Vorige week maakten Apple en Google bekend samen te werken aan een traceerfunctie voor corona-apps de onderliggende techniek die een app kan gebruiken. Apple en Google maken dus in feite de weg vrij voor ontwikkelaars om een app te bouwen. Omdat Android en iOS samen een miljardenpubliek bereiken, zitten veel mensen met vragen over de privacygevolgen, ook politici. Enkele Amerikaanse senatoren stelden daarom schriftelijke vragen aan Apple voor opheldering.
Enkele senatoren vroegen zich af hoe Apple de privacy van app-gebruikers wil gaan bewaken. Het bedrijf geeft onder meer aan dat personen expliciet toestemming moeten geven voor het versturen van hun gegevens, en dit dus niet op de achtergrond plaatsvindt. Tevens wordt informatie niet-herleidbaar gemaakt. Hierdoor is het moeilijker om achter de identiteit van een app-gebruiker te komen.
Verder mag de coronatracker alleen gegevens verzamelen die nodig zijn voor het achterhalen van de verspreiding en bestrijding van het coronavirus, en niet voor andere zaken. Tot slot is gebruik van de ‘coronatracker’ vrijwillig. Apple gaat dus niet zomaar een app op je iPhone installeren.
‘Het is niet nodig om straks in te loggen met een identificatiemiddel, zoals een Apple ID’, aldus Apple. ‘Gegevens worden niet doorgestuurd naar Apple of een nationale overheid. Toegang tot belangrijke informatie over persoonlijke gezondheid zou niet ten koste moeten gaan van iemands privacy’, schrijft het bedrijf stellig.
Alles bij de bron; IPhoned
Deze week ging me een licht op. Al jaren praat ik over data, datasturing en databescherming. Om duistere redenen noemen anderen dat beschermingsthema ‘privacy’ en dat heb ik nooit goed begrepen. Maar pas deze week zag ik welk fundamenteel maatschappelijk misverstand door dat rare begrip ‘privacy’ is ontstaan...
..Ik roep al eeuwen dat databescherming niet om privacy gaat. Maar nu begrijp ik pas dat je die bescherming, door haar wel onder de noemer ‘privacy’ op te voeren, als een private kwestie kunt beschouwen. Ten onrechte! Databescherming is niet een privaat, maar een algemeen belang en ligt in het hart van de rechtsstaat.
Als je het land gaat besturen met data, en dat zal in deze nieuwe coronasituatie versneld gaan gebeuren, moet je goed bedenken wat dat betekent voor de fundamentele beginselen van de rechtsstaat. Voor het legaliteitsbeginsel, de toegang tot de rechter, de betrouwbaarheid van de overheid en het recht op gelijke behandeling. ‘Privacy’, met zijn associatie van een luxe privéleventje, beschrijft dat terrein in de verste verte niet.
De toeslagenaffaire bij de Belastingdienst was niet zo’n ramp omdat mensen hun privacy kwijt waren, het was een ramp omdat aan onbetrouwbare data verregaande en foute conclusies werden verbonden.
De verleiding van sturen met data is groot: het oogt allemaal heel objectief. In feite zijn gegevens nogal eens onbetrouwbaar, weet je niet wat je weet als je meet, loop je het gevaar conclusies te verbinden aan foute diagnoses. En een app is geen toverstaf: als je hem introduceert om een epidemie te bestrijden, moet je nagaan of je wel kennis opdoet die hout snijdt.
Besluit je er eentje te maken, zorg dan voor wetenschappelijke betrouwbaarheid en juridische waarborgen. Juist in deze omstandigheden is dat van prominent belang, nu we fysiek afstand van elkaar houden en iedereen de digitale ruimte in sturen. De corona-app heet onderdeel te zijn van een ‘exit-strategie’, maar is in werkelijkheid deel van een ‘intro-strategie’. Er wordt een nieuwe manier van besturen geïntroduceerd.
Dames en heren bestuurders, de waarborgen zijn echt heel belangrijk. Het gaat bij de roep om dataprotectie niet om een flierefluiterig en luxe recht op wat individueel Lebensraum – ‘privacy’- maar om een evenwicht tussen economie en rechtsstaat. We gaan toch niet de regels afschaffen, omdat we nu data hebben? We gaan toch niet de rechtsstaat opheffen omdat we ziek zijn?
Alles bij de bron; NRC
De ministerraad heeft donderdag ingestemd met de instelling van een onafhankelijke commissie die de Wet op de inlichtingen- en veiligheidsdiensten (Wiv), in de volksmond 'sleepwet' genoemd, gaat evalueren. Deze commissie moet nog dit jaar gaan kijken of er knelpunten zijn bij de uitvoering van de wet en of de wet zin heeft gehad.
Hiermee wordt uitvoering gegeven aan een afspraak uit het regeerakkoord om de wet uiterlijk twee jaar na haar inwerkingtreding te evalueren.
De commissie gaat alleen onderzoeken hoe de wet werkt en niet hoe deze door de Nederlandse inlichtingendiensten wordt geïmplementeerd. De opleveringsdatum van een openbaar rapport staat gepland voor eind dit jaar, maar of die deadline gehaald wordt, is afhankelijk van de invloed die de coronamaatregelen hebben op de voortgang van het onderzoek.
Alles bij de bron; NU
Organisaties wereldwijd maken vandaag de dag steeds meer gebruik van de cloud en het internet of things (IoT). Daardoor het datavolume en het aantal datatypen voortdurend toenemen. Informatietechnologen (IT’ers) zien in dit groeipad de bescherming van persoonlijke klantgegevens door middel van encryptie als hoogste prioriteit.
Bedrijven en instellingen in Nederland vormen daarop een uitzondering, want in dit land wordt de versleuteling van data vooral gebruikt om de regelgeving na te leven.
Dit kun je opmaken uit ‘2020 Global Encryption Trends Study’, een onderzoeksrapport dat gebaseerd is op een onderzoek waarin is vastgelegd hoe organisaties over de hele wereld omgaan met compliance, toegenomen bedreigingen en de implementatie van encryptie om hun bedrijfskritische informatie en applicaties te beschermen. In totaal hebben 6.457 IT-professionals aan het onderzoek deelgenomen.
Voor het eerst staat het beschermen van persoonlijke klantgegevens op nummer 1 als belangrijkste reden om encryptie in te zetten. Dit geldt voor 54 procent van de respondenten. Naleving staat internationaal op de vierde plek (47%). In Nederland is de verdeling echter anders. Daar zien organisaties de naleving van de regelgeving als de belangrijkste drijfveer voor encryptie (63%).
Alles bij de bron; CustomerTalk
Als het kabinet slimme apps gaat inzetten bij de bestrijding van het coronavirus, wil de Autoriteit Persoonsgegevens daarover oordelen. Dat laat het orgaan dat de privacy van de Nederlanders bewaakt, in een verklaring weten.
Het kabinet maakte dinsdagavond na crisisberaad bekend de inzet van dergelijke apps te onderzoeken. Een app waarschuwt als je met een besmet persoon in aanraking bent geweest. Met een tweede app kan dan eenvoudig contact worden onderhouden met een arts.
"Zulke apps kunnen alleen als de privacy geborgd is. Anonimiteit is bij zo’n app het kernwoord", aldus de privacywaakhond. "Kan het niet anoniem, dan is er een aparte wet nodig."
Het kabinet sluit niet uit dat de apps verplicht worden.
Alles bij de bron; Dagblad070
In de strijd tegen corona is er een roep om apps te gebruiken om mogelijk besmette mensen op te sporen en zo de verspreiding van het virus te stoppen. Het idee is simpel: als iemand besmet is met corona, dan ga je na met welke mensen die persoon in contact is geweest. Als deze mensen in quarantaine gaan, stopt de uitbraak. Deze methode wordt contact tracing genoemd. Het zou een ideale manier zijn om de epidemie in te dammen, vooral na de lockdown.
Voor contact tracing moeten we wel even onze privacy opgeven, één probleem: contact tracing werkt niet...
...Bij de ebola uitbraak waren er in de regio op een gegeven moment letterlijk honderden verschillende contact tracing apps in omloop. Er is geprobeerd om via locatiegegevens van het mobiele netwerk besmettingen op te sporen. Geen van die pogingen tot contact tracing leverde iets op.
De afgelopen weken zijn Singapore, Korea, Hong-Kong en Taiwan regelmatig genoemd als landen waar contact tracing apps het virus hebben teruggedrongen. In alle vier de landen geldt echter ook een social distancing regime. Singapore, Hong-Kong en Taiwan hebben bovendien nog steeds te maken met een stijging van het aantal besmettingen. Singapore heeft het langst op contact tracing vertrouwd, maar heeft uiteindelijk toch de zwaardere vormen van social distancing moeten invoeren. Doordat de contact tracing apps te globale waarschuwingen geven, konden ze niet bijdragen aan het indammen van de pandemie.
Een groep experts van de Universiteit van Oxford werkt momenteel aan een app die op een privacyvriendelijke manier alle mensen waarschuwt die in de buurt zijn geweest van een besmette persoon. Hoe mooi en virologisch goed onderbouwd deze poging ook is, ook deze app gaat niet werken. De berekening gaat er vanuit dat we iedereen met corona-achtige verkoudheidsklachten kunnen testen en zelfs als dat haalbaar is, hebben de onderzoekers niet uitgerekend hoeveel mensen er dan eigenlijk in quarantaine moeten.
Dat getal is moeilijk exact te bepalen en het hangt sterk van af hoe actief mensen zijn en of ze op drukbezochte plaatsen geweest zijn, maar je hebt al snel over duizend mensen. En als het nodig is om ook de tweede- en derdegraads contacten in quarantaine te zetten, dan heb je het per positieve test al snel over honderdduizend tot meer dan een miljoen mensen.
Tel daar bij op dat de locatiebepaling van een mobiele telefoon altijd een foutmarge heeft. Die fout is zelden minder dan 4 meter en meestal veel meer. Om te compenseren voor die meetfout van 4 meter, moet je 25 keer zoveel mensen in quarantaine zetten. Dan hebben we het in het allergunstigste geval per positieve test over tienduizenden mensen in quarantaine. Een veel realistischer scenario is dat al bij een paar positief geteste personen de hele wereldbevolking volgens de app onmiddellijk in quarantaine moet. Dat is nog zwaarder dan de effectieve lockdown die er nu is.
Contact tracing gaat niet werken, niet bij een ziekte die zo besmettelijk is als corona. Het heeft dus geen zin om onze privacy op te geven voor contact tracing apps.
Alles bij de bron; Joop
Het verkeer van meer dan 200 content delivery networks (CDN's) en hostingpartijen waaronder Leaseweb, werd gekaapt door het Russische staatstelecombedrijf Rostelecom. In totaal werden meer dan 8800 internetroutes naar Amazon, Akamai, Facebook, Cloudflare en Google omgeleid door een zogeheten Border Gateway Protocol (BGP)-kaping, meldt ZDNet. De oorzaak kan liggen in een menselijke fout maar kan ook te maken hebben met een gerichte actie om interessant verkeer af te luisteren...
...Het opzetten van een BGP-kaping is niet heel lastig. Het protocol zorgt voor de routering van verkeer over het wereldwijde netwerk. Ieder netwerkonderdeel communiceert via dit protocol (een BGP-route) welke servers er op het netwerk te vinden zijn. Door bijvoorbeeld valselijk aan te kondigen dat de servers van Google op het netwerk aanwezig zijn, zal het verkeer die route kiezen. Zo'n valse aankondigingen in BGP kan het gevolg zijn van een typefout in het Autonomous System Number (ASN), maar ook een gerichte actie. Het gemak waarmee een valse BGP-route kan worden aangekondigd is een van de zwakheden van dit oude routeringsprotocol. Pogingen een veiliger variant van het protocol te introduceren hebben nog geen succes gehad.
Het is nu de vraag wat de achtergrond was van de kaping door Rostelecom. Het is niet de eerste keer dat het bedrijf verkeer kaapt. Zo werd in 2017 nog het verkeer naar de grootste financiële instellingen ter wereld zoals HSBC, Mastercard en Visa langs Rostelecom geleid.
Alles bij de bron; AGConnect
De digitale portemonnee Key Ring heeft door een open database de gegevens van miljoenen gebruikers gelekt, waaronder gescande identiteitsbewijzen en creditcards. Key Ring biedt naar eigen zeggen een vervanging voor de fysieke portemonnee, zodat gebruikers al hun klantenpasjes digitaal kunnen opslaan. Dat melden onderzoekers Noam Rotem en Ran Locar van vpnMentor.
Gebruikers kunnen hun bonuskaarten, klantenpasjes en andere loyaliteitskaarten scannen en in de app opslaan. Veel gebruikers gebruiken de app ook om kopieën van hun identiteitsbewijs, rijbewijs en creditcards op te slaan. Een verkeerd ingestelde Amazon Web Services (AWS) S3-bucket zorgde ervoor dat al deze geüploade scans voor iedereen op internet toegankelijk waren.
Key Ring claimt meer dan 14 miljoen gebruikers te hebben en voor de opslag van 60 miljoen gescande kaarten te worden gebruikt. In de database werden meer dan 44 miljoen afbeeldingen van gescande pasjes aangetroffen.
Key Ring werkt daarnaast ook als een marketingplatform voor grote Amerikaanse merken, zoals Mattel, Walmart en Footlocker. In de S3-bucket werden ook CSV-bestanden aangetroffen met abonnementslijsten en rapportages van deze bedrijven. De lijsten zouden de persoonlijke identificeerbare informatie van miljoenen mensen bevatten, zoals naam, e-mailadres, geboortedatum en adresgegevens.
Alles bij de bron; Security
Facebook deelt in de Verenigde Staten locatiegegevens, die het bedrijf middels zijn apps verzamelt, met onderzoekers. De wetenschappers geven verwerkte data vervolgens door aan Amerikaanse steden en staten, zodat die de effectiviteit van coronamaatregelen kunnen monitoren.
Onderzoekers van verschillende universiteiten zeggen dat de data zijn gedeeld met de stad New York en de staten Massachusetts en Californië. De verzamelde gegevens zijn gebaseerd op gps-informatie.
Facebook en de wetenschappers stellen dat de data meerdere keren gebundeld worden en dat de overheden geen directe toegang krijgen tot de ruwe locatiegegevens. Facebook-directeur Mark Zuckerberg zei in maart dat hij niet zou overwegen om locatiegegevens direct aan overheden te overhandigen.
Alles bij de bron; NU
Twitter meldt 'onlangs te hebben ontdekt' dat de manier waarop Mozilla Firefox gegevens van Twitter in de cache opslaat tot de onbedoelde opslag van niet-openbare gegevens kan leiden. Op deze manier kunnen privégegevens zoals informatie uit direct messages op straat komen te liggen, bijvoorbeeld als een Twitter-gebruiker heeft ingelogd op een systeem met Firefox van een derde. Ook zijn er malwaretools die de cache van browsers kunnen doorspitten.
De dienst heeft wijzigingen doorgevoerd om te voorkomen dat de persoonlijke gegevens in de cache van Mozilla's browser belanden. Hoe dan ook is de retentietijd van de cache van Firefox zeven dagen, zodat na die periode gegevens verwijderd worden. Bij Chrome, Safari en andere browsers speelde dit probleem niet, volgens Twitter.
Gebruikers van Firefox kunnen hun cache handmatig legen via Opties, Privacy & Beveiliging, Cookies en websitegegevens en vervolgende de gegevens bij Gebufferde webinhoud wissen.
Alles bij de bron; Tweakers