Onderzoek is belangrijk. Onderzoek gebruiken als dekmantel om ongecontroleerd toegang te krijgen tot gevoelige officiële gegevens is dat niet.

Begin juli diende de Oostenrijkse kanselier, Sebastian Kurz, een wetsvoorstel in dat een aardverschuiving zou veroorzaken in de manier waarop de overheid omgaat met de gegevens van haar burgers. EDRi's lid epicenter.works deelt dat het huidige wetsvoorstel vanuit privacy-oogpunt fundamenteel onjuist is en een enorme hoeveelheid gegevens over de hele bevolking blootstelt aan het risico van misbruik.

De voorgestelde wet heeft betrekking op alle gegevens die momenteel in het bezit zijn van het Oostenrijkse bureau voor de statistiek, alsmede op gegevens uit andere officiële registers die eerder door de verantwoordelijke overheidsdienst zijn goedgekeurd voor vrijgave aan onderzoekers. Momenteel wordt besproken of gezondheidsgegevens uit het ELGA-systeem kunnen worden vrijgegeven; dit zou alle patiëntendossiers en medicatie omvatten.

Veel soorten informatie van de belastingdienst zijn al in handen van het Oostenrijkse bureau voor de statistiek en zouden dus onmiddellijk worden opgenomen. Ook denkbaar is de vrijgave van gegevens van het gerechtelijk systeem, immigratiediensten of van het onlangs uitgebreide onderwijsdocumentatiesysteem, waarin nu de volledige onderwijsgeschiedenis van een persoon tot aan zijn pensionering wordt opgeslagen, van de lagere school tot de door het werkloosheidsagentschap (AMS) verplicht gestelde opleiding.

Het Oostenrijkse bureau voor de statistiek is in staat om zelfs dergelijke grote hoeveelheden gegevens grondig te anonimiseren alvorens ze aan derden vrij te geven. Maar vervanging door pseudoniemen is alleen toegestaan voor naam, adres en andere unieke identificatiegegevens, zoals het socialezekerheidsnummer.

Met deze aanpak wordt het bijna zeker dat bijna elk individu uniek identificeerbaar is aan de hand van de resterende gegevens, die dus persoonsgegevens zijn in de zin van de GDPR. Dat is niet alleen ons standpunt, maar ook dat van de Data Privacy Council in zijn kritische verklaring over het wetsvoorstel van kanselier Kurz.

Het wetsontwerp garandeert niet dat alleen erkende onderzoeksinstellingen toegang krijgen tot de gegevens. Er bestaat een niet-uitputtende lijst van instellingen, maar het Bureau voor de Statistiek van Oostenrijk kan verdere instellingen toevoegen op basis van losjes gedefinieerde criteria.

Dit is naar het voorbeeld van het EU-bureau voor de statistiek Eurostat. Bovendien wordt in de toelichting bij het wetsontwerp gesuggereerd dat ook banken en overheidsdiensten toegang tot de gegevens moeten kunnen krijgen, en is de toegang evenmin beperkt tot binnenlandse instellingen. Er is geen enkel criterium om bekend te maken of het voorgenomen onderzoek in het algemeen belang is of welke commerciële belangen ermee worden nagestreefd. De "voornaamste resultaten" moeten online worden gepubliceerd, maar alle andere resultaten kunnen geheim worden gehouden. Zodra een instelling toegang heeft gekregen tot de registergegevens, mag zij deze gebruiken voor andere onderzoeksdoeleinden die geen verband houden met het ingediende onderzoeksvoorstel.

Alles bij de bron; EDRI [vertaald met www.deepl.com/translator]


 

Het Sloveense voorzitterschap van de Raad wil vaart zetten achter de onderhandelingen over een enorme uitbreiding van de Eurodac-gegevensbank, die gevoelige gegevens zal bevatten over miljoenen asielzoekers en migranten in een onregelmatige situatie, door de voorgestelde regels "los te koppelen" van andere EU-wetten inzake asiel en migratie die momenteel worden besproken.

