Zorgverlener Pluryn is een onbeveiligde usb-stick met gegevens van voormalige en huidige cliënten kwijtgeraakt, alsmede (oud)medewerkers. Pluryn verwacht op 20 juni meer duidelijkheid te hebben over welke gegevens precies zijn gelekt en van wie, maar "de eerste indruk" is dat het om persoonsgegevens gaat van cliënten en medewerkers, waaronder namen, adressen en BSN-nummers.
"Onlangs is Pluryn een niet beveiligde usb-stick met daarop bedrijfs- en privacygevoelige informatie verloren. De usb-stick is helaas nog niet teruggevonden. Daarmee moeten we er rekening mee houden dat gegevens in verkeerde handen terecht kunnen komen", zo laat de zorgverlener weten.
Waarom de gegevens op een onbeveiligde usb-stick stonden laat de zorgverlener niet weten. Op de eigen website meldt Pluryn dat het gegevens veilig bewaart. "We delen deze alleen als dat nodig is voor jouw zorgverlening. Of als wij dat moeten van de wet."
Alles bij de bron; Security
Nu weten we inmiddels wel dat apps vaak data over ons verzamelen en die minimaal gebruiken om hun eigen dienstverlening te verbeteren. In het ergste geval verkopen ze onze gegevens door voor winst, en dan gaan er meer partijen mee aan de haal. Als je dat niet ziet zitten, dan kun je een hoop applicaties niet gebruiken. Dit artikel licht drie grote boosdoeners uit.
Het vervelende aan dit soort praktijken is dat je het van tevoren soms niet weet. Weinig bedrijven zijn echt transparant over wat ze met verzamelde data doen, waardoor je dus nooit echt goed kunt inschatten wat er met jouw gegevens gebeurt. Nu zijn er mensen die hier geen zak om geven, maar als je dat wel doet, dan is het handig om te weten welke apps je moet vermijden. Die van Google, TikTok en Meta, om maar wat extremen te noemen, en de onderstaande apps.
Duolingo
De onschuldig ogende app waarmee je op speelse wijze andere talen kunt leren. Niet alleen verzamelt en deelt Duolingo ongelooflijk veel data, ook geeft het bedrijf die door aan onder meer OpenAI (de toko achter ChatGPT). Toegegeven, in het privacybeleid staat aangegeven dat je als gebruiker geen persoonlijke informatie moet achterlaten, maar toch. Dit is behoorlijk schadelijk voor je merk, helemaal als de anti-AI-beweging je in het vizier heeft.
Spotify
Spotify een goed voorbeeld van een app die eigenlijk veel meer over je weet dan je wellicht zou willen. Het systeem houdt heel nauwkeurig bij waar je naar luistert, hoe lang je ergens naar luistert en zelfs op welke momenten van de dag je dat doet. Dat doet de muziekstreamingdienst niet alleen zodat die aan het einde van het jaar de Spotify Wrapped-lijst voor je kan maken.
De dienst wil namelijk allerlei dingen over jou vastleggen. Denk dan aan je humeur, routines en gedrag. Nu verzamelen meer muziekdiensten je gegevens voor aanbevelingen, maar uit onderzoek blijkt dus dat Spotify de grootste boosdoener is.
LinkedIn
Tot slot brengen we LinkedIn nog even onder de aandacht. Dit is een sociaal medium voor zakelijke lui, waar je ook terecht kunt voor het zoeken naar een nieuwe job. Het is dan handig als je wat persoonlijke gegevens achterlaat, zoals je werkervaring, , opleidingen, contactgegevens en je woonplaats, zodat het netwerk zijn werk kan doen en je banen en interessante mensen kan voorschotelen. Al die gegevens gaan in een grote bak, die de app vervolgens gebruikt voor verschillende doeleinden.
Nu zal het niet voor iedereen een optie zijn bepaalde apps te verwijderen. Soms zit je te diep in een ecosysteem, dat het wel heel veel pijn doet om ergens van af te komen. En anders heb je ergens al jaren een abonnement op, of ben je gewoon op zoek naar specifieke informatie of kansen. Dat begrijpen we. Maar met dit soort artikelen proberen we toch mee te geven dat je data waardevol is en dat je die niet zomaar moet afstaan. Voor meer informatie over datahongerige apps raden we aan het onderzoek van Nsoft eens goed door te nemen.
Alles bij de bron; AndroidWorld
De Duitse hotelketen Numa heeft via een IDOR-lek de persoonlijke gegevens van een half miljoen gasten gelekt, zo ontdekte een beveiligingsonderzoeker van de Chaos Computer Club (CCC). Alleen het aanpassen van een getal in een url was voldoende. Het probleem is inmiddels door de hotelketen verholpen.
IDOR staat voor Insecure Direct Object Reference (IDOR) en doet zich bijvoorbeeld voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor. Het probleem is daarnaast al decennia bekend.
In het geval van Numa stuurde de hotelketen gasten een e-mail met daarin een link naar hun factuur. Alleen het aanpassen van een getal in deze url was voldoende om de facturen van andere gasten te bekijken, met daarop hun namen, adresgegevens, locatie en verblijfsdatum. Daarnaast bleek de broncode van de pagina met de factuur ook de e-mailadressen en telefoonnummer van gasten te bevatten, alsmede alle data van hun eerder gekopieerde identiteitskaart, waaronder geboortedatum en identiteitsnummer.
Alles bij de bron; Security
Het Amerikaanse Hooggerechtshof heeft de taskforce DOGE, die is opgericht om te snoeien in de overheidsuitgaven, toestemming gegeven om toegang te krijgen tot de systemen van de federale uitkeringsdienst SSA. In die systemen zijn persoonlijke gegevens van miljoenen Amerikanen opgeslagen.
De regering-Trump stelt dat DOGE deze gegevens nodig heeft om verspilling binnen de federale overheid aan te pakken.
De SSA betaalt maandelijks meer dan zeventig miljoen mensen uit, onder wie pensioengerechtigden en mensen met een beperking. Ook is het verantwoordelijk voor het uitgeven van burgerservicenummers.
Maar verschillende rechters waarschuwden voor ernstige privacyschendingen. Volgens een aantal rechters is "onbeperkte toegang tot data" niet in overeenstemming met het belang van privacybescherming, en heeft DOGE geen duidelijke noodzaak aangetoond voor het inzien van deze informatie.
Allles bij de bron; NOS
In de eerste drie maanden van dit jaar meldde het UWV in totaal 216 datalekken bij de Autoriteit Persoonsgegevens (AP).
Twee daarvan hadden een hoge impact, zo staat in het document vermeld. Zo werd in januari een interne e-mail per ongeluk naar een cliënt gestuurd. De mail bevatte een bijlage met persoonsgegevens waaronder gezondheidsgegevens van andere cliënten. De ontvanger liet het UWV weten dat hij de mail ongeopend heeft verwijderd. Het UWV informeerde getroffen cliënten en de AP.
Het tweede datalek met een hoge impact deed zich voor in februari. Wederom ging het mis bij het versturen van e-mail. Een bericht met twee bestanden werd naar een verkeerde afnemer gestuurd. De twee bestanden bevatten persoonsgegevens van 158 personen. Ook dit incident werd bij de AP gemeld. Het UWV zegt dat het contractueel gedragscodes heeft afgesproken die voldoende waarborgen moeten bieden voor de bescherming van de betrokkenen. Volgens de uitkeringsinstantie is de impact voor betrokkenen daardoor minimaal en heeft het besloten deze personen niet te informeren. De ontvanger liet weten dat hij de betreffende bestanden meteen heeft verwijderd.
Alles bij de bron; Security
Een maatschappelijk debat over de bescherming van onze privacy dringt zich op nu de regering plannen heeft om het register met gegevens over bankrekeningen en verzekeringscontracten uit te breiden en er datamining op toe te passen.
Het Centraal Aanspreekpunt (CAP), opgericht in 2011, bevat informatie over alle bankrekeningen en verzekeringscontracten. Initieel was het bedoeld om de fiscus toe te laten het bankgeheim te doorbreken bij aanwijzingen van belastingontduiking. Gaandeweg werd de doelstelling verruimd en werd het CAP ook ingezet tegen witwassen en tegen de financiering van terrorisme en zware criminaliteit.
Oorspronkelijk bevatte het CAP alleen de rekeningnummers van Belgische bankrekeningen en gegevens van Belgische contracten zoals hypothecaire kredietovereenkomsten en kredietopeningen. Later kwamen daar buitenlandse rekeningnummers bij. In 2022 verplichtte de regering-De Croo banken en verzekeraars ook twee keer per jaar de saldi van rekeningen door te geven, net als informatie over onder meer effectenrekeningen.
De Arizona-regering wil nog verder gaan: ook cryptorekeningen en online gokaccounts boven 10.000 euro moeten worden gemeld, net als saldi van buitenlandse rekeningen. Ook individuele effectenrekeningen en hun saldi worden opgeslagen.
