De Colonial Pipeline Company heeft bijna zesduizend mensen gewaarschuwd voor een datalek nadat criminelen eerder dit jaar toegang tot hun persoonlijke gegevens kregen. De data werd gestolen bij de ransomware-aanval in mei. Volgens de brief aan gedupeerde personen hebben aanvallers op 6 mei persoonlijke informatie buitgemaakt, zoals naam, contactgegevens, geboortedatum, social-securitynummer, rijbewijsnummer en gezondheidsgerelateerde informatie.

De criminelen achter de aanval wisten volgens een securitybedrijf dat het incident onderzocht door middel van een gelekt vpn-wachtwoord binnen te komen. Vanwege de aanval besloot het bedrijf de grootste brandstofpijplijn in de Verenigde Staten uit te schakelen. Colonial betaalde de aanvallers uiteindelijk 4,4 miljoen dollar losgeld.

Alles bij de bron; Security


 

Zo'n 95 procent van de mensen die zich bij de huisarts liet vaccineren heeft er bewust voor gekozen om hun gegevens met de centrale vaccinatiedatabase van het RIVM te delen, waar de data voor een periode van minimaal twintig jaar wordt opgeslagen. Dat heeft demissionair minister De Jonge van Volksgezondheid in een brief aan de Tweede Kamer laten weten.

De data wordt verzameld in het COVID-vaccinatie Informatie- en Monitoringsysteem (CIMS). In de database worden burgerservicenummer (BSN), geboortedatum, naam, adresgegevens, reden van vaccinatie zoals medische indicatie, beroep of leeftijd, datum en plaats van vaccinatie en naam vaccin en serienummer voor een periode van minimaal twintig jaar opgeslagen.

Van mensen die geen toestemming geven worden ook gegevens vastgelegd, maar gaat het om een "anonieme set van gegevens", namelijk vaccinatiegegevens (vaccin, batchnummer, prikdatum, eerste of tweede prik), herkomst (Nederland, BES-eilanden en CAS-landen) en leeftijdscohort (drie cohorten).

Alles bij de bron; Security


 

De organisaties SIVON en SURF bereikten enkele weken geleden een overeenkomst met Google over manieren om privacyrisico’s binnen de onderwijsdiensten van Google weg te nemen. Daarmee werd een algeheel afscheid van Google afgewend.

Nu blijkt dat hiermee nog niet alles in kannen en kruiken is. Uit een blogpost van Privacy Company wordt namelijk duidelijk dat er voorlopig toch nog het nodige moet worden gedaan door scholen om risico’s weg te nemen. In Nederland gebruikt iets meer dan de helft van de basisscholen en ruim een derde (36%) van de middelbare scholen Google Workspace for Education.

Met de zoekfunctie van Google is weinig mis volgens privacyonderzoekers, omdat onderwijsgebruikers automatisch worden uitgelogd wanneer ze de marktdominante zoekdienst gebruiken. Dit omschakelen van ingelogd onderwijsaccount naar uitgelogde gewone gebruiker gebeurt echter niet over de hele linie. Bij aanvullende diensten van Google wordt deze privacybeschermende maatregel echter niet geboden. "Daarom moeten scholen en universiteiten gebruik maken van de mogelijkheid om eindgebruikers technisch te verbieden toegang te krijgen tot de aanvullende diensten", schrijven de onderzoekers van Privacy Company.

Wanneer gebruikers die toegang toch willen hebben kan dit, maar alleen na het aanmaken van een tweede privé-account; op persoonlijke titel en dus niet verbonden aan het onderwijsaccount dat via de onderwijsinstelling wordt geboden. Deze uitwijk moet de verantwoordelijkheid van de school of de universiteit wegnemen. 

Privacy Company roept scholen verder op om, totdat de verwerkersversie beschikbaar is én is getest, een andere standaardbrowser te gebruiken, Google Search uit te schakelen als standaardzoekmachine en cookies en trackers van derde partijen in de Chrome-browser te blokkeren.

Alles bij de bron; AGConnect


 

Google Workspace for Education, een pakket online-diensten vergelijkbaar met Microsoft Office, blijft geschikt voor het Nederlandse onderwijs. Ook de laatste belemmeringen voor het gebruik van deze Google-dienst zijn weggenomen.

Het techbedrijf is hard bezig een groot aantal technische en organisatorische maatregelen te treffen om aan de AVG te voldoen. Google wordt, net als Microsoft, verwerker voor de diagnostische gegevens. Dat wil zeggen dat Google gegevens over het individuele gebruik alleen nog maar voor drie doelen mag verwerken, namelijk het leveren, beveiligen en up-to-date houden van zijn diensten. 

Google mag de gegevens van de scholieren en studenten niet verwerken voor reclame, marketing, profilering of big-data-analyses. Google gaat voor zakelijke en educatieve klanten ook een verwerkersversie ontwikkelen van de Chromebooks en de Chrome-browser.

Alles bij de bron; Computable


 

De persoonlijke gegevens van duizenden KLM’ers liggen mogelijk op straat door een datalek bij pensioenuitvoerder Blue Sky Group. “Er zijn vrijwel zeker data gelekt van deelnemers”, aldus het bedrijf, dat de pensioenen beheert van ruim 53.000 KLM-medewerkers.

Het gaat onder andere om de namen, polis- en bankrekeningnummers en pensioenbedragen van deelnemers. Blue Sky Group beheert onder andere het Algemeen Pensioenfonds KLM, Pensioenfonds KLM Cabine, Pensioenfonds Vliegend Personeel KLM en het KLM UK Pension Scheme.

Het datalek is volgens Blue Sky Group ontstaan nadat via een phishingmail kwaadwillende personen toegang tot een mailbox hebben kunnen verkrijgen. 

De pensioenuitvoerder waarschuwt deelnemers in een mail aan deelnemers om alert te zijn op mogelijke frauduleuze mails of telefoontjes die zij zouden kunnen ontvangen. Het datalek is gemeld bij de Autoriteit Persoonsgegevens en aangifte bij de politie is in voorbereiding.

Alles bij de bron; LuchtvaartNieuws


 

Telecomprovider Online.nl meldt aan klanten dat bij het datalek bij zijn leverancier Xtrasource van afgelopen mei 'mogelijk' ook namen, adresgegevens en IBAN-nummers zijn uitgelekt. Eerder zei de provider dat het alleen om e-mailadressen ging. Om hoeveel klanten het gaat, is niet duidelijk.

In juni kregen klanten ook al een mail van Online.nl over het datalek. Toen zei de provider dat het alleen om het e-mailadres zou gaan. Het is niet duidelijk waarom Online.nl nu zegt dat er mogelijk meer gegevens zijn uitgelekt.

Alles bij de bron; Tweakers


 

De gemiddelde kosten van een datalek bij enterprises zijn tijdens Covid-19 naar recordhoogte gestegen. Dat stelt IBM Security in zijn jaarlijkse Cost of Data Breach-rapport. Naar schatting kost een datalek bedrijven nu gemiddeld 4,24 miljoen dollar. IBM Security analyseerde voor zijn rapport datalekken bij ruim 500 organisaties uit zeventien landen en zeventien industrieën. 

...De kosten van een datalek bestaan uit vier verschillende categorieën: detectie en escalatie, kennisgeving, de reacties na het lek en verlies van werk. Die laatste categorie - waar bijvoorbeeld omzetverlies door downtime en verstoring van het werk onder vallen - zorgt voor het grootste deel van de kosten.

Een belangrijke reden dat de kosten zo hoog zijn, is omdat het erg lang kan duren voor een datalek ontdekt wordt en er ingegrepen is. Gemiddeld duurde dat in 2021 maar liefst 287 dagen, wat betekent dat als een datalek op 1 januari plaatsvond, er op 14 oktober pas ingegrepen is...

Ook de kosten kunnen flink verschillen per datalek. Zo zijn ransomware-aanvallen duurder en maakt het veel uit hoeveel gegevens er precies gelekt zijn.

De kosten zijn het hoogste in de Verenigde Staten maar ook in Europese landen is een datalek behoorlijk prijzig: Duitsland staat op nummer vier in de top vijf van landen met de hoogste kosten. Opvallend is dat Scandinavië en Italië juist onder het wereldwijd gemiddelde zitten.  

Verder blijkt dat de kosten van een datalek in de gezondheidszorg het meest gestegen zijn.  De sector staat daarmee ook bovenaan de top vijf van industrieën. 

Alles bij de bron; AGConnect


 

Een database met namen, adresgegevens, telefoonnummers en e-mailadressen van ongeveer 200.000 klanten van Raven Hengelsport ligt op straat. De gegevens zijn te koop aangeboden op een forum waar criminelen vaker handelen in gestolen persoonlijke informatie.

Raven is een van de grootste aanbieders voor hengelsportartikelen in Nederland. Het bedrijf heeft in ons land vier vestigingen, maar zegt dat het datalek alleen gegevens bevat van mensen die bij de webshop een account hadden.

Het datalek is ontstaan nadat Raven in november een nieuwe webshop had gekregen. De database met de klantgegevens van rond 2018 bleek daarbij per ongeluk openbaar toegankelijk te zijn. "We zijn blij dat er geen bankgegevens en wachtwoorden tussen zaten.", zegt Dennis de Jong van de hengelsportketen.

Alles bij de bron; NU


 

Het Centraal Bureau voor de Statistiek gaat beter controleren wie toegang krijgt tot zijn data. Het gaat om data die het CBS ter beschikking stelt via een beveiligde portal.

Dat zijn 'administratieve data' van Nederlandse burgers en bedrijven. De gegevens zijn afkomstig uit overheidsdatabanken. Het CBS anonimiseert die gegevens en gebruikt ze voor eigen onderzoeken, maar stelt ze ook beschikbaar voor wetenschappelijk onderzoek. 

Het CBS liet onlangs een onafhankelijke commissie onderzoeken of die toegang voldeed aan regels rondom privacy en informatiebeveiliging, omdat er geanonimiseerde gegevens van Nederlanders in worden opgenomen.

Uit het eindrapport blijkt dat het beleid op dit moment voldoet. Wel deed de onderzoekscommissie verschillende aanbevelingen voor de toekomst. Die draaien vooral om wie toegang krijgt tot de gegevens.

Het CBS zegt dat voortaan alleen nog 'universiteiten, kennisinstellingen en organisaties uit landen die eenzelfde niveau van privacybescherming kennen als de AVG' toegang mogen krijgen tot CBS-data. "Organisaties uit landen die geen dergelijk niveau van privacybescherming hebben, mogen hun huidige machtiging uitdienen maar komen dus niet meer voor een nieuwe machtiging in aanmerking", schrijft de dienst.

Ook moeten wetenschappelijke instellingen 'voldoen aan wetenschappelijke normen' voordat ze toegang tot de data kunnen krijgen. Dat betekent vooral dat ze hun onderzoeksresultaten openbaar moeten maken. Die wijzigingen gaan per 1 augustus van dit jaar in.

Alles bij de bron; Tweakers


 

Beijing wil maximale greep op persoonlijke en bedrijfsdata. Taxi-app Didi werd al het doelwit van speciaal aangestelde cybersecurity-inspecteurs...

Didi’s kun je net als een Uber niet van de straat plukken. Je downloadt eerst de Didi-app, je voert al je persoonlijke gegevens in en je koppelt de app aan een bankkaart of een betaalapp. Daarna gaat alles moeiteloos. Tenminste: tot begin juli was dat zo. Maar toen bepaalde de Chinese overheid opeens dat Chinese appstores de Didi-app niet meer mochten aanbieden. Als je de app al had, mocht je hem wel blijven gebruiken. Dat is in de praktijk lastig. Betaaldiensten zegden hun samenwerking met Didi op, en veel chauffeurs en klanten liepen meteen weg.

En Didi’s problemen nemen toe. Een week terug vielen zeven Chinese overheidsinstanties het hoofdkantoor van Didi in Beijing binnen voor een ‘cybersecurity-inspectie’. Het betrof de eerste inspectie van dat soort ooit in China.

In dit nieuwe fenomeen speelt het nog vrij jonge Bestuursorgaan voor Cyberspace een leidende rol. Dat is belast met de regulering, de censuur en de controle van internet. Het bestaat sinds 2014, en valt onder het Centrale Comité voor Cyberspace. Niemand minder dan de Chinese president Xi Jinping zelf staat aan het hoofd van dat comité.

Dat is niet zomaar: cybersecurity is een van de hoogste prioriteiten van de huidige regering. Andere prioriteiten zijn kunstmatige intelligentie en surveillancetechnologie, zoals gezichts- en stemherkenning.

Xi bouwt daarmee aan wat al een „digitale dictatuur” is genoemd. Data zijn daarvoor de brandstof, en daarover beschikt een bedrijf als Didi ruimschoots. Dat geldt ook voor internetgigant Alibaba, dat eerder al de Chinese overheid tegenover zich trof toen het met zijn fintechdivisie Ant naar de beurs wilde. Ook Alibaba’s belangrijkste concurrent Tencent, eigenaar van WeChat, kwam met de overheid in botsing vanwege monopolistisch gedrag.

Bij Didi gaat het niet alleen om persoonsgegevens, maar bijvoorbeeld ook om gedetailleerde kaarten van China. De app gebruikt die om te navigeren. Vandaar dat ook ambtenaren van het ministerie van Natuurlijke Hulpbronnen zijn betrokken bij het onderzoek dat naar het bedrijf is begonnen. Dit ministerie is verantwoordelijk voor cartografie.

Voor de techbedrijven is deze ontwikkeling wrang. Zij hebben de overheid altijd geholpen, bijvoorbeeld met de ontwikkeling van gezondheidsapps om corona onder controle te brengen. Dan is er ook nog het veelbesproken sociale kredietsysteem. Daarbij is het de bedoeling dat alle burgers een persoonlijke score toebedeeld krijgen. Die is niet alleen gebaseerd op wat ze met hun geld doen, maar ook op ‘moreel juist’ gedrag. Dit systeem is eveneens ontwikkeld in samenwerking met particuliere bedrijven als Alibaba.

De overheid heeft nu al wettelijk recht alle informatie die techbedrijven verzamelen in te zien, dit met het oog op de staatsveiligheid. Daar komt geen rechter aan te pas en daar ziet geen externe toezichthouder op toe.

Het gaat dan bijvoorbeeld over wie wanneer welke winkel bezoekt, welke trein iemand neemt, maar ook om gesprekken via apps en om al het betalingsverkeer. Een mensenrechtenadvocaat vertelde eerder aan deze krant dat hij dergelijke informatie regelmatig terugziet bij de bewijsvoering in de rechtbank.

Alles bij de bron; NRC


 

Subcategorieën

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha