De gemeente Amersfoort erkent dat het persoonsgegevens van inwoners, die het onlangs lekte, langer dan noodzakelijk bewaarde en daarmee de AVG heeft overtreden. "Het beginsel van de AVG om persoonsgegevens niet langer te bewaren dan voor het doel waarvoor ze verwerkt worden is niet nageleefd", reageert het college van burgemeester en wethouders.
In het verwerkingsregister van de gemeente Amersfoort staat dat gegevens over afspraken die met de afdeling Burgerzaken zijn gemaakt na vijf jaar moeten zijn verwijderd na een succesvolle afhandeling van het verzoek. Bij een 'afgebroken verzoek' moet de data al na een jaar weg zijn.
Tevens heeft de gemeente de leverancier waar de gegevens werden gestolen in gebreke gesteld.
Alles bij de bron; Security
Privacywaakhond Autoriteit Persoonsgegevens heeft Netflix een Europese boete van 4,75 miljoen euro opgelegd. De streamingdienst heeft klanten tussen 2018 en 2020 onvoldoende geïnformeerd over hoe het bedrijf omgaat met de persoonsgegevens van gebruikers.
Ook schoot de streamingdienst tekort in het informeren over de reden (de zogenoemde grondslag) waarom persoonsgegevens worden verzameld en was Netflix onduidelijk over hoe het bedrijf ervoor zorgt dat de persoonsgegevens veilig blijven wanneer het bedrijf die naar landen buiten Europa verstuurt.
De boete is het gevolg van een klacht die was ingediend door de Oostenrijkse privacyorganisatie None of your business (noyb).
Alles bij de bron; NU
Militairen uit onder meer Nederland maken gebruik van Tinder en zijn daardoor te traceren via trilateratie. Dat ontdekte Follow The Money, die op deze manier verschillende militairen heeft gevolgd. Defensie staat het gebruik van de app toe.
FtM heeft drie Tinder-accounts aangemaakt en de locatie gespooft naar 'militair gevoelige locaties' in Nederland en daarbuiten, zoals kazernes, oefenterreinen en NAVO-bases. De datingapp toonde vervolgens alle profielen die zich binnen een bepaalde radius bevonden, bijvoorbeeld 5 kilometer, waarvan 'honderden' afkomstig waren van militairen. Die maakten hun functie vaak zelf kenbaar op hun profiel.
Doordat Tinder aangeeft hoever de gebruiker verwijderd is van zo'n profiel, konden de journalisten de exacte locaties van deze militairen achterhalen via verschillende vormen van trilateratie. Dat kan bijvoorbeeld door de eigen locatie op drie verschillende posities neer te zetten en de 'afstand tot...' te berekenen. Door dat te blijven doen, is het mogelijk om een account te blijven volgen, zolang diegene is ingelogd op Tinder.
FtM ontdekte zo van verschillende militairen onder meer waar ze woonden, waar ze uitgingen en waarheen ze werden uitgezonden.
In een onderzoek uit augustus werd al duidelijk dat de locatiegegevens van Tinder-gebruikers eenvoudig te achterhalen zijn middels trilateratie. Ondanks deze eerdere bevindingen heeft Tinder de vastgestelde veiligheidsproblemen dus nog niet opgelost.
Verschillende andere datingapps die in dat onderzoek naar voren kwamen, hebben inmiddels de locatiebepaling minder accuraat gemaakt. Eerder werden soortgelijke beveiligingsproblemen al ontdekt bij fitnessapps als Strava en Polar Flow. Het ministerie van Defensie besloot daarop om het gebruik van zulke apps op diensttelefoons te verbieden. Datingapps als Tinder worden echter nog steeds toegestaan.
Alles bij de bron; Tweakers
De Europese Commissie heeft via een reclamecampagne op het socialemediaplatform X geprobeerd om Nederlanders te beïnvloeden door gevoelige persoonsgegevens te gebruiken. Daarmee overtreedt het de wetten die de Commissie zelf moet controleren.
De Commissie zocht met de campagne steun voor een omstreden wetsvoorstel om online kindermisbruik tegen te gaan. Volgens experts is het wetsvoorstel niet effectief tegen online kindermisbruik en schendt het mensenrechten en de privacy van burgers.
Om te zorgen dat de kritiek niet de overhand kreeg, probeerde de Europese Commissie de stemming te draaien. Dat gebeurde met een gerichte advertentiecampagne op X, ontdekte technologie-onderzoeker Danny Mekic.
Toen Mekic op onderzoek uit ging, zag hij dat de Commissie de campagne specifiek tot bepaalde groepen mensen richtte. "Ze maakten gebruik van reclametargeting op basis van politieke en geloofsovertuigingen. Dat mag gewoon niet volgens de wet." Ook werden de reclames alleen getoond in landen die niet vóór het wetsvoorstel hadden gestemd, waaronder Nederland.
Via een Nederlandse klacht kwam de zaak terecht bij de Europese privacytoezichthouder EDPS. Die heeft nu bepaald dat de Europese Commissie inderdaad een beïnvloedingscampagne heeft ingezet. En dat mag niet.
Sterker nog, de EU overtreedt daarmee zijn privacywetgeving. Bizar, vindt Mekic. "Ze hebben iets gedaan wat niet moet kunnen, op basis van de wet waarop de Commissie zelf toezicht moet houden."
Alles bij de bron; NU
Eigenaren van 'slimme' apparaten doen er verstandig aan om er een apart (gast) wifi-netwerk voor te gebruiken, om zo gevoelige activiteiten op andere systemen te beschermen, zo adviseert de Duitse overheid.
Volgens de Duitse overheidsinstantie kunnen criminelen van onveilige apparaten misbruik maken. "In principe kan elk apparaat verbonden met internet een doelwit voor cybercriminelen zijn, of het nu een smartphone of smart fotolijstje is", aldus het BSI. De organisatie stelt dat veel mensen de veiligheid van 'smart' devices negeren als ze tot aankoop overgaan.
"Met een apart (gast) wifi-netwerk dat alleen voor smart devices wordt gebruikt, kunnen consumenten ze scheiden van bijvoorbeeld de computer die ze voor gevoelige activiteiten zoals internetbankieren gebruiken. Een mogelijke infectie met malware kan dan niet van het smart device naar de computer verspreiden", gaat het advies verder. De overheidsinstantie heeft een uitleg online waarin het beschrijft hoe een wifi-gastnetwerk is in te stellen.
Alles bij de bron; Security
De Autoriteit Persoonsgegevens (AP) heeft in twee recente nieuwsbrieven een trackingpixel meegestuurd. Dat laat de privacytoezichthouder in de nieuwste nieuwsbrief weten.
"Bij de AP gaat helaas ook wel eens iets niet goed. In de laatste 2 nieuwsbrieven hebben we onbedoeld een tracking pixel meegestuurd. Deze pixel registreerde of een nieuwsbrief werd geopend", aldus de toezichthouder. "Dit past niet in ons beleid."
De toezichthouder zegt dat het de via de trackingpixel verkregen gegevens heeft vernietigd. "Ook hebben we ervoor gezorgd dat de tracking pixel in eerder verstuurde nieuwsbrieven geen nieuwe gegevens meer kan verzamelen." Verdere details zijn niet gegeven.
Eerder dit jaar waarschuwde de Autoriteit Persoonsgegevens nog politieke partijen voor het gebruik van trackingpixels.
Bron; Security
De criminelen achter de Termite-ransomware claimen verantwoordelijk te zijn voor de aanval op softwarebedrijf Blue Yonder en zeggen 680 gigabyte aan data te hebben buitgemaakt, waaronder tweehonderdduizend documenten, duizenden mailinglists en databasedumps en verzekeringsinformatie.
Blue Yonder biedt software voor ondersteuning van de logistieke keten en distributie, alsmede HR, zoals salarisadministratie. Op 21 november was de 'managed services hosted environment' van het softwarebedrijf doelwit van een ransomware-aanval, zo liet het bedrijf eerder weten. Koffieketen Starbucks, Britse supermarktketens Morrisons en Sainsbury’s alsmede Hema en Jumbo in Nederland voelden de gevolgen van de ransomware-aanval.
Blue Yonder zegt met de claims van de ransomwaregroep bekend te zijn, maar laat niet weten of die ook kloppen. Het onderzoek naar de aanval is nog gaande.
Alles bij de bron; Security
Onderzoekers van de Universiteit Leiden en de TU Delft hebben vastgesteld dat een groot aantal gevoelige bestanden, waaronder API-sleutels en inloggegevens, per ongeluk is blootgesteld via misconfiguraties in cloudopslag.
Het onderzoek toont aan dat 215 gevallen van blootgestelde geheime bestanden zijn geïdentificeerd. Deze bestanden kunnen toegang verlenen tot databases, cloudinfrastructuur en externe API's, waardoor er aanzienlijke veiligheidsrisico's ontstaan.
Na de ontdekking van de lekken hebben de onderzoekers de betrokken organisaties en cloudproviders op verantwoorde wijze geïnformeerd. In 95 gevallen zijn de problemen vervolgens verholpen.
De toenemende afhankelijkheid van clouddiensten voor opslag en implementatie maakt het beveiligen van cloudomgevingen van cruciaal belang. Misconfiguraties in cloudopslag kunnen leiden tot onbedoelde blootstelling van gevoelige gegevens.
Het is van essentieel belang dat organisaties hun cloudomgevingen zorgvuldig configureren en beveiligen om dergelijke incidenten te voorkomen.
Alles bij de bron; Dutch-IT-Channel
De geplande online openbaarmaking van het oorlogsarchief op 2 januari aanstaande is na een formele waarschuwing van de Autoriteit Persoonsgegevens (AP) uitgesteld.
De Autoriteit waarschuwde het Nationaal Archief voor het online openbaar maken van het oorlogsarchief, omdat dit in strijd met de Archiefwet en de Algemene verordening gegevensbescherming (AVG) is.
Het CABR is het grootste en meest geraadpleegde archief over de Tweede Wereldoorlog in Nederland. In het archief zijn dossiers opgenomen van personen die na de Tweede Wereldoorlog verdacht werden van collaboratie met de Duitse bezetter.
Het archief bevat ongeveer 485.000 dossiers van personen die verdacht werden van collaboratie of hiervoor berecht zijn. Het archief bevat veel strafrechtelijke gegevens, ook van mogelijk nog levende mensen, bijvoorbeeld in processen-verbaal, verhoren en getuigenverklaringen. In de dossiers zitten ook persoonlijke documenten zoals brieven, dagboeken en foto’s. Daarmee bevat het CABR ook veel gevoelige gegevens over bijvoorbeeld de religie, politieke voorkeur, gezondheid of etniciteit van mensen, aldus de Autoriteit Persoonsgegevens.
"Deze gevoelige gegevens hebben niet alleen betrekking op de verdachten, maar bijvoorbeeld ook op slachtoffers, getuigen en nabestaanden die in 2025 mogelijk nog in leven zijn. De wet – ook de Archiefwet – schrijft voor dat gevoelige gegevens niet zomaar voor iedereen beschikbaar mogen worden gemaakt als ze gaan over mensen die in leven zijn", laat de toezichthouder weten.
De AP had naar eigen zeggen geen andere keuze dan de minister van Onderwijs formeel te waarschuwen dat de geplande online openbaarmaking van het CABR op deze manier niet kan doorgaan. Een wettelijke grondslag kan volgens de AP wel gecreëerd worden in de Archiefwet. Daarom komt de minister met een wetswijziging met daarin een grondslag voor verwerking van bijzondere, strafrechtelijke en gewone persoonsgegevens die zijn bewaard voor archiveringsdoeleinden.
Alles bij de bron; Security
Verschillende systemen rond de Roemeense verkiezingen kregen de afgelopen weken meer dan 85.000 cyberaanvallen te verwerken.
Onder meer de IT-infrastructuur van AEP, de Roemeense verkiezingsautoriteit, is op 19 november aangevallen. Ook zijn inloggegevens van verkiezingswebsites en het centraal verkiezingsbureau (bec.ro) gestolen en gelekt op een Russisch hackersforum.
De Roemeense inlichtingendienst spreekt van 85.000 aanvallen op verkiezingsinfrastructuur. Die aanvallen gingen door tot 25 november, de avond na de eerste verkiezingsronde.
Ook op sociale media werd er last minute een stevige offensief gestart in het voordeel van Georgescu. Meer dan honderd Roemeense TikTok influencers begonnen de relatief kleine kandidaat te promoten, waardoor hij ook in de top tien van onderwerpen opdook.
Deze week maakte TikTok zelf bekend dat het een netwerk van accounts heeft verwijderd die in het geheim campagne voerden voor Georgescu. Het merkte onder meer dat er meer dan 25.000 accounts plots zeer actief werden vlak voor de verkiezing.
Alles bij de bron; Dutch-IT-Channel