Een politieagent uit Antwerpen is terecht ontslagen, vindt de Belgische Raad van State.
De agent kreeg een fietsvergoeding maar uit beelden van ANPR-camera’s werd duidelijk dat hij elke dag met de auto naar het werk ging. De fietsvergoeding, tien euro per dag, was dus onterecht toegekend, vond de korpsleiding.
Waarna de agent, die ook sjoemelde met zijn werktijden, werd ontslagen. Het ontslag werd aangevochten, zonder resultaat dus.
Bron; Cops-in-Cyberspace
Het kabinet wil een centrale database maken met gegevens over alle taxiritten, waaronder gegevens over waar mensen in- en uitstappen. De Autoriteit Persoonsgegevens (AP) wijst het kabinet erop dat het de privacy van passagiers beter moet beschermen. Iemand met toegang tot die database zou gevoelige privézaken van passagiers kunnen ontdekken.
In het voorstel worden de gps-coördinaten van het vertrek- en eindpunt van elke rit naar de ILT verzonden. Daardoor ontstaat dus een database met alle taxiritten in Nederland.
“Wij snappen dat het kabinet het toezicht makkelijker wil maken”, zegt AP-bestuurslid Katja Mur. “Maar door zo nauwkeurig in één database de coördinaten van de vertrek- en eindpunten van elke taxirit op te slaan, stel je mensen die de taxi nemen onnodig bloot aan privacyrisico’s. Passagiers verdienen een betere bescherming.”
En zodra zo’n centrale database bestaat, is er ook het risico dat het fout gaat, aldus Mur: “Een datalek zit vaak in een klein hoekje. Door een foutje, een kwaadwillende medewerker of een hacker. We hebben dit vaak genoeg fout zien gaan, ook bij overheidsinstellingen.”
Daarbij bestaat bij dit soort databases ook altijd het risico op ‘function creep’: dat de data uiteindelijk ook voor zaken gebruikt worden waar ze oorspronkelijk niet voor bedoeld zijn. Mur: “Misschien wil de politie wel toegang. Of vinden de Belastingdienst en de gemeente dat wel handig, om te controleren of mensen niet frauderen met toeslagen of uitkeringen. Door die data weer te koppelen aan andere data, kan de overheid mensen op de voet volgen. Dat moeten we niet willen.”
Alles bij de bron; Beveiliging
De politie moet in besloten chatgroepen kunnen meelezen als wat daar besproken wordt gevolgen kan hebben voor de openbare orde, zo vindt minister Van Weel van Justitie en Veiligheid die hier in de eerste helft van volgend jaar met een wetsvoorstel voor komt.
Het wetsvoorstel waar de minister mee zegt te komen moet de bevoegdheden van politie uitbreiden als het gaat om de 'informatievergaring ten behoeve van de openbare orde handhaving'. "Het wetsvoorstel bevat de bevoegdheid tot stelselmatige informatievergaring in publiek toegankelijke online bronnen. Dit voorstel zal met een zorgvuldige onderbouwing van nut en noodzaak en een kader van checks and balances worden voorbereid. Daarnaast zal worden gewerkt aan de mogelijkheid om de politie ook (meer) toegang tot besloten app- en chatgroepen te geven."
Vorige week liet de bewindsman al tegenover de Volkskrant weten dat politie undercover mee moet kunnen kijken in besloten Telegramgroepen.
Alles bij de bron; Security
De Geschillenkamer van de Belgische Gegevensbeschermingsautoriteit legt het bedrijf Freedelity 'corrigerende maatregelen' op na inbreuk op de Algemene Verordening Gegevensbescherming. Het bedrijf zou onterecht bepaalde persoonsgegevens van identiteitsbewijzen hebben verzameld.
Volgens de Gegevensbeschermingsautoriteit verzamelde Freedelity teveel niet noodzakelijk informatie van identiteitsbewijzen, waaronder het nummer van het document, de gemeente waar de ID-kaart is uitgegeven en de geldigheidsdatum van de kaart. Daarnaast zou het bedrijf de verkregen gegevens acht jaar bewaren, wat volgens de toezichthouder buitensporig is.
Freedelity is een Belgisch bedrijf dat persoonsgegevens van consumenten verzamelt door middel van de elektronische uitlezing van identiteitskaarten. Klanten van het bedrijf kunnen vervolgens met die gegevens 'gerichte marketing en klantenrelatiebeheer' uitvoeren.
Alles bij de bron; Tweakers
De politie maakt vaak gebruik van dwang om biometrisch beveiligde telefoons van verdachten te ontgrendelen, zo hebben medewerkers van het Team Digitale Opsporing (TDO) tegenover onderzoekers van Dialogic laten weten, zo stellen de onderzoekers in een evaluatierapport van de Innovatiewet Strafvordering. Exacte cijfers over hoe vaak dwang wordt ingezet zijn niet bekend, zo stelt minister Van Weel van Justitie en Veiligheid.
"Het komt voor dat een mobiele telefoon alleen ontgrendeld kan worden met behulp van biometrische gegevens van de gebruiker van dat toestel. De politie mag in die gevallen de verdachte vragen zijn toestel te ontgrendelen. Als de verdachte hier niet aan wil meewerken, mag de politie dwang gebruiken", aldus de minister, die wijst naar een arrest van de Hoge Raad uit 2021. De bewindsman reageerde op Kamervragen over een uitspraak van het Europese Hof van Justitie dat politie data op telefoons ook bij lichte misdrijven mag doorzoeken.
De bevoegdheid om biometrische beveiliging door middel van dwang te doorbreken is via de Innovatiewet Strafvordering vooralsnog opgenomen in artikel 558 van het Wetboek van Strafvordering. De bevoegdheid van artikel 558 Sv kan worden toegepast in iedere zaak waarin een verdenking bestaat.
De onderzoekers schrijven dat het beveiligen van telefoons met een vingerafdruk minder vaak voorkomt. "Verdachten beveiligen hun apparaten vaak opzettelijk niet met vingerafdrukken, omdat deze wijze van beveiligen relatief eenvoudig ongedaan kan worden gemaakt. Beveiliging met een irisscan komt het minst vaak voor."
Het is echter niet altijd nodig om om inbreuk te maken op de lichamelijke integriteit van de verdachte, schrijven de onderzoekers: "Wanneer vingerafdrukken van een verdachte zijn vastgelegd in een database van de politie, kunnen die in een mal worden geëtst, waarmee de vinger van de verdachte wordt nagebootst. In geval van beveiliging met een gezichts- of irisscan is het denkbaar dat de smartphone het desbetreffende gezicht herkent wanneer de smartphone ervoor wordt gehouden."
De onderzoeken stellen dat het kunnen doorbreken van biometrische beveiliging toegevoegde waarde kan hebben voor de opsporing. "Er is in sommige zaken behoefte om deze bevoegdheid te kunnen toepassen. De mate van dwang die wordt toegepast, is beperkt", concluderen ze. De onderzoekers merken op dat de bevoegdheid strikt genomen geen verbetering van de strafvordering is, omdat deze voorafgaand aan de pilot al kon worden toegepast op grond van jurisprudentie van de Hoge Raad.
Alles bij de bron; Security
Als er geen actie wordt ondernomen, bestaat het medisch beroepsgeheim over enkele jaren niet meer. Met deze boodschap lanceren privacy-organisaties Platform Burgerrechten en Stichting KDVP deze week de campagne “Behoud Beroepsgeheim”.
VWS wil dat Mitz voor alle patiënten en zorgaanbieders in Nederland het register voor toestemmingen wordt.
Het doel van Mitz is om alle verschillende manieren om de toestemmingskeuzes vast te leggen overbodig te maken. Daardoor moet de patiënt meer overzicht en regie krijgen. Tegelijkertijd moet het voor de zorgprofessional eenvoudiger worden om te zien welke gegevens wel of niet gedeeld morgen worden.
Mitz regelt dat voor alle zorgsectoren.
Volgens de privacy-organisaties maakt Mitz medische gegevens voor grote groepen zorgverleners toegankelijk, zonder dat de dossierhoudend arts kan controleren wie voor welke reden gegevens uit diens dossiers opvraagt. Daardoor wordt het medisch beroepsgeheim geschonden.
De organisaties, eerder betrokken bij de rechtszaak tegen SyRI en de rechtszaak van Vertrouwen in de GGZ, constateren dat het medisch beroepsgeheim meer dan ooit onder druk staat door de datahonger van overheden en bedrijven. Hierdoor worden keuzes gemaakt voor beleid en technologie waarin het medisch beroepsgeheim en de patiëntprivacy ondergeschikt wordt gemaakt aan politieke en commerciële doeleinden.
Namens VZVZ, de beheerder van Mitz, reageert een lezer als volgt op bovenstaand artikel:
In Nederland geldt een opt-in systeem voor de uitwisseling van medische gegevens. Dit betekent dat zorgaanbieders alleen gegevens beschikbaar mogen stellen als een patiënt uitdrukkelijke toestemming heeft gegeven. Mitz is een systeem dat de opt-in benadering volledig ondersteunt en voldoet aan alle geldende wetten en regels.
Mitz geeft de burger niet alleen rechten, maar ook daadwerkelijk regie en zeggenschap. Zo kan elke burger met DigiD toestemmingskeuzes vastleggen voor de uitwisseling van medische gegevens tussen behandelaren. Mitz biedt ook maximale transparantie aan de burger. Deze kan precies volgen of een zorgaanbieder een toestemmingskeuze heeft geraadpleegd. Voor meer informatie kijk op http://www.MijnMitz.nl.
Alles bij de bron; Skipr
De gegevens van meer dan één miljoen medewerkers van de Britse National Health Service (NHS) waren via verkeerd ingestelde Microsoft Power Pages voor iedereen op internet toegankelijk. Het ging om naam, adresgegevens, telefoonnummer en e-mailadres. Dat meldt beveiligingsonderzoeker Aaron Costello op basis van eigen onderzoek.
Microsoft Power Pages is een SaaS (Software-as-a-service) platform waarmee gebruikers en organisaties eenvoudig websites kunnen maken en hosten. Het maakt gebruik van een role based access control (RBAC) model om het toegangsniveau van gebruikers te beheren. Daarbij wordt er gewerkt met anonieme en geauthenticeerde gebruikers.
Costello ontdekte dat verschillende organisaties de permissies van anonieme gebruikers verkeerd hadden ingesteld, waardoor die toegang hadden tot data die alleen voor geauthenticeerde gebruikers had moeten zijn. Daarnaast bleek ook dat alle data in een tabel onbedoeld als toegankelijk was aangemerkt. Hierdoor was onbeperkte leestoegang tot gegevens mogelijk.
In het geval van de gegevens van NHS-medewerkers ging het om een grote, niet nader genoemde, zakelijke serviceprovider die de gegevens voor de Britse gezondheidszorg verwerkte en de eerder genoemde configuratiefouten had gemaakt. Na te zijn ingelicht werden de instellingen aangepast.
Alles bij de bron; Security
Een spionagegroep heeft in 2022 verschillende organisaties in de VS gecompromitteerd door het wifi-netwerk van de buren te gebruiken, zo stelt securitybedrijf Volexity in een analyse. De aanvallers bevonden zich op duizenden kilometers afstand toen de aanval plaatsvond.
De aanvallers hadden eerder een password spraying-aanval tegen een publiek toegankelijke service van de organisatie uitgevoerd, wat een werkende gebruikersnaam en wachtwoord opleverde. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen.
De service in kwestie maakte gebruik van multifactorauthenticatie (MFA), waardoor alleen een gebruikersnaam en wachtwoord niet voldoende waren om op de service in te loggen. Het wifi-netwerk vereiste echter geen MFA.
De aanvallers waren niet in staat om zelf fysiek verbinding met het wifi-netwerk te maken. Om deze barrière te overkomen werden verschillende organisaties in de buurt van de aan te vallen organisatie gecompromitteerd. De doelwit organisatie, organisatie A, werd aangevallen via het wifi-netwerk van organisatie B. Organisatie B was echter aangevallen via het wifi-netwerk van organisatie C, alsmede gecompromitteerde vpn-inloggegevens.
Uiteindelijk kregen de aanvallers zo toegang tot een systeem dat zowel over een bedrade verbinding als wifi-adapter beschikte. Vervolgens werd er via deze wifi-adapter en de eerder verkregen gebruikersnaam en wachtwoord ingelogd op het netwerk van organisatie A.
Alles bij de bron; Security