Digitale Schandpaal

De krijgsmacht heeft bij het inwinnen van inlichtingen en verzamelen van informatie over burgers de regels zoals vastgelegd in de Algemene Verordening Gegevensbescherming (AVG) met voeten getreden. Verantwoordelijk voor de schending is het experimentele Land Information Manoeuvre Centre (LIMC), opgericht kort na het uitbreken van de pandemie.

Minister Bijleveld (Defensie) neemt de kritiek van de Functionaris Gegevensbescherming Defensie over. Ze is het de interne toezichthouder eens dat het LIMC activiteiten is gaan ondernemen die niet tot de taken behoort. Zonder aparte grondslag of mandaat had het defensieonderdeel nooit zomaar data over burgers mogen verzamelen, verwerken en analyseren. Dat had alleen gekund als het civiele gezag een verzoek tot bijstand aan het LIMC had gedaan. Maar daar was geen sprake van.

Hoewel het LIMC niet de intentie had grootschalig data te verwerken, kwamen toch persoonsgegevens mee als ‘bijvangst’. Voor deze verwerking bestond geen wettelijke grondslag. Deze overtreding van de AVG wordt defensie aangerekend.

Alles bij de bron; Computable

Update; 

overheidsdocumentatie mbt dit onderwerp:

Onderzoeksrapport Functionaris Gegevensbescherming Defensie inzake het Land Information Manoeuvre Centre (LIMC).

Juridische kaders voor activiteiten in de informatieomgeving

Minister Bijleveld beantwoordt van het Kamerlid Verhoeven (D66) over grootschalige en onrechtmatige verzameling van data van ...


 

Datingplatforms zijn soms te nieuwsgierig, vragen niet altijd op de juiste manier toestemming voor tracking en zijn kwetsbaar voor bruteforce-aanvallen, zo stelt de Consumentenbond op basis van eigen onderzoek. In totaal werden twaalf datingplatforms op verschillende punten onderzocht.

Zo hebben Inner Circle, Pepper en Relatieplanet geen maatregelen tegen bruteforce-aanvallen genomen, waardoor aanvallers onbeperkt kunnen proberen om toegang tot accounts te krijgen. De drie datingdiensten zeggen maatregelen te nemen om dergelijke aanvallen in de toekomst te voorkomen.

Daarnaast zijn sommige platforms volgens de Consumentenbond te nieuwsgierig. Zo vraagt e-Matching om gewicht, lengte, opleiding, levensbeschouwing en kinderwens. De datingdienst stelt in een reactie dat het de gegevens nodig heeft om mensen goed aan elkaar te koppelen. Facebook Dating neemt optioneel gegevens over van het Facebook-profiel. Wie niet goed oplet kan zo veel gegevens met relatief onbekende internetgebruikers delen.

Bij Inner Circle moeten profielen eerst worden goedgekeurd voordat die online verschijnen. De datingdienst stelt dat hoe completer het profiel is, hoe makkelijker het is te controleren. "Je wordt dus aangemoedigd nog meer persoonsgegevens over te dragen. Ben je het wachten beu, dan kun je uitloggen. Maar onduidelijk is wat er gebeurt met de tot dan toe ingevulde gegevens. Hier moet de app-aanbieder duidelijkheid over geven", stelt de Consumentenbond.

De meeste datingplatforms blijken met advertentienetwerken te communiceren. Via de apps ontvangen advertentiebedrijven ook apparaatgegevens van de mobiele telefoon en exacte locatie. Hiervoor moeten de datingdiensten toestemming vragen, maar bij Badoo, Bumble, Happn en Inner Circle gebeurt dat niet goed, aldus de Consumentenbond, die verbetering heeft geëist.

Bron; Security


 

Bouwbedrijf Heijmans heeft de privégegevens van 1800 mensen gelekt. Het ging om om adresgegevens, geboortedata, salaris en hypotheekmogelijkheden van mensen die in een woning geïnteresseerd zijn.

Elfhonderd mensen die buiten de boot vielen bij een woningproject werden via e-mail door Heijmans ingelicht. Het bericht bevatte echter een Excel-bijlage met de gegevens van deze elfhonderd personen, alsmede de gegevens van zevenhonderd levenspartners. Heijmans spreekt van een menselijke fout en heeft melding gedaan bij de Autoriteit Persoonsgegevens.

"De gemaakte fout werd wel meteen herkend, maar het is niet gelukt om bij iedereen de verzonden mail terug te halen", aldus een woordvoerster. Heijmans heeft inmiddels een onderzoek ingesteld hoe het datalek heeft kunnen plaatsvinden en hoe dit in de toekomst kan worden voorkomen.

Alles bij de bron; Security


 

Enkele weken geleden nam een klokkenluider, die werkt voor een callcenter, contact op met het Ministry of Privacy, verklaart privacyjurist Matthias Dobbelaere-Welvaert. De klokkenluider meldde dat telefoongesprekken heimelijk worden opgenomen, zonder voorafgaandelijke kennisgeving aan de bellers. Bedoeling daarvan was om de contacttracers en de kwaliteit van hun gesprekken te kunnen beoordelen. 

Uit interne gesprekken die het Ministry of Privacy kon inkijken, blijkt dat er een 'grote nonchalance' is voor 'de individuele privacy van mensen'. Volgens het callcenter is het niet nodig om toestemming te vragen om het gesprek op te nemen omdat de opnames op een later moment worden verwijderd. 'Maar zo werkt privacy natuurlijk niet', aldus Dobbelaere-Welvaert, die de praktijken heeft onderzocht.

Of het juridisch kan, is een complexe vraag. Volgens de GDPR of AVG (Algemene verordening gegevensbescherming) moeten bedrijven minstens verplicht een voorafgaande kennisgeving geven en de burger informeren dat het gesprek kan opgenomen worden en volgens Artikel 9 van de AVG is het verwerken van gevoelige medische informatie in principe niet toegestaan, maar bestaan er wel verschillende uitzonderingen. 'Contacttracers kunnen uiteraard van die uitzonderingen gebruikmaken, maar helemaal niet om stiekem telefoongesprekken op te nemen', aldus Dobbelaere-Welvaert.

Hij wijst wel op een andere wet, de Wet betreffende de Elektronische communicatie van 13 juni 2005. In een artikel daarvan staat dat werkgevers in callcenters gesprekken mogen opnemen, om de kwaliteit van de dienstverlening te controleren. Dobbelaere-Welvaert noemt dat een 'loophole', mazen in de wet. Hij verwijst opnieuw daar de gevoelige medische informatie die bellers doorgeven.

Naast het juridische aspect is er ook het ethische aspect. 'De boodschap was altijd dat mensen de contacttracers zouden kunnen vertrouwen', zegt de privacyjurist. 'Het minste dat men dan kan doen, is mensen informeren dat het gesprek kan worden opgenomen en hierover transparant communiceren.' Zo is het momenteel bijvoorbeeld niet duidelijk hoelang die gesprekken bewaard blijven.

Alles bij de bron; Knack


 

De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) heeft in strijd met de wet jarenlang privacygevoelige informatie over burgers verzameld en verspreid. Ook volgen medewerkers met nepaccounts op sociale media in het geheim honderden politieke campagneleiders, religieuze voormannen en linkse en rechtse activisten. Dit blijkt uit onderzoek van NRC, gebaseerd op gesprekken met tientallen betrokkenen en interne documenten....

...In vertrouwelijke analyses staat beschreven met wie personen die de NCTV in beeld brengt zijn getrouwd, hoeveel kinderen ze hebben, met wie ze omgaan, soms vergezeld van foto’s. Sommige personen, zoals een prediker uit Almere, zijn in korte tijd meerdere keren onderwerp geweest van een ‘weekbericht’ van de NCTV. Weekberichten worden verstuurd aan gemeenten, politie, AIVD en buitenlandse veiligheidsdiensten.

Anders dan de politie of een geheime dienst heeft de coördinator geen bevoegdheden om personen nauwgezet online te volgen. Bovendien hebben veiligheidsdiensten toezichthouders en moeten zij hun stappen verantwoorden, de NCTV hoeft dat niet....

....De baas van de NCTV, Pieter-Jaap Aalbersberg, erkent dat er problemen zijn met de „juridische grondslag”. Dit betreft het „in beeld brengen van personen” op verzoek van gemeenten en een overheidstaskforce, iets wat de coördinator jarenlang deed. De NCTV is hier recent mee gestopt. Een nepaccount waarmee de NCTV op Twitter, Facebook en Instagram honderden burgers en organisaties volgde, is twee dagen voor publicatie van dit artikel verdwenen.

Ook voor het opslaan van gevoelige persoonsgegevens ontbreken richtlijnen. Rapportages met die gegevens belanden in een centrale database. Hoe lang die gegevens bewaard worden, is onbekend.

Op de analyse-afdeling van de NCTV, waar het monitoren plaatsvindt, rommelt het al jaren, blijkt ook uit onderzoek van NRC. Enkele analisten negeren kritiek van collega’s en de leiding beschermt hen. Heldere regels voor het opstellen van reguliere analyses ontbreken. Het brengt de kwaliteit van rapporten in het geding.

Alles bij de bron; NRC


 

De Autoriteit Persoonsgegevens (AP) legt Booking.com een boete op van 475.000 euro omdat het een datalek te laat meldde bij de AP. Bij het datalek maakten criminelen persoonsgegevens van meer dan 4.000 klanten buit. Zij konden daarbij ook de hand leggen op creditcardgegevens van bijna 300 slachtoffers...

...Booking.com werd op 13 januari 2019 op de hoogte gebracht van het datalek, maar meldde het pas op 7 februari bij de AP. Dat is 22 dagen te laat. Het is namelijk verplicht een datalek binnen 72 uur te melden.

‘Dit is een ernstige overtreding’, zegt AP-vicevoorzitter Monique Verdier. ‘Een datalek kan helaas overal gebeuren, ook al heb je goede voorzorgsmaatregelen getroffen. Maar om schade voor je klanten en herhaling van zo’n datalek te voorkomen, moet je dit op tijd melden. Om zo te voorkomen dat criminelen bijvoorbeeld weken de tijd krijgen om door te gaan met pogingen klanten op te lichten.’

Alles bij de bron; AutoriteitPersoonsgegevens


 

Een Britse kledingwinkel is onder vuur komen te liggen vanwege een datalekmelding die het gisteren naar klanten stuurde waarin de slachtoffers worden opgeroepen om de e-mail over het datalek privé en vertrouwelijk te houden. 

In een e-mail die het bedrijf naar getroffen klanten stuurde meldt het bedrijf dat het op 17 januari van dit jaar verdachte activiteit op de eigen systemen ontdekte. Verder onderzoek wees uit dat een aanvaller eerder die maand al toegang had gekregen. Op de systemen stonden klantgegevens zoals voornaam, achternaam, e-mailadres, adresgegevens en gedeeltelijk creditcardgegevens, waaronder de laatste vier cijfers van het creditcardnummer en verloopdatum.

Verdere details over het incident, zoals hoe de aanvaller toegang wist te krijgen, zijn niet gegeven. De datalekmelding werd alleen naar klanten gemaild en is niet op de website van de kledingketen te vinden. Niet alleen deze oproep zorgde voor kritiek, ook het feit dat de melding ruim twee maanden na ontdekking van het datalek komt zorgde voor boze reacties.

Alles bij de bron; Security


 

Door een datalek bij de Belastingsamenwerking West-Brabant (BWB) waren de gegevens van een onbekend aantal belastingplichtigen tot voor kort makkelijk in te zien. Dat bevestigt de dienst vrijdag na berichtgeving van dagblad BN DeStem. Het is de tweede keer in vier jaar tijd dat er een datalek bij de lokale belastingdienst is.

Onder meer namen, adressen en WOZ-beschikkingen van inwoners uit West-Brabant konden gemakkelijk gevonden worden. Ook gerechtelijke vonnissen in schuldhulpsaneringszaken waarin personen met naam en toenaam worden genoemd, konden door derden worden ingezien. 

De fout kwam aan het licht toen een IT-specialist onlangs een mail stuurde waarin hij informatie vroeg over zijn WOZ-aanslag. Hij kreeg een mail met daarin een link naar zijn gegevens. Door het wijzigen van een getal in de link kreeg hij inzage in de gegevens van andere belastingplichtigen. De regionale belastingdienst heeft het lek inmiddels gedicht.

Alles bij de bron; NRC


 

Drie jaar na invoering van de AVG blijken veel websites zich nog altijd niet aan de privacyregels te houden. Dat concludeert de Consumentenbond na een uitgebreide steekproef. Meer dan de helft van de bezochte sites plaatst volgcookies zonder daar toestemming voor te vragen of dwingt die toestemming af.

De Consumentenbond onderzocht 100 populaire websites. 53 daarvan gaat in in de fout. Een kwart (24) van de websites plaatst al volgcookies voordat ze überhaupt om toestemming hebben gevraagd. Bunq plaatst de meeste: 9. En 20 websites, waaronder Coolblue, NLZiet en OKCupid, plaatsen tóch volgcookies ondanks dat de bezoeker ze geweigerd heeft. 

De cookiemuren, die de onderzoekers in 2018 en 2019 nog veel aantroffen, blijken grotendeels verdwenen. Alleen Tweakers gebruikt deze techniek nog, ondanks dat die niet is toegestaan. 

Wel vonden de onderzoekers meer ingewikkelde en sturende menu’s. Op 41 sites moeten bezoekers allerlei menu’s doorworstelen om reclamecookies uit te schakelen, terwijl het accepteren van alle cookies op diezelfde sites juist heel simpel is. En wie wil controleren of alle cookie-instellingen goed staan, moet pagina’s lang scrollen om 20 cookieschuifjes te controleren.

Sandra Molenaar, directeur Consumentenbond, is teleurgesteld over de resultaten: ‘Het is treurig om te moeten constateren dat bedrijven zo hardnekkig de fout in blijven gaan. Hoe ingewikkeld is het nu helemaal om netjes om toestemming te vragen? In de wet staat dat je je vrijelijk, ondubbelzinnig, geïnformeerd en specifiek toestemming moet geven voor cookies. Daar is absoluut geen sprake van als het keuzemenu meer lijkt op een hindernisbaan of je bezoeker zich eerst door een 170 pagina’s tellende verklaring moet worstelen.’

Alles bij de bron; ConsBond


 

 

De gemeente West Betuwe heeft met een datalek te maken gekregen nadat honderden stempassen naar de verkeerde adressen werden gestuurd. Bij het afdrukken van de stempassen gebruikte de gemeente een verkeerde peildatum. Daardoor zijn alle verhuizingen en overlijdens van het laatste kwartaal van vorig jaar niet meegenomen. Hierdoor werden zo'n 850 stempassen naar het verkeerde adres en 157 overleden personen gestuurd.

De burgemeester zal in een brief excuses maken naar de nabestaanden. Tevens onderzoekt de gemeente waar het fout is gegaan, om herhaling te voorkomen. De stempassen die naar een overleden inwoner zijn gegaan, zijn ongeldig verklaard. Het datalek is inmiddels bij de Autoriteit Persoonsgegevens gemeld.

Bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha