking,

te hanteren vergroot de gemeente de digitale soevereiniteit en zet het een vliegwiel van positieve ontwikkelingen op gang.

Wij zijn verheugd dat naast STIP ook D66, Groenlinks en Onafhankelijk Delft het initiatiefvoorstel mede wilden indienen. Het college van burgemeester en wethouders van Delft heeft inmiddels ook positief gereageerd op het doel om ‘de digitale soevereiniteit van de gemeente Delft te bevorderen en de vernieuwing en doorontwikkeling van de gemeentelijke IT te stimuleren’, met daarbij aandacht voor de praktische kant van de uitvoering.

Nu op naar het definitieve besluit van de gemeenteraad!

Update: In de Uitloopvergadering commissie Economie, Financiën en Bestuur van 12-10-2021 is besloten dat het initiatiefvoorstel als hamerstuk zal worden behandeld in de volgende Raadsvergadering!

Update: In de Raadsvergadering van 18-11-2021 is het initiatiefvoorstel door een klap met de hamer van raadsvoorzitter en burgemeester Marja van Bijsterveldt aangenomen.

Delftse Gemeenteraad stopt met WhatsApp

door Reageer

Op de raadsvergadering van dinsdag 11 mei is besloten dat de gemeenteraad stopt met het gebruik van WhatsApp, zie aangenomen motie “Raad ruilt WhatsApp in voor privacy vriendelijk alternatief” (heel goed, dat zouden meer organisaties moeten doen!) Diverse media berichten over dit besluit waarbij de indruk wordt gewekt dat MS Teams een privacyvriendelijk alternatief is. Dat is het niet. En toch is dit een goede stap van de gemeenteraad, zij het een klein stapje.

Zoek je zelf een goede privacy respecterende berichten app? Kies dan voor opensource messenger apps als Signal of Element

Vanwege Corona zijn raadsvergaderingen online, hiervoor wordt nog MS Teams gebruikt, net als in de rest van de kantooromgeving waar Microsoft Windows en Microsoft Office draait. WhatsApp werd voornamelijk gebruikt tijdens online raadsvergaderingen om aan te geven dat iemand het woord wil. Dit gaat in het vervolg via de chat in Microsoft Teams, zolang de raadsvergaderingen nog online moeten plaats vinden. Dat Microsoft Teams nog niet over end-to-end encryptie beschikt is in dit specifieke geval niet erg; alle informatie is immers openbaar. Met de aankomende versoepelingen zal dit binnenkort weer in de raadszaal kunnen wat veel beter is dan welke online vergadertool ook. Voor online vergaderingen zijn Jitsi , Nextcloud Talk en BigBlueButton privacyvriendelijke oplossingen.
Microsoft diensten zijn niet privacyvriendelijk: 

  • Verzamelen veel te veel data onder het mom van “telemetrie”.
  • Iedere PC met Windows 10 is voorzien van een advertising-ID welke niet verwijderd kan worden.
  • Microsoft Teams heeft nog geen end-to-end encryptie.
  • Microsoft valt als Amerikaas bedrijf onder de US-Cloud act welke conflicteert met de GDPR/AVG. Ze zijn  verplicht om data aan USA inlichtingendiensten te verstrekken als die erom vragen, wat dan weer overtreding van de AVG is.
  • Is closed source proprietary software waarvan de werking niet precies gecontroleerd kan worden.
  • Surveillance is ingebouwd in Microsoft Office 365, ook al belooft Microsoft in haar verwerkersovereekomst netjes met deze data om te gaan.

Deze aangenomen motie is een goede eerste stap, maar betekent nog niet dat de hele gemeente inclusief communicatie met burgers stopt met WhatsApp (en Facebook en Instagram). Wat ons betreft is dat een goede volgende stap.
Uiteindelijk is het van belang om toe te werken naar een transparante, veiligere overheids ICT die de soevereiniteit van de gemeente waarborgt. Dit kan alleen door om te schakelen naar vrije opensource oplossingen. Dit is software die de gebruiker vier vrijheden geeft:

  1. Vrijheid om de software te gebruiken voor elk doel;
  2. Vrijheid om de software te bestuderen en te veranderen, daarom is de broncode van vrijesoftware vrij beschikbaar;
  3. Vrijheid om de software aan iemand anders te geven zodat je iemand kunt helpen;
  4. Vrijheid om de software te veranderen en deze veranderde software te distribueren, zodat iedereen hiervan profiteert.

Uiteindelijk kan de gemeente alleen met vrije software de baas blijven over de digitale infrastructuur, de soevereiniteit behouden en leveranciersafhankelijkheid beperken.

Evaluatie deeldataverzamelfietsen

door Reageer

In de gemeente Delft loopt sinds december 2017 een pilot met deelfietsen. Op 6 februari 2020 werd de evaluatie hiervan besproken in de commissie vergadering Ruimte en Verkeer. (link)
Ondanks een eerder toezegging aan STIP dat privacy aspecten meegenomen zouden worden, ontbrak in de evaluatie alles wat in het digitale domein gebeurt.

