Het is inmiddels alweer oud nieuws: begin augustus was er veel ophef in de media over uitspraken van Ronald Prins, directeur van IT beveligingsbedrijf Fox-IT. Prins pleit voor een vergaand recht voor de Nederlandse opsporingsdiensten om ‘terug te hacken’ wanneer in het buitenland computers worden ingezet voor het uitvoeren van criminele activiteiten gericht op Nederlandse burgers. Een controversieel standpunt, dat natuurlijk op de nodige reacties kan rekenen (uiteraard in niet meer dan 140 karakters).

Nadat minister Opstelten (digibeet pur sang) een brief aan de kamer schreef met vergelijkbare plannen, sloeg de vlam natuurlijk helemaal in de pan. Bits of Freedom besteedde aandacht aan de brief op haar website, waarbij net als in de uitspraken en de brief die de aanleiding vormen voor deze reactie wel erg kort door de bocht wordt geredeneerd.

Het voorstel

In de brief van Opstelten aan de kamer wordt voorgesteld om te onderzoeken of de Nederlandse politie en het Openbaar Ministerie meer bevoegdheden kunnen worden gegeven om beveiliging van computers te doorbreken met als doel hier bewijsmateriaal te verzamelen of criminele activiteiten stop te leggen. Ook wordt het ‘helen’ van digitale gegevens, het verkopen van gegevens verkregen door onrechtmatig toegang tot computers of systemen te verkrijgen, genoemd. Dit alles ook, of juist, als het gaat om computers of systemen in het buitenland.

De achtergrond is gelegen in een toenemende overlast van cybercriminaliteit. Diefstal uitgevoerd in het digitale domein, door vaak erg professionele en georganiseerde bendes in met name Oost-Europese en Aziatische landen. Landen waar Nederland, een erfenis uit het verleden, traditioneel weinig juridische samenwerking mee geniet. Opstelten, die zelf geen enkel idee heeft hoe het internet werkt en zich moet behelpen met analogieën in de fysieke wereld om zich een idee te vormen van het digitale domein, constateert met Prins terecht dat de traditionele opsporingsdiensten machteloos staan tegenover deze bendes.

Wilde westen

Lang geleden, toen het internet nog in de kinderschoenen stond, werd het wel eens vergeleken met het Wilde Westen. Een onontgonnen wereld. De verwachtingen waren hoog; een heel nieuw virtueel landschap dat niet gebonden was aan landsgrenzen zou een platform worden voor het vrije woord. Idealisten voorspelden een gouden toekomst. Van het vrije woord is inmiddels niet zo veel meer over op het internet. Maar de landsgrenzen zijn nog altijd irrelevant, en criminelen maken daar dankbaar gebruik van. Je hoeft niet langer naar Nederland om geld van Nederlanders te stelen, als geheime dienst hoef je niet langer een spion naar Nederland te sturen om allerlei interessante informatie over de Nederlandse burgers en de Nederlandse staat te verzamelen.

Justitie en politie blijven echter achter, en zijn gebonden aan de landsgrenzen. Bij strafbare feiten jegens Nederlandse burgers of de Nederlandse staat zijn zij afhankelijk van de samenwerking met vergelijkbare diensten in andere landen. En die verloopt niet altijd soepel, of wordt ronduit geweigerd. Tegen de tijd dat een verzoek om hulp aan het buitenland wordt beantwoord, is de crimineel al lang gevlogen. Het internet is dus voor de criminelen nog steeds het Wilde Westen: een vacuüm waarbinnen de kwaadwillende ongehinderd zijn snode plannen kan uitvoeren, met hier en daar een machteloze sheriff die krampachtig zijn stadje probeert te verdedigen tegen het boeventuig.

Terughacken

Het is dan ook niet zo vreemd dat Opstelten graag iets wil doen om ons, Nederlandse burgers maar natuurlijk ook de staat, te beschermen tegen dit boeventuig. Het is ook niet vreemd dat Prins, directeur van Fox-IT, graag ziet dat er kan worden opgetreden tegen deze praktijken. Wie zich wil beschermen, en daarbij hulp zoekt van bijvoorbeeld bedrijven als Fox-IT, ITSX, Madison Gurkha en noem ze maar op krijgt vaak nee op het rekest. De bedrijven worden overspoeld door verzoeken van bedrijven en organisaties die last ondervinden van cybercriminaliteit en hebben geen ruimte meer voor nieuwe klanten. Maar ook de autonome hackers merken dat er veel behoefte is aan bescherming, via bijvoorbeeld hackerspaces.nl krijg ik regelmatig verzoeken van instellingen die hulp willen bij het beveiligen van IT infrastructuur. Er is simpelweg niet genoeg mankracht beschikbaar om de tsunami (om maar eens een klassieke woordkeuze te gebruiken) te stoppen.

Door alleen de symptomen aan te pakken (beetje patchen hier, pentestje daar, adviesje zus, audit zo) sla je geen bres in de aanhoudende golf van oplichterij en computerinbraken. Is terughacken dan wel een oplossing? Het is mijns inziens wel een verruiming van de blik in de goede richting. Niet naar de gevolgen kijken, maar naar de bron. Immers, zolang de bron niet opdroogt blijft het dweilen met de kraan open.

Toch vind ik de voorstellen op zijn minst vreemd te noemen. Op de site van Fox-IT wordt een vergelijking getrokken met het internationaal zeerecht. Wanneer in de internationale wateren, die volgens internationale afspraken niet bij het grondgebied van een bepaald land horen, misdaden worden gepleegd is een land gerechtigd daar tegen op te treden. Deze vergelijking gaat, zoals zo veel vergelijkingen die proberen het digitale uit te leggen door vergelijkingen te maken met het fysieke, echter mank. Het voorstel gaat niet over internationale wateren, maar gaat expliciet in op het plegen van strafbare feiten door Nederlandse ambtenaren op buitenlands grondgebied.

Terecht geeft Bits of Freedom in haar reactie aan dat dit precedenten schept, en wel eens tegenaanvallen zou kunnen provoceren. Maar tegelijkertijd spreekt uit de reactie van Bits of Freedom een hoop naïviteit, door te denken dat er nu al niet door buitenlandse mogendheden actief informatie wordt verzameld (van economische of politieke aard) door op Nederlandse systemen in te breken. Het gros van de computers bij mensen thuis is voorzien van 1 of meerdere virussen, waardoor hele maffia-organisaties letterlijk mee kunnen kijken met je banktransacties.

Hypocriet

Het is eigenlijk een beetje een raar spelletje geworden. Een jaar terug riepen we vanuit de Nederlandse hackergemeenschap nog om een vergelijkbare bevoegdheid. Goedbedoelende ethische hackers durven vaak geen bevindingen te melden over systemen die slecht beveiligd zijn, uit angst voor juridische represailles. Ik liep zelf voorop in de roep om een juridische bescherming voor deze consciëntieuze hackers. Vanuit overheidswege en de grote bedrijven was het protest niet van de lucht. “Een vrijbrief om te hacken”, daar was de gevestigde orde bang voor.

Nu zijn de rollen omgedraaid. De gevestigde belangen hebben door dat het allemaal niet zo zwart-wit is gesteld, en willen nu zelf rechtsbescherming voor iets wat in feite op hetzelfde neerkomt. En vanuit de hackercommunity en privacy-voorvechters horen we nu hetzelfde “Een vrijbrief om te hacken! Schande!”.

En nu?

En nu wacht ik bevend op het wetsvoorstel dat Opstelten (mocht hij zoals verwacht in het nieuwe kabinet wederom aan de bak mogen als minister van Justitie & Veiligheid) gaat presenteren. Voorstanders van dit proefballonnetje herhalen regelmatig dat een dergelijke wet zorgvuldig moet worden toegepast, en alleen in ernstige gevallen mag worden aangeroepen. De vraag is dan automatisch wat een ernstig geval is. Of belangrijker nog: wie bepaalt wanneer een geval een ernstig geval is.

En hoe denken voorstanders van deze wet over andere landen die mogelijk ook zo’n wet aan gaan nemen? Accepteren wij als land dan dat bijvoorbeeld China bij ons mag inbreken om de daar geldende wetten te handhaven? Dat betekent dan dus dat bijvoorbeeld het verwijderen van informatie die kritisch is tegen het Chinese regime ook fair game is. Is dat wenselijk? Ik denk het niet.

De wet is in mijn ogen dan ook een slecht idee, en Opstelten is de laatste die ik vertrouw om hier een zorgvuldig en werkbaar voorstel van te maken. Toch zie ik wel een lichtpuntje. Het voorstel, en de bijbehorende provocerende stellingen van bijvoorbeeld Prins, kunnen gebruikt worden als een aanknopingspunt om nu eens echt na te denken over cybercriminaliteit.

Tegen, maar dan?

Hackers zijn er in alle soorten en maten, en binnen de gemeenschap loopt het spectrum uiteen van knutselaars tot sterk ideologisch gemotiveerde politieke dieren. De techneut voert echter de boventoon, en vanuit die hoek is cybercrime vooral een technische puzzel. Het ontbreekt wat dat betreft erg aan visie over het grotere geheel, in mijn ogen. Want wat is het antwoord op cybercrime vanuit de hackercommunity? Zero-days vinden? Linux installeren? Lachen om die domme gebruikers die hun computer niet goed kunnen beveiligen?

Dus, hackers, wat vinden we? Ja, we zijn tegen dit ondoordachte en gevaarlijke wetsvoorstel. Maar zijn we meer dan alleen tegen? Ik heb het vaker gezegd: hackers vormen het technologisch geweten van de samenleving. Welnu, wat vind ons geweten van de wetteloosheid die het internet mogelijk maakt? Hebben we een antwoord op een reëel probleem: identiteitsdiefstal en oplichting. Of vinden we het eigenlijk wel prima, en is het een prijs die we graag (laten) betalen voor privacy?

If, like me, you tend to suffer from sleeplessness you will know it can be exhausting; being awake until the early morning, knowing the number of hours until the alarm buzzes is rapidly decreasing. Staying up late and waking up late might seem like a solution, but it only gets more exhausting. As it turns out, knowing the role a hormone named melatonin plays in your natural wake-sleep cycle enables you to take action to change some of your habits to induce better, more and healthier sleep.

Now, melatonin is the opposite of adrenaline. The latter has an effect of making you more aware, short-cutting the rational mind and switching back to your pre-historic instincts. Melatonin, however, is a hormone produced by the pineal gland somewhere in the middle of your brain and leads to calmness and sleepiness.

Normally, the production and re-uptake of melatonin is synchronous with sunset and sunrise. When the sun rises, the blue and to a lesser degree the green light (or more precisely, light with a wavelength above 530nm) on your retina will inhibit the production of melatonin. In the absence of such light, melatonin is produced and makes one sleepy.

Delayed inhibitation

Now, it is not as simple as stated above of course. For one, melatonin is produced from serotonin, a neurotransmitter that is associated with mood. Depression is caused by a lack of serotonin (in many cases because the serotonin re-uptake is too active or due to a lack of physical activity during the day), so it is no surprise that both insomnia and depression go hand in hand.

Some people also have a delayed inhibition, either by some internal cause but usually due to external light. Especially within IT, people tend to stay up late and sit behind their laptop screens. And guess what, these emit the green light inhibiting the production of melatonin!

Reprogramming the brain

There are various methods one could utilize to help the brain stay in sync with the day and night outside. In many countries, melatonin supplements can be bought (over the counter or in higher dosage with a prescription). Since melatonin is a hormone produced by the body, it is relatively safe to take synthesized melatonin from these supplements.

While these can be very effective (I have found very positive effects with a dosage of 3mg, although off-the-shelf dosage is usually around 0.1mg), there has been very little study regarding the long-term effects. Given that the role in the circadian rhythm is just one of many for melatonin, it might be wise to exercise some caution.

Reprogram your brain

A better and more natural way of resetting your biological rhythm is to pay attention to the light in your environment. This starts in the morning (yes, waking up properly is an important condition for a good nights rest). When you wake up, stare outside for 5 to 10 minutes and get a good dose of green light. This will reset your pineal gland, and stop the production of melatonin.

In winter, it might still be dark when you get up. In that case, you might want to consider getting a full-spectrum lamp, or at least a lamp that has as significant amount of greens and blues in its spectrum. Fluorescent lighting might also do the trick, but be aware that these normally produce very narrow spikes in the visible spectrum on the green, blue and red wavelengths and might therefore be less effective.

Software to make you sleep better

In the evening, a good start is to do the inverse: dim the light, use incandescent light which tends to lack greens and blues. But also take a look at your computer or laptop screen. This is a very rich source of green and blue light, so staying up late behind your laptop will inhibit the onset of melatonin production and delay your sleepiness.

One, quite ridiculous, suggestion is to stop working on your laptop an hour before you plan to get to sleep. I know, it’s heretic. Luckily, we can be a bit smarter about it by simply reducing the green and blue emitted from the screen!

Until recently I used the compiz compositing window manager for the sole reason that it let’s me apply a rendering function to my screen. Rendering functions are transformations applied within your graphics card that combine the red, green, blue and alpha value your software draws on the screen into the output you see.

Compiz has a ‘color filter’ plugin, which can be used to apply a rendering filter. I wrote a simple rendering function (in GPU assembly) that averages the red, green and blue channels and then writes this average to the red channel (leaving the blue and green channel dark). This has the effect of making your desktop monochrome, like a black-and-white tv but with red light instead of white.

This worked wonders. Next to dimming the roomlights in the evening, switching to this red view had a great effect on my ability to fall asleep.

But, recently I switched to xmonad; is a much more rudimentary and efficient window manager. It does support compositing somewhat, but only for useless effects such as transparent terminal backgrounds.

After discussing the matter at my hackerspace, I was put onto the path forward. To start with, one can use gamma correction to color-shift the image on the screen. This is a tedious process though, and getting it right requires some insight in how gamma-values actually influence color.

Luckily, there is software that takes care of all of that. The first I tried was f.lux, but it wasn’t optimal. For one, it was not open source, you could only get a binary. But more annoying, I tend to have at least 2 monitors and f.lux only works on one. So while my laptop screen would redshift, my external screen wouldn’t and the effect would be ruined.

But a bit of additional research led me to redshift. This is open-source and available in most linux distributions (for eg., apt-get install redshift in debian, or apt-get install gtk-redshift to get the applet as well).

I start it after I log in to an X session  (a windows version is available as well) and tell it where I am (by specifying latitude and longitude). It then knows when sunset and sunrise take place, and starts shifting the color of my display in small steps towards less green and blue and more red in the evening and back to the normal whiteness again in the morning.

Note that your phone also is a source of melatonin-production-inhibiting light. If, like me, you tend to check some rss feeds and maybe twitter in bed before you close your eyes, consider using something to redshift your phone display in the evening. Personally, I use an android phone with Cyanogenmod. This aftermarket firmware for your android phone already contains something called ‘rendering effects’. I placed a widget on my home screen that lets me choose between normal and ‘monochrome red’.

Good night, sleep well

The body is an intriguing complex of interacting processes, and while the above tends to work out really well it is not the panacea of sleep problems. There are many other interactions that may interfere with your ability to get a good healthy night of sleep.

For example, depression is known to cause a lack of serotonin and therefore may lead to decreased melatonin production. However, an unhealthy sleep rhythm (not in sync with planetary movement) has again a catalytic effect on depression.

I found that the above techniques (look into the light in the morning, redshift in the evening) greatly increased my ability to sleep at the right times and long enough, and be awake during the day without having to rely on stimulants. I feel more energetic and migraine has become a rare event as opposed to a weekly recurring disaster.

Your mileage may, of course, vary. But just give it a try. And let me know!

Ps: if you use caffeine to wake up in the morning or stay up late, disregard the above entirely; your circadian rhythm is too fucked up and the effects of my advice will likely be unnoticeable.

On thursday October 6th I spoke to a diverse audience of ICT managers and engineers representing Dutch companies and governmental organisations to evangelize about hacking and the hacker community in The Netherlands on the Heliview Cyber Security conference. A recording of the audio and the slides are available for your viewing pleasure:

If your browser does not support video or ogg/theora, you can download the video directly. An overview of ogg/theora capable video players for various platform can be found on the Xiph wiki.

PostgreSQL Conference Europe 2011 starts 2 weeks from today in the beautiful city of Amsterdam in the Netherlands. This is the fourth annual conference hosted by PostgreSQL Europe, following on from extremely successful events in Prato (Italy), Paris and Stuttgart, and is aimed at developers, DBAs, technologists and decision makers either using, or considering using the world’s most advanced Open Source database.

This year we have four days on the schedule, with a kick-off day of training sessions hosted by respected PostgreSQL developers such as Greg Smith, Bruce Momjian, Magnus Hagander, Guillaume Lelarge and more. Topics will cover performance tuning, application development, database administration, replication & high availability and geospatial. The training sessions are available on their own, or as part of a regular conference attendance at additional – but very reasonable – cost.

We had a record number of talk proposals submitted this year but we’ve resisted the urge to host even more sessions in parallel – in fact we’ve reduced the number of parallel sessions to three as we all know how frustrating it can be when more than one that you want to see are at the same time. Instead we’ve extended the conference by a day to accomodate over 40 different sessions, which has the added bonus of allowing an additional night of social activities – always a great way to discuss the latest technologies, trends and ideas with other Postgres users over a beer or two.

We’ve got a great range of topics for this year, covering new features in PostgreSQL 9.1 and beyond, developing applications, running Postgres in the cloud, hacking PostgreSQL internals, tools and add-on products and managing large databases, presented by a wide cross-section of users and developers, including a number of this year’s Google Summer of Code students who will talk about their work. You can view the complete schedule on the conference website: http://www.postgresql.eu/events/schedule/pgconfeu2011/

Our opening keynote this year will be presented by Ram Mohan, EVP and CTO of Afilias who manage the .info, .org and .mobi top level domains using Postgres. Ram will be discussing the business decisions and strategy around their use of PostgreSQL. Our closing keynote will be presented by Ed Boyajian, President and CEO of EnterpriseDB who will discuss PostgreSQL’s role in the post-Oracle era.

So, if you haven’t done so already, head on over to the website at http://2011.pgconf.eu/registration/ to register as an attendee to avoid missing out on what promises to be an outstanding conference in an fantastic location. See you in Amsterdam!

Naar aanleiding van het idee van PvdA kamerlid Pierre Heijnen om hackers bescherming te bieden als zij te goeder trouwe handelen, en een beveiligingsfout melden aan de verantwoordelijke organisatie (hetzij overheid, hetzij bedrijfsleven) heb ik heel wat meningen voorbij zien komen. De een is het er roerend mee eens, de ander vindt het niet ver genoeg gaan en een enkeling is bang dat de bescherming een vrijbrief zou zijn voor criminelen. Het is erg vroeg om nu al conclusies te trekken: het voorstel moet in de komende maanden nog worden uitgewerkt en pas dan is een zinnige beoordeling te maken.

Uitgangspunt in de regeling zou mijns inziens moeten zijn dat onafhankelijke toetsing van een ICT-systeem bijdraagt aan de algehele veiligheid. De overheid als opdrachtgever bestaat vooral uit juristen en boekhouders. De opdrachtnemers, de bedrijven die voor de overheid ICT verzorgen, zijn commerciële instellingen die simpelweg winst willen (moeten) maken.

ITsec industry per definitie niet onafhankelijk

Een veelgehoord argument tegen de regeling is dat er voldoende bedrijven met verstand van zaken zijn. Een organisatie kan deze bedrijven inhuren om de veiligheid van haar systemen te onderzoeken en een rapport uit te brengen. Dit is de huidige praktijk. Een recent voorbeeld is het digitale loket van Amsterdam. Dit bleek lek te zijn, het was mogelijk om zonder wachtwoord of gebruikersnaam de inhoud van de site te wijzigen en gebruikers naar een andere site te leiden. De gemeente Amsterdam nam een beveiligingsbedrijf in de arm, en verklaarde na een oppervlakkig onderzoek dat alles veilig was. De dag erop werd opnieuw een lek gevonden en de procedure herhaalde zich.

En dit is waar de schoen wringt. Ik weet dat het bedrijf in kwestie over voldoende kennis en kunde beschikt om een systeem compleet door te lichten. Maar wat een bedrijf kan en wat er van hen gevraagd wordt zijn natuurlijk twee verschillende zaken. In het bovenstaande voorbeeld is het bedrijf uitsluitend gevraagd om te onderzoeken of het ontdekte lek misbruikt is. Dat de rest van het systeem mogelijk ook zo lek is als een mandje wordt buiten beschouwing gelaten. Daar wordt het betreffende bedrijf niet voor betaald, en elke ondernemer weet dat het zakelijk onverstandig is om structureel meer te doen dan waar je voor wordt betaald.

De hacker echter is niet gemotiveerd door commerciële belangen, maar ontdekt beveiligingsfouten vaak in zijn of haar vrije tijd. Hackers zijn ook gewoon burgers, en moeten paspoorten of toeslagen aanvragen. Wat de hacker echter onderscheidt van de rest van de wereld, is zijn nieuwsgierigheid en opmerkzaamheid. Een hacker ziet al snel patronen in een onschuldig ogend invulformulier van de gemeente, en gaat verder zoeken. En komt dan vaak tot de ontdekking dat er van alles rammelt.

Goed gedrag bestraft

Nu zijn er twee soorten hackers: zij die net als ieder ander besef hebben van wat moreel juist is en zij die net als criminelen daar minder precies in zijn. De laatste groep vormt, net als in de rest van de samenleving, een minderheid. Hackers uit de eerste groep willen net als ieder ander misstanden melden in de hoop dat er iets aan gedaan wordt. Vergelijk dit met een toevallige passant die getuige is van geweld op straat. Ieder weldenkend mens zal dit terstond melden aan de politie, en zichzelf later als getuige beschikbaar stellen. Misschien zelfs proberen om escalatie te voorkomen door de aanvaller tegen te houden.

Het rare is dat dit bij de beveiliging van ICT-systemen heel anders ligt. Wie ontdekt dat er een beveiligingsprobleem is en dit netjes meldt, kan vaak rekenen op dreigementen. De eerste reactie is vrijwel altijd in termen van juridische maatregelen. Oftewel: degene die een probleem constateert en meldt krijgt straf. Zou het niet raar zijn als je als getuige van geweld op straat zou worden aangeklaagd door de overvaller, omdat je zijn broodwinning onmogelijk maakt? Ik zou me wel drie keer bedenken voor ik me in het vervolg nog zou bekendmaken als getuige.

En dat is precies wat nu gebeurd. Waar de opdrachtgevers en -nemers falen en beveiligingsproblemen laten liggen, zijn het hackers die onafhankelijk en ongevraagd deze problemen wel ontdekken. Helaas worden de problemen zelden gemeld, simpelweg omdat het inmiddels duidelijk is dat men dan kan rekenen op minstens een paar maanden onzekerheid en dreigende veroordeling. Daarnaast wordt het lastig om nog een baan te vinden bij de overheid of in de ICT industrie, want een verklaring van goed gedrag kan je op je buik schrijven.

Dat hackers problemen niet meer durven te melden is kwalijk. Immers, als hackers die te goeder trouw handelen deze problemen kunnen vinden, dan kunnen hackers met minder moreel besef dat ook. En die zullen al helemaal niet geneigd zijn het lek te melden, maar zullen het ten volste misbruiken voor eigen gewin. Vaak had dat voorkomen kunnen worden. Het is eigenlijk een simpel rekensommetje: de goede hackers zijn in de meerderheid. De kans dat een probleem dus eerder door een ‘white hat’ (de informele term voor een goede hacker) wordt ontdekt is groter dan dat een ‘black hat’ (kwade hacker) datzelfde probleem als eerste ontdekt.

Lastige maar noodzakelijke klus

De regeling die wordt voorgesteld zou bovenstaand probleem moeten adresseren. En ja, wanneer handelt iemand te goeder trouw? Dat is inderdaad soms een ‘tough call’, maar vaak ook compleet evident. Wie, zoals aangehaald in een blogpost vanuit de beveiligingsindustrie, een botnet moet inzetten om iets aan te tonen gaat te ver. Wie pas ver na het ontdekken van de problemen melding maakt, had misschien andere motieven. Het lijkt mij dat dit echter, net als bij alle andere juridische aangelegenheden, op individuele basis door een rechter getoetst kan worden.

Het steggelen over de exacte tekst laat ik graag aan juristen. Dat is niet mijn vak. Het is wel belangrijk dat we daarbij niet alleen juristen uit de industrie horen, maar ook juristen die zich meer verwant voelen met de onafhankelijke hackergemeenschap. Ik heb er alle vertrouwen in dat Heijnen en zijn collega’s in de andere 119 zetels die achter dit idee staan bij de uitwerking alle kanten van het verhaal zullen beschouwen.

Dat niet altijd duidelijk is wat nu precies ‘te goeder trouw’ is, en wat nu de definitie van ‘ICT-systeem’ zou moeten zijn lijkt mij geen reden om het hele idee meteen van de tafel te vegen. Het is een moeilijke opgave, maar de bescherming van onze identiteitsgegevens is dat meer dan waard.