Databases

Minstens twee menstruatiekalender-apps, Maya en MIA Fem, hebben gevoelige details over de seksuele gezondheid van hun gebruikers gedeeld met Facebook en andere partijen. Dat blijkt uit een nieuw onderzoek van de Britse privacywaakhond Privacy International.

Uit onderzoek van Privacy International blijkt nu dat die erg gevoelige informatie doorgespeeld werd aan Facebook vanaf het ogenblik dat een gebruiker de app op haar telefoon installeerde en opende, zelfs voor ze had ingestemd met het privacybeleid.

De app Maya, eigendom van het Indiase bedrijf Plackal Tech, en de menstruatiekalender MIA Fem, eigendom van het Cypriotische Mobapp Development Limited, hebben miljoenen gebruikers over de hele wereld.

De informatie wordt met het sociale netwerk gedeeld via de Facebook Software Development Kit (SDK). Die helpt appontwikkelaars om bepaalde functies in te bouwen en gegevens van gebruikers te verzamelen, zodat Facebook gerichte advertenties kan tonen. Wanneer een gebruiker persoonlijke informatie opslaat in een app, kan die informatie eveneens via de SDK naar Facebook verstuurd worden.

Alles bij de bron; HLN

Europese websites voor mentale gezondheid delen, vaak zonder toestemming, persoonlijke gegevens van gebruikers met adverteerders, techgiganten en andere derde partijen, zo blijkt uit een onderzoek van de groep Privacy International.

Het onderzoek van Privacy International draait onder meer om de cookies die op de websites staan. Ze onderzochten daarbij 136 populaire sites rond psychische gezondheid, en enkele veelgebruikte online depressietesten. Daaruit blijkt dat driekwart van de cookies op deze sites voor marketing- en adverteringsdoeleinden werden gebruikt. Gemiddeld had een Franse gezondheidssite 44 cookies, tegenover 12 in het VK en 7 in Duitsland. Van de sites had 85% tot 92% een Google tracker aan boord, ook Facebook trackers zijn populair op gezondheidssites: 49% van de Franse websites had er eentje, 49% in het VK en 23% in Duitsland. Via die cookies kunnen techgiganten als Google, Facebook en Amazon gerichte advertenties naar de gebruikers sturen.

De bevindingen van Privacy International lijken alvast te suggereren dat deze websites in strijd zijn met de Europese privacyregulering. De GDPR geeft aan dat websites toestemming moeten vragen om gegevens te verzamelen, en klaar en duidelijk moeten communiceren wat er met die data gebeurt. In het geval van gevoelige data, zoals gezondheidsinformatie, moet die toestemming bovendien expliciet gebeuren, zoals in 'is het ok als we jouw gezondheidsinformatie met deze lijst aan adverteerders delen'. Een 'neen' op die vraag zou bovendien niet mogen hinderen dat je de website blijft gebruiken.

Dat is bij de sites in de studie echter vaak niet het geval, schrijft PI in haar rapport. Sommige websites hadden geen toestemmingsformulier, terwijl anderen een generiek scherm gebruikten. Een deel van de cookies, zo schrijft PI, werden ook geïnstalleerd voordat de gebruiker toestemming kon geven of weigeren.

Alles bij de bron; Knack

Google wordt er van beschuldigd persoonsgegevens uit te wisselen met adverteerders zonder gebruikers hiervan op de hoogte te stellen. Dat stelt Johnny Ryan, de beleidsbaas van het bedrijf achter webbrowser Brave. Hij zegt bewijs van deze praktijken te hebben ingediend bij de Ierse privacytoezichthouder, die de Europese activiteiten van de techgigant in de gaten houdt.

Op allerlei manieren worden data op en rond het boerenerf gegenereerd, bijvoorbeeld via sensoren en machines in de stal of op het land. Tegelijkertijd komen er ook vragen naar boven. Zijn en blijven de data wel van de boer? Wie heeft er toegang tot de data en wat gebeurt ermee? Wettelijk is er niets vastgelegd over van wie data zijn. De roep om concrete afspraken neemt daarom toe.

De algemene opvatting lijkt eenduidig en duidelijk: de boer moet de regie houden over de data die worden gegenereerd op zijn bedrijf. Daarom komt de sector zelf in actie met gedragscodes en initiatieven die duidelijkheid moeten scheppen.

Data-coöperatie JoinData wil boeren de regie geven over hun data met een online platform. Hierop kunnen boeren eenvoudig zien welke bedrijven, die aangesloten zijn bij JoinData, ze een machtiging hebben gegeven om hun data te gebruiken. Ook moet duidelijk zijn voor welk doel de data gebruikt worden en wat de consequenties zijn als de machtiging wordt stopgezet. JoinData wil het delen van data in de agrarische sector vereenvoudigen en daarmee stimuleren. De organisatie gelooft dat boeren makkelijker data gaan delen wanneer dat veilig kan en er controle blijft over wat er met de data gebeurt.

Afnemers en leveranciers in de sector maken maar wat graag gebruik van de agrarische data afkomstig van het boerenerf. Dat ziet ook Anne Bruinsma, oprichter van een firma die zich bezighoudt met IT-vraagstukken in de landbouw: “De groep koplopers groeit, zij zijn niet alleen bezig met precisielandbouw, maar ook met zaken als data-eigendom, privacy, autonomie en het ontwikkelen van een verdienmodel. De zorgen nemen toe. Systemen kunnen worden gehackt, data kunnen worden gelekt en technologiereuzen kunnen hun macht misbruiken.” 

Ondanks de algemene opvatting ‘data zijn van de boer’ betekent dat volgens Bruinsma nog niet dat het eigenaarschap functioneel is voor de boer: “Het ontbreekt aan juridische kaders om als boer makkelijk en pijnloos bij je eigen data te kunnen, data te koppelen, data te verwaarden, voorwaarden te stellen en los te komen van grote data-verzamelaars.” Data-eigendom bevindt zich in een grijs gebied. Er is wettelijk niets vastgelegd over wie de eigenaar is van data, omdat wettelijk eigendom alleen over fysieke dingen gaat. Daarnaast vallen data ook buiten de bescherming van intellectueel eigendom zoals copyright.

Agrarische data worden in het algemeen niet gezien als persoonlijke data. Daarom is de nieuwe Europese AVG-wet niet van toepassing, tenzij de data herleidbaar zijn tot een persoon. Dit kan het geval zijn bij data die te linken zijn aan een gps-locatie. Er is nog een aspect dat het moeilijk maakt te bepalen van wie de data zijn. Zodra een partij individuele data samenvoegt, bewerkt of vertaalt naar bijvoorbeeld concrete adviezen, verschuift het eigendom naar degene die de data bewerkte. In het algemeen geldt: er zijn geen regels, dus onderlinge afspraken zijn nodig. Deze moeten duidelijkheid geven over data-eigendom.

Alles bij de bron; deBoerderij [Long-Read]

Gechargeerd gesteld ging het om een strijd tussen ‘Excelfetisjisten’ en ‘menslievende, maar naïeve behandelaren’. Hoe de strijd tussen dataverzamelaars en mondige psychiaters –voorlopig – is gewonnen door die laatsten....

....Stichting Benchmark GGZ – de databank die in het verleden instellingen met elkaar wilde vergelijken – is na de hoogoplopende ruzie ontmanteld. Een andere instantie – Akwa GGZ, ofwel Alliantie Kwaliteit in de geestelijke gezondheidszorg – verzamelt nog steeds patiëntgegevens, maar doet dat alleen voor zelflerende effecten, niet om de instellingen met elkaar te vergelijken. Ook vraagt Akwa GGZ – in tegenstelling tot Stichting Benchmark GGZ – de patiënten expliciet om toestemming voor hun data.

Ex-patiënt Berkelaar is er niet gerust op. Ze vreest dat het bestuur van een ggz-instelling de patiënt verplicht de eigen data te delen, in ruil voor en behandeling. “Maar die beslissing moet bij de patiënt en de behandelaar liggen,” aldus Berkelaar.

Alles bij de bron; Parool

De omstreden dataset met behandelgegevens van duizenden psychiatrisch patiënten – verkregen zonder toestemming – is verwijderd. Dat laat kwaliteitsinstituut Akwa GGZ weten, dat sinds kort de data beheert. Hiermee komt een einde aan een slepende discussie van twee jaar over privacyschending in de geestelijke gezondheidszorg.

