Academy Oost - Internet : toegankelijk en secure
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Academy Oost - Internet : toegankelijk en secure

  • 330 views
Uploaded on

Hoe zorg je ervoor dat een website toegankelijk blijft en tegelijkertijd veilig is? In deze ...

Hoe zorg je ervoor dat een website toegankelijk blijft en tegelijkertijd veilig is? In deze
boeiende workshop alles over online veiligheid, privacy en cookie wetgeving. Hoe veilig is
jullie website? Wie heeft jullie website ontwikkeld en onderhoudt ‘m? Tot welke gegevens
heeft deze persoon of organisatie toegang? Welke risico’s lopen jullie en kunnen jullie de
gevolgen van het niet goed beschermen van gegevens goed overzien?

More in: Business
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
330
On Slideshare
330
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
1
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. CookiewetgevingEen korte blik in de cookiejungleAcademy Oost, 16 april 2013Frank van Doorn
  • 2. › De cookiewetgeving per 5 juni 2012› Voorbeelden› Ontwikkelingen sinds de invoering› Wat moet ik als bedrijf doen?AGENDA
  • 3. › 2009: Introductie nieuwe wetgeving op Europeesniveau over het gebruik van cookies› 5 juni 2012: Omzetting naar Nederlands rechtEuropese wetgeving
  • 4. › Het is niet toegestaan om content (dus niet alleen cookies) teplaatsen op of uit lezen van randapparatuur (PC’s en anderedevices) van een gebruiker in Nederland zonder toestemmingvooraf van de gebruiker, als deze cookies niet functioneel zijn› Naast cookies gaat dit dus ook om geïnstalleerde apps en/ofplugins, informatie opgeslagen over screen size, OS, browsertype -> device fingerprinting› De gebruiker moet volledig worden geïnformeerd en moetvooraf toestemming geven (opt in)Wat zegt de nieuwe wet?(Artikel 11.7a van de Telecommunicatiewet)
  • 5. › Een cookie is een hoeveelheid data die een server naar debrowser stuurt met de bedoeling dat deze opgeslagen wordten bij een volgend bezoek weer naar de server teruggestuurdwordt.› Cookies worden gebruikt voor:‐ het onthouden van loginnaam of instellingen‐ het vergaren van surfinformatie (profiling)‐ het koppelen van een browser aan tijdelijke variabelen op de server (session cookie)Wat is een cookie?
  • 6. › Websites moeten per direct voldoen aan twee verplichtingenvoor niet functionele cookies:‐ Informeren: het verstrekken van duidelijke en volledige informatieover welke cookies waarvoor nodig zijn‐ Toestemming: er dient toestemming gevraagd te worden voor hetplaatsen van cookies› Wat is “functioneel”?‐ Definitie is behoorlijk streng: “indien de cookie strikt noodzakelijk isvoor de uitvoering van de gevraagde dienst”‐ Voorbeelden: language selector, shopping cart, login, onthoudeninput gebruiker (b.v. formulieren)Verplichtingen
  • 7. › Alleen first party cookies en sessie cookies zijn toegestaan(levensduur van de cookie mag niet langer zijn dan nodig voor het doel)› Alleen functionele/noodzakelijke cookies zijn toegestaan› Third party cookies zijn per definitie niet functioneel (b.v. Google Analytics)› Cookie plaatsen om vast te leggen dat je geen cookies mag plaatsen is als enigeuitzondering wel toegestaan› Toestemming voor meerdere domeinen en diensten tegelijk mag› Website moet voorzien in het veranderen van cookie voorkeuren› Je hebt als website eigenaar het recht om bezoekers toegang te weigeren› Social plugins mogen, mits je ingelogd bent op het sociale netwerk (b.v. “Like”)› Intranetten en extranetten: onduidelijk gebiedToestemming?
  • 8. › De verplichting om te voldoen aan de cookiewet rust opdiegene die verantwoordelijk is voor het plaatsen van cookiesen voor het verkrijgen van toegang tot de opgeslagengegevens.› Echter, de OPTA klopt aan bij de website owner indien men hetvermoeden heeft dat er een overtreding is, niet bij de partijdie de website heeft gebouwd en/of in beheer heeft‐ Met ingang van 2013 (vooralsnog alleen handhaven tegen schrijnende gevallen)‐ Op eigen initiatief of na klachten gebruikers‐ OPTA waarschuwt voor boetes uit te delen‐ Maximale boete: EUR 450.000 per type overtredingVerantwoordelijkheid
  • 9. › De wet geldt voor Nederlandse gebruikers‐ En als mijn bedrijf in Duitsland zit?‐ Of als mijn website internationaal is?‐ En ik host mijn website in een ander land?› Het gaat om waar de eindgebruiker zit, want het gaat om derandapparatuur van de gebruiker en de gegevens die daaropgeslagen worden› Andere landen in Europa hanteren: informeren en opt-outNederland
  • 10. VoorbeeldenUitzending Gemist:Telegraaf:
  • 11. Voorbeeldenwerkenbijtrimm.nl:
  • 12. VoorbeeldenBolletje:
  • 13. VoorbeeldenICT Recht:
  • 14. › 20 December 2012: Minister Kamp wil first partyanalytics cookies toestaan, volgens een voorstelvan Kees Verhoeven (D66)› Februari 2013: Minister Kamp wil de verplichting tot instemmingbeperken tot tracking cookies.› Maart 2013: Cookiemuren worden door Minister Kamp onwenselijkgenoemd.‐ SP en D66 willen wel expliciete goedkeuring van de gebruiker (motie afgekeurd)‐ PvdA en VVD voorstel: “wel een actieve handeling vereist” (meerderheid voor)› 8 April 2013: De Publieke Omroep kondigt aan cookiemuren neer tehalen› Voorbeeld: Verzoek PAN voor affiliate cookiesOntwikkelingen sinds de invoering
  • 15. › Je kunt niet niets doen!› PIBN adviseert de wet te volgen zolang er nog geen wijziging isin de wet.› Stappenplan:En wat nu?
  • 16. › Inventariseer welke cookies je gebruikt› Maak een cookie statement en een privacy policy‐ welke cookies worden geplaatst‐ voor welk doel (bezoekersaantallen registreren, plaatjes laden, onlineadvertising)‐ welke informatie met een cookie wordt vastgelegd‐ of de informatie verstrekt wordt aan derden‐ voor welke periode de cookie op de apparatuur wordt geplaatst› Bedenk hoe je de gebruiker om toestemming wilt vragen› Zorg ervoor dat instellingen ZICHTBAAR te wijzigen zijnStappenplan
  • 17. Oplossing Wehkamp
  • 18. Vragen?
  • 19. Fin
  • 20. CybersecurityIvo te Kiefte
  • 21. › Cyberaanval website Telegraaf (08-04)› Cyberaanval rechtspraak.nl (11-04)› Cyberattack NS website en Reisplanner (12-04)› Aanvallen op Banken (ING, Rabobank, iDeal)› Aanval Cyberbunker op Spamhaus› Aanvallen op banken en tv Zuid-KoreaCybersecurity actueel
  • 22. › Maakt webapplicatie onbruikbaar voor gebruikers› Inzet van botnetwerk› Misbruik van resources van webservers› Misbruik van bandbreedte datacenterActueel:Distributed denial-of-service
  • 23. “Cybercriminelen zijn geenonoverwinnelijke genieën”
  • 24. › Weinig/geen interactie› Gebruikers anoniem› Informatie stroom in éénrichtingInternet toen
  • 25. › Websites zijn functionele applicaties› Data-gestuurd› Interactief› Koppelingen met achterliggende bedrijfssystemenInternet nu
  • 26. › Informatie stroom in 2 richtingen client/server› Content “op maat”› Informatie is persoonlijk en waardevolInternet nu
  • 27. › Systemen die informatie uitwisselen met input uit bijv url (sqlinjectie)› Malafide hyperlinks naar bonafide site met (verborgen) scriptcode (XSS)› Code uitvoeren via bijv. Webformulieren (injectie)› Misbruik van gebruikers sessies (Broken Authentication)› Makkelijk te raden urls naar niet-publieke info (Insecure DirectObject Refererences)› Ongefilterde foutmeldingenEnkele voorbeelden
  • 28. › Eenvoudige hacker die wil pronken (Henkie was here)› Activisten (beweging) met ideologisch/politiek doel› Georganiseerde misdaad, uit op geldelijk gewin (direct:phishing/afpersing, indirect: doorverkoop bedrijfsgegevens)› Staten, uit op verbetering van hun geopolitieke situatie (n-korea/Z-korea)Wie en waarom?
