Databeveiliging & Dataverlies
- Gegevens
- Hoofdcategorie: Internet en Telecom
Uit onderzoek van Capterra onder bijna 1.000 Nederlanders die het afgelopen jaar een (online) afspraak met een arts hadden blijkt dat bijna 70% er niet volledig op vertrouwt dat zorginstellingen veilig omgaan met hun patiëntinformatie. 15% heeft zelfs weinig tot geen vertrouwen. Slecht 17% van de ondervraagde Nederlanders vindt dat de privacy van patiëntgegevens momenteel goed is geregeld in de zorg.
De meeste ondervraagden zeggen zich bewust te zijn welke gegevens ze delen met hun arts via digitale toepassingen. Bijna een kwart maakt zich zorgen hoe deze persoonsgegevens via de digitale toepassingen wordt verwerkt. Hoewel Nederlanders zich zorgen maken over de privacy van gezondheidsapps, gebruikt een derde deze apps. De populairste apps zijn de apps die stappen tellen (59%), slaap meten (36%), hartslag monitoren (30%) en CoronaMelder (30%).
Dat de zorgen over de beveiliging van gezondheidsinformatie niet helemaal onterecht zijn blijkt uit onderzoek van The Internet Cleanup Foundation, een Nederlandse stichting die onderzoek doet naar de basisbeveiliging van websites en e-mailservers. De Volkskrant schrijft hierover.
Alles bij de bron; AGConnect
- Gegevens
- Hoofdcategorie: Internet en Telecom
Western Digital zegt dat de hackers achter de kwaadaardige software in My Book Live- en Live Duo-harde schijven, waardoor gebruikers van de schijven massaal hun data kwijtraakten bij het aansluiten op internet, een zeroday gebruikten en geen bug uit 2018.
In eerste instantie werd gedacht dat er gebruik werd gemaakt van een kwetsbaarheid die sinds 2018 bekend was. In een update op hun website schrijft Western Digital dat uit nader onderzoek blijkt dat het gaat om een zeroday, een niet eerder ontdekte kwetsbaarheid die al in 2011 werd geïntroduceerd aan My Book Live als onderdeel van een refactor van de authentificatielogica in de firmware van de harde schijf. De kwetsbaarheid maakte het mogelijk om op afstand code uit te voeren via een administrator api, waardoor zonder inlog een factory reset kan worden ingesteld.
Volgens securitybedrijf Censys zijn ruim 51.000 My Book Live-apparaten die via internet toegankelijk zijn inmiddels gecompromitteerd. Het zou ook om drieduizend apparaten in Nederland gaan. Western Digital zal vanaf begin juli slachtoffers van wie de data is gewist "data recovery services" aanbieden. Ook komt er een omruilactie zodat eigenaren van een kwetsbare My Book Live kunnen upgraden naar een nog wel ondersteund My Cloud-apparaat.
Alles bij de bronnen; Tweakers & Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een hacker heeft gegevens gewist van verschillende mensen die in het bezit zijn van een harde schijf van Western Digital, meldt Motherboard.
Het gaat om de zogeheten My Book Live-harde schijven die tussen de 2 en 24 terabyte aan ruimte hebben om gegevens op op te slaan. De schijven zijn standaard verbonden met het internet. Door een cloudfunctie hebben gebruikers ook op afstand toegang tot hun gegevens.
Sommige eigenaren merkten de afgelopen week dat hun harde schijven ineens waren teruggezet naar de fabrieksinstellingen. Daarbij zijn al hun gegevens verloren gegaan.
Western Digital zegt de zaak te onderzoeken en raadt mensen aan om de betreffende harde schijven voorlopig niet meer met het internet te laten verbinden.
Alles bij de bron; NU
- Gegevens
- Hoofdcategorie: Internet en Telecom
Het moet makkelijker worden om een schadevergoeding te krijgen bij datalekken of onrechtmatige gegevensverwerking. Zo’n stok achter de deur is belangrijk voor de naleving van de Algemene verordening gegevensbescherming (AVG). Dat stelt Tim Walree, onderzoeker en docent privaatrecht & technologie aan de Radboud Universiteit in Nijmegen in zijn promotie-onderzoek. Walree is als promovendus verbonden aan het Onderzoekcentrum Onderneming & Recht...
...In zijn promotieonderzoek bekeek Tim Walree daarom of en hoe het recht op schadevergoeding via civielrechtelijke procedures kan helpen bij de handhaving van de AVG.
‘De regels zoals die gelden in de AVG zijn niets waard als die niet gehandhaafd kunnen worden. Dat kan op twee manieren: door een toezichthouder, maar ook via het civiele recht,’ legt Walree uit. ‘We zien nu eigenlijk dat de toezichthouder niet voldoende middelen heeft om de AVG goed te handhaven. Maar als consumenten zelf via het civiele recht schadevergoedingen kunnen eisen bij organisaties die onzorgvuldig met data omgaan, zorgt dat óók voor een financiële prikkel bij die organisaties, wat op termijn ook voor betere naleving zorgt.’...
... Daarnaast zouden vooraf bepaalde bedragen vastgesteld kunnen worden, uit te keren bij substantiële inbreuk op de AVG. ‘Denk bijvoorbeeld aan een bedrijf dat zonder te informeren je gegevens doorverkoopt, of uitgelekte informatie over je afspraken bij de dokter.’
Walree: ‘Door organisaties te verplichten in zulke gevallen direct een vergoeding van bijvoorbeeld enkele honderden euro’s uit te keren, neem je ook wat apathie weg bij mensen. Het mes moet aan twee kanten gaan snijden: als mensen weten welk bedrag ze kunnen verwachten ondernemen ze eerder actie, waardoor organisaties ook eerder onder druk staan om de AVG voldoende serieus te nemen.’
Alles bij de bron; Computable
- Gegevens
- Hoofdcategorie: Internet en Telecom
Cruisemaatschappijen Holland America Line, Carnival Cruise Line en Princess Cruises zijn getroffen door een datalek nadat een aanvaller toegang wist te krijgen tot e-mailaccounts van moedermaatschappij Carnival Corp. Er zijn aanwijzingen dat er misbruik van de gestolen data wordt gemaakt. Dat blijkt uit een datalekmelding die het bedrijf deed bij de procureur-generaal van de Amerikaanse staat Montana (pdf).
Volgens Carnival Cruise heeft een aanvaller op 19 maart toegang tot een aantal e-mailaccounts gekregen. In deze accounts was persoonlijke informatie aanwezig van gasten en medewerkers. Het gaat onder andere om namen, adresgegevens, telefoonnummers, paspoortnummers, geboortedatum, gezondheidsinformatie en nationale identificatienummers. Hoe de aanvaller kon inbreken op de accounts is niet bekendgemaakt.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Onbekenden hebben toegang gekregen tot een database van Qualifio, een bedrijf dat online formulieren aan sites levert. Hierdoor zijn persoonsgegevens van zeker 5100 Bnnvara- en VPRO-leden en -abonnees uitgelekt. Van een deel zijn ook bankrekeningnummers uitgelekt.
Mogelijk zijn er ook gegevens van andere bedrijven gelekt, aangezien Qualifio veel klanten had. Op de website van het bedrijf staan bedrijven als Mailchimp, Adobe, Salesforce, Nestlé, MediaMarkt en L'Oréal vermeld. Het is niet duidelijk of deze bedrijven daadwerkelijk slachtoffer zijn van het datalek.
Het datalek ontstond na een update waardoor een Qualifio-database 'een aantal dagen' openbaar toegankelijk was. Qualifio bevestigt volgens de omroep dat deze gegevens ook daadwerkelijk zijn benaderd. Het gaat om naam- en adresgegevens, geboortedata en bankrekeningnummers. Deze gegevens zijn door 'onbevoegden' buitgemaakt, schrijft de omroep. Het lek zou inmiddels gedicht zijn.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
Labonovum, een aanbieder van bloed-, speeksel- dna- en urinetesten, heeft de privégegevens van duizenden klanten gelekt. Het zou volgens NU.nl gaan om de namen, e-mailadressen, woonplaatsen en postcodes van naar schatting ruim zesduizend mensen. De site werd via een tipgever erop gewezen dat de persoonsdata via de website van Labonovum voor iedereen toegankelijk waren.
Het bedrijf biedt via PostYourLab verschillende testpakketten, onder andere om te testen op corona-antistoffen. De website laat het volgende weten: "Download je gegevens tijdig. De resultaten blijven 30 dagen beschikbaar. Daarna worden je gegevens verwijderd." Aan de hand van de gevonden data blijkt dat niet zo te zijn. De directeur van Labonovum laat in een reactie weten dat die tekst niet goed omschrijft hoe het bedrijf met persoonlijke gegevens omgaat. Labonovum zal gegevens voortaan wel na dertig dagen verwijderen.
Labonovum is van plan om alle gedupeerde klanten vandaag te informeren en aangifte bij de politie te doen. Het bedrijf kijkt nog of het de Autoriteit Persoonsgegevens moet waarschuwen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Autoriteit Persoonsgegevens (AP) heeft een bedrijf een boete van € 15.000,- opgelegd, omdat het in een verzuimsysteem bijhield welke klachten zieke medewerkers hadden. Daarnaast was het systeem ook niet voldoende beveiligd.
Gezondheidsgegevens zijn bijzondere persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming. Dat betekent dat het verwerken van die persoonsgegevens in principe verboden is, tenzij sprake is van één van de uitzonderingen genoemd in de wet.
Zo is het verboden dat de werkgever vragen stelt aan de zieke werknemer die gaan over de aard en/of de oorzaak van de ziekte. Ook als de medewerker deze informatie op eigen initiatief verstrekt, mag deze informatie niet worden vastgelegd of gedeeld.
De AP legt het bedrijf in kwestie een boete op voor het overtreden van het verwerkingsverbod van bijzondere persoonsgegevens en voor het niet treffen van passende beveiligingsmaatregelen...
