In 1999 lanceerde de MITRE Corporation de Common Vulnerabilities and Exposures (CVE)-lijst. CVE voorziet elke kwetsbaarheid van een uniek nummer. Dit maakt het eenvoudiger om kwetsbaarheden te volgen, informatie uit te wisselen en beveiligingsproducten te beoordelen. Het CVE-nummer begint met de letters CVE, gevolgd door een jaartal en een getal van vijf cijfers. Onderzoekers, ontwikkelaars of bedrijven die een kwetsbaarheid vinden kunnen hiervoor een CVE-nummer aanvragen.
Van 2010 tot en met 2016 bleef het aantal kwetsbaarheden met een CVE-nummer jaarlijks onder de 8000, zo blijkt uit cijfers van de National Vulnerability Database die de CVE-nummers bijhoudt. Vanaf 2017 is er een sterke stijging zichtbaar en worden er in één jaar 14.600 beveiligingslekken aan de CVE-database toegevoegd. Deze lijn zet zich de jaren erna door, met in 2018, 2019 en 2020 respectievelijk 16.500, 17.300 en 18.300 nieuwe kwetsbaarheden.
Alles bij de bron; Security
Minister De Jonge van Volksgezondheid laat de centrale vaccinatiedatabase waarin de gegevens van gevaccineerden worden bijgehouden extra beveiligen. Vanwege recente beveiligingsincidenten, waaronder de inbraak op systemen van het Europees geneesmiddelenbureau EMA, liet De Jonge extra onderzoek naar de beveiliging van het centrale register uitvoeren.
Naar aanleiding van de gevonden zaken worden er nu aanvullende maatregelen genomen om het COVID-19 vaccinatie informatie- en monitoringsysteem (CIMS) te beveiligen. "Het treffen van deze maatregelen staat start van de vaccinatiecampagne per 8 januari niet in de weg. Ik houd dit scherp in de gaten", schrijft de minister in een brief aan de Tweede Kamer.
Naast extra beveiligingsonderzoek is er ook een Data Protection Impact Assessment (DPIA) uitgevoerd, waar op dit moment de laatste hand aan wordt gelegd. Met een DPIA worden vooraf de privacyrisico's die bij het verwerken van gegevens komen kijken in kaart gebracht. Vervolgens kunnen er maatregelen worden getroffen om de risico's te verkleinen.
"Omdat het bij centrale registratie gaat om verwerking van persoonsgegevens op een zeer omvangrijke schaal, heb ik goed gekeken naar het juridisch kader met betrekking tot privacy en het medisch beroepsgeheim", stelt de minister. Naast het uitvoeren van een DPIA is er ook contact geweest met de vaccinerende artsen en Autoriteit Persoonsgegevens.
Hieruit is voortgekomen dat het opnemen van gegevens in de centrale vaccinatiedatabase alleen is toegestaan met uitdrukkelijke toestemming van de gevaccineerde. Bij de oproep/uitnodiging tot vaccinatie wordt een toestemmingsformulier meegestuurd. Tevens wordt uitgelegd wat met de verzamelde data gebeurt en wordt aangegeven dat burgers hun vaccinatiegegevens bij het RIVM altijd kunnen laten verwijderen en hoe dit mogelijk is.
Van mensen die ofwel niet opkomen voor vaccinatie ofwel wel komen maar geen toestemming geven voor het delen van de vaccinatiedata, worden alleen anonieme data op geaggregeerd niveau met het RIVM gedeeld, zo stelt De Jonge, die toevoegt dat het wel of niet delen van data geen gevolgen heeft om te worden gevaccineerd.
Alles bij de bron; Security
T-Mobile heeft vorige maand de gespreksgegevens van 200.000 Amerikaanse klanten gelekt. Het was het tweede datalek van 2020 waar de telecomprovider mee te maken kreeg.
Het gaat onder andere om het telefoonnummer van de klant, wie die allemaal heeft gebeld, hoe lang en wanneer. Namen, adresgegevens, e-mailadressen en financiële data zijn niet door de aanvallers ingezien.
In maart van vorig jaar waarschuwde T-Mobile ook al voor een datalek. Aanvallers wisten destijds toegang te krijgen tot verschillende mailaccounts van T-Mobile-medewerkers. Deze e-mailaccounts bleken accountgegevens van klanten en medewerkers te bevatten. Daardoor kregen de aanvallers mogelijk toegang tot namen, adresgegevens, telefoonnummers, abonnementsgegevens, klantnummers en facturatiegegevens van een niet nader genoemd aantal klanten.
Alles bij de bron; Security
...Begin 70’er jaren wist het Comité Waakzaamheid Volkstelling (CWV) en behoorlijk groot verzet aan te wakkeren tegen de veertiende volkstelling, die ergens rond de jaarwisseling van 1970 naar 1971 zou plaatsvinden. Door de maatschappelijke weerstand werd de volkstelling verschoven naar 28 februari 1971.
