Buitenland

De Amerikaanse toezichthouder FTC heeft boekenbedrijf Chegg op de vingers getikt wegens een datalek waarbij de persoonlijke gegevens van veertig miljoen klanten op straat kwamen te liggen. Het ging onder andere om namen, e-mailadressen, met het zwakke MD5-algoritme gehashte wachtwoorden en voor sommige gebruikers ook informatie met betrekking tot onderwijsbeurzen, zoals geboortedata, informatie over het inkomen van de ouders, seksuele geaardheid en handicaps.

Chegg kreeg vanaf eind 2017 met meerdere datalekken te maken waardoor aanvallers toegang tot persoonlijke informatie kregen. Drie van de datalekken werden veroorzaakt door phishingaanvallen.

Het grootste datalek deed zich voor toen een voormalige contractor inloggegevens van Chegg gebruikte voor het downloaden van een database met de gegevens van veertig miljoen klanten. Een deel van de klantgegevens verscheen later op internet. Zo was het aanvallers gelukt om 25 miljoen wachtwoordhashes te kraken en het bijbehorende wachtwoord te achterhalen.

De FTC stelt dat Chegg geen gepaste beveiligingsmaatregelen heeft genomen om klantgegevens te beschermen. De Amerikaanse toezichthouder is van plan om Chegg geen boete op te leggen, maar gaat wel eisen aan het bedrijf stellen.

Alles bij de bron; Security

Een Brit is in de Verenigde Staten aangeklaagd voor het beheer van een online marktplaats waarop gestolen inloggegevens en persoonlijke informatie, verboden drugs, botnets, creditcardgegevens, exploits en "hackingtools" werden aangeboden. 

Volgens de aanklacht werden op The Real Deal onder andere inloggegevens voor systemen van de Amerikaanse overheid aangeboden. Het ging dan om systemen van de U.S. Postal Service, de National Oceanic and Atmospheric Administration, de Centers for Disease Control and Prevention, de National Aeronautics and Space Administration (NASA) en Amerikaanse marine.

Verder beweert de openbaar aanklager dat de Brit handelde in gestolen social-securitynummers en dat hij meer dan vijftien gestolen inloggegevens voor Twitter en LinkedIn in bezit had. 

Alles bij de bron; Security

Het verbod op contante betalingen boven de drieduizend euro dat het kabinet wil invoeren is alleen mogelijk als de Belastingdienst op de krappe arbeidsmarkt op tijd voldoende personeel kan werven. Daarnaast zullen er manieren worden gezocht om het verbod te omzeilen, zo laat de fiscus weten. 

Als uitvoerende partij was de fiscus gevraagd een uitvoeringstoets uit te voeren. Daarin wordt gekeken naar zaken als handhaafbaarheid, risico's, uitvoeringskosten en personele gevolgen. 

De Belastingdienst verwacht dat de incidentele kosten voor het toezicht op het verbod 4,2 miljoen euro bedragen, waarvan meer dan 3,5 miljoen euro naar de automatisering gaat. Structureel kost het toezicht de belastingbetaler 3,1 miljoen euro per jaar. Als het wetsvoorstel in de Eerste en Tweede Kamer wordt aangenomen zou het toezicht op het verbod op contante betalingen boven de drieduizend euro op 1 juli 2023 kunnen worden ingevoerd.

De Autoriteit Persoonsgegevens waarschuwde vorige week dat het voorstel tot ongekende massasurveillance kan leiden. Privacystichting Privacy First noemt het een bancair sleepnet en de Raad van State sprak eerder van een vergaande inbreuk op de grondrechten van burgers. In een toelichting op het wetsvoorstel erkent Kaag dat de effectiviteit van het gezamenlijk monitoren van transacties door banken, zoals opgenomen in het wetsvoorstel, niet onomstotelijk vaststaat. 

Alles bij de bron; Security

De waarschuwing van de Autoriteit Persoonsgegevens dat een wetsvoorstel waarmee het kabinet witwassen wil aanpakken de deur naar een ongekende massasurveillance van Nederlanders kan openen, is 'teleurstellend', zo stelt de Nederlandse Vereniging van Banken. Met het wetsvoorstel ‘Plan van aanpak witwassen’, dat minister Kaag van Financiën gisteren naar de Tweede Kamer stuurde, worden alle banktransacties van alle Nederlanders in één gecentraliseerde database gemonitord met het behulp van algoritmes.