Het gaat om vragenlijsten die vrijwel iedere patiënt in de ggz meerdere keren invult, met daarin gegevens over suïcidaliteit, somberheid, seksualiteit. Behandelaren gebruiken deze Rom-data (Routine Outcome Monitoring) om te zien of hun patiënten vooruitgaan. Deze gegevens werden jarenlang zonder toestemming centraal verzameld, zij het zonder naam, postcode en bsn-nummer. Instellingen stuurden de data naar de Stichting Benchmark GGZ (SBG), die gefinancierd werd door zorgverzekeraars. Het uiteindelijke doel hiervan was om de inkoop van geestelijke gezondheidszorg te baseren op de resultaten die een instelling boekt. 

...Ex-patiënt Judica Berkelaar: “Ik ben heel blij dat mijn handhavingsverzoek is opgevolgd. Niet alleen voor mijzelf, maar ook voor alle andere patiënten. Ik vond het een akelig idee dat de data herleidbaar zijn tot de persoon bij koppeling, en ik niet weet wat daarmee gebeurd is.

Akwa GGZ gaat wel door met het verzamelen van Rom-data maar alleen mét toestemming van patiënten. “Wij gebruiken de gegevens uitsluitend voor het veld zelf, om te leren.” Dat zit Berkelaar niet lekker, ze vraagt zich af of de patiënten wel volledig geïnformeerd worden als hen om toestemming gevraagd wordt. “De partijen zijn dus nog niet van mij af.”

Alles bij de bron; Trouw

De Nederlandse politie beschikt over een database met de foto's van 1,3 miljoen mensen. Het gaat in totaal om 2,2 miljoen afbeeldingen van 1,3 miljoen personen die worden verdacht van misdrijven waarop een straf van 4 jaar of meer op staat of van mensen waarbij "twijfel" bestaat over de identiteit..

Burgerrechtenbeweging Bits of Freedom stelt dat 1 op 13 Nederlanders in de database staat. "'Dat is heel veel. Die mensen zijn verdacht, ze zijn nog niet veroordeeld. Op het moment dat ze worden vrijgesproken, zouden ze eruit moeten, maar het is onduidelijk of en wanneer dat gebeurt. Ook zijn de bewaartermijnen bizar lang", zegt beleidsadviseur Lotte Houwing van Bits of Freedom tegenover BNR.

Sinds 2016 beschikt de politie over een systeem voor automatische gezichtsherkenning genaamd CATCH. Hiermee wordt een foto van een verdacht persoon vergeleken met een database met daarin foto's van verdachten en veroordeelden, aldus de politie. Het systeem selecteert op meerdere kenmerken zoals de stand van de ogen, afstand naar de neus, breedte van de mond en andere uiterlijkheden.

Alles de bron; Security

Het Controleorgaan op de Politionele Informatie start een onderzoek naar de plannen van de commissaris-generaal van de federale politie, Mark De Mesmaeker, om camera’s met gezichtsherkenning in te zetten op de luchthaven van Zaventem. Zelf houdt de politie vol dat voor dergelijke camera’s al een wettelijke basis bestaat.

De wet op het politieambt, die van toepassing is op het cameragebruik door politiediensten, laat inderdaad toe om intelligente camera’s te gebruiken, waartoe camera’s met gezichtsherkenning behoren. Het is alleen zo dat er in de wet geen mogelijkheid is opgenomen om de gegevens die op die manier worden verzameld in een databank te gieten. Zo’n ‘technische gegevensbank’ werd bij een wetswijziging in 2018 enkel toegelaten voor ANPR-data, de data voor automatische nummerplaatherkenning.

In een vraag om verduidelijking zegt de federale politie dat het de bedoeling is om niet met zo’n gegevensbank te werken. 

Het Controleorgaan op de Politionele Informatie (COC), dat waakt over het politioneel cameragebruik, reageert toch terughoudend, “Het kan inderdaad als er niet met een gegevensbank wordt gewerkt”, zegt lid-raadsheer Frank Schuermans. “Maar het blijft een heikele zaak. Ook al worden de gegevens maar een fractie van een seconde opgeslagen, dan nog is er een probleem. Bovendien zou dat gebeuren bij duizenden burgers. Ze moeten toch eens uitleggen hoe ze dat precies willen doen.”

Alles bij de bron; HLN