De regering wil ook de toegang tot het CAP versoepelen. Het regeerakkoord voorziet dat de fiscus het CAP rechtstreeks mag raadplegen, dus zonder eerst de belastingplichtige te bevragen. De regering wil verder datamining inzetten, waarbij de integrale CAP-databank wordt gekruist met data van de federale overheidsdienst Financiën om risicoprofielen op te sporen, die vervolgens een verdere fiscale controle mogen verwachten.
De Gegevensbeschermingsautoriteit (GBA) is vernietigend voor de plannen en wijst erop dat het doel van het CAP volledig wordt omgedraaid. In plaats van een reactief instrument, dat alleen geconsulteerd mag worden bij een vermoeden van fraude en na bevraging van de belastingplichtige, wordt het een proactief instrument dat fraude moet opsporen zonder dat de belastingplichtige kennis, laat staat inzage, heeft in het datamining- en matchingproces van algoritmes, risico-indicatoren, profilering, enzovoort.
Alles bij de bron; deTijd
Een enorme database met 184 miljoen records, waaronder inloggegevens voor platforms zoals Apple, Google en Meta, is onlangs ontdekt en offline gehaald. Onder de blootgestelde accounts bevinden zich ook accounts gekoppeld aan tientallen overheden.
De database, die meer dan 47 GB aan data bevatte, werd begin mei ontdekt door een ervaren beveiligingsonderzoeker. Het is onduidelijk wie de eigenaar is van de database.
De omvang en het bereik van de inloggegevens suggereren dat de gegevens een compilatie zijn, mogelijk verzameld door onderzoekers of cybercriminelen.
Elk record bevatte een ID-tag, een URL en gebruikersnamen met wachtwoorden in plaintext. Uit een steekproef van 10.000 records blijkt dat de accounts gekoppeld zijn aan diverse platforms, waaronder sociale media, gaming, en financiële diensten.
Naast individuele accounts bevatte de database ook e-mailadressen met .gov-domeinen, gekoppeld aan ten minste 29 landen.
Alles bij de bron; Dutch-IT-Channel
Optimal Parking Control (OPC) werd door de gemeente Wetteren aangesteld om het parkeerbeleid te controleren en retributies uit te schrijven. Sinds de nieuwe concessie zet OPC ook een scanwagen in om nummerplaten te controleren en die gaat voor velen nogal driest te werk.
Dat vindt ook Frederic Vanden Poel, een zelfstandig ICT’er uit Wetteren die al meermaals onterecht op de bon werd geslingerd. “Naast het gedoe om me telkens te bewijzen dat ik in mijn recht ben, voel ik me gewoonweg koud gepakt in mijn privacy”, zegt Frederic. Hij verwijst ook naar het dossier met de ANPR camera’s op de trajectcontroles in Grimbergen die wegmoeten omdat ze de privacy teveel schenden.
Hij diende daarom een informatieverzoek in bij het GBA, de Gegevensbeschermingsautoriteit de opvolger van de voormalige Privacycommissie. Die geeft hem nu gelijk en er werd een bemiddelingstraject opgestart waarbij de gemeente Wetteren, als opdrachtgever van het parkeerbeleid, op het matje zal worden geroepen.
“In de eerste zes maanden van de nieuwe concessie werden meer dan 16.000 retributies uitgeschreven. Hiervoor moest OPC vele duizenden gegevens opvragen bij het DIV (Dienst Inschrijving Voertuigen) om de identiteit van de bestuurder of eigenaar van de wagen te achterhalen.
Bij de GBA zijn ze wel duidelijk over de vele raadplegingen. “Het spreekt voor zich dat het onnodig ophalen van persoonsgegevens uit overheidssystemen (DIV) wringt met het beginsel van gegevensminimalisering. Het opvragen van persoonsgegevens moet adequaat en relevant zijn en beperkt blijven tot wat nodig is voor het doel waarvoor ze worden verwerkt”, meldt Stephanie Deschynkel van de GBA.
Volgens Vanden Poel wringt het schoentje vooral bij de automatische scan van de OPC wagen met camera’s. “Die leveren te veel valse positieven op waardoor er telkens gegevens worden opgevraagd voor overtredingen die er achteraf geen blijken te zijn. Zelf heb ik het al vijfmaal meegemaakt en kunnen bewijzen aan de hand van foto’s. Maar als burger worden we telkens verplicht om ons gelijk te halen tegenover een computer. Dat kan alleen maar opgelost worden als OPC, net zoals in vele steden en gemeentes, opnieuw parkeerwachters op straat inzet die ook daadwerkelijk controleren of een retributie terecht is. Dan moeten er ook geen duizenden gegevens worden opgevraagd”, zegt Frederic.
OPC laat in een antwoord weten dat zij in dit dossier niet verantwoordelijk is voor het opvragen van de gegevens. Dat is de gemeente Wetteren als verwerkingsverantwoordelijke. OPC schrijft enkel de retributies uit op basis van de gegevens die zij krijgen.
“Men kan zich dus vragen stellen bij de doelmatigheid van een handhavingssysteem met te veel valse positieven. Al die valse hits moeten immers worden opgevolgd en dat vergt veel tijd en middelen, zowel voor OPC als voor de burger die zijn retributie moet contesteren”, besluit de Gegevensbeschermingsautoriteit. En intussen tuft de scanwagen verder langs parkerend Wetteren.
Alles bij de bron; HLN
De gemeente Grimbergen ligt zwaar onder vuur. De Vlaamse Toezichtcommissie (VCT) legde na onderzoek een verbod op voor het gebruik van ANPR-trajectcontroles in een tiental straten. “Verkeersveiligheid mag geen schaamlap zijn voor algemene surveillance of inkomstenverhoging”, klonk het scherp. Toch weigert de gemeente de camera’s weg te halen.
De bal ging aan het rollen na een klacht van een bezorgde inwoner van Grimbergen. Die stelde zich vragen bij het massale cameragebruik in zijn gemeente. Waar staan die ANPR-camera’s? Hoelang worden beelden bewaard? En waarvoor worden ze precies gebruikt? De antwoorden die de klager van het gemeentebestuur kreeg, waren volgens hem vaag en ontoereikend, waarop hij zich wendde tot de Vlaamse Toezichtcommissie. Die stelde na onderzoek vast dat Grimbergen te snel en op te grote schaal beroep doet op trajectcontroles, zonder voldoende onderbouwing of transparantie.
“Wij hebben Grimbergen opgelegd om transparanter te communiceren én het cameragebruik terug te schroeven”, zegt VTC-voorzitter Hans Graux aan HLN. “Ze mogen die ANPR-camera’s enkel blijven gebruiken als ze aantonen dat het gebruik proportioneel én wettelijk is.” En daar wringt het schoentje volgens de VTC net.
De commissie stelt dat de camera’s voor te veel doeleinden tegelijk dienen en te diep raken aan de privacy van burgers. Volgens Graux dreigt er een gevaarlijk precedent. “Als gemeenten zonder duidelijke limieten steeds meer en betere camera’s inzetten, evolueren we naar een samenleving waarin elk gedrag wordt geregistreerd. Dat is niet de bedoeling. Verkeersveiligheid mag geen schaamlap zijn voor algemene surveillance of inkomstenverhoging.”
Toch blijft het gemeentebestuur voorlopig gewoon boetes uitschrijven op basis van de camera’s, hoewel de VTC dat expliciet afraadt. “De uitspraak was een waarschuwing, geen verbod”, nuanceert Roosen. “We hebben ondertussen ook maatregelen genomen, zoals het blurren van personen op de beelden.”
Alles bij de bron; HLN
Exploitanten van online platforms moeten standaardinstellingen zo inrichten dat persoonlijke gegevens van gebruikers niet zomaar toegankelijk zijn voor het publiek of onbekenden. Dat heeft het Oberlandesgericht (OLG) Frankfurt am Main geoordeeld in een vonnis tegen Meta, het moederbedrijf van Facebook.
Meta heeft volgens de rechtbank deze verplichting geschonden. Gebruikers moesten namelijk zelf de standaardinstellingen aanpassen om hun privacy voldoende te beschermen, zo meldt het Hessische rechtbankportaal over de uitspraak van 8 april. Deze uitspraak wordt binnenkort officieel gepubliceerd.
Wereldwijd hebben tienduizenden Facebook-gebruikers Meta aangeklaagd vanwege het ongeoorloofd verzamelen (scraping) van persoonlijke gegevens. Bij scraping wordt via geautomatiseerde technieken openbare informatie van websites of via open interfaces (API’s) uitgelezen en verwerkt. Volgens de AVG is dit verboden zonder expliciete toestemming als het om persoonlijke gegevens gaat.
In veel zaken, zoals bij het BGH en nu het OLG Frankfurt, draait het om een grootschalige datalek in 2021 waarbij ongeveer 533 miljoen datasets van Facebook-gebruikers uit 106 landen openbaar werden.
De rechtbank baseert haar oordeel op het principe van gegevensminimalisatie, zoals vastgelegd in de Algemene Verordening Gegevensbescherming (AVG). Volgens het OLG moet Meta ervoor zorgen dat persoonsgegevens van gebruikers niet via standaardinstellingen toegankelijk zijn voor onbevoegde derden, zoals datascrapers. Gebruikers hebben recht op een wettige en beschermde verwerking van hun gegevens.
Alles bij de bron; Emerce