De Amerikaanse geheime dienst koopt bij datahandelaren gegevens van Amerikaanse burgers, zo blijkt uit documenten die door de Amerikaanse senator Ron Wyden zijn vrijgegeven.
Onlangs tikte de Amerikaanse toezichthouder FTC twee datahandelaren voor deze handel op de vingers, omdat de gegevens zonder geldige toestemming en medeweten van betrokkenen worden verkregen.
Wyden stelt dat hij drie jaar heeft gevochten om bekend te maken dat de NSA de internetgegevens van Amerikanen koopt, zoals welke websites ze bezoeken en apps ze gebruiken. Deze gegevens, maar ook bijvoorbeeld locatiedata, worden door datahandelaren verzameld via apps en advertenties die binnen de apps worden weergegeven. Vervolgens wordt de data doorverkocht aan geïnteresseerden.
De senator verzoekt Haines om inlichtingendiensten alleen maar gegevens over Amerikanen te laten kopen die aan de standaarden van de FTC voldoen. Volgens Wyden kon de datahandel-industrie en de aanschaf van data door inlichtingendiensten in een juridisch grijs gebied bestaan, wat met name kwam vanwege de geheimzinnigheid waarmee het was omgeven.
Alles bij de bron; Security
Drie voormalige federale ambtenaren zijn veroordeeld voor het stelen van software en databases met gevoelige politiegegevens en persoonlijke identificeerbare informatie van tweehonderdduizend collega's. De mannen wilden de gestolen software en databases gebruiken voor het ontwikkelen van een nieuw commercieel softwareproduct, dat ze vervolgens aan overheidsinstanties wilden verkopen.
Voor de ontwikkeling van het softwareproduct stuurden de mannen de software en databases met persoonsinformatie naar ontwikkelaars in India. De drie werkten voor het Amerikaanse ministerie van Homeland Security.
Alles bij de bron; Security
Paul Nakasone, directeur van de Amerikaanse National Security Agency (NSA), heeft bevestigd dat het bureau persoonsgegevens van webmakelaars koopt zonder een bevelschrift.
In een brief aan de democratische senator Ron Wyden, een voorstander van internetvrijheid en het recht op privacy, stelt dat het gebruik van persoonlijke informatie zonder toestemming en kennis illegaal is en dat de NSA al haar verzamelde gegevens over individuen in een database moet indienen, zodat het agentschap zich aan dezelfde normen houdt die door de Federal Trade Commission zijn opgelegd (FTC) op andere organisaties. Gegevens die niet onder deze normen vallen, worden dan van gebruik verwijderd.
Alles bij de [engelstalige] bron; TechRadar
De komende tijd wordt er in de EU onderhandeld over het voorstel om een Europese Dataruimte Gezondheidszorg op te richten. De bedoeling is dat er in deze European Health Data Space (EHDS) gezondheidsgegevens van patiënten in de hele EU gedeeld kunnen worden. Het is alleen hoogst problematisch dat hiervoor niet vooraf expliciet toestemming wordt gevraagd.
In het voorstel dat er nu ligt, is opgenomen dat patiënten alleen achteraf bezwaar kunnen maken. Dat is de omgekeerde wereld. Daarnaast is het zorgwekkend dat patiëntgegevens, met uitzondering van genetische gegevens, gedeeld kunnen worden met bedrijven uit de farmaceutische industrie, medische technologie en met ontwikkelaars van kunstmatige intelligentie.
Europese burgers lopen hiermee enorme risico’s. Er is geen enkele reden om aan te nemen dat hackers niet geïnteresseerd zouden zijn in een Europese databank vol persoonlijke gegevens. Nog maar enkele jaren geleden was er sprake van een grootschalige handel in miljoenen adresgegevens, telefoon- en burgerservicenummers uit coronasystemen van de GGD. Data zijn geld waard, en dat verhoogt de kans op misbruik en datalekken. Een ander risico is, dat mensen op basis van hun medische voorgeschiedenis gediscrimineerd zouden kunnen worden.
Het minste wat geregeld hoort te zijn is dat de patiënt de regie heeft over deelname aan deze databank. En daar zit het probleem: zoals de European Health Data Space op dit moment is vormgegeven, is onduidelijk wie de eigenaar is van de data en wie daar toegang tot heeft. Hierdoor staat de vertrouwelijkheid van patiëntengegevens onder druk.
Als de vertrouwelijkheid niet is gegarandeerd, bestaat het risico dat mensen zorg gaan mijden. Dit kan leiden tot toename van klachten en stijgende zorgkosten. Ook is onduidelijk tot welke informatie een zorgverlener toegang krijgt.
De komende maanden onderhandelen delegaties van de Europese Commissie, het Europees Parlement en de Raad van Ministers (de lidstaten) over de European Health Data Space.
Wat mij betreft komt de databank er niet, tenzij de regie over de gegevens bij de patiënt ligt en vooraf volstrekt duidelijk is wie wel of niet bij de gegevens kunnen komen.
Ik vind het belangrijk dat iedereen die zich hierover zorgen maakt nú in actie komt, bijvoorbeeld via de petitie ‘Bescherm patiëntengegevens nu het nog kan’, zodat de onderhandelingen over de databank voor gezondheidsgegevens positief beïnvloed kunnen worden.
Alles bij de bron; eurofractie [via het AD]
Een Britse financieel dienstverlener moet van de Information Commissioner's Office, ofwel ICO, een boete betalen van 50.000 pond. Het bedrijf heeft namelijk ruim 31.000 sms-spamberichten verstuurd naar mensen die daar geen toestemming voor hadden gegeven.
Ook was het voor de ontvangers niet mogelijk om zich via de berichten af te melden, terwijl het wel wettelijk verplicht is om die mogelijkheid te bieden. Daarom heeft de privacytoezichthouder de dienstverlener een boete opgelegd.
LADH Limited zegt dat een derde partij had bevestigd dat de personen in de dataset toestemming hadden gegeven om benaderd te worden. De toestemming was echter niet schriftelijk vastgelegd en de derde partij had dit alleen mondeling bevestigd aan de financieel dienstverlener, aldus ICO.
Alles bij de bron; Tweakers
De Autoriteit Persoonsgegevens (AP) heeft creditcardmaatschappij ICS een boete van 150.000 euro opgelegd wegens het overtreden van de AVG bij de digitale identificatie van klanten.
ICS begon in 2019 met het digitaal identificeren van zo'n 1,5 miljoen klanten in Nederland. Bij de identificatie werd gevoelige informatie gebruikt. Behalve om bijvoorbeeld naam, adres, telefoonnummer en e-mail van klanten, ging het onder meer om een foto die klanten van zichzelf moesten maken en opsturen via een mobiele telefoon of webcam. ICS gebruikte deze foto’s vervolgens om ze te vergelijken met de kopieën van de identiteitsbewijzen van klanten.
Financiële instellingen zijn wettelijk verplicht om de identiteit van hun klanten vast te stellen en mogen daarvoor zulke informatie gebruiken. "Maar ze moeten wel uiterst zorgvuldig met de informatie omgaan", aldus de AP. Dat houdt bijvoorbeeld in dat een DPIA verplicht is. ICS heeft nagelaten om een DPIA uit te voeren voordat het met de identificatie begon, waarmee de creditcardmaatschappij de Algemene verordening gegevensbescherming (AVG) heeft overtreden.
"Organisaties zijn niet voor niets wettelijk verplicht om van tevoren al te kijken welke risico’s jij loopt als ze jouw gegevens gaan gebruiken. Want als gegevens van jou – zoals een kopie van je paspoort – in verkeerde handen vallen, kun je bijvoorbeeld het slachtoffer worden van identiteitsfraude. Iemand kan dan op jouw naam online spullen kopen zonder zelf te betalen", zegt AP-bestuurslid Katja Mur. ICS kan nog bezwaar maken tegen de boete.
Alles bij de bron; Security
De Amerikaanse toezichthouder FTC heeft datahandelaar Outlogic verboden om gevoelige locatiegegevens van mensen te verkopen. Het bedrijf informeerde mensen onvolledig over het verzamelen en verkopen van hun locatiegegevens en deed dit zonder geïnformeerde toestemming van mensen.
Outlogic biedt een software development kit (SDK) waarmee app-ontwikkelaars allerlei data over hun gebruikers kunnen verzamelen, zoals locatiegegevens, advertentie-ID en installatie-ID. Deze data wordt weer door Outlogic aan andere derde partijen doorverkocht.
Volgens de FTC worden de locatiegegevens niet geanonimiseerd en zijn te gebruiken om de telefoon van de gebruiker te koppelen aan de locaties die hij heeft bezocht. Daarnaast biedt Outlogic ook eigen apps aan en koopt locatiegegevens weer van andere datahandelaren.
De locatiegegevens worden doorverkocht aan honderden klanten in allerlei sectoren. De informatie die via de locatiegegevens was te achterhalen schond niet alleen de privacy van mensen, maar stelde ze ook bloot aan mogelijke discriminatie, fysieke geweld en ander leed, aldus de FTC.
De FTC heeft Outlogic nu opgedragen om de verkoop van gevoelige locatiegegevens te stoppen. Daarnaast moet alle locatiedata die eerder is verzameld worden vernietigd, tenzij het toestemming van gebruikers heeft en de data ge-deidentificeerd of niet-gevoelig meer is. Tevens moeten gebruikers kunnen opvragen aan wie hun locatiegegevens zijn doorverkocht en moet er een uitgebreid privacybeleid worden geïmplementeerd.
Alles bij de bron; Security
Een nieuwe Europese wet die in 2026 van kracht wordt maakt het eenvoudiger voor autoriteiten om digitaal bewijsmateriaal op te vragen, ongeacht waar het zicht bevindt, aldus de Europese Raad. Het verkrijgen van digitaal bewijsmateriaal is op dit moment een lastig proces, omdat de gegevens zich vaak in andere landen bevinden.
"Online serviceproviders bewaren gebruikersgegevens op servers die zich in verschillende landen kunnen bevinden, zowel binnen als buiten de EU", aldus de Raad.
Door de 'e-evidence' verordening kunnen autoriteiten middels een 'productiebevel' in het ene land opgeslagen data bij een provider in een andere lidstaat direct opvragen. De serviceprovider moet binnen tien dagen reageren, of zes uur als het om een noodgeval gaat.
Daarnaast mag de provider de opgevraagde gegevens niet verwijderen zolang het 'productiebevel' wordt verwerkt.
De komende twee jaar zal het ministerie van Justitie en Veiligheid de veranderingen die de verordening betekenen doorvoeren. "Naast het ontwikkelen van nieuwe wetgeving omtrent het delen van digitaal bewijsmateriaal zijn er belangrijke veranderingen op til voor ons opsporingsapparaat en Openbaar Ministerie", aldus het ministerie.
Alles bij de bron; Security
Een Nederlandse AIVD-agent heeft het Stuxnet-virus in de Iraanse uraniumverrijkingscentrale van Natanz geïnstalleerd, zonder dat de Nederlandse politiek hier weet van had, zo meldt de Volkskrant.
De AIVD was niet van het doel van de operatie op de hoogte. Het is onduidelijk of de Nederlander wist dat de apparatuur die hij naar Natanz moest brengen Stuxnet bevatte.
Alles bij de bron; Security
Google heeft recentelijk in de Verenigde Staten een schikking getroffen in een rechtszaak waarbij het werd beschuldigd van het illegaal volgen van Chrome-gebruikers in de Incognito-modus.
Het bedrijf zou hiervoor Google Analytics, apps en browser plug-ins hebben ingezet.
Openbaar gemaakte interne gesprekken tussen Google-managers zouden hebben aangetoond dat het bedrijf zelf Incognito-gebruikers volgde om advertenties te verkopen en het webverkeer te monitoren.
In een commentaar zou Google hebben gesteld dat de Incognito-modus weliswaar geen gebruikersactiviteit opslaat op een apparaat, maar dat het andere websites wel in staat stelt informatie te verzamelen tijdens sessies met deze gebruikers.
De eisers hielden Google verantwoordelijk voor schendingen van zowel Amerikaanse federale wetten als wetten van de staat Californië met betrekking tot afluisteren en privacy. De totaal geëiste schadevergoeding bedroeg 5 miljard dollar.
Alles bij de bron; TechZine