De Belgische consumentenorganisatie Testaankoop heeft bij de Gegevensbeschermingsautoriteit (GBA) een klacht ingediend over het nieuwe privacybeleid van LinkedIn. In het nieuwe beleid geeft LinkedIn zichzelf toestemming om gegevens, foto’s en privéberichten te gebruiken zonder zijn gebruikers daarvan op de hoogte te brengen wat in strijd met de AVG en Belgische wetgeving is, aldus Testaankoop.
"Zonder je toestemming te vragen, eigent LinkedIn zich het recht toe om al je zoekopdrachten, foto's, posts en zelfs je privéberichten te gebruiken om zijn artificiële intelligentie te trainen. Dat vinden wij niet kunnen en dus hebben we een klacht ingediend”, zegt Laura Clays, woordvoerder van Testaankoop.
"Wat LinkedIn doet is niet wettelijk. Het platform geeft aan dat gebruikers die bezwaar willen maken tegen een wijziging in het privacybeleid simpelweg hun account moeten verwijderen. Voor de vorm bestaat er wel een formulier om je bezwaar te uiten, maar de klantendienst reageert daar niet op, waardoor het niet effectief is", laat Testaankoop verder weten.
"Dit soort situaties zijn onaanvaardbaar en we roepen de Belgische Gegevensbeschermingsautoriteit dan ook op om meer toezicht te houden. Privacybescherming mag geen Far West worden, waarbij dit soort platformen maar doen wat ze willen met de data van hun gebruikers. Het belang van AI mag geen vrijgeleide zijn om zomaar regels met de voeten te treden."
Alles bij de bron; Security
...Het gaat om e-mailadressen, namen, telefoonnummers en fysieke adresgegevens van klanten van de fysieke winkels. De data werd eerder dit jaar buitgemaakt.
LDLC liet dit aan klanten weten en deed melding bij de Franse privacytoezichthouder. Hoe het datalek kon plaatsvinden liet de elektronicaketen niet weten.
De gestolen persoonsgegevens werden vervolgens op internet te koop aangeboden. De e-mailadressen zijn nu toegevoegd aan datalekzoekmachine Have I Been Pwned en van de 1,3 miljoen bij LDLC gestolen e-mailadressen was 63 procent al via een ander datalek bij de zoekmachine bekend.
Alles bij de bron; Security
Privacyorganisatie noyb heeft de Zweedse privacytoezichthouder IMY voor de rechter gesleept wegens het doorsturen van privacyklachten, zonder die daarna verder te behandelen. Volgens noyb komt het geregeld voor dat IMY klachten van burgers over een organisatie of bedrijf ontvangt dat onrechtmatig persoonsgegevens verwerkt. De Zweedse privacytoezichthouder stuurt vervolgens de klacht door naar de vermeende overtreder en sluit daarna meteen de klacht, zonder te controleren of de situatie echt is verholpen of verder onderzoek te doen.
Volgens noyb-oprichter Max Schrems is er zes jaar na de introductie van de AVG een situatie ontstaan waarbij toezichthouders zich gedragen alsof ze kunnen kiezen om de rechten van burgers te handhaven.
"EU-wetgeving vereist dat elke klacht wordt onderzocht en elke AVG-overtreding opgelost. De IMY lijkt te vergeten dat het een handhavende autoriteit is", merkt Schrems op.
"De IMY lijkt zijn eigen rol te verwarren met die van de post. Voor alleen het doorsturen van documenten hebben we niet nog een kostbare en onafhankelijke toezichthouder nodig", stelt Schrems. "Er is geen reden waarom mensen in Zweden niet dezelfde rechten zouden hebben als de rest van de EU."
Alles bij de bron; Security
Socialmediaplatform X heeft donderdag in een Ierse rechtbank toegezegd dat de data die tussen 7 mei en 1 augustus is verzameld voorlopig niet zal gebruiken zijn AI-chatbot Grok te trainen. Eerst moeten gebruikers in de EU de mogelijkheid krijgen hun toestemming in te trekken.
Het platform heeft gezegd dat alle gebruikers kunnen beslissen of hun openbare berichten gebruikt mogen worden om Grok te trainen. De rechter wees er echter op dat X op 7 mei begon met het verzamelen van data van EU-gebruikers, maar pas sinds 16 juli een afmeldmogelijkheid aanbiedt via de privacyinstellingen. Ook werd de optie aanvankelijk nog niet naar alle gebruikers uitgerold.
In juli zei de Ierse Data Protection Commission dat het 'verbaasd' was dat X Europese gebruikers automatisch toestemming laat geven voor het gebruik van hun data voor het trainen van Grok. Daarom had de DPC een rechtszaak aangespannen tegen X, waarin het eist om het verzamelen van data op X voor het trainen van AI te beperken of stop te zetten.
Alles bij de bron; Tweakers
Beveiligingsbedrijf ADT is getroffen door een inbraak op interne systemen, waarbij criminelen toegang hebben verkregen tot databases met klantgegevens. Een week geleden werd op internet een ADT-klantendatabase met dertigduizend records, waaronder een zelfde aantal e-mailadressen, op internet te koop aangeboden.
Het beveiligingsbedrijf zegt dat het onlangs met een 'cybersecurity-incident' te maken kreeg waarbij ongeautoriseerde actoren illegaal toegang tot bepaalde databases kregen met bestelinformatie van ADT-klanten. Het gaat om e-mailadressen, telefoonnummers en adresgegevens die gestolen zijn.
ADT zegt dat het op dit moment geen reden heeft om aan te nemen dat de beveiligingssystemen van klanten tijdens het incident gecompromitteerd zijn. Ook zijn er voor zover bekend geen creditcardgegevens of bankinformatie buitgemaakt. Het onderzoek naar de aanval is nog gaande.
Alles bij de bron; Security
Inclusief enkele ‘nieuwe’ vormen van online fraude is er in 2024 al voor 27 miljoen euro op internet gefraudeerd. Het bedrag is gebaseerd op bijna dertigduizend fraudemeldingen bij de Fraudehelpdesk. Zowel het aantal meldingen als het schadebedrag stegen fors, vooral door nieuwe trucs van criminelen...
...Relatief nieuw zijn scams met frauduleus thuiswerk waarbij slachtoffers wordt beloofd dat ze meer kunnen verdienen door te investeren, bijvoorbeeld in cryptovaluta, of door recensies over het bedrijf te schrijven. Die ‘winst’ wordt natuurlijk nooit uitbetaald.
Alles bij de bron; Cops-in-Cyberspace
Privacytoezichthouder AP heeft meerdere meldingen binnengekregen van datalekken die ontstonden nadat medewerkers persoonsgegevens van klanten en patiënten met een AI-chatbot hadden gedeeld. Niet alle organisaties zijn zich ervan bewust dat chatbots die informatie kunnen bewaren.
Het is niet duidelijk hoeveel meldingen de Autoriteit Persoonsgegevens (AP) precies binnenkreeg. De privacytoezichthouder komt wel met enkele voorbeelden.
Zo voerde een medewerker van een huisartsenpraktijk medische gegevens van patiënten in bij een AI-chatbot. Dit soort data zijn doorgaans zeer gevoelig. Om die zomaar te delen met een techbedrijf is volgens de AP "een grote schending van de privacy" van de betrokken patiënten. Ook kreeg de toezichthouder een melding binnen van een telecombedrijf. Daar had een medewerker een bestand met onder meer adressen van klanten ingevoerd in een AI-chatbot.
De meeste bedrijven die chatbots maken slaan alle ingevoerde gegevens op, waarschuwt de AP. "Die gegevens komen daardoor terecht op de servers van die techbedrijven, vaak zonder dat degene die de data invoerde zich dat realiseert", zegt de toezichthouder.
Het is vervolgens onduidelijk wat er met de ingevoerde gegevens gebeurt. Ook degene van wie de gegevens zijn, heeft daar geen weet van. Omdat techbedrijven toegang krijgen tot persoonsgegevens zonder dat het de bedoeling is, is er volgens de AP sprake van een datalek.
Alles bij de bron; NU
Een Duits hof heeft geoordeeld dat Microsoft niet zonder toestemming trackingcookies op de systemen van een Duitse gebruiker mag plaatsen, ook als dit inhoudt dat het helemaal moet stoppen met trackingcookies.
De gebruiker in deze zaak had een third-party website bezocht waarop Microsofts advertentiedienst actief was en er zonder haar toestemming cookies werden geplaatst. Uit forensisch onderzoek bleek dat Microsoft inderdaad zonder toestemming van de gebruiker cookies op haar systeem had geplaatst.
