De toepassing en implementatie van de Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv) laat 2 jaar na de invoering nog steeds te wensen over. Dat concludeert toezichthouder CTIVD in een rapport over de Wiv, in de volksmond ook wel sleepwet genoemd.
Over de in mei 2018 ingevoerde wet is een flinke discussie gevoerd, politiek en maatschappelijk. Groot twistpunt was de mogelijkheid om in onderzoeken naar mogelijk verdachte personen en/of organisaties grote hoeveelheden data te onderscheppen - bulkdata - ook van mensen die geen voorwerp van onderzoek zijn en dat ook nooit zullen worden. "Het verzamelen en verder verwerken van bulkdatasets heeft een grote impact op de grondrechten van burgers", aldus de CTIVD. Later deze maand komt de toezichthouder met een specifiek rapport hierover.
De bulkdatasets mogen 1,5 jaar bewaard blijven en moeten daarna vernietigd worden. Omdat nu blijkt dat het om een nog complexere en tijdrovendere klus gaat dan aanvankelijk gedacht, ziet de CTIVD dat de diensten 'kunstgrepen' uithalen om zo de bewaartermijn van bulkdatasets te verlengen. Dat is onrechtmatig en in strijd met de eigen wet.
De implementatie van de wet is nog altijd niet afgerond. Een onafhankelijke organisatie is met een aanvullend onderzoek hiernaar bezig, de bevindingen worden eind dit jaar verwacht.
Alles bij de bron; RTL
Ambulances van het Spaarne Gasthuis zijn voortaan gekoppeld aan het elektronisch patiëntendossier van het ziekenhuis. Door de koppeling kan ritinformatie vanuit de ambulance worden doorgestuurd naar het dossier van de patiënt. Wanneer het om een bekende patiënt van het ziekenhuis gaat wordt de informatie direct toegevoegd aan zijn dossier. Is de patiënt nog niet bekend, dan kan de zorgmedewerker gemakkelijk een dossier aanmaken en de ritinformatie koppelen...
...Om de gegevensuitwisseling mogelijk te maken wordt informatie vanuit verschillende regionale ambulancevoorzieningen (RAV) via de Landelijke Server Digitale Vooraankondiging (LSDV) bij de juiste patiënt in het elektronisch patiëntendossier ingelezen. Hiervoor heeft het Spaarne Gasthuis samengewerkt met externe partijen zoals het UMC Groningen, de ambulancevoorzieningen GGD Kennemerland en Witte Kruis, en leveranciers Epic en Enovation. Het UMC Groningen maakt ook gebruik van een dergelijke koppeling tussen dossiers en ambulances.
Alles bij de bron; Security
De gegevens van zo’n 20.000 Belgische politici liggen online voor het grijpen, een grove schending van de privacy. De gegevensbeschermingsautoriteit gaat stappen ondernemen tegen een onlinedatabank die de privégegevens van politici online plaatst en zelfs verkoopt.
Adresgegevens, telefoonnummers en andere persoonlijke informatie zijn in de onlinedatabank te vinden.
De initiatiefnemers riskeren torenhoge boetes: “We gaan morgenochtend die mensen contacteren en uitleg vragen. Als die uitleg niet overtuigend is gaan we naar een volgende fase. Dan doen we wellicht een inspectie en wordt er objectief vastgesteld wat er aan de hand is”, klinkt het. Nadat er bewijsmateriaal wordt verzameld, kan de zaak naar de geschillenkamer gaan die vervolgens boetes kan opleggen.
Alles bij de bron; deMorgen
De gratis smartphone-apps van Simpler verkopen contactlijsten door aan de betaalde dienst Lusha. Dit soort constructies komen vaker voor, er is een hele industrie opgetuigd rond de verkoop van telefoonnummers en e-mailadressen. Zo verkoopt onlinedienst Lusha contactinformatie zonder de eigenaren van die info op de hoogte te stellen. En Lusha raakt niet alleen hooggeplaatste Nederlanders zoals kabinetsleden; ieders data kan via de dienst in vreemde handen belanden. En dat blijkt niet te voorkomen door simpelweg je privénummer niet meer online te zetten, een beroep te doen op de privacywet of zelfs door Lusha te laten opdoeken.
De handel in contactgegevens is een hardnekkig probleem dat iedereen raakt – om vijf redenen;
1 Ook stalkers kunnen telefoonnummers kopen
2 Het is niet alleen Lusha
3 Er wordt geen toestemming gevraagd
4 Hele contactlijsten kunnen worden doorverkocht
5 Er zit een maas in de wet
Lees alles bij de bron; Trouw
De Amerikaanse stad Los Angeles heeft een schikking getroffen met The Weather Channel. De stadsadvocaat spande anderhalf jaar geleden een rechtszaak aan, omdat de weerapp locatiegegevens van miljoenen gebruikers verkocht aan adverteerders, terwijl zij daar niet expliciet toestemming voor hadden gegeven.