Dit is alsof je een olifant gaat evalueren en dan alleen naar de poten kijkt.

Daarom vonden wij het zeer belangrijk te gaan inspreken. Zeker omdat in het geval van Mobike de privacyschendingen zover gaan dat het primair een dataverzamelbedrijf is in plaats van een deelfietsaanbieder.

De hele commissievergadering is hier terug te kijken. Het agendapunt over de deelfietsen is vanaf 19:45 (Opmerkelijk is dat vergaderingen van de gemeente Delft worden gehost bij Google en voorzien zijn van tracking door Google-analytics en Twitter, zie de raadsvragen die we samen met STIP hierover stelde)

Hier het verhaal dat we hebben ingebracht (3 min spreektijd):

Bedankt dat ik hier kan inspreken.
In mijn dagelijks leven werk ik als computer netwerkontwerper. Hierbij is aandacht voor security en privacy altijd een belangrijk onderdeel.
Ik benader zaken meestal met technische insteek en kijk daarbij naar het hele systeem.

Deelfietsen zijn een slim concept, dat vele voordelen met zich mee kan brengen. Ik heb de evaluatie bekeken en het viel me op dat er uitsluitend aandacht is voor de deelfietsen en het gebruik in de openbare ruimte. Voor het gedeelte dat zich in het digitale domein afspeelt is geen aandacht, terwijl dit een belangrijk onderdeel is van ieder deelfietsen systeem.

Binnen het digitale domein is het belangrijk om Privacy-by-design altijd mee te nemen bij het ontwerpen, inrichten en evalueren van deelsystemen. 

Data is immers het nieuwe goud: Daar moeten we zuinig op zijn. Ik vind dat ook de gemeente een verantwoordelijkheid heeft om de persoonsgegevens van haar burgers te beschermen.

Het is op Privacy dat de huidige deelfietsaanbieder in Delft, Mobike, ernstig tekort schiet.

Ik heb de app bekeken en ik zie allerlei overbodige permissies. Onder andere toegang tot opslag op de telefoon, bluetooth administrator rechten en zelfs toegang om Andere apps te kunnen installeren.
Bij het aanmaken van een account wordt ook nog onnodig het telefoonnummer geregistreerd.

Als je de app installeert en opstart vraag deze meteen om toegang tot locatie. Als je je locatie niet deelt, sluit de app af. De app legt direct contact met servers in China. China is geen onderdeel van de EER, dus hiervoor is in de AVG goed geïnformeerde expliciete toestemming vereist. Mobike wordt gehost in de Chinese cloud van het bedrijf Tencent (de Chinese Amazon).
Dit allemaal nog voordat de gebruiker de voorwaarden ook maar heeft kunnen zien. Ook op de website wordt verwezen naar de voorwaarden in de app.

Dit is allemaal niet toegestaan volgens de AVG. Ondanks dat dit eind 2018 breed in de media is geweest, lijkt Mobike op deze punten niet verbeterd te zijn (dit blijkt uit mijn eigen onderzoek waarbij ik het nu.nl onderzoek dunnetjes heb overgedaan).

Anoniem betalen is niet mogelijk. Dit verrijkt de data waardoor Mobike ook altijd over de echte naam beschikt. In Delft zijn veel interessante hightech bedrijven gevestigd. Dit is zeer waardevolle informatie, ook voor spionage.
Wie was er op bezoek bij het NIRI? of bij FoxIT? Dit is informatie die beschikbaar is op een server in China.

Kortom, Mobike is primair een dataverzamelbedrijf met maling aan de AVG, geen deelfietsverhuur.

Kijk in Delft dus naar andere deelfietsaanbieders, die zich wèl aan de wet willen houden en niet uit zijn op zoveel mogelijk data van gebruikers.

Raadsvragen over tracking op gemeentelijke websites

door Reageer

De websites van de Gemeente Delft gebruiken zogenaamde trackingcookies op, zonder hiervoor toestemming te vragen. De Piratenpartij Delft en STIP hebben privacy hoog in het vaandel staan en hebben daarom een aantal vragen aan het College van B&W gesteld.

Aanleiding

Uit een artikel in de Volkskrant, “Enkele tientallen gemeenten maken gebruik van agressieve online volgmethoden”, blijkt dat de Gemeente Delft zogenaamde trackingcookies gebruikt op haar gemeentelijke websites, zonder hiervoor toestemming te vragen bij de gebruikers van deze sites.

Samen met STIP is de Piratenpartij Delft, in de vorm van onze Werkgroep ICT, op onderzoek uitgegaan naar wat voor soort tracking de Gemeente Delft allemaal gebruikt. Hierbij zijn we onder andere trackingtechnieken van Google Analytics en het advertentienetwerk van Google, DoubleClick, tegengekomen.