Eerder verwierp een rechtbank de zaak zonder tot een tussenvonnis te komen. De rechter oordeelde dat er geen gronden voor een bevel waren om het plaatsen van cookies te verbieden.
De gebruiker ging bij het hof in beroep tegen het oordeel en stelde dat de afweging van belangen in haar voordeel zou moeten uitvallen, aangezien er geen recht is op een onrechtmatig bedrijfsmodel, terwijl de gebruiker moet leven met de onzekerheid over waar haar data is, het verlies van controle en de angst dat de data met ongeautoriseerde partijen wordt gedeeld.
Het hof oordeelt dat Microsoft de e-Privacy verordening heeft overtreden en toestemming van de gebruiker nodig heeft voor het plaatsen van cookies. Daarbij moet Microsoft kunnen aantonen dat het toestemming heeft gekregen. Het hof erkende dat de betreffende gebruiker niet herkend kan worden als ze websites bezoekt en het bevel om niet zonder toestemming cookies te plaatsen daardoor niet alleen beperkt is tot de gebruiker en een universele oplossing vereist.
Dat een bevel verder gaat dan alleen de gebruiker die de zaak aanspande doet niets af aan de grond voor een bevel, aldus het hof. Dat zijn de gevolgen die Microsoft moet dragen vanwege de manier waarop het businessmodel is ingericht. Het hof oordeelde ook dat er voor websites technisch eenvoudig te implementeren oplossingen zijn om toestemming voor het plaatsen van cookies te krijgen.
Het hof verbood Microsoft dan ook om zonder toestemming cookies bij deze gebruiker te plaatsen. De Rechtbank Amsterdam oordeelde in juni ook al dat Microsoft niet zonder toestemming trackingcookies mag plaatsen.
Alles bij de bron; Security
Er ging van alles mis toen de gemeente Eindhoven een paar jaar geleden een nieuwe sportpas voor inwoners introduceerde. Privacychecks werden overgeslagen en waarschuwingen genegeerd. Dit blijkt uit onderzoek dat de gemeente liet uitvoeren.
De nieuwe sportpas werd in 2021 ingevoerd voor vaste bezoekers van gemeentelijke zwembaden, voordat er een wettelijke privacytoets was uitgevoerd. De sportpas moest de stadspas opvolgen die juist afgeschaft werd vanwege problemen met de privacy van Eindhovenaren.
De gemeente liet het onderzoek uitvoeren, toen een ethisch hacker de gemeente vorig jaar wees op de problemen, onder meer met de QR-code.
Toen de hacker contact opnam met de gemeente, werden de digitale poortjes van twee zwembaden direct gesloten. De hack en het datalek zijn een dag later gemeld bij privacywaakhond Autoriteit Persoonsgegevens.
Alles bij de bron; Studi040
Het Witte Huis en afgevaardigden van de Europese Unie, andere landen en 'industrieleiders' zijn deze week in de VS bijeengekomen om te praten over de risico's voor de staatsveiligheid van met internet verbonden auto's. Er werd gesproken over de data- en cybersecurityrisco's van connected cars en bepaalde onderdelen.
De deelnemende landen bevestigden dat connected cars een steeds grotere rol in de vitale infrastructuur spelen, omdat ze verbonden zijn met andere voertuigen, persoonlijke apparatuur, telecomnetwerken, het elektriciteitsnet en andere infrastructuur, zo meldt het Amerikaanse ministerie van Buitenlandse Zaken.
De Office of the Director of National Intelligence (ODNI) had connected cars eerder nog "smartphones op wielen" genoemd en beschreef verschillende risico's, waaronder het stelen van persoonlijke informatie, volgen van personen en zelfs het 'hacken' van auto's.
"De meeste auto's vandaag de dag zijn connected - het zijn net smartphones op wielen. Deze auto's zijn verbonden met onze telefoons, navigatiesystemen, vitale infrastructuur en met de bedrijven die ze hebben gemaakt. Deze voertuigen kunnen op afstand worden benaderd en uitgeschakeld", waarschuwde president Biden eerder dit jaar.
De Verenigde Staten en 'like-minded' landen zijn deze week overeengekomen dat ze naar mogelijkheden gaan kijken voor het invoeren van cybersecurity-standaarden voor auto's en het coördineren van beleidsmaatregelen om de risico's van connected cars tegen te gaan.
Alles bij de bron; Security