  • 29. “De mens is en blijft –zowel IT-professional alseindgebruiker - vaak dezwakste schakel”
  • 30. › http://owasp.org› Non-profit organisatie› Focus op verbetering van software security› Richt zich op bewustwording bij alle partijen› Publiceert jaarlijks Top 10 bedreigingenOpen Web ApplicationSecurity Project
  • 31. “Cybersecurity gaatminder om technologiedan u waarschijnlijkdenkt”
  • 32. Preventiebegint met beheer en organisatie. Naasttechnische maatregelen, beleggen van verantwoordelijkhedenen creëren van bewustzijnAandachtsgebieden
  • 33. Preventiebegint met beheer en organisatie. Naasttechnische maatregelen, beleggen van verantwoordelijkhedenen creëren van bewustzijnDetectie. Monitoring en data-mining teneinde afwijkendepatronen in gegevensverkeer te detecteren.Aandachtsgebieden
  • 34. Preventiebegint met beheer en organisatie. Naasttechnische maatregelen, beleggen van verantwoordelijkhedenen creëren van bewustzijnDetectie. Monitoring en data-mining teneinde afwijkendepatronen in gegevensverkeer te detecteren.Response. In werking stellen van een response- enherstelplan.Aandachtsgebieden
  • 35. Aandachtsgebieden
  • 36. › Bekijk cybercrime als “business as usual”› Riskmanagement zoals bij brand of fraude› 100% veiligheid is illusie. Najagen leidt tot frustratie enschijnveiligheid“Business as usual”
  • 37. Vragen voor uw organisatie
  • 38. Hoe groot is het risico voor mijn organisatie?Hoeveel risico zijn we bereid te lopen (risk apetite)?Welke processen vertegenwoordigen grootse waarde?Is er integratie/afhankelijkheid van partners en hoe is hunriskmanagment?RisicoUw Organisatie
  • 39. Hoe is onze organisatie structuur?Zijn we in staat een gedrags- en cultuurverandering door tevoeren?Dragen we vanuit bestuur commitment uit op security?Voorbereid op een incident? Helder communicatieplan?organisatieUw Organisatie
  • 40. Hoeveel budget vrijmaken en waaraan besteden?Incidenten bestrijden of “Security by design”?Middelen of bewustwording?BudgetUw Organisatie
  • 41. Fin
  • 42. ToegankelijkheidIn design.
  • 43. ToegankelijkheidIn design.Verbeteringen voor iedereen
  • 44. Theorie
  • 45. Wat is jedesignprincipe?
  • 46. “Help people maketheir lives better”
  • 47. Wat is het doel website?vanuit perspectief leverancier
  • 48. doel websiteWaar de focus?INFORMERENTAAKGERICHTERVARINGSGERICHTVERLEIDEN
  • 49. 1. Het essentiële te krijgen,2. Eenvoudig en intuïtief3. Een intelligent systeem, dat hun begrijpt4. Fun om te gebruiken.5. En natuurlijk ziet het er goed uit.Zeker in het APP TIJDPERK zijn mensen gewend :
  • 50. Wat is de behoefte van degebruiker?vanuit gebruikersperspectief
  • 51. Wat is de behoefte van degebruiker?vanuit gebruikersperspectiefOntwerp vanuit user journeys / stories
  • 52. “Sturend design”Gebruikersperspectiefleid de gebruiker naar wat hij wilklantperspectief
  • 53. “Sturend design”Gebruikersperspectiefleid de gebruiker naar wat hij wilLeverancierperspectief(+meer)
  • 54. “Sturend design”Gebruikersperspectief klantperspectiefleid de gebruiker naar wat hij wil (+meer)(+wat jij wilt)
  • 55. Praktische richtlijnen
  • 56. Reduceren  schrap het overbodige!Essentiële Simplicitylaws
  • 57. Organiseren‐ Goede layout!‐ Groepeer informatie,‐ Verberg informatie‐ Verplaats informatie‐ onderscheid hoofd- bijzaken,‐ Wees niet bang voor groot (groter lettertype, veel witruimte)Essentiële Simplicitylaws
  • 58. Tijd gevoel van snelheid geeft gevoel van eenvoud- Snelle laadtijd- Korte formulieren- Weten waar je bent- Grote hitarea van bv menuitemEssentiële Simplicitylaws
  • 59. ConsistentIntuïtief‐ Hergebuik interface oplossingen die mensen verwachten(klikken op logo=home)‐ Metaforen uit echte leven (tabbladen, )En
  • 60. Voorbeeld simplicitylawsBron : cxpartnersCxpartners vroeg sollicitanten:“Maak dit eenvoudiger”
  • 61. Oplossing 1 : verwijderenBron : cxpartners
  • 62. Oplossing 2 : verbergenBron : cxpartners
  • 63. Oplossing 3 : groeperenBron : cxpartners
  • 64. Oplossing 4 : verplaatsenBron : cxpartners
  • 65. Test een websiteKnipper met je ogenblijft er een overzichtelijk plaatje achter?
