Burgerrechtenbeweging EFF heeft toezichthouder FTC opgeroepen tot het doen van onderzoek naar de manier waarop autofabrikanten informatie over het rijgedrag en de locatie van de automobilisten verzamelen, gebruiken en doorverkopen. Aanleiding is een brief van de Amerikaanse senatoren Ron Wyden en Edward Markey waaruit blijkt dat Honda en Hyundai gegevens over het rijgedrag voor een paar cent per automobilist aan datahandelaren doorverkopen.
Volgens de EFF stellen voorstanders dat dergelijke dataverzameling een manier is om premiekortingen te krijgen, maar wordt zelden vermeld dat de premie omhoog kan gaan. De EFF merkt op dat de drie autofabrikanten in de brief van de senatoren (GM wilde geen details over de verkoop van rijgedrag geven) niet de enigen zijn die data zonder echte geldige toestemming verkopen.
"En het is waarschijnlijk dat er andere datahandelaren zijn die met dit soort data werken. De FTC zou deze industrie verder moeten onderzoeken, net zoals het heeft gedaan met andere industrieën die dataprivacy bedreigen", aldus de EFF.
Alles bij de bron; Security
Alkmaar wil meer parkeerhandhaving in Alkmaar realiseren zodat de parkeerders beter aan hun betaalverplichting gaan voldoen. Op basis van die business case heeft het college besloten een scanauto in te gaan zetten als handhavingsmiddel.
Na het testen in augustus zal de handhaving per 1 september worden gedaan met behulp van een scanauto. Daarnaast blijft het huidige parkeerbeleid van Alkmaar, inclusief de analoge producten zoals de papieren bezoekersvergunning en de papieren gehandicaptenparkeerkaart, daarbij onverminderd van kracht.
Het college heeft tevens besloten om de medewerkers van P1 die niet meer benodigd zijn voor de parkeerhandhaving in te blijven zetten op toezicht in de binnenstad op het gebied van verkeersfeiten die overlast veroorzaken.
Alles bij de bron; BeatFM
Telecomgigant AT&T heeft de telefoongegevens van 'bijna alle' klanten gelekt, zo laat het in een melding aan de Amerikaanse beurswaakhond SEC weten.
Het gaat om telefoonnummers, gespreks- en sms-gegevens en locatiegerelateerde data die door criminelen uit de Snowflake-omgeving van het bedrijf zijn gestolen, aldus het bedrijf. Naast gegevens van AT&T-klanten gaat het ook om data van andere telecomproviders die van het netwerk van AT&T gebruikmaken.
AT&T stelt dat de gestolen data niet de inhoud van gesprekken of sms-berichten bevat, maar wel gegevens hierover, zoals welke telefoonnummers contact met elkaar hadden. Het betreft data over een periode van zes maanden, van 1 mei 2022 tot en met 31 oktober 2022. Een deel van de gestolen data zijn 'cell site identification' nummers, die gelinkt zijn aan telefoongesprekken en sms-berichten.
In totaal zal AT&T 110 miljoen klanten over dit nieuwe datalek waarschuwen, dat het op 19 april ontdekte. Eerder dit jaar waarschuwde AT&T ook al voor een ander datalek, waarbij het de gegevens van ruim 51 miljoen voormalige en huidige klanten had gelekt.
Alles bij de bron; Security
De schoolboekenleverancier Iddink meldt dat er een mogelijk datalek heeft plaatsgevonden. In april van dit jaar werd Iddink ook al slachtoffer van een ransomwareaanval.
De schoolbesturenorganisatie Sivon meldt dat een inloglink voor het inleveren van schoolboeken bij Iddink 'eenvoudig aan te passen' was. Hierdoor kon een kwaadwillende in theorie toegang verkrijgen tot informatie van leerlingen, waaronder namen, straatnamen, postcodes, woonplaatsen en informatie over de school en schoolboeken van de persoon.
Meerdere ouders van kinderen hebben de kwetsbaarheid opgemerkt en dit bij Sivon gemeld. Iddink meldde desondanks het datalek bij de Autoriteit Persoonsgegevens, wat verplicht is.
Volgens het bedrijf is er een overlap tussen de gegevens die bij het betreffende datalek toegankelijk waren en de gegevens die bij de cyberaanval van april dit jaar werden buitgemaakt. In dat laatste geval ging het daarnaast ook om bankgegevens. Iddink levert naar eigen zeggen lesmateriaal aan 300.000 middelbareschoolleerlingen in Nederland en 120.000 scholieren in België
Alles bij de bron; Tweakers
Het ministerie van Financiën heeft in twee internetconsultaties voorgesteld dat de financiële toezichthouders Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) op grote schaal persoonsgegevens van klanten mogen gaan opvragen bij financiële instellingen zoals banken.
Privacy First heeft deelgenomen aan beide consultaties en heeft zware kritiek op de voorstellen, nu beide toezichthouders al op grote schaal persoonsgegevens verwerken zonder dat daar publieke verantwoording over wordt afgelegd.
Privacy First heeft geconstateerd dat internationale financiële samenwerkingsverbanden zoals de Bank for International Settlements (BIS) bepleiten dat financiële toezichthouders gebruikmaken van kunstmatige intelligentie (artificial intelligence, AI). Die kunstmatige intelligentie moet door middel van persoonsgegevens en andere gedetailleerde gegevens van personen en organisaties (‘granulaire data’) getraind worden. Gevolg van deze veronderstelling is dat de toezichthouders proberen aan zoveel mogelijk granulaire data te komen, waartoe de financiële persoonsgegevens van iedere burger behoren.
Privacy First vindt dat ongewenst en wijst op het advies van de Raad voor het Openbaar Bestuur (ROB) van mei 2021, bekendgemaakt via het nieuwsbericht ‘Politiek moet in actie komen om burgers te beschermen tegen uitdijende datahonger‘. De ROB bepleit een volwassen afweging van de noodzaak om persoonsgegevens aan de overheid te verschaffen, een afweging die in de voorstellen van het ministerie van Financiën ontbreekt.
Daar komt nog bij dat zowel AFM als DNB al op grote schaal granulaire data verwerken. Voorbeeld zijn de persoonsgegevens die AFM verwerkt op grond van Mifid 2: weinig beleggers zijn ervan op de hoogte dat de AFM bij iedere aandelenkoop of -verkoop paspoortnummers en/of fiscale nummers en geboortedata van de betrokken belegger ontvangt. Verder ontvangt AFM van pensioenfondsen op grote schaal persoonsgegevens van burgers.
DNB ontvangt persoonsgegevens bij uitvoering van het depositogarantiestelsel, onder meer adressen en telefoonnummers, en verwerkt op grote schaal persoonsgegevens in het kader van het witwasbestrijdingstoezicht. Beide toezichthouders ontvangen op grote schaal persoonsgegevens van het Centraal Bureau voor de Statistiek.
Privacy First stelt voor dat eerst verantwoording wordt afgelegd van de huidige verwerking van granulaire gegevens door DNB en AFM en dat vervolgens door middel van een adequate grondrechtentoetsing wordt vastgesteld of er wel redenen zijn om financiële instellingen te verplichten extra gegevens te leveren.
Verder achten wij het ongewenst dat de uitwerking van het type persoonsgegevens dat financiële instellingen moeten verschaffen niet plaatsvindt in een wet, maar in een algemene maatregel van bestuur. Voorts is niet transparant hoe de toezichthouders de van financiële instellingen verkregen gegevens gaan koppelen aan andere datasets waarover zij beschikken en dient daar helderheid over te komen. Verschaffing van granulaire data aan internationale organisaties hoort naar de mening van Privacy First niet plaats te vinden.
Tot slot is gewenst dat er onafhankelijk gegevensverwerkingstoezicht op AFM en DNB wordt gecreëerd en dat wordt gezorgd voor andere waarborgen om te voorkomen dat de financiële toezichthouders verkeerd omgaan met persoonsgegevens en andere granulaire data.
Alles bij de bron; PrivacyFirst
Het Europese Hof van Justitie stelde in 2022 dat een openbaar register van begunstigden de privacy van bestuurders schond. Nu is een nieuw register in de maak, met gevolgen voor familiebedrijven en stichtingen.
In het nieuwe pakket met antiwitwasmaatregelen wil de Europese Unie opnieuw toegang geven tot het UBO-register aan een groot aantal partijen. Dat betreft, naast overheidsinstanties, ook journalisten, verslaggevers en ‘anderen die zich uiten in de media’ – wat dus de vraag oproept of naast echte journalisten straks ook gewoon iedereen met een socialemedia-account een aanvraag kan doen.