The Weather Channel hoeft niet te stoppen met het doorverkopen van locatiedata. Als onderdeel van de schikking zeggen eigenaar IBM en ontwikkelaars wel aanpassingen te maken in het scherm waarop informatie over het delen van locatiedata wordt weergegeven. Op die manier moet "transparantie en toestemming geven na informeren" gewaarborgd zijn.
Alles bij de bron; NU
In het Verenigd Koninkrijk is een massaclaim aangespannen tegen hotelketen Marriott wegens een groot datalek waarbij de gegevens van 339 miljoen gasten werden gestolen. De Brit die de zaak aanspande wil voor miljoenen gasten die in de hotels van de Starwood-hotelgroep verbleven en door het datalek zijn getroffen een schadevergoeding.
De aanvallers wisten systemen van de Starwood-hotelgroep in 2014 te compromitteren. De diefstal van klantgegevens werd echter pas in 2018 ontdekt. Eerder stelde de Britse privacytoezichthouder ICO dat Marriott geen grondig onderzoek had uitgevoerd toen het Starwood overnam en het meer had moeten doen om de systemen te beveiligen. Vanwege het datalek is de ICO van plan om Marriott een boete van omgerekend 110 miljoen euro op te leggen.
Alle gasten woonachtig in Engeland of Wales die voor 10 september in 2018 in een Starwood-hotel verbleven doen automatisch mee aan de massaclaim. Er zijn voor hen geen kosten aan de zaak verbonden. In het geval de claim succesvol is zullen gasten zich moeten registreren om voor de vergoeding in aanmerking te komen.
Alles bij de bron; Security
De dagvaarding die de stichting The Privacy Collective tegen Oracle en Salesforce heeft ingediend, schetst een onthutsend beeld van organisaties die op grote schaal en zonder toestemming persoonsgegevens verwerken. Door het illegaal koppelen van data en de ontwikkeling van superieure 'adtech' hebben de twee Amerikaanse softwarebedrijven een haarscherp profiel van vrijwel iedere Nederlander opgebouwd...
...Volgens de stichting scheppen Oracle en Salesforce een indringend beeld van iemands online leven. Internetgebruikers krijgen kenmerken toebedeeld en worden ingedeeld in aparte segmenten of 'audiences'. Oracle en Salesforce koppelen verschillende unieke identificatoren aan elkaar, zodat één vingerafdruk of 'id graph' ontstaat. Oracle en Salesforce zijn bovendien gespecialiseerd in het verrijken van deze gegevens met gegevens uit andere bronnen. Denk hierbij aan gegevens over offline aankopen, locatiegegevens, credit card gegevens, financiële gegevens en gegevens van sociale media. Oracle en Salesforce bieden hun klanten ook de mogelijkheid om hun eigen gegevens toe te voegen.
Alles bij de bron; Computable [Long-Read]
Bij de gestolen gegevens van de ransomwareaanval op het crm-systeem Blackbaud zijn ook zesduizend burgerservicenummers van alumni van de van de Universiteit Utrecht buitgemaakt zijn. De universiteit sloeg deze gegevens per abuis en onrechtmatig op.
Vrijdag heeft de Universiteit Utrecht gedupeerden van het datalek een e-mail gestuurd en bij een deel van de getroffen alumni meldt de onderwijsinstelling dat ook het burgerservicenummer onderdeel van het datalek was. "Bij een eigen controle van onze database naar aanleiding van dit incident, is gebleken dat wij van een beperkt aantal alumni het burgerservicenummer in ons systeem hadden staan", staat in het bericht.
Een woordvoerder van de universiteit meldt dat het om 6000 personen gaat bij wie het bsn getroffen is. In totaal zijn van 190.000 personen de contactgegevens uit de database van de universiteit gestolen.
Alles bij de bron; Tweakers
De Wall Street Journal deed onderzoek naar de dataverzameling van TikTok. De krant concludeert dat de app een manier gebruikte om unieke mac-adressen te verzamelen, ook al staat Google dat niet toe. De WSJ keek naar negen verschillende versies van de app die tussen april 2018 en januari 2020 zijn uitgebracht. TikTok zou in ieder geval in de eerste achttien maanden daarvan de mac-adressen hebben verzameld, maar zou daar in november vorig jaar mee gestopt zijn.
De verzameling ging ook door nadat Google het in 2015 verbood om persoonlijke gegevens te koppelen aan apparaat-identifiers. Daaronder vielen bijvoorbeeld imei-nummers, maar ook mac-adressen. TikTok gebruikte volgens de WSJ een maas in Googles beleid. Het bedrijf verzamelde het mac-adres zodra de app voor het eerst werd geopend, voordat de gebruiker daar toestemming voor kon geven. Tegelijkertijd werd het unieke advertiser-id gekoppeld aan het mac-adres. Als een gebruiker zijn advertiser-id reset, kan TikTok die nieuwe id alsnog aan de gebruiker koppelen, omdat het mac-adres wel hetzelfde blijft.
Ook ontdekte de krant dat TikTok een eigen, zelfgebouwde encryptielaag heeft gebouwd die het over verbindingen heen zet. Op die manier zouden verzonden gegevens verder worden verborgen, bovenop de standaardencryptieprotocollen die al gebruikt werden.
De Wall Street Journal concludeert in het onderzoek dat TikTok naast het mac-adres weinig informatie verzamelt die andere apps niet ook verzamelen.
Alles bij de bron; Tweakers
Door de lockdown kwamen 1,6 miljard leerlingen wereldwijd thuis te zitten...
...En natuurlijk was de crisis in het wereldwijde onderwijs nog veel groter geweest als de grote techbedrijven er niet waren geweest. Het gebruik van Microsoft-software als Teams en Zoom, Google Classroom, maar ook de leerprogramma’s voor basis- en middelbaar van het Indiase miljardenbedrijf Byju’s of het Chinese Yuanfudao hebben een hoge vlucht genomen. Byju’s bereik steeg ineens met 200 procent, maar van de 57 miljoen deelnemers betalen er maar 3,5 miljoen. Bij Microsoft steeg het gebruik van de platforms van 500 miljoen in februari naar een 900 miljoen nu, bijna een verdubbeling.
De ‘edutechs’ hebben de afgelopen maanden hun producten gratis ter beschikking gesteld aan de wereld, al was dat niet zonder eigenbelang. De data van al deze leerlingen zijn precies wat ze nodig hebben om hun producten te perfectioneren. Google en Microsoft leveren platforms om online samen te komen, filmpjes te plaatsen en agenda’s en opdrachten achter te laten. Maar je hebt ook ‘intelligente’ apps en programma’s, die volgen hoe snel je vragen beantwoordt, of je ze snapt of dat je nog meer instructie nodig hebt, en welke uitleg dan precies vereist is. Hoe meer van zulke data je opslaat, hoe eerder een bedrijf van een bepaald type leerling vooraf kan vaststellen of hij voor een cursus gaat slagen of hoe lang hij erover zal doen, maar ook op welk moment van de dag je de lesstof aan dit type persoon het beste kunt aanbieden en welke prikkels iemand in zijn omgeving nodig heeft om zich goed te kunnen concentreren.
De grote vraag is of al die nieuwe gebruikers straks ook blijven ‘kleven’ als de prijzen weer normaal worden. “Wij kunnen ons voorstellen dat deze edutechs hun tarieven uiteindelijk gaan verlagen”, zegt Patel. “We denken dat de scholen veel platforms en apps wel zullen willen blijven gebruiken, maar het is de vraag of ook individuele consumenten er anders mee door zullen gaan. Daarbij moeten ze ook geloofwaardiger worden op het gebied van cybersecurity en privacy.”
Maar de afhankelijkheid brengt ook risico’s met zich mee”, zegt Remco Pijpers, strategisch adviseur van Kennisnet; “Er worden steeds meer data van leerlingen en studenten verzameld. Zicht op de algoritmen die schuilgaan achter commerciële onderwijstechnologie hebben scholen niet of nauwelijks.”
De zorgen hierover zijn de afgelopen maanden ook toegenomen. Pijpers: “Nu scholen steeds meer met digitale middelen werken, verandert de mix van aanbieders op de onderwijsmarkt. Maakten eerst vooral Nederlandse uitgevers de dienst uit, nu hebben grote Amerikaanse bedrijven als Microsoft en Google een belangrijk aandeel gekregen. In het algemeen komen er steeds minder spelers, en de bedrijven die overblijven, nemen in omvang toe”.
Edutechs mogen de data van leerlingen binnen hun systemen wel gebruiken voor ontwikkeling, maar ze mogen die niet koppelen aan de namen van de leerlingen die er gebruik van maken. Alles gaat dus geanonimiseerd en in principe gebruiken Google en Microsoft hun onderwijsplatforms ook niet om er advertenties aan te verbinden. Indirect gebeurt dat overigens toch als leraren YouTube-filmpjes gebruiken, die eigendom zijn van Google....
...Bied als school alleen maar eens weerstand tegen het aanbod van grote edutechs. “De nadelen blijken vaak pas later”, zegt Pijpers. “Des te belangrijker dat scholen collectief optrekken en tegenkracht bieden.” Ze bundelen hun krachten via Sivon, een coöperatie die namens scholen onderhandelt met digitale aanbieders van onderwijsmateriaal. “Kernwoord hierbij is publieke regie. Het onderwijs moet – vertrekkend vanuit waarden en onderwijsdoelen – helder maken wat het verwacht van aanbieders van onderwijstechnologie. Als technologie niet past bij waarden, dan moet je samen stevig genoeg staan om hier verandering in aan te brengen.”...
Het meest optimistisch zijn misschien wel de investeerders. Volgens de onderwijsinnovatiesite HolonIQ werd er in het eerste half jaar van 2020 door durfkapitalisten al 4,5 miljard dollar geïnvesteerd in vooral Chinese, maar ook Amerikaanse onderwijstechnologie. Een recordinvestering door durfkapitalisten in 2020 wordt door HolonIQ niet uitgesloten.
Alles bij de bron; Trouw