...De verzuimregistratie was ook onvoldoende beveiligd. Zo was de verzuimregistratie online toegankelijk, zonder een vorm van authenticatie. Als een verzuimregistratiesysteem via internet toegankelijk is, mag de toegang tot het systeem alleen via meerfactor-authenticatie verlopen.
Alles bij de bron; BinnlandsBestuur
- Gegevens
- Hoofdcategorie: Internet en Telecom
Testen voor Toegang, het platform van de Stichting Open Nederland dat in opdracht van Het Rijk coronatesten faciliteert voor evenementen waarbij test- of vaccinatiebewijzen verplicht zijn, had zijn e-mailinstellingen niet op orde, Daardoor was spoofing van het afzenderadres mogelijk.
Het Financieele Dagblad schrijft dat Testen voor Toegang zijn Sender Policy Framework Record niet had ingesteld; dat is een authenticatiemethode die ontworpen is om het vervalsen van het afzenderadres te voorkomen. Het lukte de krant, in samenwerking met securitybedrijf KnowBe4, om een e-mail naar zichzelf te versturen met als afzender
De website is sinds twee weken actief. Het lek is nu naar alle waarschijnlijkheid gedicht, hoewel het FD dat niet uitdrukkelijk zegt. Wat het wel zegt is dat de stichting het lek 'moet dichten' en dat de e-mailbeveiliging 'niet op orde was', wat impliceert dat het lek inmiddels inderdaad gedicht is.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
Mensen die bij een commerciële teststraat een test doen, zijn verplicht een burgerservicenummer (bsn) te delen. En bij sommige bedrijven ook een documentnummer. Klanten maken zich zorgen over de veiligheid van deze gegevens. Is dat terecht?
Gerrie uit Apeldoorn kon niet anders. Een testuitslag van de GGD duurde te lang, dus maakte Gerrie een afspraak bij spoedtest.nl, een commerciële snelteststraat, met een locatie bij haar om de hoek. Voor de afspraak was ze verplicht bsn en het paspoortdocumentnummer te delen. Door het unieke karakter van het persoonsnummer en het documentnummer zijn de gegevens aantrekkelijk voor fraudeurs en criminelen. Het laatste jaar zijn door datalekken en hacks veel persoonsgegevens in verkeerde handen gekomen.
Het delen van gegevens met snelteststraten geeft extra risico’s. Uit onderzoek van Nieuwsuur bleek dat de persoonlijke en medische informatie van tienduizenden mensen die zich lieten testen op corona bij U-Diagnostics, onvoldoende was beveiligd. Open en bloot werden de gegevens gedeeld in WhatsAppgroepen met honderden leden.
Het gebruik van het bsn is aan inflatie onderhevig. Toenmalig staatssecretaris Louw de Graaf zei in 1988 bij de invoering van het sofinummer - voorloper bsn - dat het alleen gebruikt werd voor belastingen, inkomens en uitkeringen. Tegenwoordig wordt het gebruikt door gemeenten, UWV, ziekenhuizen, banken, scholen, GGD en commerciële teststraten...
...Privacydeskundige Van der Sloot begrijpt dat positieve testen naar de GGD moeten, maar meent dat het ook kan zonder delen van bsn. ,,En waarom moeten álle mensen hun bsn afstaan en niet alleen mensen die positief testen? Het grootste gedeelte test negatief.” Hij ziet dat sinds de coronacrisis de datahonger van overheid en bedrijven toenam en sommige wetten ten koste van de privacy worden doorgevoerd. ,,Pas als het een paar keer echt fout gaat, bijvoorbeeld door identiteitsfraude of de komst van een dictatoriaal regime die andere doelen voor ogen heeft met de gegevens, wordt men bewust van het belang van privacy. De vraag is of het dan nog op tijd is.”
Met de komst van toegangstesten, waarbij mensen op vertoon van een negatieve testuitslag een concert, voetbalwedstrijd of een museum mogen bezoeken, groeit het aantal tests door commerciële partijen, omdat deze toegangstesten niet door de GGD worden gedaan. De ondernemers die door het ministerie zijn ingeloot om deze testen af te nemen, worden in NRC omschreven als cowboys, zonder medische ervaring en zonder duidelijke ervaring met het beschermen van persoonsgegevens. Zij sprongen vorig jaar in het gat dat ontstond omdat bij de GGD grote tekorten waren en mensen lang moesten wachten op een test...
...Sinds ze een test deed bij spoedtest.nl controleert de Apeldoornse Gerrie vaker haar bankafschrijvingen, uit angst dat haar bsn en documentnummer door anderen is gebruikt om aankopen te doen. Ze is huiverig met delen van gegevens. Vorige zomer weigerde Gerrie ook gegevens in te vullen toen ze op een terras wilde zitten. ,,Je weet nooit wat er gebeurt, altijd gebeurt er toch meer met je gegevens dan ze aanvankelijk zeggen.”
Alles bij de bron; Tubantia