- Gegevens
- Hoofdcategorie: Nieuws uit NL
De Autoriteit Persoonsgegevens (AP) gaat de wijze waarop het UWV persoonsgegevens beschermd nader onderzoeken. De toezichthouder wil dat de overheidsdienst de beveiliging van persoonsgegevens beter op het netvlies houdt.
Uit een onderzoeksrapport van adviesbureau KPMG bleek deze week dat gegevens van ongeveer miljoenen (voormalige) klanten van het UWV inzichtelijk zijn voor zo'n vijftienduizend medewerkers, hoewel zij deze toegang lang niet altijd nodig hebben. Onder meer namen, adresgegevens en burgerservicenummers zijn in het systeem vastgelegd. Het UWV gebruikt het systeem om werkzoekenden aan potentiële werkgevers te koppelen...
...“Het UWV zou de beveiliging van persoonsgegevens beter op het netvlies moeten hebben. Het gaat vaak ook nog om gezondheidsgegevens van veel mensen”, zegt een woordvoerder van de AP tegen Trouw. “Deze organisatie is wettelijk verplicht om dit goed te doen. Om die reden heeft het UWV een privacy-expert in dienst die hiervoor moet zorgen: de functionaris gegevensbescherming.”
De woordvoerder wijst ook op eerdere incidenten bij het UWV. Zo werd de overheidsdienst in 2017 op de vingers getikt nadat de beveiliging van het online werkgeversportaal niet op orde bleek te zijn, aangezien werkgevers via uitsluitend een e-mailadres en wachtwoord konden inloggen. Dit vond de AP onvoldoende. Het UWV kreeg een last onder dwangsom opgelegd van 150.000 euro per maand, met een maximale boete van 900.000 euro. Naar aanleiding hiervan is de beveiliging van het systeem verbeterd.
Alles bij de bron; DutchIT-Channel
- Gegevens
- Hoofdcategorie: Nieuws
In 1999 lanceerde de MITRE Corporation de Common Vulnerabilities and Exposures (CVE)-lijst. CVE voorziet elke kwetsbaarheid van een uniek nummer. Dit maakt het eenvoudiger om kwetsbaarheden te volgen, informatie uit te wisselen en beveiligingsproducten te beoordelen. Het CVE-nummer begint met de letters CVE, gevolgd door een jaartal en een getal van vijf cijfers. Onderzoekers, ontwikkelaars of bedrijven die een kwetsbaarheid vinden kunnen hiervoor een CVE-nummer aanvragen.
Van 2010 tot en met 2016 bleef het aantal kwetsbaarheden met een CVE-nummer jaarlijks onder de 8000, zo blijkt uit cijfers van de National Vulnerability Database die de CVE-nummers bijhoudt. Vanaf 2017 is er een sterke stijging zichtbaar en worden er in één jaar 14.600 beveiligingslekken aan de CVE-database toegevoegd. Deze lijn zet zich de jaren erna door, met in 2018, 2019 en 2020 respectievelijk 16.500, 17.300 en 18.300 nieuwe kwetsbaarheden.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
De Europese databeschermingsrichtlijn GDPR, in voege sinds 2018, raakt stilaan op kruissnelheid. Het voorbije jaar werden in de EU voor 171,3 miljoen euro boetes geïnd wegens inbreuken tegen de richtlijnen, met Google als voornaamste ‘slachtoffer’.
Vooral koplopers Italië en het VK springen in het oog. Met totale boetebedragen van respectievelijk 58,2 en 43,9 miljoen euro maken die twee meer dan 60 procent van het Europese totaal uit.
Duitsland zit daar niet ver achter. Maar dat heeft alles te maken met de monsterboete die de Duitse autoriteiten oplegden aan kledingreus H&M. Die moest 35,3 miljoen euro ophoesten, goed voor net geen 95 procent van het totale Duitse boetebedrag.
Spanje blijkt, onder de radar, de spreekwoordelijke kampioen van GDPR-boetes met 76 veroordelingen.
Alles bij de bron; BusinessAM
- Gegevens
- Hoofdcategorie: Nieuws
Minister De Jonge van Volksgezondheid laat de centrale vaccinatiedatabase waarin de gegevens van gevaccineerden worden bijgehouden extra beveiligen. Vanwege recente beveiligingsincidenten, waaronder de inbraak op systemen van het Europees geneesmiddelenbureau EMA, liet De Jonge extra onderzoek naar de beveiliging van het centrale register uitvoeren.
Naar aanleiding van de gevonden zaken worden er nu aanvullende maatregelen genomen om het COVID-19 vaccinatie informatie- en monitoringsysteem (CIMS) te beveiligen. "Het treffen van deze maatregelen staat start van de vaccinatiecampagne per 8 januari niet in de weg. Ik houd dit scherp in de gaten", schrijft de minister in een brief aan de Tweede Kamer.
Naast extra beveiligingsonderzoek is er ook een Data Protection Impact Assessment (DPIA) uitgevoerd, waar op dit moment de laatste hand aan wordt gelegd. Met een DPIA worden vooraf de privacyrisico's die bij het verwerken van gegevens komen kijken in kaart gebracht. Vervolgens kunnen er maatregelen worden getroffen om de risico's te verkleinen.
"Omdat het bij centrale registratie gaat om verwerking van persoonsgegevens op een zeer omvangrijke schaal, heb ik goed gekeken naar het juridisch kader met betrekking tot privacy en het medisch beroepsgeheim", stelt de minister. Naast het uitvoeren van een DPIA is er ook contact geweest met de vaccinerende artsen en Autoriteit Persoonsgegevens.
Hieruit is voortgekomen dat het opnemen van gegevens in de centrale vaccinatiedatabase alleen is toegestaan met uitdrukkelijke toestemming van de gevaccineerde. Bij de oproep/uitnodiging tot vaccinatie wordt een toestemmingsformulier meegestuurd. Tevens wordt uitgelegd wat met de verzamelde data gebeurt en wordt aangegeven dat burgers hun vaccinatiegegevens bij het RIVM altijd kunnen laten verwijderen en hoe dit mogelijk is.
Van mensen die ofwel niet opkomen voor vaccinatie ofwel wel komen maar geen toestemming geven voor het delen van de vaccinatiedata, worden alleen anonieme data op geaggregeerd niveau met het RIVM gedeeld, zo stelt De Jonge, die toevoegt dat het wel of niet delen van data geen gevolgen heeft om te worden gevaccineerd.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Singaporese politie mag data die via de corona-app TraceTogether is verkregen voor strafrechtelijke onderzoeken gebruiken, zo heeft de Singaporese minister van Binnenlandse Zaken Desmond Tan laten weten. Op de website van TraceTogether wordt gemeld dat gegevens van de corona-app alleen voor contactonderzoek worden gebruikt wanneer iemand met corona besmet blijkt te zijn.
"De Singaporese politie is bevoegd om voor strafrechtelijk onderzoek alle data op vragen, waaronder TraceTogether-data", aldus Tan, die reageerde op vragen van parlementslid Christopher de Souza. Het parlementslid wilde weten of politie TraceTogether-data voor strafrechtelijke onderzoeken gaat gebruiken en hoe dit juridisch is geregeld (pdf). Iets dat inderdaad het geval is. Als voorbeeld noemde de minister getuigen die van TraceTogether gebruikmaken en van wie de data kan worden gebruikt. Tan voegde toe dat politie dit niet zal doen bij personen die van een misdrijf worden verdacht of worden onderzocht.
Een ander parlementslid merkte op dat dit in strijd met de privacyvoorwaarden van de app is en dit het gebruik van TraceTogether kan ondermijnen. Meer dan 4,2 miljoen mensen in Singapore maken gebruik van de TraceTogether-app of token, wat neerkomt op 78 procent van de inwoners.
Alles bij de bron; Security
Aanvulling;
...Bijna 80 procent van de inwoners gebruiken de app. Het ‘vrijwillige’ gebruik van de app nam toe nadat bekend werd dat je met de app toegang krijgt tot alles van supermarkten tot werkplekken. TraceTogether heeft inmiddels op de site ook de voorwaarden aangepast.
Bill Marczak, een expert op het gebied van mobiele surveillance, waarschuwde vorig jaar maart bij het CPJ al over de implicaties van dergelijke technologie als regeringen hun capaciteit opvoeren om burgers in tijden van crisis te volgen, vooral ook voor journalisten. Hij gaf aan dat dergelijke surveillancebevoegdheden en het ontstaan van zulke technologieën tijdens crisissituaties moeilijk terug te draaien zijn en dat het kan worden gebruikt tegen journalisten die soms al in kwetsbare posities zitten, bijvoorbeeld in landen met autoritaire regimes.
Alles bij de bron; VillaMedia
- Gegevens
- Hoofdcategorie: Databases
T-Mobile heeft vorige maand de gespreksgegevens van 200.000 Amerikaanse klanten gelekt. Het was het tweede datalek van 2020 waar de telecomprovider mee te maken kreeg.
Het gaat onder andere om het telefoonnummer van de klant, wie die allemaal heeft gebeld, hoe lang en wanneer. Namen, adresgegevens, e-mailadressen en financiële data zijn niet door de aanvallers ingezien.
In maart van vorig jaar waarschuwde T-Mobile ook al voor een datalek. Aanvallers wisten destijds toegang te krijgen tot verschillende mailaccounts van T-Mobile-medewerkers. Deze e-mailaccounts bleken accountgegevens van klanten en medewerkers te bevatten. Daardoor kregen de aanvallers mogelijk toegang tot namen, adresgegevens, telefoonnummers, abonnementsgegevens, klantnummers en facturatiegegevens van een niet nader genoemd aantal klanten.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Onderzoekers van een Nederlandse IT-beveiliger hebben in de software van veel Zyxel-netwerkapparatuur een hardgecodeerd backdoor-account ontdekt dat administrator-rechten heeft. Dit is net voor kerst gedeeltelijk geopenbaard en gedeeltelijk gefixt. Het eerder bewust achtergehouden wachtwoord, wat niet valt te wijzigen, ligt nu ook op straat. En nog niet alle getroffen Zyxel-producten hebben een fix gekregen.
...Het is niet de eerste keer dat Zyxel op deze manier de fout in gaat, memoreert ZDNet. In 2016 werd ook een backdoor ontdekt in Zyxel-apparatuur die te benaderen was met elke gebruikersnaam in combinatie met het wachtwoord "zyad5001". Dat verhoogde de rechten van de betreffende gebruiker tot toegang tot het root-niveau.
In feite gaat het nu om een nog ernstigere fout van het bedrijf. In 2016 moest een aanvaller nog een accountnaam weten van iemand met toegang tot de apparatuur. Nu staan gebruikersnaam en wachtwoord gewoon in platte tekst in de firmware. In 2016 ging het nog vooral om apparatuur bedoeld voor thuisgebruik terwijl deze misser zit in cruciale apparatuur zoals firewalls en routers voor grote netwerken.
Alles bij de bron; AGConnect
- Gegevens
- Hoofdcategorie: Internet en Telecom
Persoonsgegevens van 4,1 miljoen mensen die nu of in het verleden klant waren bij UWV, zijn simpel op te vragen door duizenden ambtenaren. Alle informatie over uw uitkering, de begeleiding die u heeft gehad - maar ook uw naam, adres, bsn, nationaliteit en geboortedatum - zijn niet netjes opgeborgen door het UWV. De problemen bij UWV zijn jaren geleden al door meerdere instanties, waaronder de Autoriteit Persoonsgegevens, gemeld.
Van ruim 3,1 miljoen voormalige klanten van UWV én de huidige 1 miljoen uitkeringsgerechtigden zijn persoonsgegevens in te zien door veel medewerkers van het UWV en door de gemeentelijke ambtenaren van de sociale dienst. Een ambtenaar uit Doetinchem kan dus op zijn werkcomputer zo zien welke Hagenaren een WIA-uitkering ontvangen of ontvingen. En kan die informatie eenvoudig downloaden.
Het IT-systeem bij UWV dat klantgegevens bewaart, voldoet aan ‘geen van de beginselen uit de AVG’, meldt KPMG dat op verzoek van het UWV onderzoek deed naar haar IT-systeem, genaamd Sonar. Dat zoveel werknemers van de uitkeringsorganisatie en van gemeenten in Sonar kunnen, moet onmiddellijk stoppen, melden de onderzoekers.
‘De privacy van betrokkenen wordt momenteel buitensporig geschaad’, schrijven ze. IT-deskundige René Jan Veldwijk: “Het interesseert ze niet bij UWV. Ook omdat ingrijpen als een groter risico wordt gezien. Als er dan iets fout gaat, kunnen drieduizend mensen die dagelijks gebruik maken van Sonar hun werk niet doen. Dat willen ze te allen tijde voorkomen.”
Alles bij de bron; Trouw