Europa werkt in hoog tempo aan een digitale identiteit voor elke EU-burger. En hoewel het reuzehandig is om straks overal in de EU zonder rompslomp een auto te kunnen huren, ziet Bart Custers nog veel losse eindjes....

...Ze wil een ­European Digital Identity Wallet invoeren, verplicht voor alle EU-burgers. Denk daarbij aan een portefeuille vol documenten.

Die nieuwe wallet moet veel breder bruikbaar zijn, over landsgrenzen heen. Ja, hij is er ook voor overheidscommunicatie, maar is vooral bedoeld voor burgers en bedrijven onderling. De wallet moet geschikt zijn voor van alles en nog wat: om in het buitenland een bankrekening te openen, om op vakantie een auto te huren of in te checken in een hotel, zonder dat daar nog een rijbewijs of paspoort aan te pas komt en de wallet volstaat in ieder Europees land. Met die wallet schroeft de Europese Commissie haar ambitie om van alle lidstaten één markt te maken flink op...

...Op individueel niveau zijn de voordelen groot: alles zit op één plek. Paspoort, identiteitskaart, rijbewijs en bankpassen verdwijnen allemaal uit de fysieke portemonnee. Velen betalen nu al met hun telefoon, dus die hebben straks zelfs geen portemonnee meer nodig. Heb je je telefoon bij de hand, dan kun je niets vergeten 

De wallet biedt ook privacy-voordelen. Hoewel er een schat aan gegevens op staat, worden die slechts minimaal gedeeld. Denk aan de QR-code op de coronapas: die geeft slechts een groen of een rood scherm, zonder medische gegevens te delen. Ook de digitale wallet zal louter zo’n groen vinkje of rood kruisje tonen, waarmee iedere EU-burger eenvoudig kan laten zien welke rechten hij heeft – van wonen tot werken, van studeren tot een uitkering – zonder dat hij persoonlijke gegevens overlegt.

Sterke encryptie zorgt voor goede beveiliging, waardoor kans op verlies of diefstal kleiner is dan bij papieren documenten en plastic pasjes.

Maar nu de bedenkingen. Het plan van de Commissie heeft te veel losse eindjes. De EU zal de technologie om de wallet te laten functioneren niet zelf ontwikkelen. Wat de EU wel doet: ze maakt wetgeving. Die wetgeving beschrijft weliswaar wat er moet komen, maar het is zeer de vraag of dat daadwerkelijk gebouwd kan worden. Bij de eIDAS-verordening lukte dat niet en de kans is groot dat de techniek ook nu verzandt.

De gebruikelijke route om aan een goed werkend systeem te komen is aanbesteding: bedrijven schrijven in en de beste aanbieder – dat wil zeggen de goedkoopste die aan alle randvoorwaarden voldoet – mag het bouwen. Gelet op de omvang van deze opdracht zal dat een groot technologiebedrijf zijn.

Om die klus te klaren, heeft dat bedrijf toegang nodig tot al die uiterst persoonlijke data van al die miljoenen EU-burgers. Dat is nogal een risico. Grote technologie­bedrijven hebben nu al enorm veel macht, die moeilijk te controleren en nauwelijks te beteugelen is. Meerdere maken zich schuldig aan schending van de regels voor mededinging en privacy. 

Daar komt bij dat de opslag van al die gegevens – gekoppeld aan die ene, specifieke Europese burger– de wallet tot ideaal doelwit maakt voor hackers. 

Geen enkel systeem is voor de volle 100 procent veilig, dus loert het risico van identiteitsfraude. Als het systeem wordt gehackt, kunnen criminelen de digitale EU-identiteiten gebruiken om hotels en huurauto’s op andermans rekening te boeken. Dat wordt vaak snel ontdekt, maar dan is er wel al schade.

Bovendien, zo weet elk slachtoffer van identiteitsfraude maar al te goed, is een gecompromitteerde identiteit lastig te vervangen. Een wallet die gehackt is, kun je weliswaar blokkeren, maar dan heeft het slachtoffer nog niet zomaar een nieuwe. En het leven is knap lastig als alles in je geblokkeerde wallet zit.

Ook zonder hacks zijn er risico’s. De wallet geeft overheden op vele niveaus toegang tot een zee aan gegevens. Met die gegevens kan bijvoorbeeld een gemeente onderzoeken onder welke bevolkingsgroepen armoede, werkeloosheid of criminaliteit voorkomt. Ze kan dit doen met de beste bedoelingen, om die problemen op te lossen. Maar zo’n onderzoek kan ook leiden tot discriminatie. Wordt een wijk als probleemwijk aangeduid, dan werkt dat stigmatisering van bewoners in de hand. De toeslagenaffaire laat zien dat burgers flink in de knel komen als ze in risicogroepen worden gezet waar ze maar moeilijk uit geraken.

De Tweede Kamer uitte begin juni grote bezwaren tegen de wallet. Kamerleden willen garanties dat gegevens niet centraal worden opgeslagen in een Europese databank. Centrale opslag vergroot de veiligheidsrisico’s en maakt risicoprofilering wel erg verleidelijk....

...Zowel de Europese Commissie als de Tweede Kamer lijken te onderschatten hoe ingewikkeld een project als dit is. De Europese Commissie maakt grote haast met dit project en is de eerste contracten al aan het aanbesteden.

Maar het is onduidelijk hoe aan alle bezwaren tegemoet wordt gekomen. Hoe voorkomen we dat er een onveilig systeem wordt opgetuigd, of een traag en gebruikers­onvriendelijk systeem? Hoe voorkomen we dat de big tech-bouwer of de overheid een duik neemt in die ongekende bron van data? Kortom, hoe bedienen we Europese burgers en bedrijven zonder hun belangen uit het oog te verliezen? We weten het niet.

Dat wringt extra nu de Europese Commissie de wallet voor iedere burger verplicht wil stellen. Je kunt je er niet aan onttrekken. Dat vereist een feilloos systeem. 

Vertrouwen komt te voet en gaat te paard, dus pas als blijkt dat het systeem alle kwaliteitstoetsen doorstaat, kan het in heel Europa worden ingevoerd. En als blijkt dat het niet goed werkt, dan is het beter het plan te laten varen.

Alles bij de bron; Trouw [lekker lang lezen artikel]


 

Het Martini Ziekenhuis in Groningen heeft samen met een it-bedrijf een tool ontwikkelt die logbestanden van elektronische patiëntendossiers automatisch op opvallende kenmerken controleert. Het ziekenhuis maakt daardoor geen gebruik meer van handmatige steekproeven om ongeautoriseerde inzages van patiëntendossiers te detecteren.

Om alle logbestanden van patiëntdossiers automatisch te kunnen analyseren ontwikkelde het Martini Ziekenhuis in samenwerking de tool Logspect die naar  zaken kijkt, namelijk door de gebruiker opgestelde regels en grote afwijkingen in de dataset.

Zo kan een ziekenhuis regels opstellen waarop de logdata gecontroleerd wordt, zoals het overeenkomen van de achternaam van de verzorger met die van de patiënt. Wanneer een patiëntendossier bijvoorbeeld gemiddeld vijf keer per week wordt opgevraagd en opeens veertig keer in een week wordt geraadpleegd, slaat de tool ook alarm. Logspect maakt hierbij gebruik van gepseudonimiseerde gegevens.

"Logspect maakt dus geen gebruik van oorspronkelijke persoonsgegevens. Doordat de relatie tussen gegevens niet verandert is het mogelijk voor de gebruiker om de data aan de hand van een ‘blinde controle’ te analyseren", aldus de FAQ over de software. 

Alles bij de bron; Security


 

Het Marriott Hotel is opnieuw het doelwit van hackers. De hotelketen is het slachtoffer van datadiefstal. De aanvallers hebben in totaal 20 GB aan persoonlijke informatie van bezoekers weten buit te maken. Een woordvoerder van Marriott Hotel bevestigt tegenover DataBreaches.net dat het om een nieuw datalek gaat.

Het gaat niet alleen om een groot aantal interne documenten, maar ook persoons- en creditcardgegevens van 300 tot 400 bezoekers en medewerkers van de hotelketen. Dan moet je denken aan voor- en achternamen, maar ook vluchtnummers, functies van de bemanningsleden en kamers die ze kregen toegewezen.

Alles bij de bron; VPN-gids


 

Het Centraal Bureau voor de Statistiek (CBS) wil toegang tot de OV-chipkaartgegevens van vervoerders voor het maken van statistieken. Er wordt inmiddels hierover met de betreffende bedrijven overlegd. Het CBS heeft al de beschikking over meer dan tweehonderd dataregisters van overheidsinstellingen en bedrijven. Deze gegevens zijn door andere overheidsorganisaties verzameld en worden door het CBS gebruikt voor statistische doelen.

Sinds begin 2020 publiceert het CBS op basis van de OV-chipkaartgegevens van vervoerders informatie in de OV–monitor over aantallen check-ins en check-outs. De getoonde aantallen worden door een andere partij, namelijk Translink, aangeleverd omdat het CBS zelf geen rechtstreekse toegang tot de OV-chipkaartgegevens heeft. Volgens het statistiekenbureau heeft het meer gegevens op detailniveau nodig om informatie samen te stellen over het aantal ritten en reizigers, reizigerskilometers, reizigers naar regio en de ontwikkeling van prijzen in het openbaar vervoer.

Om deze data te verkrijgen is het CBS in gesprek gegaan met de vervoerders. Het statistiekenbureau merkt op dat voor het opvragen van OV-data een wettelijke grondslag bestaat op basis van de CBS-wet en Europese Verordeningen, maar dat het via een dialoog tot een "gezamenlijke overtuiging" met de vervoerders wil komen.

"De CBS-wet biedt veel waarborgen voor privacy. Zo mogen gegevens alleen gebruikt worden voor statistische of wetenschappelijke doeleinden en verbiedt de wet het gebruik ervan voor bijvoorbeeld opsporingsdoeleinden. Daarnaast mag het CBS niet meer gegevens verzamelen dan nodig is voor het beoogde doel", aldus CBS–projectleider Matthias Offermans.

Alles bij de bron; Security


 

Menstruatieapps laten heel wat digitale kruimels achter en Surveillance capitalism teert op dat soort data, en dus moeten we voorzichtig met gegevens omgaan. Of ze vergiftigen. ‘Klein protest kan nuttig zijn, maar vooral collectieve en structurele acties zijn nodig.’...

...Wat valt er te doen, als je lijkt vast te zitten in een allesomvattend systeem dat niet enkel al je digitale acties en transacties bijhoudt? En wat als dat systeem ook bereid is om die gegevens door te verkopen aan de hoogste bieder, ongeacht hun intentie?

Door apps vol te spammen met onjuiste data zou ze de algoritmen, die rekenen op data om door te verkopen aan adverteerders, schaak zetten. Het is een methode die ook wel ‘datavergifting’ wordt genoemd. Onderzoekers van Northwestern University en de University of Minnesota beschreven de tactiek recentelijk in een paper over de methodes die mensen kunnen gebruiken om de machtsongelijkheid tussen techgiganten te herstellen....

....Of de tactiek van datavergiftiging gepast is in de context van inperkende reproductieve rechten, durf ik niet zeggen. Het is een kleine vorm van protest die, afhankelijk van de situatie en het risicoprofiel van eenieder, nuttig kan zijn. Kleine vormen van protest zijn belangrijk, maar collectieve en structurele acties zullen nodig zijn om ervoor te zorgen dat onze data niet langer zomaar in de handen van de hoogste bieder belanden.

Wel is de tactiek van datavergiftiging een welkome reminder dat de data-economie zonder ons allemaal niets waard is. Een beetje zoals een bos zonder bladeren.

Alles bij de bron; MO*
 

 

Amerikaanse staten die abortus verbieden, zouden privégegevens van apps kunnen gebruiken bij het vervolgen van vrouwen die toch een zwangerschap laten afbreken. ‘We verwachten dat techbedrijven dagvaardingen zullen krijgen voor de zoekgeschiedenis van burgers.’...

....De persoonlijke gegevens die allerlei apps verzamelen (zoals de locatiedata in Google Maps, de zoekgeschiedenis in een zoekmachine of zelfs menstruatiedata in een gespecialiseerde app als Flo) kunnen nu een groot risico vormen voor de gebruikers van die apps. Nu het landelijk recht op abortus inderdaad tot een einde komt, zijn die zorgen alleen maar groter geworden. 

Conservatieve staten zouden bij de techbedrijven kunnen aankloppen om de data van gebruikers op te vragen waarmee die staten bewijs tegen inwoners kunnen verzamelen van wie het vermoeden bestaat dat ze een abortus hebben laten uitvoeren.

Een aantal makers van apps die de cyclus bijhouden, wil niet wachten op het moment dat advocaten met een dagvaarding in de hand op de deur bonken en de gevoelige gegevens van klanten opeisen. Flo kondigde vrijdag al aan dat het met een speciale anonieme modus komt en het in Berlijn gevestigde Clue benadrukt  nog maar eens dat het altijd voor zijn gebruikers opkomt en nooit gegevens zal overhandigen, terwijl Natural Cycles net als als Flo een ‘totaal anonieme ervaring’ belooft.

Marijn Sax, onderzoeker aan het Instituut voor Informatierecht (IViR) van de Universiteit van Amsterdam, is niet echt onder de indruk van al deze verse beloften. De beloften die de appmakers doen op het gebied van privacy zijn volgens Sax onduidelijk, en áls ze al duidelijk zijn, worden ze lang niet altijd nagekomen.

‘Apps als Flo zijn helemaal ontworpen om de gebruiker een veilig, prettig en vertrouwd gevoel te geven. Maar dat is de buitenkant: ze zijn gemaakt om valse beloften te doen.’ Sax noemt dit problematisch, omdat veel consumenten de gevaren zullen onderschatten. En die gevaren zijn duidelijk: het verzamelen van gebruikersdata.

De onderzoeker vreest dat dit ook met de laatste beloften gewoon zo blijft. ‘Anonimisering is geen aan-en-uitknop, maar een schaal. We zullen moeten zien hoe anoniem die gezondheidsapps écht zullen worden.’

Alles bij de bron; Volkskrant


 

Gelre ziekenhuizen is begonnen met het verplaatsen van het Elektronisch Patiëntendossier naar de Microsoft Azure-cloud. Deze migratie is onderdeel van een omvangrijk transitieproject want Gelre heeft de strategische keuze gemaakt om het grootste deel van de IT-infrastructuur naar de cloud te verhuizen. 

Sinds 2020 is Gelre al bezig met het versnellen van de cloudstrategie. Het streven naar meer schaalbaarheid, flexibiliteit van de IT-omgeving en lagere kosten zijn hierbij belangrijke overwegingen. Met de migratie naar de cloud ontstaat meer grip op de beheeromgeving en technologie wordt eenvoudig schaalbaar. Belangrijk is ook dat cybersecurity in de cloud in het algemeen goed kan worden gewaarborgd. Dat is óók voor veel organisaties, zeker zorgorganisaties met gevoelige data,  een belangrijke overweging om in de cloud te opereren.

Arnold Groot Koerkamp is Service Level Manager bij Gelre en licht toe: “Ons beleid is nu om zoveel mogelijk Software as a Service (SaaS) af te nemen zodat beheer, updates en veiligheid geborgd zijn. Als dit niet mogelijk blijkt, kijken we naar de mogelijkheid om dit met Azure in onze cloud onder te brengen. 

Het Elektronisch Patiëntendossier (EPD) is een belangrijk onderdeel van de migratie naar de cloud. Gelre is het eerste ziekenhuis in Europa dat een EPD naar Azure Cloud wil migreren. Veel ziekenhuizen wereldwijd, maar ook de EPD-softwareleverancier, kijken daarom mee.

Alles bij de bron; ICT&Health


 

Eind januari reden ruim duizend voertuigen in konvooi naar de Canadese hoofdstad Ottawa. Met blokkades en demonstraties in Ottawa, kleinere steden en grensovergangen maakten truckers hun onvrede duidelijk....

....Om hun protest mogelijk te maken zetten de organisatoren donatiecampagnes op. In eerste instantie via de website GoFundMe. Dat bedrijf sloot de campagne  omdat er zorgen waren over de oorsprong van de fondsen en het mogelijke gebruik voor de ‘promotie van extremisme’.

De truckers stapten toen over op de christelijke donatiewebsite GiveSendGo. In totaal doneerden bijna honderdduizend mensen via GiveSendGo, blijkt uit data die werden buitgemaakt door activistische hackers van Distributed Denial of Secrets. Zij deelden de gegevens met onderzoekers en journalisten...

...“De Canadese truckers waren de eerste die echt een vuist maakten tegen de overheid, in Europa lukte dat nergens”, zegt een Overijsselse donateur. “Ik ben van mening dat de politiek en ook de media een te eenzijdig beeld lieten zien. Er was te weinig tegengeluid. Niet dat ik bij machte ben om te oordelen waar het gelijk ligt, maar er was maar één kant van het verhaal.”

​De GiveSendGo-campagne is na enkele dagen gesloten op last van de rechter. De Canadese overheid had een zaak aangespannen om te voorkomen dat meer geld zou worden opgehaald. “Dit bevestigt mijn beeld van het politieke krachtenveld”, zegt de Overijsselse donateur. “Als een groep bezig is met iets wat de overheid niet zint, wordt ze financieel afgeknepen. Dat vind ik een slechte zaak.”

De namen van de Nederlandse donateurs zijn bekend bij de redactie. Omdat het om gelekte gegevens gaat van mensen die hoogstens een paar honderd euro overmaakten en geen publieke functie bekleden is ervoor gekozen om de namen niet te publiceren.

Alles bij de bron; Trouw


 

Centraal of decentraal? Dat is de vraag die bij mij op kwam na het lezen van de Kamerbrief ‘De impact van recente Europese ontwikkelingen op Nederlands beleid op elektronische gegevensuitwisseling in de zorg’, over de impact van recente Europese ontwikkelingen op de WEGIZ.

Het interessante aan de deze kamerbrief is het uitstapje dat minister Kuipers zich permitteert naar de inrichting van de Nederlandse zorginfrastructuur en vooral het secundair gebruik van zorgdata...

...Over de (on)wenselijkheid van een centrale oplossing heeft Wim Jongejan van ZorgICTzorgen een scherpe opinie geschreven. Zelf was ik verbaasd te lezen dat de minister ervan uit lijkt te gaan dat alleen de centrale manier van organiseren de mogelijkheid biedt voor hergebruik van data voor onderzoek en innovatie.

Dit hoeft zeer zeker niet. Momenteel leidt TNO het C4Yourself-project, een door Health Holland gefinancierde samenwerking van PGO leveranciers, universiteiten, farmaceuten en patiënt organisaties... 

 ...Daarom, minister Kuipers, kies voor een gefedereerde aanpak en kies voor een goede degelijke financiering van deze aanpak zodat we snel uit het pilotstadium komen en daarmee echt voorbereid zijn op de nabije toekomst.

Alles bij de bron; ICT & Health


De politie heeft te maken gekregen met een datalek nadat het bij het versturen van een getuigenoproep zo'n duizend e-mailadressen onbedoeld lekte. "Per abuis zijn een deel van deze e-mailadressen zichtbaar voor alle ontvangers. Het gaat om zo’n duizend e-mailadressen", zo laat de politie weten. 

De politie stelt dat er sprake is van een menselijke fout. "We hebben dit middel ingezet om dit onderzoek uitgebreid en zorgvuldig op te pakken. Maar dat mag uiteraard nooit ten koste gaan van de privacy van burgers en we betreuren dat dit onbedoeld toch is gebeurd."

Alles bij de bron; Security


 

Subcategorieën

Schrijf je in op onze wekelijkse nieuwsbrief!