45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Persoonsgegevens uit failliete boedels; Uw gegevens voor de hoogste bieder

Elke organisatie in Nederland was het afgelopen jaar in de ban van de nieuwe, strenge privacywetgeving uit Brussel. Toch staat te midden van al deze strenge regelgeving nog één achterdeur wagenwijd open.

Want gaat een bedrijf onverhoopt failliet, dan zijn de privacygevoelige klantenbestanden plotseling prooi voor de hoogste bieder, zo ontdekte platform voor onderzoeksjournalistiek Investico in samenwerking met De Groene Amsterdammer en Trouw. Curatoren verkopen volledige klantenbestanden met persoons- en betaalgegevens om opbrengsten te genereren voor de schuldeisers van een failliet bedrijf.

Wanneer Nederlandse ondernemingen op de fles gaan blijken privacybeloftes in de praktijk niets meer waard. Dan worden onze gegevens zonder problemen verpatst aan de hoogste bieder. De toezichthouder heeft dit tot dusver ongestraft laten gebeuren.

...Curator Maria Bowmer, van Bowmer & Nuiten Advocaten in Rotterdam, is van die school en ze windt er geen doekjes om. ‘Het belang van de boedel gaat gewoon voor, daarin ben ik mogelijk wat minder genuanceerd dan mijn collega’s.’ Afgelopen voorjaar verkocht Bowmer het klantenbestand van een gewichtskliniek. Bowmer informeerde de klanten van de gewichtskliniek niet en vroeg ze ook niet om toestemming om hun persoonlijke gegevens te verkopen. ‘Dat is ook wel lastig, om aan vijfduizend mensen toestemming te gaan vragen.' 

De Autoriteit Persoonsgegevens heeft de afgelopen twintig jaar maar liefst drie verschillende standpunten ingenomen over deze kwestie. Daarom vroeg Investico de AP opnieuw hoe het nu zit. ‘Wanneer in een privacystatement staat dat persoonsgegevens nooit met derden worden gedeeld, mag dit ook na faillissement niet’, zegt de woordvoerder van de privacywaakhond nu resoluut. ‘Persoonsgegevens zijn niet zomaar handelswaar. Een curator heeft dezelfde verantwoordelijkheden als het failliete bedrijf.’ De Autoriteit Persoonsgegevens wil niet zeggen of ze al een zaak is gestart tegen curatoren die handelen in strijd met de privacywet.

Alles bij de bron; deGroene


 

Facebook zette gebruikersdata in als machtsmiddel

Facebook heeft partners waarmee het samenwerkt zowel beloond als gestraft, door toegang tot gebruikersgegevens te verlenen of te onthouden. Dat bericht nieuwszender NBC News op basis van duizenden documenten uit de periode 2011 tot 2015.

De nieuwe onthullingen komen uit duizenden documenten als mails, chattranscripties, presentaties en notulen van vergaderingen. Die tonen volgens NBC News aan “hoe Zuckerberg, samen met zijn raad van bestuur en management team manieren bedacht om de schatkamer aan gebruikersdats - inclusief informatie over vrienden, relaties en foto’s - te gebruiken als machtsmiddel tegenover bedrijven waarmee het samenwerkt.”

Zo werd toegang voor een chat-app die te populair werd geacht beperkt. Tegelijk kregen bedrijven die veel bij Facebook adverteerden, zelf interessante gegevens deelden of simpelweg goed bevriend waren met Zuckerberg ruime toegang tot persoonlijke gebruikersinformatie.

De praktijken vonden plaats tegen een achtergrond waar Facebook publiekelijk het belang van privacy en dataveiligheid preekte.

Alles bij de bron; VillaMedia


 

Google biedt een ‘sleepnet voor locatiedata’ om misdrijven op te lossen

Google staat erom bekend dat ze gigantische hoeveelheden locatiedata verzamelen. Google gebruikt de data die ze verzamelen vooral voor advertenties. Maar het kan ook worden gebruikt voor het oplossen van misdrijven.

Met een bevelschrift kunnen politiediensten data opvragen bij Google, om te kijken welke personen op een bepaald tijdstip op een specifieke plek zijn geweest. Dit kan het gemakkelijker maken om de verdachte op te sporen. Maar het leidt volgens de New York Times echter ook tot veel valse positieven, waarbij onschuldige mensen kunnen worden meegesleept in een moordzaak.

Dat gebeurde bijvoorbeeld in Phoenix, waar Jorge Molina als verdachte werd aangehouden en moest uitleggen waarom hij negen maande eerder op een bepaalde plaats was geweest. Molina bracht een week in de cel door, omdat de politie vond dat zijn aanwezigheid in combinatie met enkele persoonlijke eigenschappen hem een geloofwaardige verdachte maakten. Uiteindelijk kwam nieuwe informatie beschikbaar en bleek dat iemand anders de moord had gepleegd. Daarmee was de zaak niet afgedaan, want Molina raakte door het vooral zijn baan én zijn auto kwijt.

Volgens de New York Times gebruikt de Amerikaanse politie de locatiedata van Google als een soort sleepnet voor het opsporen van verdachten. Die data worden verzameld door Android-smartphones maar ook door Google-apps op de iPhone. In 2016 werd het voor het eerst gebruikt en inmiddels is het gegroeid tot 180 dataverzoeken per week. Google heeft een interne database die door medewerkers ‘Sensorvault’ wordt genoemd en die de locatiedata van honderden miljoenen toestellen wereldwijd bevat, met een historie die soms tot 10 jaar terug gaat.

Alles bij de bron; iCulture


 

Zorginstellingen moeten hun privacyzaken en informatiebeveiliging beter op orde krijgen

Vorige week kwam in het nieuws dat Jeugdzorg Utrecht zijn oude domeinnaam had laten verlopen en dat daardoor zorgdossiers terechtgekomen waren bij mensen die daar niets mee te maken hebben. Het goede van deze zaak is dat veel mensen zich nu realiseren waar privacy in de zorg over gaat: deze gegevens in verkeerde handen kan levens van kwetsbare jongeren, en de mensen om hen heen, kapot maken.

Als fout wordt gezien dat Samen Veilig de domeinnaam niet meer had geregistreerd. Dat is inderdaad oerstom. Maar ik zie zo veel meer wat hier mis is. Waarom heeft een zorginstelling in vredesnaam zijn processen zo ingericht dat in een half jaar, de tijd dat de klokkenluiders de mailbox in beheer hadden, ruim 3.200 dossiers via mail verstuurd werden? Een zorginstelling legt, normaal gesproken, gegevens vast in een elektronisch patiënten- of cliëntendossier (EPD/ECD).

Een centraal systeem waaromheen je beheersing kunt inrichten. Je kunt regelen wie welke delen van dossiers mag inzien of muteren. Dat dat nog moeilijk genoeg is, zie ik dagelijks bij zorginstellingen. Je kunt zo’n centraal EPD/ECD beveiligen tegen nieuwsgierigen of mensen met kwade bedoelingen van binnen of buiten de organisatie. Je kunt zorgen dat je bewaartermijnen handhaaft. Dat er een reservesysteem beschikbaar is op het moment dat het primaire systeem uitvalt. Je kunt erop toezien dat je vastlegt wat nodig en toegestaan is - en niet meer dan dat.

Vooral kun je zorgen dat zorgverleners de juiste, volledige en actuele informatie op het juiste moment op de juiste plaats beschikbaar hebben. Want laten we vooral niet vergeten dat informatie onmisbaar is voor het verlenen van goede zorg. 

Die informatieverwerking moet je wel zorgvuldig doen. Mailboxen bevatten bergen met ongestructureerde informatie. Alles wat er mis kan gaan, zowel technisch als door menselijke vergissingen, maakt dat mail een van de grootste bronnen van datalekken is. Dit blijkt ook uit de cijfers over datalekken van de Autoriteit Persoonsgegevens. Dus Samen Veilig, hoe kan het dat in 2019 nog mails gestuurd worden naar e-mailadressen die, als ik het goed begrijp, sinds 2015 niet meer gebruikt worden? Hoezo dit ongericht strooien met dossiers?

...Het gaat om de bestuursagenda. En dus beste bestuurders, directeuren, MT-leden én toezichthouders van zorginstellingen, is de vraag: heeft u dit onderwerp op de agenda staan? Wie is er volgens u verantwoordelijk dat uw zorginstelling voldoet aan de AVG? Wat heeft u gedaan om u te verdiepen in de risico’s en verplichtingen die er zijn op dit gebied? Wat heeft u gedaan om op de hoogte te zijn in hoeverre bij u de zaken geregeld zijn? Hoe faciliteert u de organisatie? Hoe vaak stelt ú de vraag, die bij bijna alles wat uw bestuurstafel passeert relevant is? Maar hoe zit het met de privacy en informatiebeveiliging?

Alles bij de bron; Volkskrant


 

Antwoorden op Kamervragen over het datalek bij Jeugdzorg waardoor dossiers van duizenden kwetsbare kinderen zijn gelekt

Vraag 1; Kunt u bevestigen dat dat door een fout van Bureau Jeugdzorg Utrecht in totaal 3278 dossiers van 2702 kinderen zijn gelekt?

Datalekken zoals deze laten zien dat aandacht voor informatieveiligheid in de zorgsector steeds belangrijker wordt. Het datalek bij Samen Veilig Midden-Nederland is ontstaan door het gebruik van oude e-mailadressen met een oude domeinnaam. Deze domeinnaam was vanaf december 2017 niet meer bij Samen Veilig Midden-Nederland in beheer. Naar nu blijkt zijn de consequenties hiervan onvoldoende ingeschat en afgedekt...

Vraag 3; Is het gebruikelijk dat binnen de jeugdzorg dossiers van patiënten onbeveiligd en geautomatiseerd doorgestuurd worden naar e-mailadressen van werknemers? 

Vraag 4; Deelt u de mening dat het niet zo kan zijn dat zorginstellingen patiëntendossiers onbeveiligd en zonder authenticatie worden rondgestuurd? Zo nee, waarom niet? Zo ja, op welke wijze denkt u te kunnen waarborgen dat dit in het vervolg wel goed wordt gedaan?

Antwoord op vraag 3 en 4; Ik deel de mening dat alle zorginstellingen passende maatregelen moeten nemen om patiëntdossiers en communicatie over patiënten maximaal te beveiligen. Ze moeten zorgen dat binnen hun organisaties goed met persoonsgegevens wordt omgegaan om datalekken zoals deze te voorkomen maar ook om weerbaar te zijn tegen bijvoorbeeld cyberaanvallen. Daarbij hoort onder anderen het gebruik van beveiligde e-mail voor het uitwisselen van persoonsgegevens. Alle zorg- en jeugdhulpinstellingen zouden daarom gebruik moeten maken van beveiligde e-mail verbindingen, waarvoor ook een NEN1-norm beschikbaar komt...

Vraag 7; Wat is uw reactie op de bewering van de klokkenluiders dat er nog tientallen soortgelijke zorgorganisaties zijn waarvan de oude domeinnaam is verlopen, en die door kwaadwillenden zijn over te nemen of reeds zijn overgenomen?

Antwoord op vraag 7; Het Computer Emergency Response Team voor de Zorg (Z-CERT) meldt mij dat er inderdaad domeinnamen circuleren die eerder door zorginstellingen zijn gebruikt en daarna zijn vrijgegeven. Op mijn verzoek heeft Z-CERT deze domeinnamen zelf geregistreerd zodat deze niet meer voor anderen beschikbaar zijn.

Alles bij de bron; RijksOverheid


 

Europese landen stemmen in met 'uploadfilter', Nederland stemt tegen

Negentien Europese lidstaten heeft ingestemd met een nieuwe auteursrechtenwet, waarin ook het zogenoemde 'uploadfilter' wordt geïntroduceerd. Nederland, Luxemburg, Italië, Polen, Finland en Zweden stemden tegen. België, Estland en Slovenië weigerden te stemmen. De wet heeft alsnog een zodanig grote meerderheid dat die ingevoerd zal worden.

Critici vrezen dat hierdoor een 'uploadfilter' ontstaat, waarmee techbedrijven alles dat mogelijk de wet schendt direct zullen weren. Hier zou ook satirisch materiaal onder kunnen vallen.

Alles bij de bron; NU


 

Cashloos wordt de norm

Welke ontwikkelingen mogen er verwacht worden op het vlak van elektronische betalingen? 

De eerste en - wellicht belangrijkste - trend is de overgang naar cashloos betalen. Er is steeds minder cash geld in omloop. Dat komt door de ontwikkeling van allerlei mobiele apps (Google Pay, Payconiq,…) die cashloos betalen mogelijk maken. In Zweden zijn cash betalingen nog goed voor twee procent van de totale waarde van alle transacties. Al zegt dat natuurlijk niets over het aantal betalingen dat nog met contant geld gebeurt.

De ontwikkeling van ‘scan and go’ zelfbedieningswinkels is een tweede trend. In de Go store van Amazon kunnen klanten uit de rekken nemen wat ze nodig hebben en vervolgens zonder te betalen buiten wandelen. Via een virtueel winkelmandje worden hun aankopen geregistreerd en de betaling gebeurt automatisch met hun Amazonaccount.

Er is natuurlijk ook een keerzijde aan de digitalisering van het betalingsverkeer. Cybercriminaliteit neemt zeer snel toe en vormt een grote bedreiging. Om de consument voldoende te beschermen en te verhinderen dat gevoelige gegevens in verkeerde handen vallen, zijn er dan ook richtlijnen en normen uitgevaardigd, denk maar aan GDPR en PCI DSS compliance. GDPR gaat over de manier waarop organisaties persoonlijke gegevens mogen verzamelen, opslaan en gebruiken. En PCI DSS is een standaard voor de opslag en verwerking van gegevens van kaarthouders.

Apps zoals Apple Pay en Google Pay lijken in de eerste plaats handig voor de consument, maar ook de handelaar kan er zijn voordeel mee doen. Je kan een smartphone immers gebruiken als een alles-in-één betaalterminal. Deze smartphoneterminal kan betalingen verwerken via QR-codes, betaalkaarten, contactloze betalingen of portefeuille/app-betalingen vanaf de smartphone van de klant. 

Gegevens of data worden steeds belangrijker. Starbucks doet zijn klanten in real time individuele aanbiedingen op basis van voorgaande gedragingen en voorkeuren. De gegevens zijn afkomstig van de klantenkaartapp van het koffiemerk die in 2011 gelanceerd werd. Het komt er dus op aan om de juiste gegevens te filteren uit de veelheid aan beschikbare data waarover men vaak beschikt.

Gegevens spelen ook een centrale rol in de laatste trend, zij het dan in het delen van data. Op dit moment heeft elke retailer meestal nog zijn eigen klantenkaart, maar in bepaalde winkelcentra werkt men al met een gemeenschappelijke klantenkaart. Dat is gemakkelijker voor de klant het levert de retailers betrouwbare informatie.

Alles bij de bron; RetailDetail