Het is mogelijk dat betaalgegevens van Nederlanders na de overname van fintechbedrijf CCV terechtkomen bij de Amerikaanse overheid, zegt minister van Financiën Eelco Heinen. Dat risico is klein, maar niet uitgesloten.
De minister van Financiën zegt dat in antwoord op Kamervragen. Kamerlid Inge van Dijk stelde vragen over de overname van de Nederlandse betalingsprovider CCV. Dat werd in maart van dit jaar overgenomen door het Amerikaanse fintechbedrijf Fiserv.
Van Dijk vroeg of het klopt dat CCV tot 'kritieke betalingsinfrastructuur' behoort, maar dat zegt Heinen niet. Welke diensten er als kritieke infrastructuur worden gerekend, is vertrouwelijke informatie.
Ze vroeg echter ook of Amerikaanse overheidsdiensten toegang zouden kunnen krijgen tot de betaalgegevens van Nederlanders; CCV is een van de grootste aanbieders van betaalautomaten in Nederlandse bedrijven. Op die vraag zegt Heinen dat dat wel degelijk mogelijk is, al is het risico klein.
Heinen zegt dat er onder de Amerikaanse Cloud-wetgeving een verplichting kan zijn om bepaalde gegevens aan de overheid te verstrekken. "Of een bedrijf dat buiten de VS is gevestigd onder de werking van de Cloud-verordening valt, is afhankelijk van het soort bevel dat op grond van die wet wordt uitgevaardigd en van de concrete feiten en omstandigheden van de casus", schrijft de minister.
Dat betekent dat CCV onder de Cloud-verordening kan vallen, zelfs als het bedrijf niet zelf in de VS is gevestigd. En dat betekent weer dat CCV in sommige gevallen betaalgegevens zou moeten kunnen afstaan.
Heinen merkt ook op dat het Nederlandse Nationaal Cyber Security Centrum de kans 'klein' inschat dat de Amerikaanse overheid in de praktijk betaalgegevens kan bemachtigen. Wel verwijst Heinen daarbij naar een juridische analyse die het NCSC in 2022 opstelde. Sinds die tijd en zeker in de laatste maanden is er specifiek op techgebied veel veranderd in de VS.
Alles bij de bron; Tweakers
Een Brits advocatenkantoor heeft wegens een datalek dat door een bruteforce-aanval ontstond een boete van omgerekend 70.000 euro gekregen.
Bij de aanval wisten aanvallers gevoelige en vertrouwelijke persoonlijke informatie te stelen, die vervolgens op internet werd gepubliceerd. Het advocatenkantoor ontdekte het datalek pas nadat de Britse autoriteiten hadden gewaarschuwd dat criminelen de gegevens van cliënten hadden gepubliceerd.
De Britse privacytoezichthouder ICO deed onderzoek naar het datalek en stelde dat de beveiliging van het advocatenkantoor ernstig te wensen overliet. Zo wisten de aanvallers via een bruteforce-aanval toegang tot een legacy admin-account te krijgen. Voor dit 'sqluser' account stond geen multifactorauthenticatie (MFA) ingeschakeld. Vervolgens werd er meer dan 32 gigabyte aan vertrouwelijke data buitgemaakt.
In het vonnis van de ICO wordt ook over een gecompromitteerde laptop van een eindgebruiker gesproken waarvandaan de aanvallers inlogden op het netwerk. "Databescherming is niet optioneel. Het is een juridische verplichting, en deze boete zou als een duidelijke boodschap moeten dienen", zegt de privacytoezichthouder.
Alles bij de bron; Security
Politie gaat gegevens over burgers die het te lang bewaarde vernietigen, zo heeft minister Van Weel van Justitie en Veiligheid aan de Tweede Kamer laten weten. Onlangs oordeelde de Raad van State dat het te lang bewaren van gegevens moet stoppen.
"Het gaat om een zeer grote hoeveelheid, onderling heel verschillende gegevens. Denk aan de registratie van een burenruzie, een rapport van de wijkagent over de dagelijkse surveillanceronde of het afhandelen van een verkeerszaak. De gegevens kunnen in principe op iedereen in Nederland betrekking hebben. In belangrijke mate gaat het om informatie over personen die niet verdacht worden van een strafbaar feit", legde de Raad van State uit.
Het gaat hierbij niet om informatie die gericht is verzameld voor het oplossen van strafzaken en dus in een strafdossier is opgenomen.
"De voorlichting van de Raad van State laat geen ruimte voor de verlenging van de bewaartermijn", reageert Van Weel op het oordeel. "De politie gaat daarom over tot het vernietigen van gegevens die langer bewaard werden dan de in artikel 14 van de Wpg gestelde termijn."Wanneer alle gegevens zullen zijn vernietigd is nog niet bekend.
Alles bij de bron; Security
Bij Fontys was tot voor kort sprake van een groot datalek waarbij gevoelige informatie van studenten door anderen in te zien waren. Omroep Brabant ontdekte het lek.
Als iemand zich aanmeldde voor een cursus bij Fontys, kreeg diegene een e-mailadres en logingegevens voor het interne netwerk. Via de zoekfunctie van het intranet kon diegene bij een grote hoeveelheid documenten met persoonlijke informatie, bleek uit onderzoek van de regionale omroep.
Het ging onder meer om lijsten met pasfoto’s, adressen en 06-nummers van studenten. Maar ook om interne e-mails tussen medewerkers en verslagen van gesprekken tussen mentors en studenten. In sommige e-mails stond medische informatie over bijvoorbeeld mentale problemen of dyslexie. Verder ontdekte Omroep Brabant cijferlijsten, ondertekende stageovereenkomsten, uitspraken van de examencommissie en lijsten met studieadviezen.
Volgens de hogeschool kon het lek ontstaan doordat medewerkers per ongeluk bepaalde documenten openbaar deelden via het interne netwerk. Alle openbare bestanden zijn omgezet naar privé, waardoor ze niet meer toegankelijk zijn voor anderen.
Bron; Beveiliging
Ahold Delhaize, moederbedrijf van supermarktketens Albert Heijn en Delhaize, is getroffen door een grote ransomwareaanval.
Er zou in totaal 6 terabyte aan data gestolen door het aan Rusland gelieerde hackerscollectief INC Ransom. De groep dreigt met het openbaren van die data. Wat de eisen van INC Ransom zijn, is nog onduidelijk. Ahold Delhaize bevestigt de aanval en meldt dat het te maken heeft met een incident uit november.
Het is nog onduidelijk welke gegevens buitgemaakt zijn. Op het forum waar INC Ransom de aanval meldt, deelt het collectief al wel documenten waar het de hand op kon leggen waaronder ook identiteitsbewijzen van personen.
Alles bij de bron; deMorgen
De Europese privacytoezichthouders verenigd in de EDPB hebben conceptregels opgesteld voor het verwerken van persoonlijke gegevens via blockchaintechnologie.
"Organisaties moeten een data protection impact assessment (DPIA) uitvoeren voordat ze persoonsgegevens via blockchaintechnologieën verwerken, wanneer de verwerking waarschijnlijk zal leiden tot een hoog risico voor de rechten en vrijheden van mensen", zo laat de Autoriteit Persoonsgegevens over de conceptregels weten.
Ook moeten organisaties het principe van dataminimalisatie toepassen wanneer ze persoonsgegevens willen verwerken in een blockchain.
Een ander punt is dat mensen gebruik moeten kunnen maken van hun privacyrechten als hun persoonsgegevens in de blockchain zitten. Het gaat dan bijvoorbeeld om het recht op inzage en het recht op rectificatie (wijzigen) van persoonsgegevens. Het publiek kan tot en met 9 juni dit jaar op de conceptregels reageren. Daarna zal de EDPB de definitieve richtlijnen vaststellen.
Alles bij de bron; Security
De omzet van het socialemediaplatform X daalde met 66,3 procent in 2023, het jaar na de overname door Elon Musk. Als reden van de forse daling noemt het bedrijf de lagere advertentie-uitgaven vanwege zorgen over merkveiligheid en contentmoderatie.
De omzet van X bedraagt in 2023 69,1 miljoen Britse pond (80,7 miljoen euro), een daling van 66,3 procent vergeleken met een jaar eerder. Dat blijkt uit de jaarrekening die het bedrijf volgens The Guardian deze week heeft ingediend bij het Companies House, de Britse equivalent van de Kamer van Koophandel.
Ondanks de omzetproblemen behaalde X in maart van dit jaar voor het eerst weer een waarde van 44 miljard dollar, hetzelfde bedrag dat Musk in 2022 betaalde voor het toenmalige Twitter.
Alles bij de bron; Tweakers
De gestolen inloggegevens van een vpn-account hebben voor een groot datalek bij Landmark Admin, een administratief dienstverlener voor verzekeringsmaatschappijen, in de Verenigde Staten gezorgd. Het bedrijf beschikt dan ook over persoonlijke informatie van klanten van deze verzekeraars.
Vorig jaar mei bleek dat aanvallers toegang tot het bedrijfsnetwerk hadden gekregen en daarbij data hadden gestolen. Verder onderzoek wees uit dat de aanvallers toegang hadden gekregen via geldige inloggegevens van een vpn-account. Een maand na het ontdekken van de eerste inbraak bleek dat de aanvaller opnieuw op het netwerk had ingebroken en wederom was er data buitgemaakt. Tevens waren verschillende systemen versleuteld.
De gestolen gegevens bestaan uit naam, adresgegevens, social-securitynummer, belastingsidentificatienummer, rijbewijs- of identiteitskaartnummer, foto van rijbewijs of id-kaart, bankrekeningnummer, medische en/of gezondheidsinformatie, zorgdeclaraties, verzekeringsinformatie en uitbetaalde verzekeringen en ontvangers hiervan.
In eerste instantie stelde Landmark Admin dat de gegevens van 800.000 personen waren gestolen, nu is dat aantal aangepast naar 1,6 miljoen.
Alles bij de bron; Security
Pagina 2 van 687
