De Oostenrijkse privacy-ngo noyb (‘none of your business’) heeft bij de Belgische Gegevensbeschermingsautoriteit (GBA) klacht ingediend tegen vijftien Belgische nieuwssites omdat die onrechtmatige cookiebanners zouden plaatsen.
De ngo beschuldigt de GBA er tegelijk van dat die zou toelaten dat nieuwssites hun GDPR-verplichtingen ‘afkopen’.
Noyb diende twee jaar geleden al honderden klachten in tegen websites die misleidende cookiebanners gebruikten. Het leidde ertoe dat het Europees Comité voor Gegevensbescherming in januari van dit jaar een rapport publiceerde waarin overeengekomen werd wat de minimumvereisten zijn voor cookiebanners.
Volgens noyb voldoen de vijftien Belgische nieuwssites nog steeds niet aan de minimumvereisten.
De GBA onderzocht de websites de voorbije jaren al op eigen initiatief, dus niet na een klacht van een burger. Noyb verwijt de GBA dat ze telkens een ‘dubieuze schikking’ sloot, waarbij uitgevers akkoord gingen met het betalen van een administratieve boete van 10.000 euro, maar dat ze nooit het bevel gaf om onrechtmatige cookiebanners aan te passen.
In de beslissingen van de GBA wordt verwezen naar ‘de context van een groot aantal dossiers’ en ‘lange doorlooptijden’ als reden om over te gaan tot de schikkingen. Waarom er geen bevel tot naleving kwam, legt de GBA niet uit.
Alles bij de bron; DataNews
Miljoenen e-mails van het Amerikaanse leger zijn door een typefout naar domeinnamen in Mali gestuurd die door een Nederlander werden beheerd. Ook gevoelige informatie werd naar verkeerde adressen gestuurd. De Nederlandse techondernemer Joost Zuurbier beheerde het domein .ml sinds 2013.
Op het domein kwamen enorm veel mails binnen die bedoeld waren voor het domein .mil. Daarop eindigen de mailadressen van het Amerikaanse leger. Waarschuwingen aan het adres van het Pentagon hielpen niet.
Sinds deze week is het .ml-domein in handen van de Malinese overheid, omdat het tienjarig contract van Zuurbier verloopt. Dat betekent ook dat Mali nu toegang krijgt tot de verkeerd verzonden mailtjes. En dat is niet handig, schrijft FT, want Mali onderhoudt nauwe banden met Rusland.
Alles bij de bron; NU
Een Duitse privacytoezichthouder heeft het cookiebeleid van Heise.de, één van de grootste techwebsites van Duitsland, illegaal verklaard, zo meldt privacyorganisatie noyb. De website was alleen te bezoeken als gebruikers trackingcookies toestonden of een betaald abonnement namen. Een aanpak die volgens de databeschermingsautoriteit van de Duitse deelstaat Neder-Saksen onrechtmatig is.
Volgens noyb, dat bij de toezichthouder over de werkwijze van Heise.de had geklaagd, is de uitspraak een nieuwe klap voor nieuwssites die een dergelijk businessmodel hanteren. Verder onderzoek van de toezichthouder wees ook uit dat persoonlijke data al werd verwerkt bij het openen van de website, voordat gebruikers zelfs toestemming voor trackingcookies hadden gegeven.
Alles bij de bron; Security
Spywareleverancier LetMeSpy heeft de gegevens van klanten en slachtoffers gelekt, waaronder onderschepte berichten en gespreksgeschiedenis.
Het bedrijf biedt een Android-app waarmee het mogelijk is om allerlei informatie te verzamelen van de telefoon waarop de spyware is geïnstalleerd. LetMeSpy kan de inhoud van sms-berichten onderscheppen en verzamelt de gespreksgeschiedenis van slachtoffers. Gebruikers weten zo met wie het slachtoffer op welke datum heeft gebeld. De spyware zou op zo'n tienduizend telefoons zijn geïnstalleerd.
In een bericht op de eigen website meldt LetMeSpy dat het op 21 juni met een beveiligingsincident te maken heeft gekregen. Daarbij hebben de aanvallers toegang gekregen tot e-mailadressen, telefoonnummers en de inhoud van verzamelde berichten van slachtoffers.
Beveiligingsonderzoeker Maia Arson Crimew, die bezig is met onderzoek naar stalkerware, ontving een link naar de gestolen data en het blijkt dat het datalek groter is dan de spywareleverancier zelf aangeeft. Naast gespreksgeschiedenis en berichten zijn ook locatiegegevens, ip-adressen, betaalgegevens, gebruikers-ID's en wachtwoordhashes gelekt.
Alles bij de bron; Security
Honderdduizend Belgen hebben door 'een technische fout' bij de drukker het voorstel voor de belastingaangifte van een ander persoon gekregen. In de brief staat onder meer het inkomen, de naam en het rijksregisternummer van iemand.
FOD Financiën zegt dat het om honderdduizend Belgen gaat die door het datalek zijn getroffen.
De Federale Overheidsdienst meldde de fout eerder deze maand, alleen toen was niet duidelijk hoeveel Belgen er waren getroffen. Details over de fout worden niet gegeven.
Alles bij de bron; Tweakers
Een bedrijf dat mensen helpt hun privacy te beschermen beschuldigt marktonderzoeker GfK van het schenden van de privacyregels. De dienstverlener, Incogni, zegt daarover een klacht te hebben ingediend bij de Autoriteit Persoonsgegevens.
Het van oorsprong Duitse marktonderzoeksbureau zou verzoeken om persoonlijke informatie te verwijderen hebben genegeerd.