Door dit soort technieken in te zetten kunnen bedrijven zoals Google informatie van gebruikers van de website inwinnen, die ze zouden kunnen gebruiken om die mensen advertenties op maat te serveren. Wij staan voor privacy en vinden dat een bezoek van een burger aan de website van de gemeente een zaak is tussen de burger en de gemeente. Ook hebben we vraagtekens bij de noodzaak van deze trackingtechnieken op gemeentelijke websites. Daarom heeft Marcel deze Schriftelijke Vragen gesteld.

Schriftelijke Vragen

Hieronder de gestelde vragen:

  • Is het college het met mij eens dat een bezoek van een burger aan de website van de gemeente een zaak is tussen de burger en de gemeente?
  • Heeft het college in kaart welke trackingcookies er worden gebruikt op alle gemeentelijke websites en met welke reden deze worden gebruikt?
    • Zo ja, kan hier een overzicht van worden gegeven?
    • Zo nee, is het college bereid dit in kaart te brengen en de resultaten van dit onderzoek te delen?
  • Is Google Analytics op het moment privacyvriendelijk ingesteld (volgens de handleiding van de Autoriteit Persoonsgegevens ) op alle gemeentelijke websites? Zo nee, is het college bereid dit wel te doen?
  • Is het college bereid een privacyvriendelijk alternatief te zoeken voor Google Analytics?
  • Hoe gaat het college in de toekomst voorkomen dat er nieuwe trackingcookies op de gemeentelijke websites terecht komen?

Vervolg

Binnen een paar weken verwachten we antwoorden van het College van Burgemeester & Wethouders over deze trackingcookies. Heb je nog vragen over dit onderwerp tot die tijd? Stel ze aan Marcel Harinck.

Piratenpartij Delft organiseert workshop digitale zelfverdediging

door Reageer

Veel mensen maken zich zorgen over de online veiligheid van persoonsgegevens. Wat gebeurt er met jouw gegevens, en wat kun je doen om jezelf te beschermen? STIP en de Piratenpartij Delft organiseren op woensdag 22 januari een workshop digitale zelfverdediging in het Prinsenkwartier. Met een interactief programma leer je hoe je je jezelf online beter kunt beschermen.

Na een korte introductie zal de rest van de avond in het teken van doen staan. Hierbij worden vragen beantwoord als “Hoe kan ik het beste omgaan met wachtwoorden?”, “Welke programma’s kan ik het beste gebruiken?” en “Hoe zorg ik dat mijn gegevens veilig zijn?”. Aan de workshoptafels worden de verschillende onderwerpen behandeld. Er zitten experts klaar om je te helpen.

Bij de workshop worden verschillende privacy-vriendelijke en veiligere alternatieven geïntroduceerd voor de programma’s die je op dit moment gebruikt. Het belangrijkste is dus dat je je eigen laptop, telefoon en/of tablet meeneemt en aan de slag gaat!

De exacte locatie en contactinfo is te vinden in ons agenda-item.

Piratenpartij Delft en STIP realiseren Responsible Disclosure beleid

door 2 Reacties

Naar aanleiding van een toezegging die de wethouder heeft gedaan heeft de gemeente een Responsible Disclosure beleid opgesteld. De Piratenpartij Delft en STIP hebben hierom gevraagd zodat de gemeentelijke ICT-infrastructuur veiliger kan worden.

In de Commissie Economie, Financiën en Bestuur op 4 oktober 2018, heeft de wethouder toegezegd dat een Responsible Disclosure beleid zal worden opgesteld. Inmiddels ligt het er, hier is het voorstel te lezen.

Wat is Responsible Disclosure en waarom vinden wij dit belangrijk?

Responsible Disclosure (vrij vertaalt naar “verantwoord melden”) wil zeggen dat ethische hackers, onder bepaalde voorwaarden, de mogelijkheid krijgen om binnen te dringen in het gemeentelijke netwerk. Als de hackers lekken in de beveiliging hebben gevonden, moeten ze deze melden aan de gemeente zodat de lekken zo snel mogelijk gedicht kunnen worden. Voor deze meldingen krijgen de hackers een beloning, zoals een t-shirt of een mok. Hierdoor kan er met een goede samenwerking met ethische hackers gezorgd worden voor een veiliger gemeentelijk netwerk voor Delft!

Kan ik nu beginnen met het hacken van het gemeentelijk netwerk?

Ja! De Responsible Disclosure clausule is sinds begin maart te vinden op de site van de gemeente Delft.

Vervolg

De gemeente stelt in het voorstel dat er wordt gekeken of het haalbaar is om ter gelegenheid van de start een mini-hackaton te organiseren met studenten en scholieren, waar deelnemers kunnen proberen in te breken in het gemeentelijk netwerk, zoals ook in Den Haag is gedaan. De Piratenpartij Delft draagt hier aan bij binnen de ICT-werkgroep van STIP. Er wordt op het moment onder andere een spreker gezocht voor het evenement!

Naast de hackaton zal STIP in de toekomst, samen met de ICT-werkgroep, blijven strijden voor een veilig gebruik van internet, bijvoorbeeld op het gebied van voorlichting over internetveiligheid of aspecten als ‘Privacy by Design’.