- Gegevens
- Hoofdcategorie: Internet en Telecom
Door een beveiligingslek bij cloudprovider Accellion zijn de gegevens van 1,6 miljoen inwoners van de Amerikaanse staat Washington gestolen. Eerder werden ook de centrale bank van Nieuw-Zeeland en de Australian Securities and Investments Commission (ASIC) slachtoffer van de aanval.
Accellion biedt een oplossing voor het uitwisselen van bestanden. Een kwetsbaarheid in deze dienst maakte het eind december voor een aanvaller mogelijk om toegang te krijgen tot bestanden van klanten. Hoewel de aanval eind december plaatsvond werd de rekenkamer van de staat Washington vorige week pas door Accellion ingelicht dat het ook slachtoffer van de aanval was geworden.
De aanvaller kreeg daarbij toegang tot databestanden van lokale overheden en staatsinstanties, waaronder het ministerie van sociale zaken en werkgelegenheid van Washington. Het gaat dan onder andere om informatie over mensen die een werkloosheidscompensatie aanvroegen, zoals naam, socialsecuritynummer, rijbewijs- of staatsidentificatienummer, bankrekeningnummer en werkgever.
Accellion heeft in een verklaring laten weten dat de bestandsuitwisselingsdienst door een "geraffineerde aanval" is getroffen. Details waaruit blijkt dat het om een complexe aanval gaat zijn echter niet gegeven.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De verkrijgbaarheid van anonieme simkaarten hindert de aanpak van WhatsAppfraude, aldus de politie, die stelt dat een verbod zou helpen. Daarnaast ziet de politie graag dat WhatsApp het overnemen van accounts lastiger maakt. Bij WhatsAppfraude doen oplichters zich via WhatsApp voor als een bekende, familielid of vriend van het slachtoffer. Vervolgens wordt er om geld gevraagd, bijvoorbeeld om een zogenaamde rekening te betalen.
Alle aangiftes van WhatsAppfraude gaan in een systeem dat zoekt naar overeenkomsten. Er wordt gekeken naar patronen om zo netwerken in kaart te brengen en te verstoren, waarbij de politie de nadruk legt op katvangers. Dit moet het lastiger voor criminelen maken om het geld weg te sluizen. Daarnaast kunnen de katvangers, die eenvoudig via hun bankrekening en telefoonnummer zijn te identificeren, politie naar de verantwoordelijke criminelen leiden.
Bij onderzoek naar WhatsAppfraude en de daders loopt de politie naar eigen zeggen vaak tegen anonieme simkaarten aan. "’Het zou ons als politie wel helpen als het gebruik van anonieme simkaarten afneemt en dergelijke kaarten niet meer worden aangeboden, zoals in de ons omliggende landen het geval is. Die simkaarten worden vaak gewisseld. Op het moment dat een slachtoffer bij ons aangifte doet, is dat telefoonnummer al niet meer in gebruik.", zegt Yoanne Spoormans van het cybercrimeteam van de politie Oost-Nederland.
In België en Duitsland is de verkoop van anonieme simkaarten verboden. Wie een simkaart in deze landen koopt moet zich verplicht legitimeren en wordt geregistreerd. Volgens de Belgische en Duitse autoriteiten moet de maatregel helpen bij de bestrijding van terrorisme. Er gingen ook stemmen op voor een dergelijk verbod in Nederland. Minister Grapperhaus stelde in 2019 dat een verbod op anonieme simkaarten weinig meerwaarde heeft voor opsporings- en veiligheidsdiensten. Daarnaast is een dergelijk verbod eenvoudig te omzeilen, aldus de minister.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Zeker 25 gemeenten maken gebruik van voorspellende systemen en algoritmes om bijvoorbeeld bijstandsfraude op te sporen, te voorspellen waar mogelijk ondermijnende criminaliteit plaatsvindt en om burgers met schulden op tijd te kunnen helpen.
"Dit nieuws is reden tot zorg", zegt advocaat Anton Ekker, die succesvol tegen het SyRI-systeem procedeerde. "Het kabinet heeft plechtig beloofd dat er geen nieuwe toeslagenaffaire zal komen, maar er is geen goed beeld van wat gemeentes allemaal doen."
Specifiek bij deze 25 gemeenten worden burgers en gebieden ingedeeld op profielen, soms om ze sneller te kunnen helpen, maar ook om bijvoorbeeld de kans dat ze fraude plegen te bepalen.
Vaak bestaat onduidelijkheid over de precieze werking van algoritmes en risicoprofilering. De gemeente Nissewaard wil bijvoorbeeld niet vrijgeven hoe er wordt bepaald of iemand mogelijk een fraudeur is, om zo fraudeurs niet wijzer te maken. Dat schreef de gemeente eerder aan de raad, die vragen had gesteld over het systeem.
Dat niet precies duidelijk is hoe veel systemen werken, is een probleem, zegt Marlies van Eck van de Radboud Universiteit. Zij is gespecialiseerd in de juridische wereld achter kunstmatige intelligentie. "Als je in de echte wereld wordt gediscrimineerd, kun je dat instinctief aanvoelen. Maar als een algoritme dat doet, merk je dat misschien wel nooit."
Advocaat Ekker is er niet gerust op. "Ik vraag me af of lokale overheden genoeg kennis in huis hebben om dit op een goede manier te doen. Vaak zijn ze sterk afhankelijk van externe ICT-leveranciers."
De coalitie van organisaties achter de SyRI-zaak houdt de lokale ontwikkelingen in de gaten, benadrukt hij. "En als het opnieuw mis dreigt te gaan, sluiten we een nieuwe gang naar de rechter niet uit."
Alles bij de bron; NOS
- Gegevens
- Hoofdcategorie: Internet en Telecom
Het datalek bij de GGD is schadelijk voor het vertrouwen in het bron- en contactonderzoek en het testbeleid. Om dat vertrouwen terug te winnen is ferm ingrijpen noodzakelijk. Eerder gebeurde zo ongeveer hetzelfde namelijk al op veel kleinere schaal bij het HagaZiekenhuis. ..
...Het is kwalijk dat de GGD en het verantwoordelijke ministerie geen lering hebben getrokken uit eerdere fouten. Maar erger is misschien nog wel de nonchalante reactie. Hugo de Jonge stelde in het Kamerdebat dat tegen 'dit type misdaad natuurlijk geen kruid gewassen is' en dat alles gedaan was om de systemen zo veilig mogelijk te maken. De GGD legt ondertussen de schuld deels elders door op zijn site te stellen dat er 'verzinsels, onjuistheden en onvolledigheden' worden opgeschreven over het datalek, zonder deze beschuldigingen concreet te onderbouwen.
Dat moet anders. Allereerst moeten de verantwoordelijken volmondig erkennen wat er fout is gegaan en volledig openheid van zaken geven. Vervolgens moeten de procedures en software zo snel en transparant mogelijk verbeterd worden.
Met de halfslachtige onderkenning van de problemen wordt het vertrouwen niet teruggewonnen. Dat is schadelijk. Juist een goede bescherming van gegevens is noodzakelijk voor het vertrouwen en daarmee de kwaliteit van het onderzoek.
Alles bij de bron; FinancieelDagblad [gratis registratie noodzakelijk]
- Gegevens
- Hoofdcategorie: Internet en Telecom
Het is zeker dat het RIVM voorlopig geen beschikking krijgt over locatiegegevens van mobiele telefoons in de strijd tegen corona. De Tweede Kamer heeft het onderwerp controversieel verklaard, waardoor het parlement er niet over stemt en het demissionaire kabinet de tijdelijke wet niet mag doorzetten.
Er was in de Tweede Kamer sowieso weinig steun voor de tijdelijke wet die het mogelijk maakt telecombedrijven te verplichten om locatiegegevens te delen met de autoriteiten.
Het plan om telecomaanbieders te verplichten locatiegegevens beschikbaar te stellen aan de autoriteiten stuit al langere tijd op verzet, zelfs na verschillende aanpassingen. En niet alleen in de Tweede Kamer. Ook de Autoriteit Persoonsgegevens (AP) en privacy-organisaties lieten zich er meermaals negatief over uit. Daarnaast staan de telecombedrijven niet te springen om gegevens van hun klanten te delen met de autoriteiten. De Raad van State kwam wel met een positief advies.
In het voorjaar van 2020 stelde minister De Jonge voor geanonimiseerde locatiegegevens van alle mobiele telefoons maximaal een jaar door te geven aan het Rijksinstituut voor Volksgezondheid en Milieu (RIVM).
Voor de tellingen moeten telecomaanbieders de zendmastgegevens ontdoen van persoonlijke informatie, zoals telefoonnummer, en daarna optellen. Per gemeente ontstaat zo een lijst die per uur toont hoeveel mobiele telefoons vanuit welke gemeente aanwezig zijn, met een minimum van vijftien telefoons. Het idee is dat het RIVM bij besmettingen lokale ggd’s sneller kan waarschuwen.
Alles bij de bron; Computable
- Gegevens
- Hoofdcategorie: Internet en Telecom
De GGD’s willen zo snel mogelijk stoppen met het omstreden softwaresysteem HPzone, dat gebruikt wordt voor het bron- en contactonderzoek.
Dat zegt Ellis Jeurissen, portefeuillehouder bron- en contactonderzoek bij de GGD’s. Volgens Jeurissen werkten de GGD’s al ‘aan de fundering’ van het systeem, maar komt er nu een nieuw systeem vanwege onthullingen deze week van RTL Nieuws. Dat meldde maandag dat privacygevoelige informatie uit zowel HPzone als een ander GGD-systeem wordt verhandeld.
Duidelijk is inmiddels dat gegevens van burgers die werden gestolen bij de GGD mogelijk vorig jaar al werden gebruikt door oplichters. De Fraudehelpdesk kan ongeveer veertig meldingen koppelen aan het datalek, meldt de NOS.
De Autoriteit Persoonsgegevens heeft de GGD onder ‘verscherpt toezicht’ gezet vanwege de affaire. De koepelorganisatie GGD GHOR stelt tegen de NOS echter hiervan niet op de hoogte te zijn gebracht.
Bron; Beveiliging
- Gegevens
- Hoofdcategorie: Internet en Telecom
GGD-medewerkers met toegang tot CoronIT, het registratiesysteem voor coronatesten, hebben ook toegang tot paspoort- of identiteitsnummers en gezondheidsverklaringen van gevaccineerde personen. Dat blijkt uit een GGD-werkinstructie die is ingezien door de Volkskrant.
Vele duizenden testmedewerkers hebben toegang tot dat systeem, dat inmiddels ook wordt gebruikt voor vaccinregistraties. Anders dan bij het testen slaan de GGD’s ook het ID-type (paspoort, ID-kaart of rijbewijs) én het bijbehorende ID-nummer op, blijkt uit de werkinstructie.
Om bij deze informatie te kunnen, zijn wel aanvullende gegevens (bijvoorbeeld de priklocatie) van de gevaccineerden nodig. De GGD heeft deze week stappen genomen om deze toegang te bemoeilijken, vertellen GGD-medewerkers aan de Volkskrant. De Tweede Kamer wil volgende week in debat over de gebrekkige databeveiliging bij de GGD’en...
...Uit gesprekken met betrokkenen bij het ministerie van Volksgezondheid blijkt dat er al vanaf het voorjaar 2020 zorgen waren over de privacy en veiligheid van de GGD-systemen. Onder anderen medewerkers van labs die de testuitslagen verwerkten, uitten hun zorgen. Zij konden allerlei persoonlijke data inzien, inclusief burger servicenummers, terwijl dat niet nodig was.
Ook was vanaf het begin duidelijk dat GGD-medewerkers bij álle data konden, ook al meldde de GGD-website dat medewerkers alleen de gegevens zagen van de persoon die ze moesten bellen. Volgens één betrokkene heeft het ministerie al in augustus hulp aangeboden om de privacyproblemen op te lossen, maar heeft de GGD dat categorisch geweigerd.
Alles bij de bron; Volkskrant
- Gegevens
- Hoofdcategorie: Internet en Telecom
Minister Hugo de Jonge zei het deze week tijdens het vragenuurtje nog maar eens, en nog eens en nog eens: de systemen waarmee de GGD’s werken voldoen aan de laatste normen wat betreft beveiliging: ‘Uiteindelijk is tegen dit type misdaad natuurlijk geen kruid gewassen.’
Een dag eerder wierp André Rouvoet, voorzitter van de GGD-koepel GHOR, een vergelijkbare verdedigingslinie op: ‘Dat er dan mensen zijn die over de rug van al deze mensen geld willen verdienen is ongehoord.’
Zowel Rouvoet als De Jonge gaan voorbij aan het feit dat ze juist níét alles hebben gedaan om deze gigantische privacyramp te voorkomen.
Deze ramp is geen incident, maar een direct en logisch gevolg van de rammelende systemen waarmee de GGD’s werken, die nooit zijn ontworpen met het idee de privacy van Nederlanders te beschermen. De aanwijzingen dat het fout kon gaan waren levensgroot aanwezig. Al in augustus vroeg een redacteur van Nieuwsuur aan de GGD of er een analyse van de risico’s van dataverwerking was gemaakt. Neuh, niet echt, was het antwoord. In alle hectiek was dat erbij ingeschoten. Maar privacy is echt heel belangrijk, hoor.
En toch wijzen zowel Rouvoet als De Jonge naar de criminelen: zíj zijn de echte schuldigen. Die criminelen doen hun werk in ieder geval beter dan de minister en de voorzitter van de GGD-koepel, die bewust moeten zijn geweest van de privacyrisico’s van de gare GGD-systemen.
De overheid wijst de laatste jaren vaak naar de grijpgrage handjes van Big Tech, maar vergeet de data van haar eigen burgers te beschermen. Van Big Tech kun je zeggen dat die weet wat ze doet, van de overheid in dit geval niet.
Alles bij de bron; Volkskrant
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Vrije Student wil de koppeling tussen de corona-IT systemen van de Rijksuniversiteit Groningen, de Hanzehogeschool en de GGD uitstellen. In een brief aan het bestuur van de universiteit laat de fractie in de universiteitsraad weten dat het vreest dat de privacy van de geteste studenten niet kan worden gewaarborgd in de systemen van de GGD.
De RUG en de Hanzehogeschool hebben samen een snelteststraat op de Zernike Campus. Deze draait nu nog zelfstandig op de systemen van de onderwijsinstellingen,
en een koppeling met de CoronIT van de GGD staat op de planning.
De Vrije Student wil die koppeling nu uitstellen. “De RUG heeft de verplichting om de medische gegevens van medewerkers en studenten heel goed te beveiligen, dat kan natuurlijk niet als je gebruik gaat maken van een onveilig systeem,” aldus fractievoorzitter David Jan Meijer. “De huidige RUG-systemen zijn wel veilig, laten we die vooral zelfstandig blijven inzetten om het testen te laten doorgaan.”
Alles bij de bron; OogTV
- Gegevens
- Hoofdcategorie: Internet en Telecom
Te koop: namen, adressen, burgerservicenummers en andere persoonsgegevens van mensen die zich de afgelopen periode hebben laten testen op corona. Het nieuws dat deze data zijn gestolen en verhandeld doet flink wat stof opwaaien.
De gestolen gegevens komen uit twee databases van de GGD: het systeem waarin medewerkers test- en vaccinatieafspraken registreren (CoronIT) en het dossier waarin ze informatie uit bron- en contactonderzoeken vastleggen (HPZone).
Als je je laat testen, worden in CoronIT je naam, adres, contactgegevens (zoals telefoonnummer of e-mailadres), bsn, geslacht en geboortedatum vastgelegd. Na een positieve test volgt een bron- en contactonderzoek, waarvan de resultaten in het HPZone-systeem terechtkomen. Denk aan informatie over waar je bent geweest, over je nauwe contacten en je klachten ("noodzakelijke medische gegevens").
Volgens NOS-techredacteur Joost Schellevis is alleen al de combinatie van iemands geboortedatum en postcode interessant voor criminelen. "Daar kom je bij sommige bedrijven al heel ver mee. En die gegevens zijn ook handig als je iemand wil lastigvallen."
Hoe weet je of jouw gegevens zijn gestolen? Dat is nog niet zo makkelijk, zegt ICT-hoogleraar Borgesius. "Even afwachten dus, je hoort het vanzelf", zegt Borgesius. Zelf zegt de GGD in een verklaring dat de dienst nu nog niets kan zeggen over welke gegevens op straat liggen. "Op het moment dat vast komt te staan dat uw gegevens gestolen zijn, dan is het onze plicht u daarover te informeren en dat zullen wij dan ook doen."
Techredacteur Joost Schellevis snapt dat mensen zich zorgen maken over de huidige beveiliging van persoonlijke data bij de GGD. "Dat geldt zeker zolang die automatische monitoring er nog niet is, die nu dus voor eind maart gepland staat. Het lastige is dat je slachtoffer kunt zijn van datalekken zonder dat je het weet. Je merkt het pas als er iemand misbruik van maakt. Houd dus gekke mailtjes en appjes in de gaten."
Alles bij de bron; NOS