Alles bij de bron; RD
Een Canadese man die in zoekacties bij Google iedere keer een pedofiel werd genoemd, heeft recht op een schadevergoeding van een half miljoen Canadese dollars (338 duizend euro). De hoogste rechtbank van Canada veroordeelde Google voor het moreel beschadigen van de man, werkzaam in de vastgoedbranche.
Naar eigen zeggen werd zijn zakelijke carrière door Google om zeep geholpen door de aantijgingen in de zoekresultaten. Daar stond altijd een link naar een pagina op RipoffReport.com, een site waar verongelijkte klanten kunnen klagen over bedrijven of ondernemers. Volgens de site was de vastgoedondernemer in 1984 veroordeeld voor aanranding van een kind.
Dat verhaal bleek verzonnen maar dook wel iedere keer op als mensen googelden naar de man. Toen het niet lukte de pagina bij RipoffReport weg te halen, stapte hij naar Google. En, toen die ook niet reageerde, naar de rechter.
Waar Google beweerde niet verantwoordelijk te zijn voor inhoud van derden, vond de rechtbank dat wel. De rechtbank vorderde ‘een verbod op de publicatie waarin de aanklager bij naam wordt genoemd’. Volgens het bericht kan de uitspraak een grote klap zijn voor Google. Met de uitspraak kan Google makkelijker aansprakelijk worden gehouden voor wat er in de zoekresultaten vermeld staat.
Bron; Cops-in-Cyberspace
Terravision, een bedrijf dat busvervoer van en naar Europese luchthavens regelt, heeft de gegevens van meer dan twee miljoen klanten gelekt. Het gaat om namen, telefoonnummers, e-mailadressen, gesalte wachtwoordhashes en in sommige gevallen geboortedata en land van herkomst.
Volgens beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned is Terravision door meerdere personen over een periode van meerdere maanden over het datalek benaderd, maar heeft het geen reactie gegeven. Details over het datalek zijn verder niet bekend. Hunt heeft de gestolen e-mailadressen ontvangen en aan zijn zoekmachine toegevoegd.
Alles bij de bron; Security
De Sociale verzekeringsbank (SVB) heeft van de Autoriteit Persoonsgegevens een boete van 150.000 euro gekregen omdat het tekort schoot in de identiteitscontrole van cliënten en daarmee de AVG overtrad. In een gemiddelde week staat de SVB twintigduizend mensen te woord die vragen hebben over socialezekerheidswetten, waaronder de AOW. Bovendien hebben de zo'n vijftienhonderd servicemedewerkers van de SVB allemaal toegang tot cliëntgegevens.
In 2019 kwamen gegevens van een SVB-cliënt in handen van iemand die die gegevens niet had mogen krijgen. De cliënt ontdekte dat iemand via de telefonische helpdesk van de SVB uitkeringsinformatie had weten op te vragen. Daarop diende de cliënt een klacht in bij de Autoriteit Persoonsgegevens (AP).
Uit onderzoek van de privacytoezichthouder bleek dat de SVB te weinig deed om de privacyrisico’s van de telefonische dienstverlening in kaart te brengen.
"In de praktijk schoot het systeem voor het controleren van de identiteit van bellers tekort. Controlevragen gingen vaak over zaken die vrij eenvoudig zijn te achterhalen door buitenstaanders (zoals iemands voornaam, adres en postcode)", aldus de AP. Verder bleek dat de SVB onvoldoende controleerde of servicemedewerkers zich eigenlijk wel aan het controlebeleid hielden. De SVB maakte medewerkers ook onvoldoende bewust van het belang van een veilig beheer van persoonsgegevens. De overtredingen vonden plaats van mei 2018 tot mei 2022.
Na het onderzoek van de Autoriteit Persoonsgegevens voerde de SVB aanpassingen door. "Instanties met telefonische hulplijnen kunnen hier van leren", aldus AP-bestuurder Katja Mur. "Privacybeleid gaat niet alleen over digitale dienstverlening, maar ook over telefonische dienstverlening."
Alles bij de bron; Security
Een huisarts uit Rotterdam trekt op Twitter hard van leer tegen de gemeente die haar vroeg om persoonlijke informatie aan te leveren van een patiënt over onder meer hiv, incontinentie en ‘veel bloedverlies tijdens de menstruatie'. De reden? De vrouw had een warmtetoeslag aangevraagd.
"Lees dit bericht en laat het even goed op je inwerken. Het betreft een verzoek van de gemeente Rotterdam om zowat het hele medisch dossier van mijn patiënt naar hen toe te sturen...”, schrijft ze. "Volstrekt onzinnig. Zo hoor je niet met burgers om te gaan.”
Eind vorig jaar maakte de arts al melding van het incident op LinkedIn, omdat de gemeente Rotterdam de warmtetoeslag van 500 euro weigerde toe te kennen omdat de arts de gevraagde informatie niet aanleverde. "Maar what the fuck is de relatie tussen hiv en je verwarming kunnen aanzetten”, schrijft ze. "Die vrouw heeft niks. Ze schrok zich wild, want zelf had ze geen brief gekregen."
Aangezien ze nul op het rekest kreeg, plaatste ze het bericht dinsdag op Twitter. Nu reageerde ook Kamerlid Pieter Omtzigt: "Een zeer verontrustende draad: ben zeer benieuwd naar de uitleg van de gemeente Rotterdam en de regering. En welke les heeft Rotterdam, waar zeer veel slachtoffers van het toeslagenschandaal wonen, getrokken?" Omtzigt gaat in de Kamer vragen stellen over het voorval.
Alles bij de bron; WelingelichteKringen