Digitale Schandpaal

De Autoriteit Persoonsgegevens is bezorgd over de manier waarop horecaondernemers contactgegevens van bezoekers registreren. Lijsten met telefoonnummers gaan van tafel tot tafel en worden soms zelfs gebruikt voor ‘romantische’ doeleinden...

...ze had zaterdagavond koud het café verlaten of ze kreeg een WhatsAppje: ‘Leuke avond gehad?’ Het was van de barman die haar zojuist nog twee cocktails had geserveerd. Hij was benieuwd of ze misschien zin had om binnenkort eens samen wat te drinken. Hij had haar telefoonnummer niet gevraagd, maar overgetikt van de registratielijst voor bron- en contactonderzoek. 

De afgelopen twee weken kreeg de Autoriteit Persoonsgegevens (AP) tientallen klachten binnen. Registratielijsten met namen en telefoonnummers zouden van tafel tot tafel gaan. Bovendien worden ze soms gebruikt om klanten ongevraagd te abonneren op een nieuwsbrief of mee te laten dingen bij winacties. Het baart de privacywaakhond zorgen...

...Koninklijke Horeca Nederland waarschuwt alle ondernemers tegen ‘slimme constructies’ om gegevens voor andere doeleinden te gebruiken, zoals marketing. ‘Dat schaadt het vertrouwen’, aldus de brancheorganisatie.

Precies om die reden besloot Georgia melding te maken bij de manager van de flirtende ober. ‘Je laat je nummer achter in goed vertrouwen met de gedachte: dit gaat in een doos waar niemand het ziet. Alleen als er een uitbraak is, bellen ze me. Het voelde nu alsof ik helemaal geen controle had over wie mij contacteerde.’

Alles bij de bron; Volkskrant


 

Zowel op facebook als op twitter waarschuwt de politie Almere Haven vooral geen informatie te delen over een vermeende pedofiel. Die man zou foto’s of video’s hebben gemaakt van spelende kinderen op het strandje aan het Gooimeer.

Volgens de politie is echter ‘geen enkel strafbaar feit‘ gepleegd. De man zou zelfs gevaar lopen doordat ‘mensen voor eigen rechter kunnen gaan spelen’. Op facebook zijn twee filmpjes fanatiek gedeeld, waarbij omstanders dat al doen. 

De man heeft zijn telefoon door de politie laten controleren, aldus het bericht. ‘Daarbij zijn geen bijzondere zaken aan het licht gekomen’. De politie hoopt met het bericht dat ‘iedereen die de video’s heeft geplaatst of gedeeld, deze weer verwijdert’.

Alles bij de bron; Cops-in-Cyberspace


 

Een softwarefout bij Instagram zorgde ervoor dat gewiste foto's nog minstens een jaar op de servers van het bedrijf bleven staan. Dat ontdekte een beveiligingsonderzoeker volgens TechCrunch.

Hij vroeg Instagram om alle informatie over hem te overhandigen. Techbedrijven zijn verplicht hier gehoor aan te geven sinds de introductie van de nieuwe Europese privacywet in 2018. In de toegezonden database stonden alle foto's en privégesprekken van Pokharel in de afgelopen periode. Daartussen stond ook informatie die hij ruim een jaar geleden had verwijderd.

Volgens een woordvoerder van Instagram komt dit door een bug. De foto's en gesprekken zouden binnen negentig dagen na verwijdering van de servers gehaald moeten worden. Inmiddels is de bug verholpen.

Alles bij de bron; NU


 

Uitgerekend het opleidingsinstituut dat honderden trainingen heeft gegeven om werknemers bewust te maken van cybersecurity, is zelf het slachtoffer geworden van phishing. Een werknemer trapte in een phishingmail.

Waarna zich het scenario ontrolde waarvoor het instituut in zijn cursussen waarschuwt: liefst 28.000 records met persoonlijke identificeerbare informatie raakten in verkeerde handen. De aanvaller bleek toegang te hebben gekregen tot 513 e-mails, veelal vol privégegevens.

De medewerker had een malafide Microsoft 365-app toegang tot zijn account gegeven. Vervolgens stelde de aanvaller een regel in waardoor inkomende e-mails naar een e-mailadres van hem werden doorgestuurd.

Het pijnlijke datalek werd ontdekt in dezelfde week waarin het bedrijf de media had uitgenodigd om eens een kijkje bij de cursus Security Awareness in Amsterdam te nemen. 'Dit trainingsprogramma is samengesteld door een wereldwijd netwerk van 's werelds meest deskundige cybersecurity-experts,' zo prees het zichzelf aan. 

SANS, naar eigen zeggen 'wereldwijd de meest gewaardeerde en veruit grootste bron voor cybersecuritytrainingen en -certificeringen', claimt met meer dan 1.300 organisaties te hebben samengewerkt en heeft daarbij meer dan 6,5 miljoen medewerkers opgeleid. Het bedrijf gaat de slachtoffers van het datalek informeren.

Alles bij de bron; Computable


 

Wanneer je in Google de naam van je onderneming + hinderpremie + VLAIO intikt (na mekaar, met een spatie), krijg je een link via dewelke je een PDF kan downloaden waarin alle ondernemingen en de ontvangen coronahinderpremies vermeld staan. Doe je dezelfde oefening met de compensatiepremie dan verschijnt ook daar de volledige lijst met de ontvangen bedragen. Ongehoord. Hier worden minstensde algemene beginselen van behoorlijk bestuur niet toegepast, zoals de voorzichtigheids- en zorgvuldigheidsplicht die een overheid dient aan de dag te leggen.

Het Vlaams Agentschap Innoveren & Ondernemen (VLAIO) overtreedt hiermee mogelijk de eigen principes omtrent privacy en confidentialiteit, zoals die beschreven staan in zijn respectievelijke clausules. Bovendien lijkt het niet conform het ICT-beleid van de Vlaamse overheid.

Mike Willems, zaakvoerder van restaurant t’ Hoeveke uit Westende reageert verbolgen:’Waarom doet men zoiets? Dit is toch geen informatie die aan de grote klok mag gehangen worden? Wat met onze privacy en de geheimhouding? Zijn ze daar in Brussel nu echt volledig gek geworden?’

Alles bij de bron; Doorbraak


 

Het HagaZiekenhuis is opnieuw de fout in gegaan met patiëntgegevens. Twee jaar lang heeft het hospitaal gegevens van patiënten van de KNO-afdeling gedeeld met een bedrijf terwijl dat niet conform de AVG gebeurde. Volgens het ziekenhuis zijn alle betrokken patiënten geïnformeerd. Volgens Omroep West zou het om 6493 mensen gaan.

De patiënten vulden voor een consult vragenlijsten in die waren ontwikkeld door het bedrijf Outcome Measurement. De antwoorden werden zowel in het patiëntendossier als in de database van het bedrijf opgeslagen. Omdat de methode zo succesvol was, wilde het ziekenhuis bekijken of die ook bij andere poliklinieken kon worden gebruikt. Tijdens dat onderzoek bleek dat de vragenlijsten niet aan de AVG-privacyregels voldoen. 

Reden voor Haga direct te stoppen met de vragenlijsten en een externe partij in te schakelen om na te gaan hoe het verkeerd is kunnen gaan.

Het is niet de eerste keer dat het ziekenhuis in opspraak raakte vanwege persoonsgegevens. In 2018 werd bekend dat zorgmedewerkers zonder toestemming het dossier van realityster Barbie hadden bekeken. Een medewerker van het ziekenhuis werd vorig jaar ontslagen omdat ze patiëntgegevens in een winkelwagentje van een supermarkt liet liggen. Ze had het papier gebruikt als boodschappenlijstje.

Alles bij de bron; Telegraaf


 

Met relatief simpele handelingen is het een promovendus aan de TU Delft gelukt om valse stemmen uit te brengen in de lopende lijsttrekkersverkiezing van het CDA. Door cijfers te wijzigen in stemcodes wist ethisch hacker Jordy San Jose Sanchez ten minste drie valse stemmen uit te brengen. Hij lichtte het CDA in. De lopende verkiezing is daarop gestaakt en wordt vanaf morgen volledig over gedaan.

Kwaadwillenden konden geautomatiseerd valse stemmen uitbrengen. Jordy wijzigde handmatig de stemcodes, door een scriptje te laten draaien dat continu willekeurige cijfers zou invoeren, zouden alle stemmen kunnen worden vervalst. Dit was vooral te wijten aan de lage hoeveelheid mogelijke combinaties. Volgens hem waren met één computer alle stemmen te vervalsen in dertig uur tijd.

Jordy meldde de kwetsbaarheid bij het CDA en liet vervolgens zijn bevindingen toetsen door beveiligingsonderzoekers Tom Wolters en Benjamin Broersma. Zij bevestigden het potentiële gevaar. Hierop besloot het CDA de verkiezing offline te halen. 

Alles bij de bron; Computable


 

De Italiaanse bank UniCredit heeft een boete van 600.000 euro gekregen voor een datalek dat in 2017 aan het licht kwam, zo heeft de Italiaanse privacytoezichthouder bekendgemaakt. 

De eerste aanval vond eind 2016 plaats, gevolgd door een tweede aanval halverwege 2017. Volgens UniCredit wisten de aanvallers toegang allerlei persoonlijke informatie, zoals contactgegevens, beroep, opleidingsniveau, identificatiegegevens van een identificatiedocument en informatie met betrekking tot de werkgever, salaris, lening, betalingsstatus, kredietwaardigheid van de klant en Iban-code gekregen.

De Italiaanse toezichthouder stelde vast dat de bank geen adequate technische en organisatorische maatregelen had getroffen om het datalek te voorkomen. Hoewel de bank na het incident maatregelen trof om de beveiliging te verbeteren stelde dat toezichthouder dat gezien de tekortkomingen van de bank en het grote aantal getroffen mensen een boete van 600.000 euro op zijn plaats is.

Alles bij de bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha