Het Nederlandse Nationaal Cybersecurity Centrum (NCSC) heeft onthuld dat het gevoelige informatie heeft gedeeld met buitenlandse overheden zonder de juiste juridische bevoegdheid.
De gegevens, waaronder IP-adressen van systemen die zijn gecompromitteerd door een door de Chinese staat gesponsorde cyberaanval, werden gedeeld met cybersecurity-instanties in Canada, Japan, het Verenigd Koninkrijk en de Verenigde Staten.
Een interne beoordeling heeft uitgewezen dat het NCSC zijn wettelijke bevoegdheid heeftoverschreden door deze informatie te delen met landen buiten de EU.
Als gevolg hiervan heeft het agentschap het incident gemeld als een datalek bij de Nederlandse gegevensbeschermingsautoriteit.
Alles bij de bron; Dutch-IT-Channel
Vodafone heeft wegens het jarenlang illegaal gebruik van verkeersgegevens van klanten van de Rijksinspectie Digitale Infrastructuur (RDI) een boete van 160.000 euro gekregen. De verkeersgegevens werden door Vodafone gepseudonimiseerd en samengevoegd tot tellingen van groepen mensen op een bepaald moment binnen een bepaald gebied.
Een aanbieder van mobiliteitsinformatie kreeg via een softwaresysteem toegang tot deze tellingen, waar deze zoekopdrachten op kon uitvoeren. "Verkeersgegevens zijn privacygevoelig, omdat het bijvoorbeeld informatie geeft over de locaties van bellers en tijdstippen van telefoongesprekken. Vodafone mag deze gegevens alleen gebruiken voor wettelijk toegestane doelen, zoals haar eigen facturering. Vodafone had de verkeersgegevens niet intern mogen verwerken voor dit samenwerkingsproject", aldus de RDI.
Alles bij de bron; Security
Privacygevoelige informatie van chauffeurs is door Uber gedeeld met opsporingsinstanties buiten de Europese Unie (EU). Het gaat onder meer om namen, foto's en gegevens over inkomsten van Europese chauffeurs.
Uit uitgelekte data die in handen is van een internationaal journalistencollectief blijkt dat Uber in 2019 gehoor heeft gegeven aan een verzoek van de Colombiaanse overheid, die gegevens opvroeg over een chauffeur. Uber zou hierop een lijst met alle ritten, de persoonsgegevens en de inkomsten van deze persoon aan de Colombiaanse autoriteiten hebben overhandigd.
Ook zou uit de uitgelekte data blijken dat Uber zich actief inzet om mee te werken met buitenlandse autoriteiten, met als doel de banden met deze overheden aan te halen.
Het taxibedrijf benadrukt zich aan de Europese wet te houden. Zo meldt het alle verzoeken te beoordelen en daarbij alle regelgeving, de rechten en de vrijheden van gebruikers in acht te nemen. Dat is opvallend, aangezien Europese bedrijven niet zo maar gegevens mogen delen met buitenlandse opsporingsdiensten; dat loopt normaliter altijd via politiediensten.
Vorige week kreeg Uber van de Autoriteit Persoonsgegevens nog een boete van 290 miljoen euro opgelegd vanwege het doorgegeven van gegevens van Europese taxichauffeurs naar de Verenigde Staten.
Het ging toen onder meer om foto's, betaalgegevens, identiteitsbewijzen en locatiegegevens van Europese chauffeurs. In sommige gevallen zouden ook medische informatie en strafrechtelijke gegevens zijn gedeeld.
Alles bij de bron; Dutch-IT-Channel
De Zweedse privacytoezichthouder IMY heeft twee apotheken een AVG-boete opgelegd voor het gebruiken van de Meta-pixel op hun website om hun marketing op Facebook en Instagram te verbeteren. Beide apotheken schakelden een nieuwe subfunctie van de Meta-pixel in, waardoor onbedoeld gedurende een lange tijd de privacygevoelige gegevens van een groot aantal klanten naar het Amerikaanse techbedrijf werden doorgestuurd, aldus IMY.
De doorgestuurde data ging onder andere over medicijnen voor de behandeling van allerlei gezondheidsproblemen, zelftests en behandelingen voor geslachtsziektes en seksspeeltjes. Volgens de Zweedse privacytoezichthouder hadden de apotheken vanwege de gevoelige aard van de data maatregelen moeten nemen om die te beschermen.
De hoogste boete was omgerekend 3,3 miljoen euro opgelegd de ander moet een bedrag van omgerekend 706.000 euro betalen.
Alles bij de bron; Security
Privacyorganisatie noyb heeft de Zweedse privacytoezichthouder IMY voor de rechter gesleept wegens het doorsturen van privacyklachten, zonder die daarna verder te behandelen. Volgens noyb komt het geregeld voor dat IMY klachten van burgers over een organisatie of bedrijf ontvangt dat onrechtmatig persoonsgegevens verwerkt. De Zweedse privacytoezichthouder stuurt vervolgens de klacht door naar de vermeende overtreder en sluit daarna meteen de klacht, zonder te controleren of de situatie echt is verholpen of verder onderzoek te doen.
Volgens noyb-oprichter Max Schrems is er zes jaar na de introductie van de AVG een situatie ontstaan waarbij toezichthouders zich gedragen alsof ze kunnen kiezen om de rechten van burgers te handhaven.
"EU-wetgeving vereist dat elke klacht wordt onderzocht en elke AVG-overtreding opgelost. De IMY lijkt te vergeten dat het een handhavende autoriteit is", merkt Schrems op.
"De IMY lijkt zijn eigen rol te verwarren met die van de post. Voor alleen het doorsturen van documenten hebben we niet nog een kostbare en onafhankelijke toezichthouder nodig", stelt Schrems. "Er is geen reden waarom mensen in Zweden niet dezelfde rechten zouden hebben als de rest van de EU."
Alles bij de bron; Security
Er ging van alles mis toen de gemeente Eindhoven een paar jaar geleden een nieuwe sportpas voor inwoners introduceerde. Privacychecks werden overgeslagen en waarschuwingen genegeerd. Dit blijkt uit onderzoek dat de gemeente liet uitvoeren.
De nieuwe sportpas werd in 2021 ingevoerd voor vaste bezoekers van gemeentelijke zwembaden, voordat er een wettelijke privacytoets was uitgevoerd. De sportpas moest de stadspas opvolgen die juist afgeschaft werd vanwege problemen met de privacy van Eindhovenaren.
De gemeente liet het onderzoek uitvoeren, toen een ethisch hacker de gemeente vorig jaar wees op de problemen, onder meer met de QR-code.
Toen de hacker contact opnam met de gemeente, werden de digitale poortjes van twee zwembaden direct gesloten. De hack en het datalek zijn een dag later gemeld bij privacywaakhond Autoriteit Persoonsgegevens.
Alles bij de bron; Studi040
Vinted heeft verschillende aspecten van de AVG overtreden. Dat concludeert de SDPI, de privacytoezichthouder in Vinted-thuisland Litouwen. De toezichthouder begon een onderzoek naar het kledingplatform na privacyklachten uit verschillende EU-landen.
De privacytoezichthouder stelt onder meer dat het platform niet transparant genoeg is naar gebruikers over de verwerking van hun persoonsgegevens. Daarnaast doet het bedrijf aan 'shadowbanning', waarbij gebruikers zonder kennisgeving worden uitgesloten van het platform.
De manier waarop dergelijke shadowbans worden toegepast, is volgens de SDPI onwettig. Het belemmert gebruikers bijvoorbeeld bij het gebruikmaken van hun privacyrechten onder de AVG.
Ook vraagt Vinted ten onrechte om specifieke redenen wanneer gebruikers verzoeken voor het verwijderen van hun persoonsgegevens indienden bij het platform. Als dergelijke verzoeken worden geweigerd, geeft het platform daar ook onvoldoende uitleg voor.
De SDPI heeft besloten het kledingplatform hierom een boete van 2,385 miljoen euro op te leggen. Vinted gaat in beroep tegen het besluit.
Alles bij de bron; Tweakers
Bunq-bank heeft een kort geding aangespannen tegen NRC Handelsblad dat berichtte over medewerkers van de bank die zonder beletsel stiekem kunnen gluren op de rekeningen van klanten.
In het stuk wordt ingegaan op de privacy van zowel klanten als medewerkers van Bunq. Wie bij Bunq werkt kan zonder problemen de rekeningen inzien die er lopen, ook van collega’s.
In een brief aan NRC neem media-advocaat Christiaan Alberdingk Thijm alle ruimte om de ‘kwaadaardige bedoelingen’ van NRC te benoemen, maar in de sommatie komt het uiteindelijk neer op twee punten.
Een eerste is dat NRC de 'feitelijke onjuistheden' verwijdert en aangehaalde teksten uit de Slack-discussie verwijdert. Deze is vertrouwelijk volgens Bunq en ‘buiten de juiste context gepubliceerd’. Daarnaast wil Bunq dat de namen van medewerkers die deelnamen aan een interne Slack-discussie uit het stuk worden gehaald, omdat hun privacy daarmee is geschonden.
NRC heeft aan deze eis inmiddels gevolg gegeven. Volgens adjunct-hoofdredacteur Melle Garschagen gaat het overigens niet om namen van medewerkers, maar om gebruikersnamen op Slack.
Alles bij de bron; Adformatie
Na berichtgeving over structurele misstanden bij NOS Sport werd een Volkskrant-journalist uit het niets door juicekanalen gebrandmerkt als de ‘minnares’ van Tom Egbers. Ze zou bovendien werken aan een ‘tell-all’ boek over de affaire.
Dat daarvan niets waar was, bleek niet van belang.
Alles bij de bron; Volkskrant [of hier]
De Autoriteit Persoonsgegevens (AP) heeft een recruitmentbureau een boete opgelegd wegens het negeren van verzoeken van personen die hadden gevraagd om hun gegevens te verwijderen.
Werkzoekenden kunnen zich bij het recruitmentbureau inschrijven als ze het bedrijf voor hen willen laten bemiddelen. Ingeschreven personen kunnen ook verzoeken om hun persoonsgegevens te laten verwijderen als ze geen bemiddeling meer wensen.
Bij verschillende personen die een verwijderverzoek hadden ingediend werden de gegevens echter niet verwijderd. Namen, woonadressen, e-mailadressen, telefoonnummers, geboortedata en cv’s met daarin informatie over opleiding en werkervaring bleven in de database van het recruitmentbureau staan nadat de personen hadden gevraagd om verwijdering.
Deze personen werden ook nog eens door het recruitmentbureau over vacatures benaderd.
"Mensen hebben recht op vergetelheid. Dat betekent dat een organisatie iemands gegevens in veel gevallen moet verwijderen als diegene dat vraagt. Zodat de privacy van mensen wordt beschermd", aldus de Autoriteit Persoonsgegevens. "Organisaties moeten bovendien zelf hun best doen om niet meer persoonsgegevens te verzamelen en bewaren dan nodig is."
Uit onderzoek van de privacytoezichthouder bleek dat het recruitmentbureau wel een werkwijze had voor verwijderverzoeken. Toch ging het in de praktijk een aantal keer mis. Het recruitmentbureau heeft inmiddels het interne beleid op een aantal punten aangepast.
Alles bij de bron; Security