Het Sloveense voorzitterschap van de Raad is van plan de onderhandelingen over een enorme uitbreiding van de Eurodac-gegevensbank, waarin gevoelige gegevens over miljoenen asielzoekers en migranten in een onregelmatige situatie zullen worden opgeslagen, te versnellen door de voorgestelde regels "los te koppelen" van andere EU-wetten inzake asiel en migratie die momenteel worden besproken.

Het voorstel van het voorzitterschap komt een week nadat 31 mensenrechtenorganisaties het Europees Parlement hadden opgeroepen "het wetgevingsproces tijdelijk uit te stellen om voldoende tijd te geven voor een grondige bestudering van de gevolgen voor de grondrechten van de voorgestelde Eurodac-hervorming"

Volgens de Eurodac-voorstellen zouden meer persoonsgegevens van asielzoekers kunnen worden verzameld, en zouden de autoriteiten ook gegevens over illegale migranten kunnen opslaan. 

Volgens de nieuwe Eurodac-regels kunnen de gegevens in het systeem ook aan elkaar worden gekoppeld, waardoor het mogelijk wordt de reizen van personen binnen de EU te volgen (in het officiële taalgebruik bekend als "secundaire bewegingen"), en kunnen de gegevens ook worden gebruikt voor controles van visum- en reisaanvragen.

Sommige van de in het kader van de Eurodac-regels verzamelde gegevens zouden worden opgeslagen in de nieuwe "Common Identity Repository", een enorme biometrische databank die tot 300 miljoen individuele gegevens van niet-EU-onderdanen zal kunnen bevatten, en die momenteel wordt aangelegd in overeenstemming met het "interoperabiliteits"-initiatief van de EU.

Alles bij de bron; EDRI  [Vertaald uit het Engels met www.DeepL.com/Translator (gratis versie)]


 

Onbekenden hebben de QR-code van de Franse president Macron uit een database gehaald en op sociale media gezet. Op de code zijn z'n voor- en achternaam en geboortedatum te zien. Ook is te lezen dat hij gevaccineerd is met Pfizer. Het kantoor van de president bevestigt de authenticiteit van het document.

Franse zorgmedewerkers hebben toegang tot de vaccinatiegegevens van alle Fransen. Eerder deze maand dook de QR-code van premier Castex op.

Bron; NOS liveblog


 

De privégegevens van meer dan 106 miljoen internationale bezoekers van Thailand was voor iedereen op internet via een open onbeveiligde database toegankelijk. Het gaat om namen, paspoortnummers, aankomstdatum, geslacht, visumtype, verblijfsstatus en aankomstkaartnummer die in de tweehonderd gigabyte grote Elasticsearch-database stonden...

...Beveiligingsonderzoeker Bob Diachenko van Comparitech ontdekte de database en waarschuwde de Thaise overheid. De database werd vervolgens beveiligd. Het ip-adres van de database is nog steeds openbaar, maar de database zelf is vervangen door een honeypot. 

Alles bij de bron; Security


 

Gebruikers van Scoupy hebben donderdagavond een e-mail gekregen met de melding dat het bedrijf woensdagavond doelwit was van een aanval. Daarbij wisten de daders toegang te krijgen tot de persoonsgegevens van gebruikers van de kortingsapp. Het bedrijf heeft naar eigen zeggen meer dan 2,2 miljoen gebruikers.

De gestolen gegevens betreffen de naam, adres, woonplaats, telefoonnummer, e-mailadres, geboortedatum en kassabonnen. Ook de wachtwoorden en bankrekeningnummers zijn in handen van de criminelen. Deze zijn versleuteld maar Scoupy meldt geen details over de gebruikte versleuteling. "Door de versleuteling van wachtwoord en bankrekeningnummer zijn deze – voor zover wij nu hebben kunnen vaststellen - niet te ontcijferen", meldt het bedrijf wel. Ook adviseert Scoupy gebruikers hun wachtwoord regelmatig te wijzigen.

Het bedrijf heeft niet uit voorzorg de wachtwoorden zelf een reset gegevens en als gebruikers dit zelf willen doen, lukte dat niet altijd omdat Scoupy's platform verminderd bereikbaar was. Op Gathering of Tweakers klagen sommige gebruikers ook dat het hen niet lukte hun account te verwijderen.

Scoupy heeft het incident gemeld bij de Autoriteit Persoonsgegevens en aangifte gedaan bij de politie. Het lek is gevonden en gedicht. 

Alles bij de bron; Tweakers


 

Een groep Nederlandse cybersecuritywetenschappers heeft in een open brief de Nederlandse overheid opgeroepen om datalekdata van de Autoriteit Persoonsgegevens (AP) beschikbaar te stellen voor wetenschappelijk onderzoek. Een zogeheten ‘cybersecuritydashboard’ zou tot betere beleidsoplossingen kunnen leiden, zo beargumenteert de Academic Cyber Security Society (ACCSS).

Nederland is wereldkampioen datalekmelden, betoogt ACCSS. “Al die meldingen kosten geld, maar het AP doet er heel weinig mee. Dat is ook niet hun taak. De data is een potentiële goudmijn voor onderzoek en beleid. Helaas blijft deze data nu liggen in een digitale bureaulade.”

De groep roept specifiek het ministerie van Justitie en Veiligheid op om de AP de financiële middelen te verschaffen om de datalekdata beschikbaar te stellen voor wetenschappelijk en beleidsonderzoek. “Zo kunnen we een start maken met een cybersecuritydashboard. En kunnen wij als wetenschappelijke cybersecuritycommunity efficiënter en effectiever bijdragen aan maatschappelijke oplossingen voor optimale cybersecurity.”

De volledige brief van ACCSS is hier te vinden.

Alles bij de bron; AGConnect


 

Hackers zijn er in Frankrijk vandoor gegaan met de persoonlijke gegevens van 1,4 miljoen Parijzenaars die een coronatest deden. Ziekenhuizen in de regio doen aangifte en melden dat de gegevens al in de zomer gestolen werden.

Het ging om persoonlijke informatie, zoals BSN-nummers, contactgegevens en testresultaten van 1,4 miljoen personen. De hackers wisten de data te ontfutselen bij het departement van de regionale gezondheidszorg dat verantwoordelijk is voor bron- en contactonderzoek.

Alle getroffenen worden individueel op de hoogte gesteld en de Franse privacywaakhond is op de hoogte en stelt een onderzoek in. 

Alles bij de bron; AGConnect


 

Een groep hackers die zichzelf 'Official Anonymous' noemt, claimt persoonsgegevens te hebben gestolen van klanten van de domeinbeheerder Epik. 

De hackers hebben een filedump online gezet op 4chan met daarin naar eigen zeggen alle domeinaankopen, domeintransfers, Whois-geschiedenis, DNS-wijzigingen, e-mailforwards, betaalgeschiedenis en niet-versleutelde account- en inloggegevens van alle klanten van Epik.

Volgens de groep werden logins in plaintext opgeslagen en de enige encryptie die de groep vond was unsalted MD5. Ook claimt de groep meer dan 500.000 private keys, een dump van de mailbox van een medewerker, Git-repositories, SSH-keys en /home- en /root-directories van een core system te hebben gevonden. Het gaat om 180GB aan data.

De hack werd als eerste publiekelijk gedeeld door Steven Monacelli van Protean Magazine, en schrijver voor onder meer The Daily Beast. Hij zegt dat de inhoud van de filedump bevestigd is. Inmiddels is de filedump ook online gezet door de hackers.  In een reactie aan Domain Name Wire ontkent Epik-ceo Rob Monster dat er informatie gestolen is.

Alles bij de bron; Tweakers


 

Uit onderzoek van de GGD blijkt dat de datadiefstal bij de organisatie niet groter is dan eerst gemeld of dat er mensen niet zijn geïnformeerd, zo laat demissionair minister De Jonge van Volksgezondheid weten. Onlangs berichtte RTL Nieuws dat veel meer mensen slachtoffer van de datadiefstal bij de GGD waren geworden...

