Jeugdzorgbedrijf Samen Veilig Midden Nederland heeft opnieuw te maken met een groot datalek. De systeembeheerder van het bedrijf heeft het complete intranet op het openbare internet gezet. Gegevens van de afgelopen tien jaar waren daardoor door iedereen in te zien. Het gaat om 06-nummers en mailadressen van medewerkers, maar ook wachtwoorden voor instructiefilms en gemeenschappelijke websites.

In berichten van het intranet die nu openbaar zijn geworden, zijn diverse vertrouwelijke gegevens te achterhalen. Zo staan er mailadressen en 06-nummers van diverse medewerkers in. Maar er wordt ook verwezen naar personen buiten de eigen organisatie en ook daarvan zijn er persoonlijke contactgegevens te vinden.

Ook wachtwoorden worden gedeeld, zoals het interne wachtwoord voor het wifi-netwerk voor medewerkers. Dat wachtwoord wijzigt elke maand, maar is eenvoudig te herleiden, de uitleg staat er bij. Verder staan er veel persoonlijke verhalen op de site, zoals het verhaal van één van de directieleden die ingaat op het plotselinge overlijden van haar 19-jarige dochter.

Voor zover bekend zijn er geen cliëntgegevens openbaar geworden.

Uit gegevens van de gemeente blijkt dat er de afgelopen drie jaar 218 individuele veiligheidsincidenten met betrekking tot informatiebeveiliging bij Samen Veilig zijn geweest. Daarvan zijn er 47 bij de Autoriteit Persoonsgegevens (AP) gemeld als officieel datalek. 

Alles bij de bron; RTVUtrecht


 

Aareon, dat zichzelf Europa’s grootste softwareleverancier voor vastgoedbedrijven noemt, is het slachtoffer geworden van een cyberaanval. Een van de gedupeerde klanten is een ‘kleindochter’ van Achmea BV.  

Het gaat om het Achmea Dutch Residential Fund, dat investeert in middensegment huurwoningen op locaties in kansrijke woongebieden in Nederland. Namens deze vastgoedeigenaar informeerde Achmea huurders vandaag over de cyberaanval, op 3 februari en de gevolgen ervan. 

‘Dit IT-bedrijf registreert voor ons huurdersgegevens, waaronder ook die van u. Uit forensisch onderzoek is gebleken dat bij de cyberaanval data zoals persoonsgegevens zijn gekopieerd of onttrokken. Nader onderzoek moet uitwijzen om welke gegevens het precies gaat. Maar het is mogelijk dat bijvoorbeeld uw adres- en betaalgegevens in handen van derden zijn gekomen’, luidt het. 

‘De beheerders die voor ons werken en door de aanval zijn geraakt, beheren In totaal circa 20.000 verhuureenheden. Daarbij gaat het zowel om huurwoningen als om commercieel vastgoed, zoals winkels en kantoren.’    

In 2018 kwamen gegevens van duizenden Achmea-klanten op straat te liggen na een hack. In meerdere bestanden stonden de namen, BSN-nummers en adressen van circa 10.000 mensen. In sommige bestanden stonden ook bedragen die cliënten uitgekeerd kregen, soms ook van cliënten die inmiddels waren overleden.

Alles bij de bron; AD


 

Veel datalekken bij Nederlandse ziekenhuizen en andere zorginstellingen zijn het gevolg van een verkeerde adressering. Dat blijkt uit het vandaag verschenen cybersecurity dreigingsbeeld van Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg (pdf).

In totaal lieten 92 zorginstellingen aan Z-CERT weten dat ze met datalekken te maken hadden gekregen en in welke categorieën dit was. Van de ondervraagde zorginstellingen kreeg bijna 99 procent vorig jaar te maken met datalekken door fouten in menselijk handelen. Daarbij geeft 92 procent aan dat dit veel tot zeer veel voorkomt. Het gaat hier met name om fouten in adressering. Er worden per ongeluk twee brieven in een envelop gestopt of een mail wordt naar het verkeerde e-mailadres verstuurd.

Alles bij de bron; Security


 

Bedrijven zoals Google, Amazon, Intel en AT&T doen flinke investeringen in technologie waarmee hun gebruikers nauwkeurig kunnen worden gevolgd. De markt die zich richt op het verkopen van locatiegegevens is namelijk naar schatting 12 miljard dollar waard. 

Veel smartphone-apps verzamelen, zonder dat de gebruiker het weet, de locatiegegevens van gebruikers. Dit gebeurt via gps of door IP-lokalisatie. Aan de hand van deze gegevens kunnen adverteerders meer gerichte reclames verkopen of hun doelgroep beter leren kennen. 

Uit onderzoek van het journalistieke platform The Markup blijkt dat in 2019 veel gevoelige data is verzameld door datahandelaren via apps voor moslims. En in 2021 kwam aan het licht dat de app Life360 een datagoudmijn was voor X-Mode/Outlogic. Met de app kunnen ouders hun kinderen via gps volgen.

Deze gevoelige informatie wordt ook gekocht door overheden. Zo kocht het Amerikaanse leger de locatiegegevens van moslims wereldwijd, die op het eerste gezicht een doodnormale app gebruikten om te kunnen bidden. 

X-Mode was gespecialiseerd in het verzamelen en verkopen van persoonsgegevens, verzameld via smartphone-apps. Later veranderde het zijn naam in Outlogic en breidde het bedrijf zijn database uit naar 1,6 miljard personen in 44 landen. Outlogic zegt zelf dat ze informatie hebben over zeker 25 procent van de volwassen Amerikaanse bevolking.

Vorig jaar nog kwam het nieuws naar buiten dat een homoseksuele Amerikaanse priester zijn ontslag heeft ingediend nadat zijn seksuele voorkeur via de locatiegegevens op zijn telefoon was onthuld. Het toont aan hoe gevoelig de gegevens zijn.

Alles bij de bron; BusinessAM


 

Na de terreuraanslagen in Parijs en Brussel verschenen langs de autosnelwegen tientallen zogenaamde ANPR-camera’s, die nummerplaten kunnen lezen en verbonden zijn met een databank aan geseinde nummerplaten.

Het systeem kostte zo’n 40 miljoen euro en moest alarm slaan als er een verdacht of geseind voertuig voorbij een camera rijdt, waarna de politie de auto zou kunnen onderscheppen. De realiteit leert dat het cameraschild veel minder doortastend werkt dan de theorie laat uitschijnen, aldus een rapport van het Comité P, dat toezicht houdt op de politiediensten.

...Het rapport ziet vele redenen waarom het misloopt. Zo zouden de camera’s tot wel 80 procent vals alarm geven. Er is ook het personeelsgebrek, zowel bij de provinciale meldkamers van de politie, als bij de ploegen op het terrein. Er is zelden capaciteit om daadwerkelijk achter een verdachte auto aan te gaan.

Alles bij de bron; deMorgen


 

Autobezitters moten meer controle over hun autodata krijgen, zo vindt AFCAR NL, een samenwerkingsverband van de ANWB, BOVAG, FOCWA, RAI Aftermarket, RAI Equipment, VACO, Verbond van Verzekeraars en VNA. Volgens het samenwerkingsverband leggen steeds meer auto’s gegevens vast over de staat van de auto en het rijgedrag van de bestuurder. Deze gegevens worden via een dataverbinding doorgestuurd naar de autofabrikant, vaak zonder dat de autobezitter dat weet.

"Er moet daarom wetgeving komen waarmee de toegankelijkheid van autodata wordt geregeld", aldus AFCAR NL

In een brief aan de ministers van Economische Zaken en Infrastructuur en Waterstaat doet AFCAR NL een dringend beroep om te zorgen dat er wetgeving komt voor de autobranche voor het delen van data door voertuigen. Deze maand buigt de Europese Commissie zich over een wetsontwerp waarin de uitgangspunten en algemene regels geformuleerd worden over het delen van autodata tussen private partijen.


Alles bij de bron; Security


 

Een Duitse rechtbank heeft een Duitse website veroordeeld voor het zonder toestemming doorgeven van het ip-adres van een bezoeker aan Google door middel van Google Fonts.

Google biedt via Google Fonts allerlei fonts aan waar websites gebruik van kunnen maken. Er is een statische variant van Google Fonts, waarbij websites de betreffende fonts zelf hosten, en een dynamische versie, waarbij fonts vanaf Google-servers worden gedownload. Bij het bezoeken van een website zal bij de dynamische versie het ip-adres van de gebruiker naar Google worden gestuurd.

Een ip-adres is onder de GDPR persoonlijke identificeerbare informatie. Websites mogen dergelijke informatie niet zonder toestemming van bezoekers bijvoorbeeld doorgeven aan Google. De Duitse website in kwestie maakte gebruik van Google Fonts, zonder de toestemming van bezoekers te vragen.

Het Landgericht München stelt dat de website hiermee de Duitse implementatie van de GDPR heeft overtreden. Volgens de rechter heeft de website geen gerechtvaardigd belang, aangezien Google Fonts ook lokaal is te gebruiken waarbij er geen ip-adres van bezoekers naar Google wordt gestuurd.

Verschillende Duitse advocatenkantoren hebben op het vonnis gereageerd. Zo stelt advocatenkantoor Plutte dat de uitspraak geen gevolgen heeft voor websites die de dynamische versie van Google Fonts gebruiken, zolang ze maar via een correct functionerende banner om toestemming aan bezoekers vragen.

Alles bij de bron; Security


 

Google Analytics is mogelijk illegaal en websites doen er verstandig aan om alternatieven te verkennen, zo stelt de Noorse privacytoezichthouder Datatilsynet. De uitspraak van de Noorse gegevensbeschermingsautoriteit volgt op een uitspraak van de Oostenrijkse privacytoezichthouder die het gebruik van Googles statistiekenprogramma in strijd met de AVG verklaarde.

De uitspraak van de Oostenrijkse privacytoezichthouder volgde op een klacht van privacyorganisatie noyb. De organisatie, opgericht door privacyactivist Max Schrems, heeft bij privacytoezichthouders in heel de Europese Unie klachten over onder andere Google Analytics ingediend. Ook de Noorse toezichthouder ontving meerdere klachten over Google Analytics.

In het licht van de Schrems II-uitspraak van het Europese Hof van Justitie stelde de Oostenrijkse privacytoezichthouder dat de doorgifte van persoonlijke informatie via Google Analytics onrechtmatig was. Judin merkt op dat het niet per se verboden is om persoonlijke informatie naar de Verenigde Staten te sturen, maar dat er meestal wel maatregelen moeten worden genomen om dit legaal te laten zijn.

Hoewel dit specifieke geval betrekking had op Google Analytics, is het volgens de Noorse privacytoezichthouder belangrijk om op te merken dat andere websitetools ook persoonlijke informatie naar de Verenigde Staten kunnen sturen. Meer tools sturen veel meer data dan Google Analytics doet.

Eerder liet ook de Autoriteit Persoonsgegevens weten dat Google Analytics mogelijk verboden wordt in Nederland.

Alles bij de bron; Security


 

De Belgische Gegevensbeschermingsautoriteit heeft een boete opgelegd aan een stichting die onderzoek deed naar desinformatie. 

De boete komt voor rekening van EU Disinfo, een ngo die onderzoek doet naar nepnieuws binnen Europa. De Gegevensbeschermingsautoriteit geeft de stichting een boete van 2700 euro voor het overtreden van de AVG. Ook krijgt een van de onderzoekers persoonlijk een boete van 1200 euro. 

Disinfo deed onderzoek naar een Franse nieuwsgebeurtenis rondom een ambtenaar die in verschillende schandalen betrokken was. Disinfo verzamelde tweets om het nieuwsnarratief rondom de zaak-Benalla te onderzoeken. In totaal werden 55.000 Twitter-accounts geanalyseerd. Daarnaast werden ruwe gegevens over die accounts online gezet als onderdeel van het onderzoek.

De GBA concludeert dat dat in strijd is met de AVG, ook al gaat het om openbare tweets. "Het feit dat persoonsgegevens openbaar beschikbaar zijn op sociale netwerken betekent niet dat zij de bescherming van de AVG verliezen", schrijft de privacytoezichthouder. De stichting mocht de gegevens wel verzamelen zonder de betrokken personen achter de tweets in te lichten dat dat gebeurde. 

De stichting had echter de gegevens niet zomaar mogen publiceren. De data was niet voldoende gepseudonimiseerd en er was geen rechtsgrond om de gegevens te publiceren. Naast het gebrek aan pseudonimisering, hekelt de GBA ook het feit dat er geen andere beveiligingsmaatregelen werden genomen, zoals toegangscontrole voor de bestanden.

Bij zeker 3300 van de geanalyseerde accounts was er sprake van extra gevoelige gegevens. Het ging om accounts waarvan de politieke voorkeur van de zenders mee waren te achterhalen. Ook was informatie over religieuze overtuigingen, etnische afkomst en seksuele geaardheid af te leiden uit de data.

De uitspraak is om twee redenen opvallend. Aan de ene kant omdat de GBA daarmee extra benadrukt dat ook openbare bronnen vallen onder de bescherming van de AVG, en aan de andere kant omdat een van de onderzoekers persoonlijk aansprakelijk wordt gesteld. 

Alles bij de bron; Tweakers


 

Verschillende zogenoemde juice channels meldden dat de in opspraak geraakte muzikant Jeroen Rietbergen op Schiphol was gezien en naar het buitenland vertrok. In één geval werd ook een foto gedeeld  zijn vluchtgegevens, mogelijk zoals die te lezen waren op een computer op Schiphol.

Een journalist maakte hiervan melding bij het officiële account van KLM, waarna het bedrijf reageerde: ‘Bij KLM waarderen wij onze klanten en begrijpen we hoe belangrijk het is om hun persoonlijke gegevens te beschermen. We nemen dit beveiligingsincident dan ook zeer serieus en hebben intern maatregelen genomen om de zaak te onderzoeken en aan te pakken. Wij betreuren ten zeerste dat dit voorval heeft plaatsgevonden.’

Alles bij de bron; AD


 

Subcategorieën

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha