Direct marketing kan een gerechtvaardigd belang vormen voor het verkopen van gegevens van klanten aan commerciële bedrijven en mag dan ook onder de AVG, concludeert het Europees Hof van Justitie, in tegenstelling tot wat de Nederlandse Autoriteit Persoonsgegevens zegt.
Het Europees Hof van Justitie heeft uitspraak gedaan in een langlopende zaak rondom een Nederlandse AVG-boete. In 2020 deelde de Autoriteit Persoonsgegevens een boete van 525.000 euro uit aan de Koninklijke Nederlandse Lawn Tennisbond, de Knltb. Die had gegevens van 350.000 leden verkocht aan twee sponsoren. Die sponsoren gebruikten de gegevens om leden te benaderen.
De Knltb stelde op basis van de AVG dat die doorverkoop mocht. De Knltb beriep zich daarbij op het 'gerechtvaardigd belang'. Dat is een van de zes grondslagen waarmee bedrijven gegevens mogen verwerken. De Autoriteit Persoonsgegevens stelde in zijn boetebesluit in niet misstaanbare woorden dat 'direct marketing nooit een gerechtvaardigd belang kan zijn'.
De Knltb procedeerde na de boete door tot het Nederlandse gerechtshof. Dat kon echter zelf geen antwoord geven op de vraag wat een gerechtvaardigd belang is. In 2022 vroeg het gerechtshof aan het Europees Hof van Justitie die vraag te beantwoorden. Dat doet het Hof nu. Met de antwoorden kan het Nederlandse gerechtshof weer een definitieve uitspraak doen.
....
Het is geen absoluut recht, zegt het Hof. "Het staat aan de verwijzende rechter om van geval tot geval te beoordelen of een dergelijk belang bestaat, rekening houdend met het toepasselijke rechtskader en alle omstandigheden van de zaak." In het geval van de Knltb zou de bond haar leden eerst op de hoogte moeten brengen voordat het tot verkoop overgaat. Op die manier blijven leden de controle over hun gegevens houden.
In dit specifieke geval moet het gerechtshof alsnog een afweging gaan maken. Die afweging draait om het belang dat de Knltb aanvoert tegenover het recht van leden van de bond op bescherming van hun persoonlijke levenssfeer. De rechter zou daarbij specifiek moeten kijken of de leden bij opgave hadden kunnen weten dat hun gegevens werden verkocht. Het Europees Hof geeft daar zelf geen antwoord op, maar zegt dat het gerechtshof dat moet doen.
Daarom is het onbekend wat de uitspraak betekent voor de zaak tussen de Knltb en de Autoriteit Persoonsgegevens.
Alles bij de bron; Tweakers
Een Haagse politieman stond dinsdag terecht voor computervredebreuk. Ruim dertig keer zou hij in 2019 en 2020 informatie hebben opgezocht in het politiesysteem zonder dat daarvoor aanwijsbaar een reden was.
In de meeste gevallen zocht hij informatie op over personen in zijn nabije omgeving. Een paar keer ging het om mensen in Brabant tegen wie een strafrechtelijk onderzoek liep.
Volgens het Openbaar Ministerie is geen enkele logische reden aangedragen waarom hij als Haagse politieman moest uitzoeken wat er over deze Brabanders in de systemen stond. De officier van justitie sprak op zitting zijn verbazing uit dat verdachte nooit een duidelijke verklaring heeft willen afleggen.
“Geheime politie-informatie mag alleen geraadpleegd worden voor zover dat noodzakelijk is voor het werk”, zei de officier van justitie. Onbevoegde bevragingen maken de politie ook kwetsbaar voor corruptie, aldus de officier van justitie. “Hoe meer een agent bereid is informatie op te zoeken, hoe interessanter hij wordt voor criminelen die daar misbruik van willen maken.”
Volgens het Openbaar Ministerie zou verdachte een taakstraf van 60 uur moeten uitvoeren. Over twee weken doet de rechtbank uitspraak.
Alles bij de bron; Beveiliging
De rechtbank Den Haag heeft maandag drie jaar celstraf opgelegd aan een voormalig medewerker van de Belastingdienst die persoonsgegevens verkocht aan criminelen. Hij zou dat zeker 30 keer gedaan hebben tussen oktober 2020 en mei 2022. Het Openbaar Ministerie had 30 maanden cel geëist.
Hij was werkzaam als deurwaarder bij de Belastingdienst. In die hoedanigheid had hij met zijn account toegang tot verschillende systemen, waarmee hij kentekens en burgerservicenummers opzocht, zo blijkt onder meer uit de loggegevens van het account. Dit alles heeft hij buiten kantooruren gedaan. Deze informatie speelde hij in ruil voor geld door.
Een van de kentekens die de ambtenaar opzocht, was van een auto die betrokken was bij een ripdeal van een partij cocaïne. Ook is gebleken dat kort nadat hij twee kentekens en bijbehorende persoonsgegevens opzocht, de persoon op wiens naam die kentekens stonden in de nabijheid van zijn woning is geliquideerd.
Alles bij de bron; CrimeSite
Vorige week stuitte de Nederlandse Arbeidsinspectie opnieuw op een uitzendbureau dat arbeidsmigranten van buiten de EU bemiddelde bij verschillende bedrijven. Deze migranten mogen niet in Nederland werken.
Geen van de personen kon een origineel identiteitsdocument tonen. Bij een bedrijf werden kopieën van EU-identiteitsdocumenten getoond. Deze bleken vervalst.
Tijdens de inspecties bleek verder dat de werknemers te werk worden gesteld via wisselende uitzendbureaus die gelieerd zijn aan elkaar. Constructies waarbij deze personen van buiten de EU worden door geschoven van het ene naar het andere uitzendbureau houdt de Arbeidsinspectie nauwlettend in de gaten.
Tijdens eerdere controles troffen inspecteurs ook Georgische medewerkers aan met vervalste Europese identiteitspapieren. Bij dit soort constructies overtreedt niet alleen het uitzendbureau, maar ook de inlener de Wet arbeid vreemdelingen.
Alles bij de bron; Beveiliging
Na een fatale mishandeling in Den Haag kregen mensen die op dat moment in de buurt waren een sms van de politie. Daarin werd gevraagd om informatie.
Het Team Grootschalige Opsporing is nog op zoek naar getuigen en beeldopnamen. Daarom hebben mensen een sms van de politie gekregen als zij tijdens het incident op het Plein waren en hun telefoon de zendmast in het gebied heeft aangestraald.
Een zogeheten sms-bom wordt volgens woordvoerder Dick Goijert van de Haagse politie meerdere keren per jaar verstuurd in Den Haag. "Maar dat doen we niet voor een fietsendiefstal", zegt Goijert. "Het gaat altijd om zware delicten of urgente zaken, zoals moord of doodslag."
Voordat een onderzoeksteam de benodigde telefoongegevens mag opvragen, moet het Openbaar Ministerie (OM) toestemming geven, legt Vincent Veenman uit. Hij is woordvoerder van het OM in Den Haag. "We wegen dan de inbreuk op de privacy af tegen de ernst van een delict. Ook moeten andere manieren voor het oproepen van potentiële getuigen uitgesloten zijn."
Na toestemming van het OM kan een opsporingsteam de gegevens opvragen bij het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT). Dat beheert onder meer telefoonnummers, namen, adressen, e-mailadressen en IP-adressen van klanten van telecomaanbieders en internetproviders.
Volgens Bart Schermer, hoogleraar privacy en cybercrime aan de Universiteit Leiden, is de inbreuk op de privacy van de ontvangers van een sms-bom erg klein.
"De politie weet alleen welk telefoonnummer op een bepaald moment op een bepaalde plek aanwezig was. Door naar deze nummers een getuigenoproep te versturen, kunnen verdachten sneller geïdentificeerd worden. De kleine privacyinbreuk heeft dus een grote impact, in positieve zin."
Tegelijkertijd begrijpt Schermer dat sommige mensen er anders over denken.
Alles bij de bron; NU [Thnx-2-Niek]
NRC hoeft een artikel over medewerkers van bunq die stiekem in rekeningen van klanten keken niet te rectificeren, zo heeft de voorzieningenrechter van de rechtbank Amsterdam bepaald. Het artikel van NRC, over bunq-medewerkers die voor privédoeleinden in klantrekeningen keken, zorgde voor de nodige ophef. Bunq vroeg om rectificatie, onder andere omdat zij vond dat de krant ten onrechte had geciteerd uit interne communicatie. De voorzieningenrechter heeft bepaald dat het gebruik van de interne communicatie in dit geval niet onrechtmatig is...
..."De vorderingen van bunq strekken – onder meer – tot een publicatieverbod, het aanpassen van een reeds gepubliceerd artikel en een rectificatie. Toewijzing van die vorderingen zou betekenen dat het grondrecht van NRC op vrijheid van meningsuiting wordt beperkt", merkt de rechter op. Die stelt dat NRC "enigszins selectief" heeft geciteerd uit de Slack-discussie, maar dat de conclusie van de krant op basis van de opmerkingen in de discussie gerechtvaardigd zijn.
"De conclusie is dat de belangenafweging in dit geval in het voordeel van NRC uitvalt en dat de publicatie niet onrechtmatig is. Voor beperking van de uitingsvrijheid van NRC is daarom geen grond. Ook de overige vorderingen van bunq zullen daarom worden afgewezen", aldus de rechter. Als verliezende partij moet bunq de proceskosten betalen.
Alles bij de bron; Security
De politie heeft een IMSI-catcher ingezet tegen een man uit Assen, die een 'Zwitsers zakmes voor cybercrime' ontwikkelde en daarmee allerlei misdrijven pleegde.
De applicatie van de man bood verschillende functionaliteiten voor het plegen van cybercrime. Zo was het mogelijk om phishingmails te versturen, het testen van verkregen inloggegevens, overnemen van accounts, met gestolen inloggegevens bestellingen bij webshops plaatsen en het aanpassen van afbeeldingen van identiteitsbewijzen voor het plegen van identiteitsfraude.
E-mails met bevestigingen van bestellingen of aanmaningen van onbetaalde facturen die slachtoffers ontvingen werden automatisch onderschept, door in de mailbox van slachtoffers filters/regels in te stellen. Naast het plaatsen van frauduleuze bestellingen wist de man volgens het OM ook bitcoin en andere crypto van zijn slachtoffers te stelen, door op hun wallets in te loggen.
Uit het vonnis van de rechtbank blijkt dat de politie een IMSI-catcher tegen de verdachte heeft ingezet. Dat is een apparaat dat zich voordoet als een basisstation voor mobiele telefonie waar mobiele telefoons in de buurt zich bij aanmelden. De mobiele telefoons laten bij het aanmelden kenmerken zoals IMSI- en IMEI-nummer achter, en worden vervolgens doorgestuurd naar een echte telefoonmast. Op deze manier kunnen opsporingsdiensten het IMSI- en IMEI-nummer van een telefoon in handen krijgen.
"Bovendien blijkt aan de hand van een IMSI-catcher en een analyse van meereisbewegingen dat deze telefoon meestal dezelfde reisbewegingen als de iPhone Pro Max heeft gemaakt en dat verdachte de iPhone XS daadwerkelijk op zak heeft gehad. ....", zo staat in het vonnis vermeld.
Volgens de rechter heeft de Assenaar een 'multifunctionele applicatie ontwikkeld waarmee hij zelf en anderen verschillende vormen van cybercrime konden plegen. De verdachte was al een keer eerder wegens cybercrime veroordeeld. Toch wilde de rechter niet in de eis van het OM meegaan, mede vanwege de jonge leeftijd van de verdachte.
Alles bij de bron; Security
De politie heeft een man aangehouden op verdenking van de handel in lijsten met persoonsgegevens. Deze lijsten worden vaak gebruikt voor andere vormen van criminaliteit, zoals bijvoorbeeld bankhelpdeskfraude, en vormen daarmee de basis van oplichtingspraktijken waar veel mensen slachtoffer van worden, aldus de politie.
Het gaat om persoonsgegevens als namen, adressen, geboortedata, telefoonnummers, e-mailadressen en bankrekeningnummers.
Hoe de verdachte precies aan de persoonsgegevens is gekomen wordt nog onderzocht.
Alles bij de bron; Security
De politie gaat volgend jaar via een intern systeem zelf controleren of het de hackbevoegdheid wel volgens de regels inzet en maatregelen neemt bij risico's, zo laat de Inspectie Justitie en Veiligheid vandaag weten.
De Wet Computercriminaliteit III geeft politie de bevoegdheid om heimelijk een geautomatiseerd werk zoals een laptop of een smartphone van een verdachte binnen te dringen. De Inspectie Justitie en Veiligheid houdt toezicht op de inzet van deze hackbevoegdheid.
Elk jaar komt de Inspectie met een verslag waarin het beschrijft hoe de politie de hackbevoegdheid heeft ingezet. Dit jaar is het verslag anders van opzet. "Gelet op het feit dat veel van de bevindingen in de eerdere verslagen van de Inspectie gelijk zijn en het wettelijk kader niet is gewijzigd, heeft de Inspectie besloten om voor het toezicht in 2023 niet elke inzet van de hackbevoegdheid door de politie op de naleving van het wettelijk kader te toetsen."
In plaats daarvan richt het verslag zich op de ontwikkeling van een intern controlesysteem door de politie. Volgens de Inspectie is het belangrijk dat de politie zelf controleert of zij de hackbevoegdheid volgens de regels uitvoert en maatregelen treft bij risico’s.
Het controlesysteem moet volgend jaar in werking treden. Daarbij houdt de inspectie toezicht op de manier waarop de politie het plan uitvoert en het controlesysteem realiseert. Wel heeft de inspectie zorgen over mogelijke vertraging in het proces door gebrek aan personeel.
"Het risico is dat de politie alle prioriteit en capaciteit op het hacken zelf richt, zoals in eerdere jaren. Terwijl de opbouw van het controlesysteem urgent is en dient om de hackbevoegdheid juist in te zetten en vertrouwelijk materiaal te beschermen", zo laat de inspectie weten. "Daarnaast zal sprake zijn van een proces dat veel tijd vraagt. Het is dan ook belangrijk dat de urgentie die het onderwerp nu heeft, blijft bestaan."
Alles bij de bron; Security
Een Nederlandse advocaat beschikt over een zeer geheim plan van aanpak dat de recherche van de Nationale Politie heeft opgesteld voor de verwerking van door de politie gehackte chats van berichtendienst Sky ECC.
De advocaat toonde het stuk vrijdag tijdens een regiezitting voor het gerechtshof in Arnhem.
Daar speelt het hoger beroep tegen de verdachten in de zaak van de vergismoord op een klusjesman uit Nijmegen die op 6 juli 2020 op het Thorbeckeplein in Beuningen werd doodgeschoten. Inmiddels is vast komen te staan dat hij bij vergissing het doelwit werd.
Het bewijs tegen de makelaar of opdrachtgever van de liquidatie, D. bestaat vrijwel alleen uit chats die de politie leesbaar heeft gemaakt na een hack tussen 2019 en 2021 op servers van Sky ECC in het Franse Roubaix.
Tijdens het pleidooi toonde de advocaat aan het gerechtshof en aan de advocaat-generaal het “Inzetplan 13Werl” en citeerde hij eruit, maar hij weigerde het over te leggen.
‘Het Openbaar Ministerie heeft herhaaldelijk geen open kaart gespeeld als er vragen werden gesteld over de gang van zaken bij de hack van Sky ECC.
Ik heb het OM dringend aangeraden om vanaf nu transparant en eerlijk te gaan zijn. En op tafel te leggen hoe de hack werkelijk is gegaan. Als zij dat niet doet, zal ik op enig moment dat voor hen gaan doen. Want het ‘Inzetplan 13Werl’ is niet het enige waar ik over beschik.’
Onderzoek Werl is in 2019 begonnen en was gericht op de verdachte rechtspersonen Sky Secure Enterprise en Sky Global Holdings, de aanbieders van de encryptie-app Sky ECC.
Nog altijd weigert het Openbaar Ministerie volmondig te erkennen – in weerwil van veel aanwijzingen – dat Nederlandse techneuten de hoofdrol speelden bij zowel de hacks op EncroChat als Sky ECC.
Uit het plan blijkt nu dat Nederlandse specialisten dat programma Chat X hebben geschreven. Met die “interface”, een soort zoekmachine, kon de politie zoeken in de honderden miljoen chats van Encro en Sky.
In tegenstelling tot wat het Openbaar Ministerie telkens in vele rechtszaken heeft gezegd staat in plan van aanpak zonneklaar hoe van alle chats de locatiegegevens beschikbaar waren tijdens de hack. De recherche kon precies zien in welk land en in welke stad iedere Sky-gebruiker zijn berichten verstuurde. Chat X zet bij ieder bericht een vlaggetje van het land waarvandaan een bericht is verstuurd.
Het gerechtshof in Arnhem beraadt zich op dit moment op de vragen die de advocaat over de Sky-hack heeft gesteld.
Alles bij de bron; CrimeSite