..."Voor zover nu bekend gaat het om 1.250 gedupeerden. GGD GHOR Nederland heeft mij aangegeven dat uit onderzoek tot op heden niet blijkt dat de datadiefstal groter is dan gemeld noch dat er gedupeerden niet zouden zijn geïnformeerd", antwoordt De Jonge op een vraag van SP-Kamerlid Hijink. De minister stelt dat RTL de datasets niet wil delen en daarom niet kan worden vastgesteld of dit gaat om de persoonsgegevens van mensen die nog niet door de GGD geïnformeerd zijn.

De minister roept iedereen op die meer informatie over de zaak heeft om dit te delen met de politie.

Alles bij de bron; Security


 

Stalking, bedreigingen, thuis commercieel lastiggevallen worden, zzp’ers met kantoor aan huis hebben ermee te maken doordat hun gegevens via de Kamer van Koophandel op straat liggen. Zolang het kabinet niet ingrijpt, is de zzp’er vogelvrij. ‘Grondrechten zijn geen handelswaar.’

Haar stalker was jarenlang zo aanhoudend, dat ze uiteindelijk maar is verhuisd. Zijn eenmanszaak was amper in de lucht of hij kreeg aan huis ongewenst bezoek van louche verkopers. 

Wat deze twee zelfstandig ondernemers gemeen hebben? Bij het verkrijgen van hun privégegevens putten hun belagers uit dezelfde bron: het Handelsregister van de Kamer van Koophandel (KvK). Deze openbaar toegankelijke database bevat alle woonadressen van zzp’ers die hun bedrijf op hun privéadres hebben gevestigd. Gegevens die de KvK zelfs verstrekt aan partijen die commerciële plannen hebben met deze ondernemers, zoals stroomcontracten aansmeren.

Waarom doet de – gekscherend – ‘Kamer van Verkoophandel’ dit? In tijden waarin de privacy toch al onder druk staat en het de veiligheid niet ten goede komt in een toenemend gepolariseerde samenleving. Het is niet nieuw dat de KvK irritatie wekt bij ondernemers – die zich daar verplicht moeten inschrijven – door de omgang met hun persoonsgegevens. Ook de halsstarrigheid van de politiek verantwoordelijke er iets aan te doen, voedt de wrevel....

...Dit kan zo niet langer, liet de Autoriteit Persoonsgegevens staatssecretaris Mona Keijzer van Economische Zaken al voor haar antwoorden aan de Tweede Kamer weten. Voorzitter Aleid Wolfsen begrijpt niet waarom de bewindsvrouw doof is voor die oproep. ‘Er is gewoonweg geen noodzaak dat jan en alleman zonder reden bij privégegevens van zzp’ers kan’, zegt hij.  

Wolfsen wil een systeem waarbij zzp’ers alleen een registratieplicht hebben bij de KvK, maar dat hun persoonsgegevens vervolgens afgeschermd blijven. Behalve voor deurwaarders, advocaten en notarissen, mocht een onderneming bijvoorbeeld worden aangeklaagd.

De staatssecretaris zegt hierop dat Europese regelgeving haar niet toestaat de uitgaande stroom adresgegevens dicht te draaien. Dit klopt niet volgens Wolfsen. ‘Die regelgeving geldt echt alleen voor rechtspersonen, niet voor zzp’ers.’

Zich verschuilen achter Europese regelgeving kan Keijzer niet als het gaat over het op grote schaal verstrekken van de privégegevens van zelfstandigen. De basis hiervoor werd gelegd in 2013. Met het samenvoegen van veertien verschillende KvK-organisaties werd ook de regionale ondernemersheffing afgeschaft. Deze stabiele stroom van inkomsten voor de KvK werd vervangen door een veel lagere rijksbijdrage, waardoor de directe inkomsten nu grofweg eenderde lager liggen dan in 2013.

Er kwamen eigen inkomsten voor terug. Ondernemerspleinen, voorlichtingsavonden en samenwerkingsverbanden. En datahandel dus. Tussen 2014 en 2020 groeide de tak ‘KvK Dataservice’ van 14 naar 33 miljoen uitgeleverde dataproducten. Toch is volgens de KvK geen sprake van ‘handel’, omdat ze naar eigen zeggen alleen de kostprijs rekenen voor uittreksels uit het handelsregister.

Alles bij de bron; Volkskrant


 

Subcategorieën

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha