Digitale Schandpaal

Door een datalek bij de Belastingsamenwerking West-Brabant (BWB) waren de gegevens van een onbekend aantal belastingplichtigen tot voor kort makkelijk in te zien. Dat bevestigt de dienst vrijdag na berichtgeving van dagblad BN DeStem. Het is de tweede keer in vier jaar tijd dat er een datalek bij de lokale belastingdienst is.

Onder meer namen, adressen en WOZ-beschikkingen van inwoners uit West-Brabant konden gemakkelijk gevonden worden. Ook gerechtelijke vonnissen in schuldhulpsaneringszaken waarin personen met naam en toenaam worden genoemd, konden door derden worden ingezien. 

De fout kwam aan het licht toen een IT-specialist onlangs een mail stuurde waarin hij informatie vroeg over zijn WOZ-aanslag. Hij kreeg een mail met daarin een link naar zijn gegevens. Door het wijzigen van een getal in de link kreeg hij inzage in de gegevens van andere belastingplichtigen. De regionale belastingdienst heeft het lek inmiddels gedicht.

Alles bij de bron; NRC


 

Drie jaar na invoering van de AVG blijken veel websites zich nog altijd niet aan de privacyregels te houden. Dat concludeert de Consumentenbond na een uitgebreide steekproef. Meer dan de helft van de bezochte sites plaatst volgcookies zonder daar toestemming voor te vragen of dwingt die toestemming af.

De Consumentenbond onderzocht 100 populaire websites. 53 daarvan gaat in in de fout. Een kwart (24) van de websites plaatst al volgcookies voordat ze überhaupt om toestemming hebben gevraagd. Bunq plaatst de meeste: 9. En 20 websites, waaronder Coolblue, NLZiet en OKCupid, plaatsen tóch volgcookies ondanks dat de bezoeker ze geweigerd heeft. 

De cookiemuren, die de onderzoekers in 2018 en 2019 nog veel aantroffen, blijken grotendeels verdwenen. Alleen Tweakers gebruikt deze techniek nog, ondanks dat die niet is toegestaan. 

Wel vonden de onderzoekers meer ingewikkelde en sturende menu’s. Op 41 sites moeten bezoekers allerlei menu’s doorworstelen om reclamecookies uit te schakelen, terwijl het accepteren van alle cookies op diezelfde sites juist heel simpel is. En wie wil controleren of alle cookie-instellingen goed staan, moet pagina’s lang scrollen om 20 cookieschuifjes te controleren.

Sandra Molenaar, directeur Consumentenbond, is teleurgesteld over de resultaten: ‘Het is treurig om te moeten constateren dat bedrijven zo hardnekkig de fout in blijven gaan. Hoe ingewikkeld is het nu helemaal om netjes om toestemming te vragen? In de wet staat dat je je vrijelijk, ondubbelzinnig, geïnformeerd en specifiek toestemming moet geven voor cookies. Daar is absoluut geen sprake van als het keuzemenu meer lijkt op een hindernisbaan of je bezoeker zich eerst door een 170 pagina’s tellende verklaring moet worstelen.’

Alles bij de bron; ConsBond


 

 

De gemeente West Betuwe heeft met een datalek te maken gekregen nadat honderden stempassen naar de verkeerde adressen werden gestuurd. Bij het afdrukken van de stempassen gebruikte de gemeente een verkeerde peildatum. Daardoor zijn alle verhuizingen en overlijdens van het laatste kwartaal van vorig jaar niet meegenomen. Hierdoor werden zo'n 850 stempassen naar het verkeerde adres en 157 overleden personen gestuurd.

De burgemeester zal in een brief excuses maken naar de nabestaanden. Tevens onderzoekt de gemeente waar het fout is gegaan, om herhaling te voorkomen. De stempassen die naar een overleden inwoner zijn gegaan, zijn ongeldig verklaard. Het datalek is inmiddels bij de Autoriteit Persoonsgegevens gemeld.

Bron; Security


 

Wachtwoordmanager LastPass bevat zeven trackers in de Android-app, waaronder vier van Google en drie van marketingbureaus, die mogelijk data verzamelen over gebruikers. Het is niet duidelijk welke data precies verzameld en gedeeld wordt met derden.

De trackers werden opgemerkt door de Duitse beveiligingsonderzoeker Mike Kuketz in een analyse van non-profit hacktivistenorganistie Exodus. Volgens de Exodus-rapportage gaat het om trackers van Google Analytics, Google CrashLytics, Google Firebase Analytics en Google Tag Manager en trackers van marketingdiensten MixPanel, AppFlyers en Segment. "Voor een app die zulke extreem gevoelige gegevens, namelijk wachtwoorden, verwerkt, is dit een zwaktebod", zegt Kuketz in een blogpost. De trackers zitten in de Android-versie van LastPass, versie 4.11.18.6150...

...Gebruikers kunnen datadelen uitzetten maar niet in de Android-app, daarvoor moeten gebruikers de kluis openen in de desktopbrowser.

Onlangs was er nog veel te doen om LastPass omdat het bedrijf het gebruik van de gratis wachtwoordmanager gaat beperken tot één apparaat. Gebruikers van de gratis versie van LastPass moeten voor 16 maart bepalen op welk apparaat ze LastPass willen blijven gebruiken. 

Alles bij de bron; Tweakers


 

Als gevolg van het datalek bij de gezondheidsdiensten, waarbij persoonlijke gegevens van burgers werden doorgestuurd naar derden, hebben veel mensen gevraagd hun gegevens uit de systemen te laten verwijderen. In Limburg staat de teller inmiddels op 344.

Wie zijn gegevens wil laten verwijderen, blijkt echter een probleem te kunnen krijgen met de vaccinatie. Om uitgenodigd te worden voor een prik bij de GGD, moeten persoonlijke gegevens in de systemen kunnen worden gezet. Ook bestaande prikafspraken komen dan te vervallen.

Een brief of mail die een aantal GGD’en naar mensen stuurt om daarop te wijzen, valt niet bij iedereen in goede aarde. Een 70-jarige inwoner van Schinnen is woedend over de mail die hij van de GGD Zuid-Limburg kreeg toen hij verzocht zijn gegevens te laten verwijderen. „In één zin stond vermeld dat uitschrijven gevolgen kan hebben voor vaccinatie. Zonder verdere uitleg. Ik voelde dat als chantage, als drukmiddel om er toch maar vanaf te zien.”

De GGD'en zeggen dat ze persoonsgegevens verwijderen als deze niet langer noodzakelijk zijn, met een maximale bewaartermijn van vijf jaar. "We bewaren persoonsgegevens in ieder geval voor de gehele duur van de pandemie." Vaccinatiegegevens worden minimaal twintig jaar bewaard als mensen hier toestemming voor geven.

Allesbij de bron; Telegraaf & Security


 

Klantenaccounts van de betaalservice Klarna kunnen worden overgenomen en misbruikt door derden. Dat blijkt uit onderzoek van de Consumentenbond die Klarna oproept zijn beveiligingssysteem aan te passen.

Bij het afrekenen met Klarna vraagt deze betaalservice niet om een wachtwoord. Het invullen van enkele persoonsgegevens is voldoende. Ook is er geen (zichtbare) tweestapsverificatie vereist bij de betaling.

De Consumentenbond ontdekte in september 2020 bij toeval dat het mogelijk is om een bestelling te plaatsen op naam en rekening van een ander. En om vervolgens het product naar zichzelf op laten sturen.

In een reactie liet Klarna weten dat het een incident betrof en dat de beveiliging van het betaalsysteem op orde is. Gaat het toch mis, dan kunnen gedupeerden hun geld terug krijgen.

Alles bij de bron; ConsBond


 

De Consumentenbond onderwierp 5 populaire voedingsapps aan een privacytest en gaf tekortkomingen door aan de appmakers. Mijn Eetmeter en Lifesum verbeterden vervolgens de privacy. FatSecret en MyFitnesspal voerden geen verbeteringen door. De app SamenGezond (Menzis) had bij de eerste meting al een goede privacyscore.

....De app Mijn Eetmeter (Voedingscentrum) bleek geen beveiliging te hebben tegen het door hackers geautomatiseerd raden van gebruikersnamen en wachtwoorden. Bij Lifesum gold het zelfde voor de gebruikersnamen. Toen de Consumentenbond hierover aan de bel trok, werden beide kwetsbaarheden snel verholpen. 

Bij FatSecret zijn de gebruikersnamen nog steeds te achterhalen. Daarnaast verschijnt er op FatSecret.nl een cookiemelding zonder de keuze die wel of niet te accepteren. Zo krijgen gebruikers ongevraagd advertentiecookies. Ook in de privacyverklaring van de app is het een en ander mis.

Ook MyFitnessPal laat steken vallen. Vanuit de app is er internetverkeer met een advertentiebedrijf, voordat gebruikers hierover geïnformeerd zijn en toestemming hebben kunnen geven. En op de homepage kunnen consumenten aangepaste instellingen in het cookiemenu niet opslaan en advertentiecookies dus niet afwijzen. 

Alles bij de bron; ConsBond


 

De directeur van de Limburgse omroep L1 wilde zijn eigen personeel kunnen volgen met verborgen camera’s. Ook wilde hij in bepaalde gevallen inzage in hun mail- en internetverkeer. Met zijn voornemens zette directeur Peter Elbers de verhoudingen met zijn werknemers, die al beroerd waren, nog verder op scherp. 

‘Een collega vroeg of deze plannen uit Noord-Korea kwamen’, zegt Marcel Ermers, voorzitter van de ondernemingsraad. De OR moest de plannen van Elbers, die staan in een conceptversie van een privacyreglement, nog goedkeuren. Ermers: ‘Dat gaan we natuurlijk nooit doen. Je mag niet zomaar journalisten, die bronnen moeten beschermen, bespioneren. Ik snap niet dat de directeur dat niet zelf kan bedenken.’ Ook de hoofdredactie nam ‘met verbijstering kennisgenomen’ van de plannen, zo stond in een e-mail van dinsdag 2 februari aan de OR.

Directeur Peter Elbers heeft de omstreden plan voor camerabewaking van de redactie op 6 februari ingetrokken.

Alles bij de bronnen; Volkskrant & L1


 

De Autoriteit Persoonsgegevens (AP) legt een boete van 440.000 euro op aan het Amsterdamse ziekenhuis OLVG. Het ziekenhuis had tussen 2018 en 2020 te weinig maatregelen genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen. Dat kwam door onvoldoende controle op wie welk dossier bekeek en ontoereikende beveiliging van de computersystemen. Naar aanleiding van het onderzoek van de AP heeft het OLVG de vereiste verbeteringen doorgevoerd.

'Patiënten moeten ervan uit kunnen gaan dat medewerkers alleen medische dossiers inzien als dat nodig is voor hun behandeling. Het OLVG nam te weinig beveiligingsmaatregelen om dit te waarborgen. Dat is ernstig en daarom legt de AP het OLVG nu deze boete op.’ aldus AP-vicevoorzitter Monique Verdier.

Alles bij de bron; AutoriteitPersoonsgegevens


 

Het datalek bij de GGD is schadelijk voor het vertrouwen in het bron- en contactonderzoek en het testbeleid. Om dat vertrouwen terug te winnen is ferm ingrijpen noodzakelijk. Eerder gebeurde zo ongeveer hetzelfde namelijk al op veel kleinere schaal bij het HagaZiekenhuis. ..

...Het is kwalijk dat de GGD en het verantwoordelijke ministerie geen lering hebben getrokken uit eerdere fouten. Maar erger is misschien nog wel de nonchalante reactie. Hugo de Jonge stelde in het Kamerdebat dat tegen 'dit type misdaad natuurlijk geen kruid gewassen is' en dat alles gedaan was om de systemen zo veilig mogelijk te maken. De GGD legt ondertussen de schuld deels elders door op zijn site te stellen dat er 'verzinsels, onjuistheden en onvolledigheden' worden opgeschreven over het datalek, zonder deze beschuldigingen concreet te onderbouwen.

Dat moet anders. Allereerst moeten de verantwoordelijken volmondig erkennen wat er fout is gegaan en volledig openheid van zaken geven. Vervolgens moeten de procedures en software zo snel en transparant mogelijk verbeterd worden.

Met de halfslachtige onderkenning van de problemen wordt het vertrouwen niet teruggewonnen. Dat is schadelijk. Juist een goede bescherming van gegevens is noodzakelijk voor het vertrouwen en daarmee de kwaliteit van het onderzoek.

Alles bij de bron; FinancieelDagblad [gratis registratie noodzakelijk]


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha