Een wetsvoorstel dat politiediensten in België, Nederland en Luxemburg toegang geeft tot elkaars politiedatabases en ANPR (Automatic Number Plate Recognition)-cameragegevens is door minister Grapperhaus van Justitie en Veiligheid naar de Tweede Kamer gestuurd. Het wetsvoorstel moet ervoor zorgen dat een nieuw Benelux-politieverdrag wordt omgezet in nationale wetgeving.

Politiediensten kunnen door het verdrag rechtstreekse toegang tot elkaars politiedatabases krijgen op basis van hit/no hit. Daarnaast wordt het mogelijk om politiedatabases tijdens gezamenlijke acties en in gemeenschappelijke politieposten direct te raadplegen. Ook zal binnen de grenzen van de eigen nationale wetgeving raadpleging van bevolkingsregisters mogelijk zijn.

Het Benelux-politieverdrag is op 23 juli 2018 ondertekend door de verantwoordelijke ministers van Nederland, België en Luxemburg. Als de Tweede Kamer het wetsvoorstel aanneemt moet het ook nog door de Eerste Kamer komen. Als ook België en Luxemburg het verdrag goedkeuren kan het in werking treden.

Alles bij de bron; Security

De Duitse overheid heeft in de eerste zes maanden van 2020 in totaal 21 keer bij Cisco om gegevens van klanten gevraagd. Daarmee zijn onze oosterburen wereldwijd koploper wat dataverzoeken betreft. De Nederlandse autoriteiten klopten in de eerste helft van vorig jaar geen enkele keer bij Cisco aan voor klantgegevens.

Cisco publiceert al jaren zogeheten "transparantierapporten" waarin het een overzicht geeft van ontvangen dataverzoeken. Voor het eerst zijn de dataverzoeken per land inzichtelijk gemaakt.

In de eerste zes maanden van 2020 ging het in totaal om 48 dataverzoeken wereldwijd. Daarvan waren er 21 van de Duitse autoriteiten afkomstig en 18 vanuit de Verenigde Staten. In de meeste gevallen wordt er 'non-content data' gevraagd zoals naam, adresgegevens, telefoonnummer, ip-adres, e-mailadres, betaalgegevens zoals creditcardinformatie en telemetriegegevens die samenhangen met het gebruik van de klant. Het kan dan gaan om url's, netflowdata en informatie over cookies.

In 58 procent van de verzoeken overhandigde Cisco gegevens van klanten. Verder laat de netwerkgigant in het transparantierapport weten dat het geen backdoors aan producten toevoegt en overheidsdiensten nooit zonder een adequaat juridisch proces directe toegang tot content of non-content data geeft.

Alles bij de bron; Security

De Autoriteit Persoonsgegevens (AP) gaat de wijze waarop het UWV persoonsgegevens beschermd nader onderzoeken. De toezichthouder wil dat de overheidsdienst de beveiliging van persoonsgegevens beter op het netvlies houdt.

Uit een onderzoeksrapport van adviesbureau KPMG bleek deze week dat gegevens van ongeveer miljoenen (voormalige) klanten van het UWV inzichtelijk zijn voor zo'n vijftienduizend medewerkers, hoewel zij deze toegang lang niet altijd nodig hebben. Onder meer namen, adresgegevens en burgerservicenummers zijn in het systeem vastgelegd. Het UWV gebruikt het systeem om werkzoekenden aan potentiële werkgevers te koppelen...

...“Het UWV zou de beveiliging van persoonsgegevens beter op het netvlies moeten hebben. Het gaat vaak ook nog om gezondheidsgegevens van veel mensen”, zegt een woordvoerder van de AP tegen Trouw. “Deze organisatie is wettelijk verplicht om dit goed te doen. Om die reden heeft het UWV een privacy-expert in dienst die hiervoor moet zorgen: de functionaris gegevensbescherming.”

