Facebook en Instagram mogen niet zomaar informatie over de geaardheid van mensen gebruiken voor het aanbieden van gerichte reclames, ook niet als een Facebook-gebruiker later zelf openbaar verklaart op mensen van een ander of hetzelfde geslacht te vallen.
Het druist namelijk in tegen de Europese regel dat bedrijven niet zomaar persoonlijke gegevens mogen opslaan zonder duidelijk doel, oordeelde het Hof van Justitie van de Europese Unie.
Het oordeel volgt op een rechtszaak die privacy-activist Max Schrems had aangespannen tegen Facebook-moederbedrijf Meta. Hij kreeg advertenties te zien die gericht waren op homoseksuele personen, hoewel hij op zijn profiel nooit zijn geaardheid had gemeld. Hij gaf Meta ook nooit toestemming om dit soort gegevens over hem te gebruiken.
Hij spande in Oostenrijk een rechtszaak aan omdat dit volggedrag door Meta, ook op basis van surfgedrag op andere sites, tegen Europese privacyregels zou ingaan.
Uiteindelijk vroeg de hoogste rechtbank van Oostenrijk het Europees Hof van Justitie om meer duidelijkheid over de uitleg van Europese privacywetgeving. De uitspraak kan voor internetbedrijven grote gevolgen hebben voor de manier waarop ze geld verdienen in de Europese Unie. Meta verdient veel geld door advertenties op basis van allerlei persoonlijke gegevens bij de best mogelijke doelgroep te laten belanden.
Alles bij de bron; AD
De hackers van Killsec hebben alsnog meer dan 50.000 documenten met gevoelige medische informatie van Belgische patiënten online gezet, nadat ze die eerder stalen bij de firma Medicheck. Die firma stuurt controleartsen naar zieke werknemers in ons land in opdracht van bedrijven.
Het hackerscollectief Killsec lekte de documenten op het darkweb, waar in principe iedereen ze gratis kan bekijken. Ze tonen onder andere namen en adressen van de patiënten én betrokken artsen. En of de patiënt volgens hen terecht (ziek) afwezig is of niet. In sommige gevallen staan er in de verslagen ook symptomen zoals ‘spierpijn’ of ‘duizeligheid’ en medicijnen (‘diclofenac’) die werden voorgeschreven, zo blijkt nu.
“Dat komt omdat het gaat over verslagen van de controlearts die voor de patiënt bestemd zijn”, zegt MediCheck CEO Dina De Haeck. “De werkgever krijgt die nooit te zien.”
Alles bij de bron; deMorgen
Telegram heeft dit jaar al duizenden keren gegevens over gebruikers aan autoriteiten verstrekt, zo heeft Telegram-oprichter Pavel Durov laten weten. In India, wat volgens Durov de grootste markt van de chatdienst is, werd er al aan zevenduizend dataverzoeken gehoor gegeven en in Brazilië werd er in de eerste drie kwartalen van dit jaar in totaal tweehonderd keer data verstrekt.
Durov stelt ook dat er sinds het derde kwartaal van dit jaar een toename van het aantal dataverzoeken in de Europese Unie is. Deze toename is volgens de Telegram-oprichter te verklaren doordat EU-autoriteiten de juiste communicatielijn voor hun verzoeken gebruiken. "Informatie over dit contactpunt is sinds begin dit jaar voor iedereen die de Telegram-website bekeek of googelde op "Telegram EU address for law enforcement" publiek beschikbaar."
"Om verwarring te voorkomen, hebben we vorige week ons privacybeleid in verschillende landen gestroomlijnd en verenigd. Onze kernprincipes zijn nog steeds hetzelfde. We hebben altijd gestreefd naar het naleven van relevante lokale wetten, zolang die niet in strijd zijn met onze waarden van vrijheid en privacy", gaat Durov verder.
"Telegram was ontwikkeld om activisten en normale mensen tegen corrupte overheden en bedrijven te beschermen. We staan niet toe dat criminelen ons platform misbruiken om justitie te ontlopen", besluit Durov zijn bericht op Telegram.
Alles bij de bron; Security
Het Nederlandse Nationaal Cybersecurity Centrum (NCSC) heeft onthuld dat het gevoelige informatie heeft gedeeld met buitenlandse overheden zonder de juiste juridische bevoegdheid.
De gegevens, waaronder IP-adressen van systemen die zijn gecompromitteerd door een door de Chinese staat gesponsorde cyberaanval, werden gedeeld met cybersecurity-instanties in Canada, Japan, het Verenigd Koninkrijk en de Verenigde Staten.
Een interne beoordeling heeft uitgewezen dat het NCSC zijn wettelijke bevoegdheid heeftoverschreden door deze informatie te delen met landen buiten de EU.
Als gevolg hiervan heeft het agentschap het incident gemeld als een datalek bij de Nederlandse gegevensbeschermingsautoriteit.
Alles bij de bron; Dutch-IT-Channel
Vodafone heeft wegens het jarenlang illegaal gebruik van verkeersgegevens van klanten van de Rijksinspectie Digitale Infrastructuur (RDI) een boete van 160.000 euro gekregen. De verkeersgegevens werden door Vodafone gepseudonimiseerd en samengevoegd tot tellingen van groepen mensen op een bepaald moment binnen een bepaald gebied.
Een aanbieder van mobiliteitsinformatie kreeg via een softwaresysteem toegang tot deze tellingen, waar deze zoekopdrachten op kon uitvoeren. "Verkeersgegevens zijn privacygevoelig, omdat het bijvoorbeeld informatie geeft over de locaties van bellers en tijdstippen van telefoongesprekken. Vodafone mag deze gegevens alleen gebruiken voor wettelijk toegestane doelen, zoals haar eigen facturering. Vodafone had de verkeersgegevens niet intern mogen verwerken voor dit samenwerkingsproject", aldus de RDI.
Alles bij de bron; Security
De Ierse privacytoezichthouder legt Meta een boete van 91 miljoen euro op vanwege het niet goed beveiligen van wachtwoorden. Tussen 2012 en 2019 slaat Meta wachtwoorden van Facebook- en Instagram-gebruikers in plaintext op.
Meta ontvangt de boete niet alleen voor het slecht beveiligen van de wachtwoorden, maar ook voor het te laat melden van het incident. Het bedrijf ontdekt de fout in januari 2019, maar brengt de DPC pas enkele maanden later op de hoogte.
Alles bij de bron; Dutch-IT-Channel
Namen en 'werkgerelateerde contactgegevens' van alle Nederlandse politiewerknemers zijn bij een hack gestolen.
Minister David van Weel van Justitie en Veiligheid schrijft in een brief aan de Tweede Kamer dat de gegevens van alle politiewerknemers in Nederland zijn buitgemaakt bij een hack. "Bij de hack zijn werkgerelateerde contactgegevens van alle politiemedewerkers buitgemaakt. Behalve de namen van politiemedewerkers gaat het verder niet om privégegevens of onderzoeksgegevens", schrijft Van Weel.
Volgens de politie werden de gegevens gestolen nadat er 'een account werd gehackt'. "Afgelopen week is bekend geworden dat een politieaccount is gehackt", schrijft de politie in een eigen nieuwsbericht, maar verder geeft de organisatie geen informatie.
De politie heeft een melding gedaan bij de Autoriteit Persoonsgegevens.
Alles bij de bron; Tweakers
Een kwetsbaarheid in een dealerportaal van Kia maakte het mogelijk om miljoenen auto's van de fabrikant over te nemen.
Kia biedt bij verschillende modellen Kia Connect, waarmee het bijvoorbeeld mogelijk is om de auto op afstand via een app te openen en starten. Hiervoor moet een voertuigidentificatienummer (VIN of chassisnummer) worden gekoppeld aan een account. Dealers kunnen dit via een speciaal dealerportaal voor hun klanten doen, waarbij een voertuig op basis van het VIN-nummer aan een klantaccount wordt gekoppeld. Klanten moeten zich daarnaast via een aparte klantensite bij de autofabrikant registreren.
De onderzoekers ontdekten dat ze zich via het HTTP-request waarmee Kia-eigenaren zich bij de autofabrikant kunnen registreren zich ook als dealer kunnen registreren. Vervolgens was het mogelijk om via de dealerportaal informatie van Kia-eigenaren op te vragen, zoals naam, telefoonnummer en e-mailadres. Daarna konden de onderzoekers de eigenaar onteigenen en zichzelf eigenaar van de betreffende Kia maken en zo via de app bedienen.
Eigenaren kregen geen bericht dat er toegang tot de auto was verkregen of dat hun toegangspermissies waren aangepast.
Alles bij de bron; Security
De Commissie van Toezicht op de Inlichtingen en Veiligheidsdiensten (CTIVD) gaat onderzoek doen naar de verwerking van bulkdatasets door de AIVD en de MIVD.
De inlichtingendiensten hebben bulkbevoegdheden waardoor ze grote hoeveelheden gegevens kunnen verzamelen van miljoenen mensen, waarvan het overgrote deel gaat over mensen waar de diensten geen onderzoek naar doen of zullen gaan doen. Dat doen de inlichtingendiensten naar eigen zeggen om een klein deel binnen te kunnen halen dat wél relevant is voor een onderzoek. Vervolgens moeten alle gegevens die niet relevant zijn zo snel mogelijk worden vernietigd.
Oorspronkelijk mochten bulkdatasets anderhalf jaar bewaard worden, en moesten daarna worden vernietigd. In de praktijk bleek dat niet te gebeuren en werden datasets langer bewaard.
Eerder dit jaar werd door de Eerste en Tweede Kamer het wetsvoorstel 'Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma' aangenomen. De bewaartermijn van bulkdatasets kan nu door de betrokken minister op grond van een beargumenteerd verzoek van de diensten jaarlijks worden verlengd.
Volgens de CTIVD zijn de bulkdatasets belangrijk voor de inlichtingendiensten, maar brengt de verwerving en verwerking ervan inbreuk op de privacy van burgers. "Gezien het belang van goede processen aangaande de verwerking van bulkdatasets binnen de diensten en de correcte uitvoering daarvan acht de CTIVD het van belang om onderzoek te doen naar de verwerking van bulkdatasets in algemene zin", aldus de toezichthouder, die gaat kijken of de inlichtingendiensten bij de verwerking van bulkdatasets wel rechtmatig handelen. Het onderzoek wordt afgesloten met een openbaar toezichtsrapport.
Alles bij de bron; Security
De ransomwaregroep Killsec heeft 50.000 documenten van het Belgische bedrijf MediCheck in handen gekregen. In de documenten zouden gevoelige patiëntgegevens staan.
Het bedrijf heeft tegenover HLN bevestigd dat hackers communicatie van artsen hebben kunnen onderscheppen. Het zou gaan om artsverslagen van januari 2023 tot nu. In deze verslagen staan gevoelige gegevens. Het bedrijf weet nog niet hoe de hackers de communicatie hebben kunnen onderscheppen.
De ransomwaregroep heeft inmiddels een klein aantal documenten van het bedrijf gepubliceerd. Volgens MediCheck is er nog geen contact geweest met de hackers.
Alles bij de bron; Tweakers