- Gegevens
- Hoofdcategorie: Nieuws uit NL
Het kabinet vindt het cruciaal voor een goed functionerende digitale samenleving dat burgers en bedrijven digitaal autonoom kunnen zijn en zelf kunnen beschikken over hun digitale identiteit en de gegevens die op hen betrekking hebben.
Het verstevigen van de digitale autonomie van onze burgers en bedrijven met als doel dat ze hun zaken zelf, veilig en betrouwbaar, digitaal kunnen regelen, vraagt van de overheid maatregelen die belangrijke publieke waarden borgen, zoals vrijwillig gebruik, privacy, herstelvermogen en transparantie. Daarnaast staan gebruiksvriendelijkheid en inclusie van mensen met een beperking hoog op de agenda.
Om burgers en bedrijven zo goed mogelijk te ondersteunen in de regie op hun digitale leven, zet ik me in voor een veilige introductie van een betrouwbare en toegankelijke id-wallet binnen het voorgestelde Europese raamwerk.
Om ervoor te zorgen dat burgers en bedrijven in 2025 gebruik kunnen maken van een betrouwbare, veilige en hoogwaardige id-wallet werk ik aan een open source voorbeeld-wallet. De ontwikkeling daarvan gebeurt transparant. De onderliggende documentatie wordt online gepubliceerd en de broncode van de wallet wordt openbaar beschikbaar gesteld.
Ik streef ernaar om in het eerste kwartaal van 2024 een werkende, eerste versie van een Nederlandse open source voorbeeld-wallet op te leveren. Deze versie zal een deel van de uiteindelijk benodigde functionaliteiten kunnen ondersteunen, zoals het online personaliseren van de id-wallet, online identificatie en authenticatie en het kunnen laden en delen van gegevens. Andere functionaliteiten, bijvoorbeeld het offline gebruik van een id-wallet en het zetten van een elektronische handtekening met een id-wallet, zullen later kunnen worden ontwikkeld.
De betrouwbaarheid en veiligheid van deze eerste versie van de NL voorbeeld-wallet wil ik doorlichten in keten(integratie)-testen in het tweede kwartaal van 2024.
Alles bij de bron; RijksOverheid
- Gegevens
- Hoofdcategorie: Internet en Telecom
Eerdere deze week maakte Okta melding dat er data is gestolen uit het ticketsysteem van zijn klantenservice. De data die is buitgemaakt bevat echter zeer gevoelige gegevens, waarmee cybercriminelen nu ook eenvoudig toegang kunnen krijgen tot systemen van de klanten van Okta.
Okta is een zogenaamde identity and access management (IAM)-oplossing, een concurrent van bijvoorbeeld Microsoft (Azure) Active Directory.
Okta beheert het adresboek van bedrijven waarin alle medewerkers en hun logingegevens zijn opgenomen. Zodra een medewerker ergens probeert in te loggen wordt die sessie door Okta gecontroleerd. Het is dus een cruciaal onderdeel in een bedrijfsnetwerk.
...Hackers zijn er in geslaagd om middels phishing toegang te krijgen tot het klantenservicesysteem van Okta en konden hierdoor de door klanten aangeleverde HAR-bestanden downloaden. Vervolgens hebben de cybercriminelen al die HAR bestanden doorzocht op sessies en cookies en proberen ze die nu te gebruiken om toegang te krijgen tot systemen van klanten.
Onder meer 1Password en Cloudflare hebben al bekendgemaakt dat ze kwaadaardige activiteiten hebben gedetecteerd die zijn terug te herleiden naar HAR-bestanden bij Okta. De kans bestaat echter dat dit nog maar het tipje van de sluier is.
Okta stelt dat het normaliter aanbeveelt om alle cookies en sessietokens te verwijderen in HAR-bestanden voordat ze worden gedeeld. In de praktijk gebeurt dit waarschijnlijk niet vaak, omdat klanten een oplossing zoeken voor hun probleem en Okta een betrouwbare leverancier is.
....Belangrijker aan dit verhaal is dat het laat zien hoe kwetsbaar online authenticatie werkelijk is. Zodra cybercriminelen toegang weten te krijgen tot sessies en cookies kunnen ze de browsersessie van de klant nabootsen en zichzelf toegang verschaffen tot allerlei online systemen. Sommige SaaS-providers hebben hier nog wel wat additionele beveiligingen voor, maar veel ook nog niet.
Alles bij de bron; TechZine
- Gegevens
- Hoofdcategorie: Internet en Telecom
De AIVD en MIVD krijgen, met een verruiming van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv), meer bevoegdheden in de cyberstrijd tegen hackers uit bijvoorbeeld China en Rusland.
De Tweede Kamer is akkoord, de Eerste Kamer zal dit naar verwachting ook doen – ondanks bezwaren van experts dat de privacy van Nederlanders geschaad gaat worden.