De woordvoerder wijst ook op eerdere incidenten bij het UWV. Zo werd de overheidsdienst in 2017 op de vingers getikt nadat de beveiliging van het online werkgeversportaal niet op orde bleek te zijn, aangezien werkgevers via uitsluitend een e-mailadres en wachtwoord konden inloggen. Dit vond de AP onvoldoende. Het UWV kreeg een last onder dwangsom opgelegd van 150.000 euro per maand, met een maximale boete van 900.000 euro. Naar aanleiding hiervan is de beveiliging van het systeem verbeterd.

Alles bij de bron; DutchIT-Channel

In 1999 lanceerde de MITRE Corporation de Common Vulnerabilities and Exposures (CVE)-lijst. CVE voorziet elke kwetsbaarheid van een uniek nummer. Dit maakt het eenvoudiger om kwetsbaarheden te volgen, informatie uit te wisselen en beveiligingsproducten te beoordelen. Het CVE-nummer begint met de letters CVE, gevolgd door een jaartal en een getal van vijf cijfers. Onderzoekers, ontwikkelaars of bedrijven die een kwetsbaarheid vinden kunnen hiervoor een CVE-nummer aanvragen.

Van 2010 tot en met 2016 bleef het aantal kwetsbaarheden met een CVE-nummer jaarlijks onder de 8000, zo blijkt uit cijfers van de National Vulnerability Database die de CVE-nummers bijhoudt. Vanaf 2017 is er een sterke stijging zichtbaar en worden er in één jaar 14.600 beveiligingslekken aan de CVE-database toegevoegd. Deze lijn zet zich de jaren erna door, met in 2018, 2019 en 2020 respectievelijk 16.500, 17.300 en 18.300 nieuwe kwetsbaarheden.

Alles bij de bron; Security

De Europese databeschermingsrichtlijn GDPR, in voege sinds 2018, raakt stilaan op kruissnelheid. Het voorbije jaar werden in de EU voor 171,3 miljoen euro boetes geïnd wegens inbreuken tegen de richtlijnen, met Google als voornaamste ‘slachtoffer’.

Vooral koplopers Italië en het VK springen in het oog. Met totale boetebedragen van respectievelijk 58,2 en 43,9 miljoen euro maken die twee meer dan 60 procent van het Europese totaal uit. 

Duitsland zit daar niet ver achter. Maar dat heeft alles te maken met de monsterboete die de Duitse autoriteiten oplegden aan kledingreus H&M. Die moest 35,3 miljoen euro ophoesten, goed voor net geen 95 procent van het totale Duitse boetebedrag. 

Spanje blijkt, onder de radar, de spreekwoordelijke kampioen van GDPR-boetes met 76 veroordelingen.

Alles bij de bron; BusinessAM

Minister De Jonge van Volksgezondheid laat de centrale vaccinatiedatabase waarin de gegevens van gevaccineerden worden bijgehouden extra beveiligen. Vanwege recente beveiligingsincidenten, waaronder de inbraak op systemen van het Europees geneesmiddelenbureau EMA, liet De Jonge extra onderzoek naar de beveiliging van het centrale register uitvoeren.

Naar aanleiding van de gevonden zaken worden er nu aanvullende maatregelen genomen om het COVID-19 vaccinatie informatie- en monitoringsysteem (CIMS) te beveiligen. "Het treffen van deze maatregelen staat start van de vaccinatiecampagne per 8 januari niet in de weg. Ik houd dit scherp in de gaten", schrijft de minister in een brief aan de Tweede Kamer.

Naast extra beveiligingsonderzoek is er ook een Data Protection Impact Assessment (DPIA) uitgevoerd, waar op dit moment de laatste hand aan wordt gelegd. Met een DPIA worden vooraf de privacyrisico's die bij het verwerken van gegevens komen kijken in kaart gebracht. Vervolgens kunnen er maatregelen worden getroffen om de risico's te verkleinen.

"Omdat het bij centrale registratie gaat om verwerking van persoonsgegevens op een zeer omvangrijke schaal, heb ik goed gekeken naar het juridisch kader met betrekking tot privacy en het medisch beroepsgeheim", stelt de minister. Naast het uitvoeren van een DPIA is er ook contact geweest met de vaccinerende artsen en Autoriteit Persoonsgegevens.

