Een Duits hof heeft geoordeeld dat Microsoft niet zonder toestemming trackingcookies op de systemen van een Duitse gebruiker mag plaatsen, ook als dit inhoudt dat het helemaal moet stoppen met trackingcookies.
De gebruiker in deze zaak had een third-party website bezocht waarop Microsofts advertentiedienst actief was en er zonder haar toestemming cookies werden geplaatst. Uit forensisch onderzoek bleek dat Microsoft inderdaad zonder toestemming van de gebruiker cookies op haar systeem had geplaatst.
Eerder verwierp een rechtbank de zaak zonder tot een tussenvonnis te komen. De rechter oordeelde dat er geen gronden voor een bevel waren om het plaatsen van cookies te verbieden.
De gebruiker ging bij het hof in beroep tegen het oordeel en stelde dat de afweging van belangen in haar voordeel zou moeten uitvallen, aangezien er geen recht is op een onrechtmatig bedrijfsmodel, terwijl de gebruiker moet leven met de onzekerheid over waar haar data is, het verlies van controle en de angst dat de data met ongeautoriseerde partijen wordt gedeeld.
Het hof oordeelt dat Microsoft de e-Privacy verordening heeft overtreden en toestemming van de gebruiker nodig heeft voor het plaatsen van cookies. Daarbij moet Microsoft kunnen aantonen dat het toestemming heeft gekregen. Het hof erkende dat de betreffende gebruiker niet herkend kan worden als ze websites bezoekt en het bevel om niet zonder toestemming cookies te plaatsen daardoor niet alleen beperkt is tot de gebruiker en een universele oplossing vereist.
Dat een bevel verder gaat dan alleen de gebruiker die de zaak aanspande doet niets af aan de grond voor een bevel, aldus het hof. Dat zijn de gevolgen die Microsoft moet dragen vanwege de manier waarop het businessmodel is ingericht. Het hof oordeelde ook dat er voor websites technisch eenvoudig te implementeren oplossingen zijn om toestemming voor het plaatsen van cookies te krijgen.
Het hof verbood Microsoft dan ook om zonder toestemming cookies bij deze gebruiker te plaatsen. De Rechtbank Amsterdam oordeelde in juni ook al dat Microsoft niet zonder toestemming trackingcookies mag plaatsen.
Alles bij de bron; Security
Onderzoekers zeggen dat het bij meerdere populaire datingapps makkelijk is om de exacte locatie van andere gebruikers te achterhalen. Dat lukte door simpelweg aan verschillende vormen van triangulatie te doen. Meerdere applicaties hebben dat gerepareerd. Het onderzoek, Swipe Left for Identity Theft, werd uitgevoerd door vijf onderzoekers van de KU Leuven.
Die bekeken vijftien populaire datingapps, waaronder Tinder, Bumble, Hinge en Grindr.
Al die apps geven een ruwe locatie van gebruikers aan, maar niet de exacte locatie, tenzij de gebruiker een filter instelt om partners te vinden op basis van locatie. Volgens de onderzoekers is het echter mogelijk die locatie alsnog te achterhalen via een proces dat zij oracle trilateration noemen.
Een gebruiker moet daarvoor in de buurt zijn van een doelwit en daarna net zo lang lopen tot het doelwit buiten bereik komt. Door dat in drie richtingen te doen, kan een gebruiker de verschillende locaties samenvoegen via triangulatie om een locatie tot twee meter nauwkeurig te vinden.
In het geval van Grindr was het mogelijk de exacte locatie van een gebruiker te vinden. Bij Bumble en Hinge was het mogelijk een locatie in de buurt te vinden tot op twee meter nauwkeurig. Tinder en Lovoo waren de enige onderzochte apps die geen locatiegegevens prijsgaven omdat die apps werken met vlakken van meer dan een kilometer.
De onderzoekers zeggen tegen Techcrunch dat er een simpele manier is om dat probleem te verhelpen, wat alle betreffende apps ook hebben gedaan. Ze ronden de exacte coördinaten, die de apps gebruiken om de locatie te bepalen, in de toekomst af. Daardoor wordt de exacte locatie minder accuraat, tot op ruwweg een kilometer.
Alles bij de bron; Tweakers
De Autoriteit Persoonsgegevens (AP) heeft het bedrijf achter Kruidvat, A.S. Watson, een boete van 600.000 euro opgelegd.
De privacy-waakhond steggelde vier jaar lang met Nederlands grootste drogisterijketen over het al dan niet rechtmatig verwerken van persoonsgegevens van bezoekers van Kruidvat.nl. Het bedrijf volgde bezoekers van de website met tracking cookies, zonder dat zij dat wisten of daarvoor toestemming hadden gegeven.
A.S. Watson verzamelde en gebruikte daarmee tegen de regels in gevoelige persoonsgegevens van miljoenen websitebezoekers. Zo kon Kruidvat aan de hand van het zoekgedrag en de bestellingen bijvoorbeeld zien wie er zwanger was, voorbehoedsmiddelen gebruikte of welke medicatie nodig had. Volgens AP is dat zeer gevoelige informatie gezien het specifieke karakter van drogisterijproducten. Ook kon de keten zo persoonlijke profielen maken en daar commercieel voordeel uit halen.
AS Watson heeft bezwaar aangetekend tegen de boete.
Alles bij de bron; Computable
De ticket-app van de UEFA die verplicht is om tijdens het EK voetbalstadions binnen te komen deelt locatiegegevens van gebruikers met de Duitse politie, zonder dat dit in de beschrijving bij de appstores vermeld staat.
De Bayerischer Rundfunk plaatste onlangs een rapportage online (0:52) waarin de UEFA laat weten hoe locatiegegevens via de app met de autoriteiten worden gedeeld, zodat die kunnen zien waar fans zich precies ophouden.
Volgens de voetbalbond gaat het om geanonimiseerde locatiegegevens die continu via de app worden verstuurd. Dit staat echter nergens in de beschrijving van de app vermeld in de Google Play Store en Apple App Store, zo melden de Duitse websites Heise en Golem. Er wordt alleen vermelding van gemaakt in het privacybeleid.
Fans zijn verplicht om de app te gebruiken, aangezien er geen toegang meer tot wedstrijden verkregen kan worden via geprinte toegangskaarten. Naast de app moeten bezoekers ook bluetooth inschakelen. De tickets worden zowel via qr-codes als draadloze technologie gecontroleerd, zo meldt Der Spiegel.
Op de vraag waarom bluetooth is vereist laat UEFA weten dat het geen 'gevoelige informatie' wil prijsgeven, maar dat de technologie wordt gebruikt om de authenticiteit van kaarten tijdens het toegangsproces te controleren. Het is niet vereist om een internetverbinding te hebben als de toegangskaarten eerder in de app zijn gedownload.
Bron; Security
Het gaat Google toch niet lukken om third-party cookies in de Chrome-browser in de tweede helft van dit jaar volledig uit te schakelen. Het doel schuift op naar 2025.
Privacytoezichthouders van landen als het Verenigd Koninkrijk zijn nog niet tevreden met Google's plannen om een alternatief voor de third-party cookie in Chrome te gebruiken. Zonder die goedkeuring heeft het plan geen kans van slagen.
Third-party cookies zijn voor adverteerders belangrijk om gebruikers overal op het internet te volgen. De online advertentiemarkt is jaarlijks goed voor 600 miljard dollar aan omzet.
Google deelt via diensten als Google Ads mee in de winst die voortvloeit uit de online reclameomzet. Er is het bedrijf dus veel aan gelegen om een degelijk alternatief te introduceren.
De vertraging in het afscheid van third-party cookies geeft adverteerders meer tijd om over te stappen op zelf ontwikkelde of externe oplossingen om gebruikers te blijven volgen. Google geeft zichzelf meer tijd om zijn Privacy Sandbox te verbeteren en goedkeuring van toezichthouders te krijgen.
Alles bij de bron; AdFormatie
Google laat weten dat het de gegevens van miljoenen mensen gaat vernietigen die de incognitomodus gebruikten.
Incognito suggereert de illusie van privacy, maar dat is niet zo. Met deze eenvoudige trucjes kan je je privacy online wel verhogen.
1. Pas je zoekmachine aan
2. Verander je browser
3. Gebruik 2 browsers
4. Gebruik een VPN
5. Gebruik een adblocker
Alles bij de bron; VRT
Veel websites waar gebruikers kunnen aangeven cookies te weigeren, plaatsen deze cookies in de praktijk toch. Van 85.000 onderzochte websites, blijkt negentig procent minimaal één privacyovertreding te gaan.
Zo negeerde ruim 65% van de onderzochte website het weigeren van cookies en plaatste die dus toch. In 57% van de gevallen was er daarnaast geen optie beschikbaar voor het weigeren van cookies en 32% van de websites bevat in zijn geheel geen cookiesmelding.
Daarnaast blijken veel websites in de praktijk al gegevens over bezoekers te verzamelen, voordat zij een cookiemelding te zien krijgen. Ook zagen onderzoekers regelmatig dark patterns terugkomen.
De onderzoekers concluderen dat het cookie-systeem in huidige vorm niet werkt en ze pleiten voor een nieuwe technologie die aanpakken van dit soort schendingen mogelijk maakt.
Alles bij de bron; DutchITChannel
De Nederlandse Rijksinspectie Digitale Infrastructuur legt Odido een boete van 175.000 euro op. De provider zou intern verkeersgegevens van 2,5 tot 4,5 miljoen klanten voor onjuiste doeleinden hebben verwerkt. Dit vond tussen 2018 en 2019 plaats.
De RDI beboet Odido naar eigen zeggen nadat de provider verkeersgegevens heeft verwerkt voor een samenwerkingsproject met het Centraal Bureau voor de Statistiek. Er werden volgens de overheidsinstantie privacygevoelige gegevens verwerkt voor dit project, waaronder tijdstippen van telefoongesprekken en locaties van bellers. De twee partijen werkten samen om in kaart te brengen hoe grote groepen mensen zich verplaatsen.
Dit is onder bepaalde omstandigheden toegestaan, maar niet voor het project met het CBS; Odido voldeed daarom niet aan de Telecommunicatiewet.Het samenwerkingsproject tussen de provider en het CBS werd begin 2020 beëindigd en sindsdien heeft de RDI geen overtredingen geconstateerd.
Alles bij de bron; Tweakers
Rechercheurs van het Team Internationale Misdrijven (TIM) van de politie hebben onlangs meegewerkt aan het achterhalen van de verblijfplaatsen van vermiste Oekraïense kinderen.
Bij de osint-hackathon, waaraan behalve TIM en Europol, drieëntwintig verschillende politiediensten en zes non-gouvernementele organisaties deelnamen, werden de verblijfplaatsen van acht kinderen gevonden.
Er werd gezocht in openbronnen naar informatie over de locaties van de vermiste kinderen, waarbij veelvuldig aan ‘geolocating’ werd gedaan. Alle gevonden informatie is aan Oekraïense autoriteiten overgedragen. Rechercheurs daar zullen de bevindingen verder analyseren en gebruiken binnen de relevante strafrechtelijke procedure.
Alles bij de bron; CopsInCyberspace
Singapore zegt dat het persoonlijke gegevens heeft verwijderd die zijn verzameld door zijn COVID-19 systemen voor het traceren van contacten, met uitzondering van informatie met betrekking tot een moordzaak, die voor onbepaalde tijd zal worden bewaard.
De stap komt een jaar nadat het land afgelopen februari plannen aankondigde om de traceringssystemen uit te schakelen, nadat de reisbeperkingen werden versoepeld toen de wereldwijde pandemie stabiliseerde. Er werden ook inspanningen geleverd om miljoenen Bluetooth wearables terug te vinden, die in het hele land werden verspreid om de nabijheid van gebruikers te detecteren en te monitoren, zodat deze apparaten konden worden opgeknapt en gerecycled voor toekomstig gebruik indien nodig.
De TraceTogether en SafeEntry systemen werken nu niet meer en alle COVID-gerelateerde persoonlijke gegevens die van de twee platforms zijn verzameld, zijn verwijderd, bevestigde de Smart Nation Group, een overheidsinstantie die valt onder het kabinet van de premier en wordt beheerd door het ministerie van Communicatie en Informatie.
De registratiegegevens van gebruikers, die werden bewaard om een snelle uitrol en registratie voor beide systemen mogelijk te maken, mocht er een nieuwe variant komen, zijn ook gewist.
In februari 2021 nam Singapore nieuwe wetgeving aan waarin de reikwijdte van de toegang van de lokale politie tot COVID-19 gegevens voor het traceren van contacten werd vastgelegd. Dit kwam enkele weken nadat bekend werd dat de politie toegang had tot de TraceTogether-gegevens voor het traceren van contacten voor strafrechtelijk onderzoek, wat in tegenspraak was met eerdere beweringen dat deze informatie alleen zou worden gebruikt als de persoon positief testte op het coronavirus.
De backend-infrastructuren voor de TraceTogether- en SafeEntry-systemen zijn ook ontmanteld en de websites aan de voorkant zijn gesloten. Daarnaast zijn de mobiele apps voor TraceTogether en SafeEntry Business verwijderd uit de officiële app stores.
De TraceTogether app gegevens werden vastgelegd, versleuteld en 21 dagen lang lokaal opgeslagen op de telefoon van de gebruiker en, indien nodig voor het opsporen van contacten, geüpload naar het Ministerie van Volksgezondheid voor controle.
SafeEntry werd gebruikt als een digitaal inchecksysteem dat gegevens verzamelde om het traceren van contacten te vergemakkelijken van personen en de locaties die ze bezochten toen ze positief testten op COVID. Bij de in- en uitgang van locaties, zoals supermarkten en winkelcentra, werden QR-codes weergegeven die bezoekers moesten scannen om vervolgens hun naam, nationale identificatienummer en mobiele nummer in te voeren.
Op het hoogtepunt werd TraceTogether door meer dan 90% van de lokale bevolking gebruikt.
Bron; ZDNet [Vertaald met DeepL.com]