Databases

Bron; Trouw

De slachtoffers van het datalek bij de politie in het Belgische Zwijndrecht doen er verstandig aan hun kentekennummer, paspoort en andere officiële documenten te vervangen, zo adviseert privacyjurist Matthias Dobbelaere-Welvaert. 

Criminelen achter de Ragnar Locker-ransomware wisten gevoelige data van de politie in het Belgische Zwijndrecht te stelen en hebben die twee weken geleden online geplaatst. Volgens VTM Nieuws gaat het om duizenden documenten die informatie bevatten over flitsboetes, nummerplaten en zelfs telefonieonderzoek. 

Dobbelaere-Welvaert stelt dat niet de politie, maar onschuldige burgers die via ANPR-camera's zijn gefotografeerd de grootste slachtoffers van het datalek zijn. “Hun nummerplaten liggen nu voor eeuwig en altijd op straat." De privacyjurist adviseert mensen die denken getroffen te zijn door de aanval: "Vervang je officiële documenten, paspoorten en nummerplaten." Hij merkt op dat de gegevens al op internet te koop worden aangeboden.

Alles bij de bron; Security

Bij een hackaanval op wachtwoordbeheerder LastPass in augustus hebben hackers toch gegevens van gebruikers buitgemaakt. Eerder ging de ontwikkelaar van de wachtwoordkluis ervan uit dat de hackers alleen broncode van software hadden gestolen.

Welke gegevens van gebruikers zijn buitgemaakt, is nog niet duidelijk. Het bedrijf stelt dat de wachtwoorden die klanten hebben opgeslagen veilig zijn.

Alles bij de bron; NU

De vorige week gelanceerde ForumApp van Forum voor Democratie heeft de gegevens van 92.000 huidige en voormalige leden gelekt. Het gaat onder andere om namen, woonadressen, telefoonnummers en rekeningnummers, zo meldt RTL Nieuws dat hierover een anonieme tip ontving.

De API waarmee de ForumApp met de backend communiceert blijkt niet te controleren wie welke gegevens opvraagt en of diegene daar wel voor is geautoriseerd.

Via deze kwetsbaarheid is het mogelijk om het gehele ledenbestand van Forum te downloaden, inclusief privégegevens. 

Alles bij de bron; Security

Microsoft is volgends het Duitse Datenschutzkonferenz nog steeds in strijd met de Europese GDRP-privacyregelgevingen. De privacywaakhond zegt in een recent rapport dat de 365-cloudservices nog te ondoorzichtig omgaan met het verwerken van gebruikersgegevens.

Er worden in het rapport twee doorlopende hoofdpunten aangestipt. Enerzijds zou Microsoft niet transparant zijn over de manier waarop persoonsgegevens van gebruikers verwerkt worden. Het bedrijf zou volgens de DSK bijvoorbeeld niet duidelijk kunnen verwoorden welke persoonsgegevens verzameld worden en waarom. Hoewel Microsoft hier eerder op gewezen werd, zou er na de voorgestelde aanpassingen wat betreft gegevensverzameling niks veranderen.

Daarnaast noemt de DSK de verwerking van persoonsgegevens op servers buiten de Europese Unie als probleempunt. Het zou vooralsnog niet mogelijk zijn om van Microsofts 365-services gebruik te maken zonder dat persoonsgegevens naar de Verenigde Staten worden verstuurd. De privacywaakhonden erkennen dat de adoptie van de EU Data Boundary een stap in de goede richting is, maar dat een volledige onafhankelijkheid van Amerikaanse servers vooralsnog niet mogelijk is. De DSK stelt dat bepaalde data alsnog zonder versleuteling door Microsoft kan worden ingezien.

Alles bij de bron; Tweakers

Minister Dijkgraaf van Onderwijs wil de opslag van Nederlandse studentgegevens bij Amerikaanse cloudproviders niet verbieden, zo heeft de bewindsman laten weten op vragen van de SP kamerlid Kwint. Uit onderzoek blijkt dat driekwart van alle leergegevens van studenten nu bij Microsoft of Amazon zijn ondergebracht. Eerder kwam ook al de Koninklijke Nederlandse Akademie van Wetenschappen met een waarschuwing voor de afhankelijkheid van techbedrijven.

De minister erkent dat de Nederlandse onderwijswereld, net als de rest van de maatschappij, op grote schaal de digitale diensten van een beperkte groep van grote Amerikaanse techbedrijven gebruikt.

Kwint wilde ook van de minister weten of het klopt dat Amerikaanse opsporingsdiensten toegang kunnen hebben tot de studentgegevens van Nederlandse studenten. "De Cloud Act en wet- en regelgeving uit andere landen maakt het in theorie mogelijk dat opsporingsdiensten toegang krijgen tot deze gegevens", antwoordt Dijkgraaf. 

Alles bij de bron; Security 

Er is een lek van mogelijk 8,5 miljoen telefoonnummers van Nederlandse en Belgische gebruikers van WhatsApp. Een hacker biedt een database aan met 487 miljoen nummers van gebruikers wereldwijd. Het is onbekend waar de data vandaan komt.

Cybernews heeft gecheckt of Amerikaanse en Britse nummers uit het lek overeenkomen met WhatsApp-gebruikers en dat klopt. In Nederland en België lijkt het om lang niet alle gebruikers te gaan. Zo staan er 5,4 miljoen Nederlandse nummers in, terwijl WhatsApp naar schatting op meer dan 10 miljoen telefoons staat in Nederland. In België gaat het om 3,1 miljoen nummers.