Hieruit is voortgekomen dat het opnemen van gegevens in de centrale vaccinatiedatabase alleen is toegestaan met uitdrukkelijke toestemming van de gevaccineerde. Bij de oproep/uitnodiging tot vaccinatie wordt een toestemmingsformulier meegestuurd. Tevens wordt uitgelegd wat met de verzamelde data gebeurt en wordt aangegeven dat burgers hun vaccinatiegegevens bij het RIVM altijd kunnen laten verwijderen en hoe dit mogelijk is.

Van mensen die ofwel niet opkomen voor vaccinatie ofwel wel komen maar geen toestemming geven voor het delen van de vaccinatiedata, worden alleen anonieme data op geaggregeerd niveau met het RIVM gedeeld, zo stelt De Jonge, die toevoegt dat het wel of niet delen van data geen gevolgen heeft om te worden gevaccineerd.

Alles bij de bron; Security

De Singaporese politie mag data die via de corona-app TraceTogether is verkregen voor strafrechtelijke onderzoeken gebruiken, zo heeft de Singaporese minister van Binnenlandse Zaken Desmond Tan laten weten. Op de website van TraceTogether wordt gemeld dat gegevens van de corona-app alleen voor contactonderzoek worden gebruikt wanneer iemand met corona besmet blijkt te zijn.

"De Singaporese politie is bevoegd om voor strafrechtelijk onderzoek alle data op vragen, waaronder TraceTogether-data", aldus Tan, die reageerde op vragen van parlementslid Christopher de Souza. Het parlementslid wilde weten of politie TraceTogether-data voor strafrechtelijke onderzoeken gaat gebruiken en hoe dit juridisch is geregeld (pdf). Iets dat inderdaad het geval is. Als voorbeeld noemde de minister getuigen die van TraceTogether gebruikmaken en van wie de data kan worden gebruikt. Tan voegde toe dat politie dit niet zal doen bij personen die van een misdrijf worden verdacht of worden onderzocht.

Een ander parlementslid merkte op dat dit in strijd met de privacyvoorwaarden van de app is en dit het gebruik van TraceTogether kan ondermijnen. Meer dan 4,2 miljoen mensen in Singapore maken gebruik van de TraceTogether-app of token, wat neerkomt op 78 procent van de inwoners.

Alles bij de bron; Security

Aanvulling;

...Bijna 80 procent van de inwoners gebruiken de app. Het ‘vrijwillige’ gebruik van de app nam toe nadat bekend werd dat je met de app toegang krijgt tot alles van supermarkten tot werkplekken. TraceTogether heeft inmiddels op de site ook de voorwaarden aangepast.

Bill Marczak, een expert op het gebied van mobiele surveillance, waarschuwde vorig jaar maart bij het CPJ al over de implicaties van dergelijke technologie als regeringen hun capaciteit opvoeren om burgers in tijden van crisis te volgen, vooral ook voor journalisten. Hij gaf aan dat dergelijke surveillancebevoegdheden en het ontstaan van zulke technologieën tijdens crisissituaties moeilijk terug te draaien zijn en dat het kan worden gebruikt tegen journalisten die soms al in kwetsbare posities zitten, bijvoorbeeld in landen met autoritaire regimes.

Alles bij de bron; VillaMedia

T-Mobile heeft vorige maand de gespreksgegevens van 200.000 Amerikaanse klanten gelekt. Het was het tweede datalek van 2020 waar de telecomprovider mee te maken kreeg. 

Het gaat onder andere om het telefoonnummer van de klant, wie die allemaal heeft gebeld, hoe lang en wanneer. Namen, adresgegevens, e-mailadressen en financiële data zijn niet door de aanvallers ingezien. 

In maart van vorig jaar waarschuwde T-Mobile ook al voor een datalek. Aanvallers wisten destijds toegang te krijgen tot verschillende mailaccounts van T-Mobile-medewerkers. Deze e-mailaccounts bleken accountgegevens van klanten en medewerkers te bevatten. Daardoor kregen de aanvallers mogelijk toegang tot namen, adresgegevens, telefoonnummers, abonnementsgegevens, klantnummers en facturatiegegevens van een niet nader genoemd aantal klanten.

Alles bij de bron; Security