Daarnaast kan, zonder goede definitie en restrictie, iedereen onder een van de andere groepen vallen die straks toegang moet krijgen tot het UBO-register. Zo krijgt iedereen die een transactie wil aangaan met een rechtspersoon én betrokkenheid met witwassen en terrorismefinanciering wil voorkomen toegang. En termen als ‘maatschappelijke organisaties’ en ‘wetenschappers’ zijn bijzonder vaag.
Ironie ten top is dat de geregistreerde zelf niet in mag zien wie in zijn of haar gegevens heeft gekeken, vanwege de privacy van de persoon die deze gegevens heeft willen inzien. Dat is in afwijking van een eerdere uitspraak van het Europees Hof. Bovendien is het onacceptabel.
Eigenaren van familiebedrijven, ondernemers en bestuurders van stichtingen en verenigingen zijn óók burgers, met grondrechten én belang bij privacy en veiligheid. Wij vragen de politiek in Brussel én in Den Haag om die grondrechten te beschermen, en de verleiding te weerstaan om deze opzij te zetten.
Alles bij de bron; FD [inloggen noodzakelijk]
Een bedrijf dat identiteiten verifieert van TikTok-, Uber- en X-gebruikers, heeft identiteitsdocumenten gelekt die door gebruikers waren geüpload. De gegevens waren zeker een jaar toegankelijk.
Het gaat om het Israëlische bedrijf AU10TIX, dat niet alleen identiteiten verifieert, maar ook aan leeftijdsverificatie doet. Een beveiligingsonderzoeker ontdekte dat de inloggegevens voor een loggingplatform van het bedrijf online stonden.
Op dat platform staan links naar data gerelateerd aan specifieke mensen die hun identiteitsdocumenten hadden geüpload. Onbevoegden kunnen daar namen, geboortedata, nationaliteiten en identificatienummers inzien. Daarnaast was zichtbaar wat voor soort document was geüpload, zoals een rijbewijs of ID-kaart. Ook bevat het platform een link naar een afbeelding van het document zelf en het resultaat van het verificatieproces.
AU10TIX bevestigt dat er een incident is geweest waarbij iemand in het account van een werknemer is gekomen. Dat incident speelde zich anderhalf jaar geleden af, waarop de inloggegevens werden ingetrokken. De beveiligingsonderzoeker zegt echter dat de inloggegevens een maand geleden nog werkten. AU10TIX zegt daarop dat het systeem in kwestie wordt uitgefaseerd.
Alles bij de bron; Tweakers
Demissionair Helder van Volksgezondheid wil dat medische gegevens van Nederlanders via het Nationaal Contactpunt voor eHealth (NCPeH-NL) in Europa kunnen worden uitgewisseld en heeft het wetsvoorstel gepresenteerd dat hiervoor moet zorgen.
Het wetsvoorstel regelt de wettelijke taak en de grondslagen voor gegevensverwerking voor het Nationaal Contactpunt voor eHealth. De European Health Data Space (EHDS) zal straks van het contactpunt gebruikmaken.
De EHDS is een voorstel van de Europese Commissie voor het delen van medische gegevens in de Europese Unie in een gemeenschappelijk gebruikt formaat. Burgers die niet willen dat hun medische gegevens via dit systeem worden uitgewisseld moeten hier actief bezwaar tegen maken.
Stichting Privacy First is kritisch over het contactpunt. "Voor iedere aangesloten patiënt wordt er een index bijgehouden met de locaties van diens medische gegevens. Een arts mag die gegevens alleen opvragen binnen de context van een ‘behandelrelatie’, maar die behandelrelatie ontstaat pas wanneer je bij de arts binnenloopt. Het NCPeH-NL kan dus enkel achteraf (via ‘logging’) controleren of de opvraging terecht was. In beginsel kan dus iedere arts (of hacker) in heel Europa voor ieder geldig BSN medische gegevens opvragen."
Volgens Privacy First komt daarbij dat het NCPeH-NL ook binnen Nederland gebruikt kan worden en er maar één partij is die een landelijke index levert: de ontwikkelaar van het Landelijk Schakelpunt (LSP) en Mitz! Het NCPeH-NL fungeert hiermee als een nieuw Landelijk EPD, zonder dat het duidelijk is welke zeggenschap je daar straks in hebt", aldus de stichting, die burgers oproept om aan hun opt-out te denken.
Het publiek kan via Internetconsultatie.nl tot 2 augustus op het voorstel reageren.
Alles bij de bron; Security
De Zweedse online bank Avanza heeft wegens een datalek door een verkeerd ingestelde Meta-pixel op de eigen website en binnen de eigen app een AVG-boete van omgerekend 1,3 miljoen euro gekregen.
Via de pixel werden allerlei gevoelige financiële gegevens van een miljoen Avanza-klanten naar Meta doorgestuurd, aldus de Zweedse privacytoezichthouder IMY.
De bank meldde zelf aan de toezichthouder dat door een verkeerde instelling van de Meta-pixel tussen 15 november 2019 en 2 juni 2021 gegevens van een miljoen klanten onbedoeld naar Meta gingen. Het datalek werd veroorzaakt doordat de bank een aantal 'subfuncties' van de Meta-pixel per ongeluk inschakelde, aldus de Zweedse privacytoezichthouder.
De bank zegt dat het na ontdekking van het datalek de pixel heeft uitgeschakeld en dat Meta heeft bevestigd dat de verzamelde persoonlijke data is vernietigd.
Alles bij de bron; Security
Begin juni schaarde een meerderheid van de Tweede Kamer zich achter een motie die de regering opdraagt een einde te maken aan de indringende dataverzameling binnen de geestelijke gezondheidszorg (ggz).
Deze dataverzameling is opgezet door de Nederlandse Zorgautoriteit (NZa), een onafhankelijk bestuursorgaan dat toezicht houdt op de ‘zorgmarkt’. Om de zorg efficiënter in te richten, wil de toezichthouder voorspellen hoeveel zorg patiënten nodig hebben, zodat zorgverzekeraars vervolgens met meer precisie zorg kunnen inkopen.
Het gevolg: de intieme, medische gegevens van 800.000 ggz-patiënten worden gepseudonimiseerd (maar niet geanonimiseerd, dus potentieel herleidbaar ) opgevraagd via de zogeheten Honos+-vragenlijst, waarin vragen staan als: heeft de patiënt weleens last van suïcidale gedachten of depressieve stemmingen? Gebruikt hij te veel drugs of alcohol, heeft hij last van waanvoorstellingen? Heeft hij seksuele- of gedragsproblemen? Is hij een gevaar voor zijn omgeving, bijvoorbeeld voor zijn kinderen?
Extra pervers is dat patiënten door de NZa niet om toestemming wordt gevraagd voor het delen van hun gegevens. Het merendeel verkeert zelfs in zalige onwetendheid: uit een peiling van patiëntenorganisatie Mind bleek dat driekwart van de patiënten een half jaar na de start van de dataverzameling nog steeds van niets wist.
De aangenomen motie is daarom goed nieuws. Maar in het grotere geheel nog altijd vrij onbeduidend.
Want ook als de dataverzameling door het nieuwe kabinet zou worden stopgezet, blijft de mentaliteit waaruit die is voortgekomen, gewoon in leven. Precies dat zou ons als maatschappij zorgen moeten baren: het gemak waarmee de overheid, en specifiek de NZa, dit soort dataverzamelingen opzet zonder goed na te denken over de consequenties ervan.
De laatste jaren hebben we kunnen zien dat wanneer de ene dataverzameling wordt tegengehouden, de volgende alweer uit de grond schiet. Het is nog maar vijf jaar geleden dat de vorige databank met gegevens van ggz-patiënten op last van de Autoriteit Persoonsgegevens (AP) moest worden vernietigd (ook toen werd patiënten geen toestemming gevraagd). Intussen is de NZa - naast de huidige uitvraag - alweer druk bezig met het optuigen van een vergelijkbare dataverzameling binnen de jeugdzorg....
....De overheid en de NZa hebben het nagelaten om te onderzoeken en verwoorden wat deze dataverzameling in de praktijk betekent voor patiënten, met name voor degenen met complexe, zware problematiek, de doelgroep die ze juist zeggen te willen helpen, de doelgroep ook die wij als maatschappij koste wat kost zouden moeten beschermen.
Alles bij de bron; NRC