Het administratiesysteem van UWV waarin de persoonsgegevens van alle werkzoekenden met een uitkering in staan, kent grote problemen met de bescherming van de privacy. Van bijna een miljoen mensen zijn de naam, adres, geboortedatum, nationaliteit, opleidingsniveau, bsn en belastbaarheid te zien door heel veel UWV-medewerkers en gemeente-ambtenaren.
In totaal 16.000 mensen kunnen gebruik maken van dit landelijke klantregistratiesysteem, dat Sonar heet. Het is al langer bekend dat er problemen zijn met dit IT-systeem. Tussen 2016 en 2018 waren er verschillende datalekken bij UWV binnen Sonar, bijvoorbeeld omdat bestanden per ongeluk onder te veel mensen werden verspreid.
...Zo zijn er dus problemen met de toegang tot het systeem: veel te veel mensen kunnen erbij. Ook worden er veel meer persoonsgegevens gebruikt en verwerkt dan nodig is (oftewel er zijn problemen met dataminimalisatie). En de gegevens worden langer bewaard dan noodzakelijk (dat noemt AVG opslagbeperking). De conclusie luidt: UWV houdt zich niet aan de eisen van de privacywet.
KPMG noemt het gebrekkige systeem een risico voor voormalige, huidige en toekomstige klanten van UWV. Zo staan er ook nog veel burgers in het systeem die al lang niet meer in de bestanden zouden moeten voorkomen. Dat zou volgens de onderzoekers kunnen leiden tot boetes van de Autoriteit Persoonsgegevens, met eventuele maatschappelijke onrust als gevolg.
Alles bij de bron; Trouw
Het RIVM start de Infectieradar de komende weken weer op. Op het platform kunnen Nederlanders aangeven of ze last hebben van coronaklachten. Het onderzoek werd in juni stilgelegd nadat er een datalek was ontdekt.
Het RIVM haalde het platform uit de lucht nadat uit onderzoek van de NOS bleek dat iedereen met enige technische kennis kon zien wat andere deelnemers op vragen hadden geantwoord. Het ging om onder meer persoonlijke informatie en mogelijk ook medische informatie.
Mensen die eerder al aan het Infectieradar-onderzoek hadden deelgenomen, worden de komende twee weken opnieuw uitgenodigd, aldus het RIVM. Daarna kunnen ook nieuwe deelnemers zich voor het onderzoek aanmelden. De eerste resultaten van de tweede ronde worden begin november op de site van Infectieradar gepubliceerd en daarna wekelijks bijgewerkt. De resultaten van de periode tot begin juni, toen het RIVM het onderzoek stillegde, zijn te vinden op de site van het RIVM.
Alles bij de bron; NU
Nederlandse patiënten hebben er over het algemeen geen problemen mee om toestemming te geven voor het gebruik van hun gezondheidsdata voor toekomstige wetenschappelijke doeleinden. Ook onze oosterburen vinden het gratis en anoniem beschikbaar stellen van hun gezondheidsdata vaak een goed idee, zij het wel vooral voor wetenschappelijk onderzoek, niet commerciële doeleinden. Dat blijkt uit een studie gepubliceerd in het ‘European Journal of Human Genetics‘.
Uit de studie blijkt dat er onder Nederlandse patiënten een brede acceptatie is van zogeheten brede toestemming waargenomen (92,3%), evenals onder Duitse patiënten (93,0%).
Van de Nederlandse respondenten die geen data uit hun medisch dossier willen delen, geeft 48 procent als reden dat ze niet weten waar die data precies voor worden gebruikt, 45 procent is bang dat de informatie niet privé blijft, en 31 procent maakt zich zorgen dat gegevens worden gebruikt voor financieel gewin van derde partijen.
Alles bij de bron; ICT&Health
Na recente innovaties is de vervoerssector in toenemende mate afhankelijk van de uitwisseling van grote hoeveelheden persoonlijke en niet-persoonlijke gegevens tussen meerdere actoren. Dit heeft geleid tot een toename in het genereren van gegevens, waarbij vervoersondernemingen doorgaans gegevens genereren en technologiebedrijven die deze gegevens verwerken en gebruiken.
“Transportbedrijven zijn grote datageneratoren, maar hun kennis van de gegevens en hun paraatheid bevinden zich nog in een zeer vroeg stadium. Dit zorgt voor een onbalans in vergelijking met de expertise en de datakracht van data-aggregatoren. De verantwoordelijkheden van de data-aggregatoren en de rechten van de datageneratoren moeten in een EU-kader worden verduidelijkt om een gelijk speelveld voor alle actoren te waarborgen”, aldus Raluca Marian van IRU.
In een gezamenlijke verklaring aan de EU-besluitvormers en de verenigingen die de sectoren van het personen- en goederenvervoer vertegenwoordigen, wordt opgeroepen tot het opzetten van een EU-kader voor het beheer van B2B-gegevens. Dit kader moet expliciet het beginsel van vrijwillige gegevensverstrekking bevatten en de taken en verantwoordelijkheden van de gegevensaggregatoren en de rechten van de gegevensproducenten verduidelijken. De EU moet ook een leidraad bieden om de gegevensformaten te standaardiseren en de interoperabiliteit van de mobiliteitsplatforms te vergemakkelijken.
Alles bij de bron; TTM
Meerdere klanten van de Nederlandse clouddienst Stack zijn een deel van hun gegevens kwijtgeraakt, omdat apparatuur bij het hostingbedrijf kapot is gegaan. Volgens de Dropbox-concurrent zijn "tientallen tot honderden klanten" de dupe van de schijfcrashes. Zij zijn een deel van hun online opgeslagen foto's, video's of andere gegevens definitief kwijt.
De problemen werden in eerste instantie veroorzaakt door een gecrashte harde schijf. Deze werd vervangen, waarna een herstelprocedure voor de gegevens werd gestart. Omdat tijdens dit proces een tweede schijf het begaf, is een deel van de data onherstelbaar geworden. Een gespecialiseerd bedrijf heeft geprobeerd de gegevens alsnog terug te krijgen, maar is daar niet in geslaagd.
Alleen klanten zonder betaald abonnement zijn hun data verloren. Voor betaalde gebruikers zijn er extra back-ups die worden teruggezet.
Alles bij de bron; NU
Het Ministerie van VWS is, buiten het zicht van de Tweede Kamer om, actief betrokken bij een nieuw variant van het 'Landelijk EPD’: de Online Toestemmingsvoorziening (OTV/Mitz) van het Informatieberaad Zorg. Privacy First acht het voorstel voor de Online Toestemmingsvoorziening (OTV/Mitz) overbodig, onwenselijk, onaanvaardbaar en een ernstige schending van de privacy van patiënten.
De OTV is een doorontwikkeling van het Landelijk Schakelpunt (LSP), de implementatie van het in 2011 door de Eerste Kamer verworpen ‘Landelijk EPD’. Ondanks dat de Minister van Medische Zorg en Sport bij herhaling stelt te koersen op een gegevensuitwisseling binnen het zorgproces, blijft het Informatieberaad Zorg volharden in het gebruik van een gecentraliseerde infrastructuur.
Voor patiënten heeft dit draconische gevolgen: zeg je ’nee’ tegen deelname aan de OTV, dan kunnen er geen medische gegevens meer worden uitgewisseld. Zelfs het versturen van een recept, of een papieren dossier is dan niet meer mogelijk. Op deze wijze worden patiënten gedwongen het medisch beroepsgeheim te doorbreken en een brede, ongerichte ontsluiting van hun medische gegevens te accepteren.
In 2014 werd het recht op een ‘opt-in’ in de wet verankerd. Dat wordt via de OTV nu effectief ongedaan gemaakt. Het Informatieberaad Zorg neemt samen met Zorgverzekeraars Nederland plaats op de stoel van de wetgever. Privacy First acht dat vanuit democratisch oogpunt pertinent onaanvaardbaar.
Alles bij de bron; PrivacyFirst
SONAR is een klantregistratiesysteem waar ruim 16.000 personen gebruik van maken voor de matching van klanten en potentiële werkgevers. Het gaat om adviseurs van het UWV en een deel van de adviseurs van de gemeenten en SW-bedrijven. Het systeem bevat gegevens als naam, adresgegevens, burgerservicenummer, nationaliteit, opleidingsniveau, c.v. en belastbaarheid.
SONAR is gekoppeld aan verschillende andere systemen die ondersteunen bij de arbeidsbemiddeling, zoals werk.nl, waar werkzoekenden en werkgevers elkaar kunnen vinden. Het systeem werd in 2005 geïmplementeerd en is zonder privacy by design ontwikkeld en ingericht, aldus Koolmees. Om de privacyrisico's en tekortkomingen van SONAR in kaart te brengen liet Koolmees een privacy-audit uitvoeren.
Naar aanleiding van de audit zijn verschillende maatregelen opgesteld die op de korte, middellange en lange termijn genomen zullen worden. De maatregelen voor de korte termijn worden hierbij versneld opgestart.
Het uiteindelijke doel is echter om SONAR te vervangen. Dit zal echter nog een aantal jaren duren. "Deze vervanging kan realistisch gezien niet voor 2025 gerealiseerd worden, omdat anders de continuïteit van de dienstverlening van UWV in gevaar kan komen", schrijft Koolmees. Het plan is om het systeem stapsgewijs uit te faseren, om zo risico's die technisch gezien niet zijn te verhelpen al eerder te kunnen mitigeren. Eind dit jaar komt Koolmees met een update over de genomen maatregelen.
Alles bij de bron; Security
De Vlaamse overheidstoezichthouder voor privacy is erg sceptisch over het gebruik van Amazon Web Services binnen het Belgisch onderwijs. De instantie bracht advies uit over het gebruik van AWS in een aantal onderwijsdatabases, maar dat advies is zeer negatief.
Verschillende Vlaamse onderwijsinstanties vroegen de Vlaamse Toezichtcommissie of VTC om advies over de opslag van studentengegevens. De toezichthouder concludeert nu in een rapport dat de plannen van die onderwijsinstanties mogelijk in strijd zijn met de Europese privacywetgeving.
"Het overdragen van veel persoonsgegevens van veel personen aan eenzelfde niet-Europese cloudprovider, terwijl niet bewezen is dat de gegevensbescherming van het land van de ontvanger van de gegevens vergelijkbaar is met de Europese, is niet conform de principes en bepalingen van de AVG", schrijft de instantie. Het zou met name gaan om 'kroonjuwelen'; gevoelige gegevens over studenten, veelal kinderen en jongeren.
In het rapport waarschuwt de VTC voor veel verschillende 'enorme risico's'. Zo is er de mogelijkheid van 'vergaande profilering'.
De VTC is sinds mei 2019 de toezichthouder op het gebied van privacy binnen de Vlaamse overheid. De VTC heeft een aantal bevoegdheden zoals het uitbrengen van bindende adviezen en het uitvoeren van onderzoek. Het heeft echter geen boetebevoegdheid. Daarvoor is er de Gegevensbeschermingsautoriteit, de federale toezichthouder voor heel België die ook voor privépersonen en bedrijven optreedt.
Alles bij de bron; Tweakers
De supermarktketen Delhaize lanceert een nieuwe klantenkaart en -app. Hoe meer data klanten afstaan, hoe meer korting ze krijgen. De supermarktketen zet een offensief in om zich een kwalitatiever en vooral gezonder imago aan te meten. Daarmee wil ze het verschil maken met andere ketens, met wie de jongste jaren een steeds heftigere strijd begon om lage prijzen.
De spil van de campagne is een nieuwe klantenkaart. Of beter gezegd: klantenapp. Met zijn nieuwe spaarsysteem trekt Delhaize voluit de digitale kaart, hoewel ze ook in de klassieke kaartvorm beschikbaar is. Nieuw is dat klanten ook individuele producten kunnen kopen met hun punten. Via de Delhaize-app kunnen ze bonnen maken om ze in te ruilen voor een product.
Delhaize gaat nog verder met de digitale kortingen, maar die krijgen klanten alleen als ze bereid zijn meer persoonlijke gegevens te delen met de supermarkt. Wie weinig data deelt, krijgt enkel de basiskortingen.
Klanten die meer korting willen, verklaren zich ermee akkoord dat Delhaize hen meer reclamemails stuurt. Bovendien kan Delhaize aan de slag met hun aankoopgegevens. Die kan de keten geanonimiseerd delen met bedrijven die net als Delhaize behoren tot de winkelgroep Ahold Delhaize, die ook de webwinkel Bol.com en de Albert Heijn-winkels omvat.
Ook met externe partners kan Delhaize geanonimiseerde aankoopdata van klanten delen. Om welke bedrijven het gaat en wat precies de bedoeling is, is niet duidelijk. Maar het is bekend dat supermarkten aankoopdata geven aan leveranciers, die de ketens in ruil korting geven op de inkoopprijzen. Met de data kunnen de leveranciers nagaan of hun producten aanslaan.
Alles bij de bron; deTijd
Het politieproject ’Sensing’, dat zich richt op zakkenrollers en winkeldieven in Roermond, is in alle opzichten een schending van privacy en mensenrechten. De politie probeert met het project te voorspellen waar en wanneer dieven toeslaan.
Dat gebeurt op basis van wiskundige modellen. Ook worden via bewakingscamera’s mensen in de gaten gehouden die er een ’verdacht’ bewegingspatroon op nahouden.
Volgens Amnesty is ’massasurveillance’ in de vorm van registratie van alle auto’s die door Roermond rijden uit den boze. Ook zou er sprake zijn van etnisch profileren. Ze noemen het ’gevaarlijke politie-experimenten’.
Alles bij de bron; Telegraaf