  • 66. Richtlijnen drempels weg
  • 67. Webrichtijnen gaan over:› Bouwkwaliteit: het volgen van webstandaarden.Dus toegankelijk op alle devices (mobile maar ook screenreaders, braillereader enz)› Toegankelijkheidvoor mensen en zoekmachines.Ook door mensen die niet (goed) kunnen zien of horen, moeite hebben met ingewikkelde teksten ofgeen muis kunnen gebruiken. Denk bijvoorbeeld aan (kleuren-)blinden, doven, mensen met dyslexieen mensen die de Nederlandse taal minder goed machtig zijn› Klantvriendelijkheid en gebruiksvriendelijkheidHet is voor uw bezoekers prettig als u alternatieve contactmogelijkheden biedt en goed uitlegt hoezij gemaakte fouten kunnen herstellen. Andere voorbeelden zijn het gebruik van vriendelijkewebadressen en het creëren van aangepaste foutpagina’sWaarom:
  • 68. Ontwerpers: eisen aan kleur, contrast en interactie› Vertrouw niet op kleur alleen. Gebruik naast kleur ook vorm en/of tekst om betekenis over tedragen (niveau 1).› EnzIJkpunten waaraan voldaan moetworden
  • 69. Ontwerpers: eisen aan kleur, contrast en interactie› Vertrouw niet op kleur alleen. Gebruik naast kleur ook vorm en/of tekst om betekenis over tedragen (niveau 1).› EnzOntwikkelaars: eisen aan code, templates, CMS en editor› Zorg dat de webpaginas ook zonder style sheets nog begrijpelijk zijn (niveau 1).› Zorg dat de website ook zonder scripts en applets nog goed werkt (niveau 1).› EnzIJkpunten waaraan voldaan moetworden
  • 70. Ontwerpers: eisen aan kleur, contrast en interactie› Vertrouw niet op kleur alleen. Gebruik naast kleur ook vorm en/of tekst om betekenis over tedragen (niveau 1).› EnzOntwikkelaars: eisen aan code, templates, CMS en editor› Zorg dat de webpaginas ook zonder style sheets nog begrijpelijk zijn (niveau 1).› Zorg dat de website ook zonder scripts en applets nog goed werkt (niveau 1).› EnzWebredacteuren: toegankelijke content publiceren› Gebruik de duidelijkste en eenvoudigste taal die zich leent voor de content van een site (niveau 1).› Zorg dat afbeeldingen voorzien zijn van een alternatieve tekst (niveau 1).› Geef bovenaan elke pagina een korte samenvatting van de inhoud (niveau 3).› Enz.IJkpunten waaraan voldaan moetworden
  • 71. Niveau 1 : 16 van de 95 ijkpunten.Basisijkpunten van toegankelijkheid: Zo zijn afbeeldingen voorzien van duidelijke alternatieveteksten, en zijn tabellen toegankelijk voor mensen met een visuele beperking.Niveau 2: 46 van de 95 ijkpunten.Zeer goed toegankelijk, onder andere voor mensen met een visuele beperking. Bijvoorbeeldeisen voor het minimale contrast dat moet bestaan tussen tekst- en achtergrondkleur, envoor het toegankelijk opstellen van webformulieren.Niveau 3: 95 van de 95 ijkpunten.Naast de richtlijnen voor toegankelijkheid worden in de Webrichtlijnen ookkwaliteitsaspecten van websites behandeld, en zijn er richtlijnen voor klantvriendelijkheid.De website is optimaal toegankelijk voor iedereen, ook mensen met een functiebeperking enouderen. Daarnaast is de website zeer degelijk gebouwd, en wordt er bijvoorbeeld gebruikgemaakt van vriendelijke URLs.Verplicht voor alle overheidswebsites.3 niveau’s (en keurmerken)
  • 72. Bouw gelaagdzorg dat een website ook nog werkt zonder alle extras.› Dat betekent niet dat een interactieve Web 2.0 site met een mooie vormgeving niet meer kan. Aldie verrijkingen moeten alleen als extra lagen bovenop deze basislaag worden gebouwd.› Benaderen via 3-schillenmodel (full design, no javascript, no JS en CSS)Praktisch voor RIA’s
  • 73. Fin