De Autoriteit Persoonsgegevens waarschuwde gisteren dat het voorstel tot ongekende massasurveillance kan leiden. Privacystichting Privacy First noemt het een bancair sleepnet en de Raad van State sprak eerder van een vergaande inbreuk op de grondrechten van burgers.

In een toelichting op het wetsvoorstel erkent Kaag dat de effectiviteit van het gezamenlijk monitoren van transacties door banken, zoals opgenomen in het wetsvoorstel, niet onomstotelijk vaststaat.

Twee jaar geleden hebben ABN Amro, ING, Rabobank, Triodos en de Volksbank Transactie Monitoring Nederland (TMNL) opgericht. Als het wetsvoorstel wordt aangenomen kan TMNL straks alle transactiegegevens monitoren.

Alles bij de bron; Security

De Amerikaanse president Biden heeft op 7 oktober een presidentieel decreet (of ‘Executive Order’) ondertekend met daarin aanvullende waarborgen voor veilige datadoorgifte naar de VS.

Deze nieuwe ontwikkeling is niet de directe oplossing voor de huidige juridische problematiek bij datadoorgifte naar de VS. Dit presidentiële decreet omvat dwingende instructies waar overheidsinstanties in de VS zich aan moeten houden en hun beleid op dienen aan te passen. Er is meer tijd nodig om daadwerkelijk invulling te geven aan deze instructies....

....Op het eerste oog lijken deze instructies een stap vooruit, maar het is uiteindelijk de vraag of de genoemde maatregelen ook voldoende gaan zijn om een passend beschermingsniveau voor persoonsgegevens van EU-burgers te garanderen. Hoe beperkend werken deze aanvullende waarborgen voor inlichtingendiensten en zijn zij daadwerkelijk gebonden aan eventuele beslissingen van het Data Protection Review Court? Alleen het Hof kan deze vragen uiteindelijk beantwoorden....

....Meerdere burgerrechtelijke organisaties, waaronder de privacystichting van Max Schrems, hebben al laten weten in het getekende decreet geen blijvende oplossing te zien. De kans is dan ook groot dat een eventueel nieuw Privacy Shield opnieuw zal worden aangevochten tot aan het Hof. De behandelingsprocedure bij het Hof duurt in veel gevallen minimaal 2 jaar, wat betekent dat het onduidelijke juridische vacuüm waarin we verkeren mogelijk nog tot ergens in 2025 zal aanhouden.

Alles bij de bron; Emerce

De Franse privacytoezichthouder heeft Clearview AI een boete opgelegd van 20 miljoen euro. Het Amerikaanse softwarebedrijf verwerkt foto's van Franse burgers zonder wettelijke toestemming, oordeelt de CNIL.

Naast het betalen van de boete, moet Clearview alle betreffende foto's en gegevens in zijn systeem verwijderen, schrijft de toezichthouder. CNIL zegt dat er 'zeer ernstige risico's zijn voor de fundamentele rechten van de betrokkenen en geeft het bedrijf twee maanden de tijd om te voldoen aan de eis. Anders krijgt het een boete van 100.000 euro per dag.

Met Clearview AI kunnen gebruikers een foto van iemand uploaden, waarna de software uit de meer dan drie miljard personen in de database zoekt welk gezicht er het meest op lijkt en waar het die foto gevonden heeft. Zo kunnen gebruikers op relatief eenvoudige wijze personen identificeren op basis van een foto.

Alles bij de bron; Tweakers

Kledingketen Zoetop moet de Amerikaanse staat New York wegens het liegen over de omvang van een groot datalek en het niet beschermen van klantgegevens een boete van in totaal 1,9 miljoen dollar betalen. Volgens de procureur-generaal van de staat New York heeft de kledingketen persoonsgegevens van klanten niet goed beschermd en gelogen over de omvang. 

Zoetop ontdekte het datalek niet zelf, maar werd eind 2018 ingelicht door de betalingsverwerker nadat die door een creditcardmaatschappij was gewaarschuwd. 

Het ging om de gegevens van 6,42 miljoen klanten, zo stelde het bedrijf in eerste instantie. In juli 2019 bleek dat het om de gegevens van 39 miljoen klanten wereldwijd ging. Twee jaar later ontdekte Zoetop dat de gegevens van nog eens 7 miljoen klanten op internet te koop werden aangeboden. De gegevens waren zeer waarschijnlijk bij dezelfde aanval in 2018 buitgemaakt.

Onderzoek naar het bedrijf wees uit dat het van een zwak algoritme gebruikmaakte voor het hashen van wachtwoorden, dat door een misconfiguratie creditcardgegevens van sommige transacties in plaintext debug-logbestanden terechtkwamen, er niet periodiek op kwetsbaarheden werd gescand, logbestanden niet regelmatig op incidenten werden gecontroleerd en er geen schriftelijk incidentresponsplan was om op aanvallen te reageren.

Alles bij de bron; Security

De Amerikaanse spoorwegmaatschappij BNSF moet 45.000 vrachtwagenchauffeurs bij elkaar 228 miljoen dollar betalen omdat hun vingerafdrukken zonder legitieme toestemming zijn afgenomen toen ze het spoorwegterrein op wilden. Dat heeft een Amerikaanse jury bepaald.

Voor het ophalen of afleveren van vracht moesten vrachtwagenchauffeurs die het BNSF-rangeerterrein in Illinois op wilden hun vingerafdruk afstaan. Volgens een vrachtwagenchauffeur liet de spoorwegmaatschappij niet weten waarom de vingerafdrukken werden opgeslagen en hoe die werden bewaard en vernietigd. Daarmee heeft BNSF de Illinois Biometric Information Privacy Act overtreden, aldus de chauffeur die een massaclaim startte. 

Volgens de jury heeft het spoorwegbedrijf van 4 april 2014 tot 25 januari 2020 bijna 46.000 keer de privacywetgeving overtreden. Voor elke overtreding werd de maximale boete van 5.000 dollar vastgesteld, waardoor het totaalbedrag op 228 miljoen dollar uitkomt. BNSF is van plan om in beroep te gaan, zo laat Bloomberg Law weten. 

Alles bij de bron; Security

Er moeten nieuwe regels komen in aanvulling op de Algemene verordening gegevensbescherming (AVG) om de samenwerking tussen Europese privacytoezichthouders in internationale zaken te verbeteren, zo hebben de toezichthouders, verenigd in de European Data Protection Board (EDPB), in een brief aan de Europese Commissie laten weten (pdf).

....Volgens de toezichthouders kunnen ze efficiënter samenwerken wanneer de regels in verschillende Europese landen beter op elkaar worden afgestemd. In het huidige systeem werken EU-toezichthouders samen in internationale zaken. Dat zijn zaken die burgers in meerdere lidstaten van de Europese Unie raken. Deze samenwerking is geregeld in het "een-loketmechanisme" in de AVG.

De privacytoezichthouders stellen dat de samenwerking beter kan, omdat elke toezichthouder haar zaken behandelt volgens het nationale procedurele recht, dat per lidstaat verschilt. "Dat zorgt soms voor vertraging of zorgt ervoor dat klachten in de ene lidstaat anders worden behandeld dan in de andere lidstaat", aldus de Autoriteit Persoonsgegevens.

Alles bij de bron; Security

Mocht er een digitale euro komen dan moeten niet alle transacties worden gevolgd en nagetrokken, zo waarschuwt het Europees Comité voor gegevensbescherming (EDPB), dat onder een bepaalde grens voor volledige anonimiteit pleit. Het EDPB is een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken bij hun toezicht op de Algemene verordening gegevensbescherming (AVG), waaronder ook de Autoriteit Persoonsgegevens.

De Europese Centrale Bank (ECB) is begin 2020 gestart met de eerste verkenningen naar het ontwikkelen van een digitale euro. De onderzoeksfase eindigt in het derde kwartaal van 2023.

Minister Kaag van Financiën ziet de digitale euro als een aanvulling op bestaande vormen van geld, niet als een vervanging. "Consumenten kunnen met hun bestaande contante geld en bankrekeningen blijven betalen, maar krijgen met de digitale euro een alternatief."

De Europese privacytoezichthouders zijn nu met een reactie op de digitale euro gekomen. Daarin benadrukken ze het belang van privacy en databescherming "by design" en "by default" in het project. Ook waarschuwt de EDPB voor het gebruik van stelselmatige validatie en het volgen van alle transacties die in digitale euro's worden gedaan.

De toezichthouders vinden dat de digitale euro zowel online als offline beschikbaar moet komen en er een bepaalde grens is waarbij transacties niet zijn te volgen, om zo volledige anonimiteit van dagelijkse transacties mogelijk te maken.

Alles bij de bron; Security