Staatssecretaris De Vries van Toeslagen schrijft in een Kamerbrief dat de risicoscores uit het risicoclassificatiemodel niet enkel gebruikt werden voor het selecteren van aanvragen die voor een handmatige behandeling in aanmerking kwamen. Ze werden volgens haar ook doorgegeven aan het zogenaamde ‘screeningsteam’ van de afdeling Toeslagen bij de fiscus. Dat team beoordeelt signalen van misbruik en oneigenlijk gebruik van toeslagen en kon op zijn beurt de informatie ook delen met andere betrokkenen en teams die bij de Belastingdienst zochten naar fraude.
De inhoud van de brief staat haaks op eerdere verklaringen over het gebruik van het risicoclassificatiemodel. Eerder zei de Belastingdienst nog dat het model niet werd gebruikt bij onderzoeken door de afdeling Toeslagen.
De staatsecretaris noemt het breder gebruik van het model 'zorgelijk'. Ze heeft daarom de Autoriteit Persoonsgegevens geïnformeerd. Er komt volgens de staatssecretaris ook een extern onderzoek om te achterhalen hoe breed het gebruik van de risicoscores was, met wie ze zijn gedeeld en welke gevolgen het gebruik had voor burgers.
De Autoriteit Persoonsgegevens deelde eind vorig jaar een boete van 2,7 miljoen euro uit aan de Belastingdienst voor het gebruik van het systeem, destijds een recordboete. De toeslagenaffaire draaide daarnaast om een tweede controversieel systeem, de Fraude Signalerings Voorziening of FSV. Daar kreeg de Belastingdienst eerder deze maand een nieuwe recordboete voor, van 3,7 miljoen euro.
Alles bij de bron;Tweakers
Een politiemedewerker is ontslagen wegens ernstig plichtsverzuim. De medewerker zou de politiesystemen hebben geraadpleegd voor privédoeleinden. Volgens de politie heeft een disciplinair onderzoek naar de medewerker afgelopen maand geleid tot het ontslag.
Alles bij de bron; Beveiliging
Het ministerie van Buitenlandse Zaken heeft wegen de slechte beveiliging van visumaanvragen en het onvoldoende informeren van visumaanvragers over het delen van hun gegevens met andere partijen een boete van 565.000 euro van de Autoriteit Persoonsgegevens gekregen. Daarnaast legt de privacytoezichthouder last onder dwangsommen op voor het in orde maken van de beveiliging en van de informatievoorziening...
...Door de slechte beveiliging van het ‘Nationaal Visum Informatie Systeem’ kunnen onbevoegden dossiers inzien en wijzigen. De Autoriteit Persoonsgegevens stelt dat Buitenlandse Zaken al langere tijd op de hoogte van veiligheidsrisico’s in het visumsysteem was, maar de AP vindt dat het ministerie daar niet snel genoeg en te weinig aan heeft gedaan.
"Aangezien burgers verplicht zijn hun persoonsgegevens af te staan, had Buitenlandse Zaken direct de nodige maatregelen moeten nemen die gegevens goed te beschermen. Omdat de beveiliging nu al jarenlang tekort schiet, is ons oordeel dat Buitenlandse Zaken ernstig nalatig is geweest en dat nog steeds is", zegt Monique Verdier, vice-voorzitter van de AP.
De boete en de last onder dwangsom zijn opgelegd aan de minister van Buitenlandse Zaken, omdat hij verantwoordelijk is voor de verwerking van persoonsgegevens bij zijn ministerie. De minister kan hiertegen nog in bezwaar gaan.
Alles bij de bron; Security
Een patiënt bestelde zijn incontinentiemateriaal bij de apotheek. Totdat hij een telefoontje kreeg van een groothandel uit Baarn. Hoe wist dat bedrijf van zijn plasprobleem, wil de tuchtrechter weten.