Wie niet meedeed kon op een boete van 500 gulden rekenen of riskeerde een gevangenisstraf. De tienduizenden totaalweigeraars hoefden het niet te betalen. De toenmalige minister van Justitie, Dries van Agt, kwam met een generaal pardon.
De protesten richten zich tegen de onnodige aantasting van de privacy omdat niet alleen ‘neuzen werden geteld’, maar ook werd gevraagd naar levensbeschouwing, handicaps en inkomen.
De regering legde zich er uiteindelijk bij neer dat deze volkstelling als mislukt diende te worden beschouwd. Het was meteen de laatste huis-aan-huis volkstelling.
Maar geteld werd en wordt er nog volop. Op Sargasso, 10 mei 2012: De overheid heeft meer dan 5000 databases in beheer met daarin persoonsgegevens van Nederlandse burgers. De meeste Nederlanders zitten er in enkele tientallen hooguit. Maar wie een crimineel verleden heeft, gehandicapt is, langdurig ziek, problemen heeft in het onderwijs, uitkeringstrekker is of asielzoeker en veteraan, staat er zo in meer dan honderd. Dit blijkt uit een analyse door Sargasso van de registraties van het College Bescherming Persoonsgegevens (CBP).
En de privacy begint op een alsmaar dunner jasje te lijken, dat eigenlijk nergens meer tegen beschermt. Wetgeving lijkt soms op een privacy-kaasschaaf. Een breed maatschappelijk verzet tegen bijvoorbeeld de corona-app is uitgebleven. Jammer genoeg is het verzet tegen zulke maatregelen gekaapt door lieden die de meest fantastische argumenten aandragen. Dat zit een serieuze volksopstand tegen privacy-schendingen in de weg.
Alles bij de bron; Sargasso
Met de vele vertrouwelijke gegevens uit patiëntdossiers kan onderzoek worden gedaan dat de volksgezondheid dient. Daarom noemt de Nederlandse overheid het delen van deze data voor dergelijk onderzoek ‘datasolidariteit’ en spreekt de Europese Commissie over ‘data-altruïsme’ in haar voorstel voor de Data Governance Act.
In de praktijk ervaren behandelaars en onderzoekers knelpunten bij het begrijpen en toepassen van de relevante wetgeving, zoals de AVG. Daardoor komen bij (big) data-onderzoek met gegevens uit patiëntdossiers de rechten van patiënten in gevaar en is er te weinig grip op de gegevens. Het is dan niet altijd helder wie de gegevens krijgt en welk doel het onderzoek dient.
Het nieuwe rapport Datasolidariteit voor gezondheid. Verbeterpunten met oog voor ieders belang van het Rathenau Instituut zet de – voornamelijk wettelijke – knelpunten bij onderzoek met bestaande patiëntgegevens op een rij en draagt daarvoor mogelijke oplossingen aan.
Op basis van literatuur, opinies van toezichthouders en de bestaande wettelijke kaders, concludeert het Rathenau Instituut onder meer dat overheid en beroepsorganisaties de wetgeving en toepassing daarvan moeten verhelderen als het gaat om het anonimiseren van gegevens en het omgaan met ‘geen bezwaar’ en ‘toestemming vragen’ van de patiënt.
Het gebrek aan uniforme wetgeving binnen de EU vraagt om samenwerking op Europees niveau. Daarnaast verdienen ‘datasolidariteit’ en de rol van commerciële spelers daarbij een brede maatschappelijke discussie. ‘Datasolidariteit’ gaat alle burgers aan, niet alleen patiënten die nu een behandeling ondergaan.
Alles bij de bron; Rathenau-Instituut
De gegevens van meer dan één miljoen gebruikers van de Ledger-cryptowallet zijn openbaar gemaakt op internet. Het gaat om e-mailadressen en van bijna tienduizend gebruikers ook namen, telefoonnummers, adresgegevens en aangeschafte producten. Aanvallers wisten in juni van dit jaar toegang tot de marketingdatabase van Ledger te krijgen die de gegevens bevatte.
Volgens de fabrikant wist een aanvaller via een verkeerd geconfigureerde API-key van een derde partij, aanwezig op ledger.com, toegang tot de database te krijgen en zo contact- en bestelgegevens in te zien. Volgens Ledger zouden aanvallers er van april 2020 tot 28 juni 2020 misbruik van van hebben gemaakt. Na ontdekking van het datalek werd de betreffende API-key uitgeschakeld.
Van de gestolen e-mailadressen was 69 procent al via een ander datalek bij Have I Been Pwned bekend.
Alles bij de bron; Security
De Koninklijke Nederlandse Klim- en Bergsport Vereniging (NKBV) doet onderzoek naar een mogelijk datalek nadat leden doelwit van een phishingaanval zijn geworden. In de phishingmail, die van een gerechtsdeurwaarder en incassobureau afkomstig lijkt, wordt gesteld dat de ontvanger een grote openstaande schuld van ruim 9800 euro heeft.
Vervolgens wordt gedreigd met een beslaglegging van het rekeningnummer, dat ook in de e-mail vermeld staat. Om het bedrag te betalen moet het telefoonnummer naar een opgegeven e-mailadres worden gestuurd.
De NKBV heeft leden inmiddels voor het mogelijke datalek gewaarschuwd. "Het spijt ons je te moeten mededelen dat we het vermoeden hebben dat er data gelekt is van NKBV-leden. Tot nu toe hebben we enkele tientallen meldingen gehad van leden van wie naam, adres, e-mailadres en bankrekeningnummer zijn gebruikt in een phishing mailing", zo laat de vereniging in een e-mail weten.
Daarin staat ook dat het op dit moment niet bekend is om hoeveel leden het gaat en wanneer de informatie is gelekt. "Het lijkt om data te gaan van na mei 2019. We kunnen wel met zekerheid stellen dat de data niet uit ons nieuwe ledenadministratiesysteem komen waar we begin 2020 op zijn overgegaan." De NKBV heeft melding bij de Autoriteit Persoonsgegevens gedaan en ook contact opgenomen met het incassobureau. "Zij gaven aan dat ze van meerdere partijen meldingen hebben gehad en dat het erop lijkt dat er vanuit verschillende bronnen gegevens zijn gecombineerd." De gerechtsdeurwaarder waarschuwt ook op de eigen website voor de phishingmails.
Alles bij de bron; Security
Europa probeert de datahonger in te perken van grote techbedrijven, die door gebrek aan regelgeving uitgroeiden tot de rijkste multinationals ter wereld. ‘Het is allemaal onderdeel van het economische model: hoe meer data, hoe meer winst − en winst gaat boven alles.’
In een gedigitaliseerde wereld zijn data een levensader voor bedrijven, overheden, inlichtingendiensten, tal van andere organisaties én burgers. Uit data vloeit immers informatie voort, en informatie leidt tot kennis en inzicht. Op basis daarvan zijn we in staat om (economisch) te handelen. Bovendien zijn ‘Big Data’ (ontelbaar veel aan elkaar gekoppelde gegevens) de brandstof waarop algoritmen en daarmee kunstmatige intelligentie (A.I.) draaien.
De aanjagers van deze technologische revolutie − Amazon, Apple, Facebook, Google en Microsoft naast nog een hele reeks andere multinationals uit met name Silicon Valley − zijn ongekende invloed gaan uitoefenen op de levens van miljarden mensen. Ze hebben zich zo ontiegelijk veel data, waaronder persoonsgegevens, toegeëigend, dat een aanzienlijk deel van het menselijk geheugen inmiddels in de cloud zweeft. Al doende zijn ze tot de meest waardevolle bedrijven ter wereld gaan behoren.
Het vergaren, analyseren en doorverkopen van persoonsgegevens is zo lucratief dat de meeste ondernemingen zich er tegenwoordig in meer of mindere mate mee bezighouden. Schimmige partijen met namen als Cxense, MindTake en OpenX leggen zich er zelfs exclusief op toe....
....Het internet en Big Data hebben ons leven zonder twijfel verrijkt en vergemakkelijkt, maar hebben er (samen met grootschalig cameratoezicht) tegelijkertijd voor gezorgd dat burgers wereldwijd continu in de gaten worden gehouden, het mensenrecht privacy tot een minimum is gereduceerd en het er alle schijn van heeft dat je verdachte bent totdat het tegendeel is bewezen.
Denk aan de strenge beveiliging waar je doorheen moet op moderne luchthavens als Schiphol – beveiliging die functioneert op basis van databases vol biometrische persoonsgegevens. Big Data heeft Big Brother naar een niveau getild waar de Stasi alleen maar van had kunnen dromen.
Tegen de achtergrond van de hardnekkige valse tegenstelling ‘veiligheid versus privacy’ slurpen sommige inlichtingendiensten – in het Westen met name de Amerikaanse NSA en het Britse GCHQ – net zo massaal data op uit binnen- en buitenland als Facebook, Amazon en Google.
Dat Big Tech zo allesoverheersend is geworden, is goeddeels te wijten aan het feit dat er jarenlang aan weerszijden van de oceaan nauwelijks regelgeving en toezicht was. De industrie kon naar lieve lust haar gang gaan. En zo snel als technologie voortschrijdt, zo langzaam hobbelt het wetgevende proces daar achteraan. Een keerpunt in Europa was in 2018 de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) waar jarenlang aan is gewerkt....
Alles bij de bron; OneWorld [long-read]
8 april kondigde het ministerie van Volksgezondheid, Welzijn en Sport een noodmaatregel aan: de Corona opt-in. Met deze maatregel hebben artsen toegang tot het medische dossier van patiënten zonder dat patiënten daarvoor toestemming hebben gegeven. In plaats daarvan werd het omgekeerd: Toen de maatregel werd aangekondigd had je de mogelijkheid om de automatische toestemming in te trekken.
Wij kregen signalen uit de praktijk dat er met het informeren over deze maatregel iets fout ging. Uit een klein onderzoek naar de uitvoering van de Corona opt-in werd duidelijk dat niet één van de ondervraagden op de hoogte was van deze maatregel. Ook had ruim de helft van de bevolking geen keuze gemaakt om toestemming wel of niet te verlenen voor het delen van huisartsgegevens.
Medische gegevens zijn van gevoelige aard en dus is het belangrijk dat alleen de mensen die dat écht nodig hebben hebben hier toegang tot hebben. Toestemming is de hoeksteen van het privacyrecht. Opheffing daarvan is zorgelijk omdat het jou de controle over je gegevens ontneemt. De Autoriteit Persoonsgegevens heeft gezegd dat de maatregel alleen mag worden uitgevoerd met een extra toestemmingseis. Dit betekent dat jij alsnog toestemming moet verlenen tot inzage in jouw medisch dossier.
Uit de praktijk komen signalen dat de extra toestemmingseis die de toezichthouder noemt niet goed genoeg nageleefd wordt.
Wij maken ons zorgen over de corona-opt-in omdat het gaat om het uitwisselen van uiterst gevoelige gegevens over onze gezondheid zonder dat wij daar bewust van zijn. Het is ontzettend belangrijk om de regie te houden over onze eigen medische gegevens en dat wordt hier onvoldoende gewaarborgd.
Zo kan je zien of er ook voor jou onrechtmatig toestemming is verleend:
1. Ga naar www.volgjezorg.nl
2. Ga naar jouw “Persoonlijke omgeving” en log in met DigiD
3. Ga naar “Toestemmingen” in de navigatiebalk
4. Kijk per gegeven naar de verleende toestemming.
Was jij niet op de hoogte van deze noodmaatregel en wil je toch liever jouw toestemming intrekken? Ook dat kan je online regelen:
1. Ga naar www.volgjezorg.nl
2. Ga naar jouw “Persoonlijke omgeving” en log in met DigiD
3. Ga naar “Toestemmingen” in de navigatiebalk
4. Scroll naar beneden en klik op “Zorgaanbieder +”
5. Zoek en selecteer jouw zorgaanbieder
6. Kies “Nee” als je wilt dat er een opt-out naar jouw zorgaanbieder wordt verstuurd.
Lukt het niet via deze stappen? Dan kan je ook je toestemming intrekken door het tegen je huisarts of apotheek te zeggen of door hun dit ingevulde toestemmingsformulier te geven.
Alles bij de bron; Bits-of-Freedom
De Nationale ombudsman wil dat de overheid met regels komt voor het omgaan met data op in beslag genomen voorwerpen en voertuigen. Aanleiding voor de oproep is een klacht van een vrouw van wie de auto en auto van haar man in beslag werden genomen en verkocht door Domeinen Roerende Zaken (DRZ).
In het geval van de vrouw vond de koper haar gegevens in de navigatie/boordcomputer van de auto. Het ging om haar woonadres, telefoonnummer en telefoonnummer op het werk. De vrouw klaagde bij de ombudsman dat DRZ de auto niet heeft teruggezet naar de fabrieksinstellingen voordat die werd verkocht. De koper nam na het vinden van de gegevens contact op met de vrouw.
DRZ kon na onderzoek van de ombudsman niet aangeven waarom dit niet was gedaan. "Nu niet is gebleken dat Domeinen heeft gezocht naar een oplossing voor het niet wissen van de gegevens zodat werd voorkomen dat gegevens bij een derde terecht zouden kunnen komen, heeft Domeinen het vereiste van maatwerk geschonden", aldus de ombudsman, die opmerkt dat de overheidsinstantie zich niet behoorlijk heeft gedragen. De klacht werd dan ook gegrond verklaard waarop de ombudsman nu een oproep heeft gedaan voor een regeling (pdf).
De ombudsman wil ook dat de instanties heldere afspraken maken over hoe zij burgers hierover informeren en wat burgers zelf kunnen doen om hun gegevens te beschermen. "Steeds meer voorwerpen en voertuigen slaan gegevens op. Dat neemt in de toekomst alleen maar toe. De overheid heeft niet helder hoe met die gegevens om te gaan bij inbeslagname. Dat moet snel veranderen om te voorkomen dat iemands gegevens zomaar bij een ander terecht komen", zegt Nationale ombudsman Reinier van Zutphen.
Alles bij de bron; Security