Het lijkt erop dat de datadump alleen telefoonnummers bevat en geen verdere gegevens, zoals namen of andere metadata. Daardoor is het onduidelijk wat kwaadwillenden zouden kunnen met de lijst. Het is onbekend of er al kopers zijn van de database.

Alles bij de bron; Tweakers

Het Maastricht UMC+ is een proef gestart waarbij ouders via hun eigen DigiD toegang tot het medisch dossier van hun kind kunnen krijgen. Toegang tot het medisch dossier van een kind vereist op dit moment een machtigingsproces van het ziekenhuis zelf. Dit kan via een papieren of digitale route. Ook komt het voor dat ouders het DigiD van hun minderjarige kind gebruiken.

Met de nieuwe oplossing kunnen ouders via hun eigen DigiD, zonder tussenkomst van het ziekenhuis, op het patiëntportaal van hun kind inloggen. Daarbij vindt eerst wel een check plaats of de ouder bevoegd is. Het ziekenhuis kan altijd zelf kiezen om een persoon geen toegang te geven, bijvoorbeeld wanneer een arts dit in het belang van het kind acht. Dit wordt dan vastgelegd door het ziekenhuis en zorgt dat digitale toegang niet wordt verstrekt.

De pilot gaat van start met ouders van kinderen onder de 12 jaar.

Alles bij de bron; Security

De Public Interest Litigation Project (PILP) deed onderzoek naar de Top400. Dit is een programma waarmee de gemeente Amsterdam wil voorkomen dat jongeren en jongvolwassenen in de criminaliteit terecht komen. Het programma wordt geframed als een zorg- en beheersingsaanpak, waarbij allerlei publieke instellingen betrokken worden. Maar het lijkt er meer op dat jongeren worden gecriminaliseerd, soms nog voordat ze ook maar iets verkeerds hebben gedaan...

...Bij de Top400 werd Prokid+ gebruikt, een datamodel dat gebruikt wordt om jongeren te selecteren. Deze voorspellende identificatietool is ontwikkeld door de politie en is een vorm van predictive policing. Met predictive policing wordt op basis van historische gegevens voorspeld waar toekomstige criminaliteit zou kunnen plaatsvinden. In het geval van de Top400 wordt er echter gegeken naar de kans dat een specifieke jongere zich mogelijk schuldig zou kunnen maken aan criminaliteit.

Nu blijkt dat bij het gebruik van dit algoritme niet goed uitgelegd werd waarom iemand precies geselecteerd is. In sommige gevallen selecteerde het systeem jongeren zonder dat er sprake was van een noemenswaardig criminaliteitscomponent. Bovendien werd er bewust informatie achtergehouden in gesprekken met ouders. Zo mochten de naam van het algoritmisch systeem en de waarde van waarschijnlijkheid dat iemand een crimineel gedrag zou vertonen, niet gedeeld worden. En dat terwijl de impact enorm is voor de jongeren en hun gezinnen. Als je geselecteerd bent, krijg je namelijk voor twee jaar een regisseur toegewezen. Die periode kan vervolgens weer verlengd worden.

Samen met Pilp, Mamamess, Control Alt Delete en Fair Trails, roept Bits of Freedom de gemeente Amsterdam op tot het volgende:

1. De politie en opsporingsautoriteiten mogen niet betrokken worden bij sociale dienstverlening en het leveren van zorg.
2. Zolang de gemeente Amsterdam de bescherming van mensenrechten, gelijke behandeling, het recht op privacy en effectieve rechtsbescherming niet kan borgen, moet het stoppen met de Top400.
3. De gemeente moet luisteren naar de ervaringen, behoeften en stemmen van de jongeren en hun ouders om gepaste zorg daarop af te stemmen.
4. De politie moet stoppen met de ontwikkeling en het gebruik van ProKid+ en vergelijkbare predictive policing algoritmen.

Wij blijven ons inzetten voor een verbod op predictive policing in de AI-verordening. De Top400 is het zoveelste voorbeeld waaruit blijkt dat de beslissingen, die vaak niet of slecht uitlegbaar zijn, een enorme impact hebben op mensen. Door het gebrek aan transparantie en controleerbaarheid is het voor betrokkenen heel moeilijk om op basis van argumenten tot een andere beslissing te komen, of om een juridische procedure te beginnen.

Alles bij de bron; Bits-of-Freedom

Een cyberaanval op een Australische zorgverzekeraar is het werk van Russische hackers. Dat meldt de Australische politie. De hackers slaagden er vorige maand in de data van bijna 10 miljoen mensen te bemachtigen.

Volgens politiecommissaris Reece Kershaw zat de “losjes gelieerde groep” ook achter grote cyberaanvallen in landen over de hele wereld. Australië zegt contact te zoeken met de Russische autoriteiten over de groep.

....Het gaat onder meer om de medische rapporten en behandelingen van de verzekerden, net als hun geboortedata, telefoonnummers en e-mailadressen. Volgens persbureau AAP raakten in eerste instantie gegevens bekend van bijvoorbeeld alcoholisten, mensen met seksueel overdraagbare aandoeningen en vrouwen die een abortus hebben ondergaan.

Alles bij de bron; HLN