45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Dit gebeurt er als je om je gegevens vraagt

De Algemene Verordening Gegevensbescherming (AVG) gaat op 25 mei in in de EU. De privacyregels zijn daarin flink aangescherpt. Organisaties moeten intern vastleggen welke persoonsgegevens zij precies bewaren, hoe lang al en wat ze met andere partijen delen. In deze serie wordt vooruit geblikt op wat de nieuwe privacywet voor gevolgen heeft.

...Een Excelbestand komt per e-mail mijn inbox binnen. Het komt van Inner Circle, een datingapp die ik ooit van mijn telefoon verwijderde zonder ook mijn profiel weg te gooien. Het bestand bestaat uit tien tabbladen die een griezelig persoonlijk portret schilderen. Ik lees onder meer terug wanneer ik precies online was, welke zoekopdrachten ik uitvoerde in het aanbod van mannen, hoe vaak ik op accounts keek en de inhoud van berichten die ik uitwisselde met de potentiële dates.

Klanten mogen van organisaties weten welke gegevens allemaal over hen zijn verzameld. Met een ‘privacyinzageverzoek’ kunnen ze controleren of die gegevens wel kloppen en of organisaties niet te veel informatie verzamelen. Dat staat al sinds 2001 beschreven in de Wet bescherming persoonsgegevens, maar lijkt in de praktijk een vrijblijvend advies. De privacytoezichthouder Autoriteit Persoonsgegevens (AP) heeft nog nooit een Nederlandse organisatie die zo’n verzoek weigerde beboet...

...De techreuzen doen niet aan privacyinzageverzoeken, maar bieden een alternatief: het downloaden van je gegevens. Facebook biedt dat aan via ‘instellingen’ en Google via de site takeout.google.com. In het enorme bestand staan naast mijn e-mails en de historie van zoekopdrachten ook bijvoorbeeld m’n locatiegeschiedenis (vanwege Google Maps) en hoe ik precies YouTube heb gebruikt. Facebook stuurt een kopie van m’n profiel met aanvullende informatie. Bijvoorbeeld op welke advertenties ik klikte, een overzicht van de evenementen waar ik op ‘aanwezig’ stond, wanneer ik inlogde en vanaf welk apparaat. Het overzicht is overduidelijk incompleet. Zo stuurt Facebook alleen de foto’s die ik op ‘zichtbaar’ heb staan, terwijl ik ook andere foto’s op mijn account heb opgeslagen.

Het is de vraag wat de techbedrijven verder allemaal buiten beschouwing laten. En of ze daarbij kunnen rekenen op boetes van de Europese privacytoezichthouders vanwege de nieuwe wet.

Alles bij de bron; NRC [gifpaperscan]


 

Privacy, ook op je werkplek

In veel bedrijven is het gebruikelijk om via online communicatie-platformen, zoals Slack, berichtjes uit te wisselen. Mag een werkgever meekijken met al deze berichtjes? Volgens advocaat Silvia van Schaik van bureau Brandeis kan dat niet zomaar en is het gebonden aan heldere regels. Ook een werknemer heeft immers recht op privacy.

https://www.bnr.nl/player/audio/10080738/10342909

Alles bij de bron; BNR


 

Technische long-read; Verzekeraars websites vergeleken op privacy

Recent was er in het nieuws dat er nogal wat verzekeraarwebsites data delen met onder andere facebook. Heel veel wijzer werd je niet van dat nieuws want er werden geen data bij de conclusies overhandigd. Daarom, nu 'de' data zelf verzameld van 37 websites vergeleken op een aantal punten.

Ik heb drie sorteringen gemaakt in een spreadsheet die ik her zal pasten. Websites van verzekeraars gesorteerd naar :

• Bij akkoord cookies en sortering naar aantal waargenomen trackers 
• Bij akkoord cookies en sortering naar het aantal externe verbindingen. Want als jij 'website 'a.nl' bezoekt kan het zijn dat er bijna hethelealfabet.nl aan webdomeinen op de achtergrond stiekem ook data ontvangen en meekijken.

• Bij Niet akkoord cookies en maximaal data rond'zingen' gesorteerd op aantal trackers en aantal verbindingen, aflopend. De grootste data liefhebbers staan bovenaan.

Als laatste tref je een overzicht van alle onderzochte websites aan met de specificaties van de data die ik heb onderzocht, aantal trackers en verbindingen met specificatie. Opdat je een idee krijgt waarom het gebruiken van wat extra maatregelen om je privacy te beschermen heel nuttig is. Met een paar kleine slimme stapjes kan je al veel tegenhouden, vele andere forumposts die daar over gaan op deze site dus daarnaar verwezen.

Kijk en vergelijk. Conclusies te trekken zijn er genoeg, do it yourself.

Alles bij de bron; Security


 

Organisaties stappen samen naar rechter om de sleepwet te blokkeren

Een samenwerkingsverband van organisaties stapt naar de rechter om te voorkomen dat de Wet op de Inlichtingen- en Veiligheidsdiensten op 1 mei ingaat. Onder meer Bits of Freedom, Privacy First en de Nederlandse Vereniging van Strafrechtadvocaten spannen een kort geding aan, omdat ze vinden dat de Eerste en Tweede Kamer zich eerst over de gewijzigde wet moeten kunnen uitspreken, voor die in werking treedt.

Het kabinet wil de gewijzigde wet volgende maand in werking laten treden. De maatschappelijke organisaties vinden dat het kabinet daarmee de Eerste en Tweede Kamer de kans ontneemt om zich uit te spreken over de wetswijzigingen. Daarom proberen ze de inwerkingtreding van de wet tegen te houden.

Alles bij de bron; Beveiliging


 

Frankrijk verplicht verdachten om passcode telefoon af te staan

Verdachten in Frankrijk zijn verplicht om de passcode van hun telefoon af te staan. Dat blijkt uit een beslissing van de Franse constitutionele raad. Wie niet meewerkt kan tot een gevangenisstraf van 3 jaar en een boete van 270.000 euro worden veroordeld.

Het wetsartikel verscheen in november 2001, na de aanslagen in de Verenigde Staten op 11 september, in de Franse anti-terreurwetgeving. Het wordt nu echter bij elke vorm van misdaad ingezet, aldus Le Monde.

De verdachte die terecht moet staan voor het niet afgeven van zijn passcode wordt verdacht van drugsbezit. Volgens zijn advocaat is dit in strijd met het zwijgrecht en het recht om niet aan de eigen veroordeling mee te werken, zoals erkend door het Europees Hof voor de Rechten van de Mens.

Alles bij de bron; Security


 

BOA zet persoonlijke gegevens online na boete

D66 heeft haar zorgen geuit over een onlangs gepubliceerde foto op het Twitteraccount van de handhaver in Berkel en Rodenrijs. "Op 6 april is daar een tweet geplaatst over iemand die parkeerde op een invalidenplaats zonder daar een vergunning voor te hebben. Het is goed dat er beboet is. Maar de foto erbij is problematisch."

Op de foto stond de auto van de overtreder en het kenteken was nog zichtbaar. "Dat zijn persoonsgegevens. Een kenteken is te herleiden tot de eigenaar van de auto. Waarschijnlijk is het ook zonder toestemming gepubliceerd. Zo heb je kan dat iemand na een boete nogmaals gestraft wordt, dit keer op het internet. We moeten voorkomen dat mensen zo aan de digitale schandpaal worden genageld." 

Alles bij de bron; HvH


 

Dating apps versturen persoonlijke data op onveilige wijze door code van derden

Veel populaire dating-apps versturen gebruikersdata via het onveilige HTTP-protocol doordat deze apps gebruiksklare SDK’s van derden toepassen voor het weergeven van advertenties. De SDK’s maken deel uit van enkele van de meest gebruikte advertentienetwerken. Er zijn apps bij die wereldwijd miljarden keren zijn geïnstalleerd.

Door deze ernstige beveiligingsfout kunnen privégegevens worden onderschept, gewijzigd en gebruikt voor verdere aanvallen.

Analyse heeft aangetoond dat data ongecodeerd en via HTTP worden verzonden. De gegevens leggen de reis naar de servers derhalve onbeschermd af. Omdat er geen sprake is van encryptie, kunnen de data in principe door iedereen worden onderschept via onbeveiligde wifi, door de internetprovider of met behulp van malware op een thuisrouter. Nog ernstiger is dat de onderschepte gegevens ook kunnen worden gewijzigd, wat betekent dat de toepassing schadelijke advertenties kan laten zien in plaats van legitieme.

"We dachten eerst dat we te maken hadden met een paar gevallen van onzorgvuldig applicatieontwerp, maar de omvang van dit probleem blijkt enorm te zijn”, zegt Roman Unuchek, beveiligingsonderzoeker bij Kaspersky Lab. “Miljoenen applicaties bevatten SDK's van derden, waardoor privégegevens gemakkelijk kunnen worden onderschept en gewijzigd."

Alles bij de bron; ExecutivePPL


 

Meld Misdaad Anoniem verkoopt binnengekomen tips

Tiplijn Meld Misdaad Anoniem geeft de anonieme tips niet alleen door aan de politie, maar blijkt ze ook te verkopen aan andere partijen. Daarmee verdient de stichting jaarlijks bijna een half miljoen euro, blijkt uit onderzoek van opinieblad De Groene Amsterdammer.

De klanten van de tiplijn zijn vooral gemeenten, maar ook verzekeraars, energiebedrijven en de belastingdienst kunnen tips kopen. Ze betalen een vast bedrag per maand en een bedrag per tip. Met die tips kan een energiebedrijf bijvoorbeeld achter iemand aan gaan die illegaal stroom aftapt voor zijn illegale hennepkwekerij, kan een verzekeraar bij diezelfde hennepkweker verhaal halen wegens fraude en kan de Belastingdienst bij die persoon terecht omdat hij zwart geld bezit.

Experts uiten hun zorgen in het weekblad. “Meld Misdaad Anoniem is de opsporing aan het vercommercialiseren. Dat is volstrekt onacceptabel”, zegt advocaat Jan Boone. Hoogleraar Gerrit-Jan Zwenne noemt de verkoop van meldingen risicovol. “Er kunnen perverse prikkels ontstaan om het product zo aantrekkelijk mogelijk te maken. Daardoor bestaat het risico dat wat minder wordt gelet op bepaalde waarborgen zoals een maximale bewaartermijn van drie maanden. Want dat is dan toch commercieel wat minder interessant.”

Alles bij de bron; Beveiliging