De man in het beklaagdenbankje is apotheker, hij heeft een advocaat bij zich. De klager, een tandarts in ruste, is alleen gekomen. Zodra de voorzitter van het tuchtcollege in de gaten heeft dat de tandarts zelf het woord gaat voeren, volgt prompt nog een ongevraagd advies. „Er zit bij u emotie, zie ik” – klinkt er afkeuring door in de stem? „Het komt de zaak ten goede als u zo zakelijk mogelijk formuleert.” Deze klager laat zich niet afschrikken. „Dit is geen moord hoor”, klinkt het monter.
De zaak overstijgt het eigenbelang. De apotheker, luidt de klacht, heeft privacyregels overtreden, de medische geheimhoudingsplicht geschonden en zonder toestemming patiëntgegevens verkocht aan een commerciële partij. Privégegevens van hem en 97 patiënten van drie verschillende apotheken. Tel uit de winst.
De tandarts heeft een plasprobleem, legt hij uit, en is aangewezen op incontinentiemateriaal. Aanvankelijk kreeg hij dat via de apotheek en vergoedde de zorgverzekeraar de kosten. Tot 1 januari vorig jaar. Sindsdien moet een Zilverenkruisverzekerde het materiaal rechtstreeks bij de leverancier aanschaffen als hij dat vergoed wil krijgen.
Wie schetst zijn verbazing toen de klager een telefoontje kreeg van Pluripharm Direct – ineens, vanuit het niets. Mocht de farmaceutische groothandel uit Baarn hem incontinentiemateriaal verkopen? Zijn privégegevens waren zonder zijn toestemming doorgegeven, in strijd met de privacyregels en in strijd met het medisch beroepsgeheim. En toen hij hoorde dat daar ook voor betaald was, „sprong ik uit mijn vel. Ik bleek verkocht, en ik niet alleen.”....
...De apotheker heeft het beroepsgeheim geschonden, oordeelt het tuchtcollege. Normaal gesproken volgt dan een berisping. Maar omdat deze zorgverlener spijt heeft en maatregelen heeft genomen om herhaling te voorkomen, wordt volstaan met een waarschuwing.
Alles bij de bron; NRC
Een Spaans hotel heeft een boete van 30.000 euro gekregen wegens het illegaal opslaan en verspreiden van pasfoto’s van gasten (pdf). De zaak kwam aan het licht na een klacht van een Nederlandse hotelgast. Gasten van het hotel moesten een scan van hun paspoort laten maken. Volgens het hotel moest het op deze manier van de Spaanse wet bezoekers registreren.
Een Nederlandse gast liet onder protest zijn paspoort scannen. Bij het betalen van een drankje via zijn sleutelkaart zag de gast dat de ober op zijn tablet een scan van de pasfoto van zijn paspoort te zien kreeg, met daarbij zijn naam en andere persoonsgegevens. Het hotel had de gast niet van tevoren om toestemming gevraagd voor het opslaan en verspreiden van de pasfoto op zijn paspoort. Daarnaast was het opslaan en verspreiden van de foto's niet nodig.
De Nederlandse privacytoezichthouder werkte samen met de Spaanse privacytoezichthouder AEPD in dit onderzoek.
Volgens de AEPD was het gebruik van de gescande pasfoto om te controleren of de gast die een bestelling deed, ook daadwerkelijk de gast was, een te zwaar middel. Het vragen naar het kamernummer van de gast, eventueel in combinatie met de naam van de gast, zou ook voldoende zijn geweest. Het hotel had daarom geen recht om hiervoor pasfoto’s te gebruiken. Het Spaanse hotel moet nu de boete betalen én de werkwijze aanpassen.
Alles bij de bron; Security
Routermaker TP-Link stuurt gegevens van gebruikers door naar antivirussoftwarebedrijf Avira, ook wanneer klanten aangeven dat niet te willen.
Beide bedrijven werken al jaren samen aan verschillende producten, die ervoor moeten zorgen dat mensen veilig hun routers kunnen gebruiken. Met beschermlagen als HomeCare en HomeShield worden apparaten van gebruikers beschermd tegen cyberaanvallen en andere online bedreigingen. Gebruikers kunnen echter zelf bepalen of ze willen dat TP-Link hun gegevens met partner Avira deelt. Maar nu blijkt dus dat de routermaker alsnog data deelt op het moment dat gebruikers aangeven dat niet te willen.
Dat ontdekte een persoon op Reddit (het grootste internetforum van dit moment). De TP-Link Archer AX3000 verstuurde bakken met data naar de Avira SafeThings-servers. Binnen 24 uur werden er meer dan 80.000 verzoeken gedaan. Avira SafeThings is een platform dat werkt in de cloud en op intelligente wijze bedreigingen analyseert door internetverkeer te monitoren.
Alles bij de bron; CompIdee
De top van de Belgische politie wist vanaf het begin dat twee agenten de software van Clearview AI hadden uitgeprobeerd, maar verzweeg dat voor de minister. Dat blijkt uit een nieuw rapport, waarin ook staat dat de Belgische politie niet 2, maar 78 keer de software heeft geraadpleegd. Geen enkele van die 78 keer leidde de opzoeking tot een bruikbaar resultaat, zo blijkt uit een rapport van het Controleorgaan op de politionele informatie. Dat rapport ligt nu bij de Belgische Kamer.
De top was volledig op de hoogte van het uitproberen van Clearview. "Dit betekent dat de hiërarchie van de federale gerechtelijke politie onmiddellijk na de taskforce bij Europol en dus voor dossiers waarin door leden van de federale gerechtelijke politie werd gewerkt op de hoogte was van het gebruik van de Clearview-gezichtsherkenningstechnologie en dit ook heeft toegestaan. Dit laatste blijkt ook uit de vaststelling dat het betalend gebruik van de Clearview-applicatie door de federale gerechtelijke politie nadien werd onderzocht maar uiteindelijk niet werd uitgevoerd."
Dat de commissaris-generaal het gebruik van Clearview in eerste instantie ontkende, is volgens het rapport 'opmerkelijk'. "Het hoeft weinig betoog dat deze vaststelling op gespannen voet staat met de medewerkingsplicht die wettelijk wordt opgelegd aan de onder toezicht staande politiediensten", aldus het Controleorgaan. Het is schadelijk voor het vertrouwen in de politiediensten, zo meent de toezichthouder.
Minister van Binnenlandse Zaken Annelies Verlinden gaf vorig jaar al toe dat de eerdere ontkenningen niet klopten en dat twee rechercheurs Clearview hadden uitgeprobeerd. Toen dacht de minister nog dat de software alleen was gebruikt bij een evenement in Den Haag in samenspraak met de FBI, maar volgens het Controleorgaan ging het gebruik dus verder.
Alles bij de bron; Tweakers
Nog altijd heeft de GGD z’n zaken op privacygebied niet goed voor elkaar. Zo kunnen oud-medewerkers van de GGD soms meer dan een maand na hun ontslag vanuit huis nog bij persoonsgegevens van alle Nederlanders. En in de regio Arnhem/Ede werden klassikaal aan nieuwe medewerkers vertrouwelijke gegevens getoond.
Eind vorig jaar bleek dat de persoonsgegevens van Nederlanders die zich laten testen, vaccineren of meewerken aan het bron- en contactonderzoek nog steeds niet voldoende waren beschermd. ‘Wezenlijke risico’s’, zo bestempelde de Autoriteit Persoonsgegevens het.
Dat bleek. In december werden bij een training voor nieuwe medewerkers bij GGD Gelderland-Midden (regio Arnhem/Ede) de persoonsgegevens van een vrouw die die dag in Arnhem gevaccineerd zou worden klassikaal getoond, zo meldt een uitzendkracht van de GGD. Het ging hierbij om onder meer BSN-nummer, mailadres, adres en zelfs ziekte en medicijngebruik.
,,Dit is eenmalig gebeurd’’, reageert een woordvoerder van de landelijke GGD/GHOR. ,,Dit hoort niet en is ook niet onze gebruikelijke gang van zaken. Elke opleiding wordt gegeven vanuit een testomgeving met fictieve personen en gegevens.’’ Tijdens één van deze trainingen was bij de GGD Gelderland-Midden de testomgeving niet beschikbaar en is het systeem geïllustreerd aan de hand van daadwerkelijke persoonsgegevens.’’
En dat is niet het enige incident. Een oud-medewerker, die net als de uitzendkracht anoniem wil blijven, meldt dat hij nog zeker anderhalve maand nadat hij uit dienst was in de coronasystemen van de GGD kon inloggen. Hij kon daarbij alle persoonlijke gegevens inzien die hij maar wilde. ,,Zoals het BSN-nummer en het mailadres, en dat is als je kwaad in de zin hebt toch een gevaarlijke combinatie.’’
De Autoriteit Persoonsgegevens zegt dat het proces rond het tijdig aanpassen of intrekken van de toegang ‘nog niet altijd goed verloopt’. Ook is de privacywaakhond eind vorig jaar gebleken dat er diverse medewerkers zijn die toegang hebben tot persoonsgegevens die zij voor hun werkzaamheden niet of niet langer nodig hebben.
De Autoriteit Persoonsgegevens wil niet ingaan op de huidige situatie bij de GGD’s. In november is een lijst met bevindingen gepresenteerd en in maart wordt bekeken wat daar van terecht is gekomen. ,,Tot die tijd doen we geen mededelingen’’, stelt een woordvoerder, ,,en hebben ze de tijd om dingen te verbeteren.’’
Tweede Kamerlid Attje Kuiken (PvdA) noemt het 'zeer schadelijk’ dat de GGD's hun zaakjes nog niet voor elkaar hebben. ,,Terwijl het over zeer persoonlijke gegevens gaat waar kwaadwillenden veel schade mee kunnen aanrichten. Ondanks de beloftes aan de Tweede Kamer van het kabinet is het dus nog steeds niet op orde.’’
Alles bij de bron; deGelderlander
Budget Energie heeft woensdag enige tijd met een technisch probleem gekampt waardoor persoonsgegevens van honderden klanten bij de verkeerde personen terechtkwamen.
Volgens Budget Energie ging het om 1300 klanten die een verkeerde inloglink in de mail kregen na een IT-update. Daarmee konden die klanten gegevens van derden inzien. Het ging onder andere om strikt persoonlijke informatie zoals telefoonnummers en bankgegevens. Het bedrijf heeft, nadat het de fout had ontdekt, de IT-update direct onklaar gemaakt.
Alles bij de bron; AGConnect
Europese landen hebben het afgelopen jaar bijna 1,1 miljard euro aan privacyboetes uitgedeeld, blijkt uit een inventarisatie van DLA Piper. Het bedrag ligt volgens het advocatenkantoor bijna zeven keer hoger dan een jaar eerder...
...In Nederland deelde de Autoriteit Persoonsgegevens (AP) vorig jaar ook enkele boetes uit aan bedrijven die de privacywet overtraden. Zo werd de website Locatefamily.com, waarmee mensen naar contactgegevens van anderen kunnen zoeken, voor 525.000 euro beboet. Op de site stonden volgens de waakhond namelijk ook gegevens van mensen die daar niet van afwisten.
De AP legde daarnaast ook boetes op aan het UWV (450.000 euro) omdat de persoonsgegevens van vijftienduizend mensen uitlekten, en aan luchtvaartmaatschappij Transavia (400.000 euro), dat persoonsgegevens eveneens niet goed had beveiligd.
Alles bij de bron; NU