Het wordt voor de diensten straks mogelijk om internetverkeer dat via kabels gaat ‘te verkennen’. Bij die ‘verkenningsoperaties’ wordt echter ook het internetverkeer van Nederlanders opgevangen – en geanalyseerd.
Volgens privacyorganisaties wordt zo toch een sleepnetmethode geïntroduceerd, terwijl Nederland zich daar in 2017 in een referendum nog tegen uitsprak.
Ook BiZa-minister Hugo de Jonge reageerde laconiek op alle kritiek. ‘We zijn niet geïnteresseerd in het Netflix-gedrag van uw buurman’.
Alles bij de bron; Cops-in-Cyberspace
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Minister Bruins Slot (BZ) reageert op het advies van de Raad van State over het voorstel van rijkswet tot goedkeuring van het op 28 januari 1981 in Straatsburg tot stand gekomen Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens en goedkeuring van het op 10 oktober 2018 in Straatsburg tot stand gekomen Protocol tot wijziging van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens.......
......De Wiv 2017 voorziet in een uitgewerkt gegevensverwerkingsregime voor de inlichtingen- en veiligheidsdiensten. Het regime is geënt op de jurisprudentie van het EHRM en sluit nauw aan op de algemene beginselen van het gegevensbeschermingsrecht. Een expliciete verwijzing in de wet naar Conventie 108+ is niet noodzakelijk. Wel dient duidelijk te zijn op welke wijze de Wiv 2017 overeenstemt met dan wel afwijkt van Conventie 108+. In de toelichting bij het voorstel voor deze goedkeuringswet wordt hierop ingegaan. Met het oog daarop merkt de Afdeling het volgende op.
Conventie 108+ staat beperkingen toe op de rechten die het verdrag aan betrokkenen toekent. De toelichting stelt enerzijds dat vanwege geheimhouding onder de Wiv 2017 de rechten van betrokkenen mogen worden beperkt en anderzijds dat de Wiv 2017 voorziet in rechten voor betrokkenen. De toelichting specificeert daarbij niet van welke uitzonderingsmogelijkheid uit de Conventie 108+ nu wel en geen gebruik wordt gemaakt en wat hiervan de motivering is.
De Afdeling adviseert de toelichting op dit punt aan te vullen. Het advies van de Afdeling is op dit punt overgenomen......
......Daarnaast kent Conventie 108+ aan toezichthouders de taak toe te worden geconsulteerd over nieuwe regelgeving.31 Hierop is geen uitzondering toegestaan. In de Wiv 2017 is dit nu nog niet opgenomen als wettelijke taak voor de CTIVD en de andere toezichthouder, de Toetsingscommissie Inzet Bevoegdheden (TIB). De adviestaak van de AP is wel wettelijk vastgelegd.32 De toelichting gaat niet in op de vraag waarom deze bevoegdheid niet ook voor de genoemde toezichthouders in de wet wordt geregeld.
De Afdeling adviseert in de toelichting op het voorgaande in te gaan en de Wiv 2017 zo nodig aan te passen.
Gelet op het advies van de Afdeling is paragraaf 4 van de memorie van toelichting uitgebreid met een alinea, met daarin een nadere beschouwing over de verplichting uit artikel 15 (nieuw), derde lid, Conventie 108+ om toezichthouders te consulteren over nieuwe wet- en regelgeving die ziet op de verwerking van persoonsgegevens.
Alles bij de bron; RijksOverheid
- Gegevens
- Hoofdcategorie: Lichamelijke Integriteit
Minister Kuipers (VWS) informeert de Tweede Kamer over het rapport over waar DNA-technologie het beste in Nederland kan worden gebruikt en onder welke voorwaarden.
De brief gaat ook over zorg en preventie, de werkzaamheid en veiligheid van medicijnen, genoomdata en Europese ontwikkelingen op het gebied van onderzoek.
Alles bij de bron; RijksOverheid
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Twee jaar geleden deed de CTIVD onderzoek naar geautomatiseerd openbronnenonderzoek van de AIVD en MIVD. Bij "‘automated Open Source Intelligence" (OSINT) worden gegevens uit open bronnen doorzocht en geraadpleegd, waaronder van sociale mediadiensten. De toezichthouder concludeerde toen dat de diensten de werking van de tools voor automated OSINT in onvoldoende mate hadden doorgrond om aan de bepalingen omtrent gegevensverwerking te voldoen.
Om ervoor te zorgen dat de AIVD en MIVD de werkwijze en (zo goed als mogelijk) de achterliggende bronnen van de tools in kaart brachten, en daarop mitigerende maatregelen zouden nemen om onrechtmatigheden in de toekomst te voorkomen, werd vorig jaar een pilot gestart.
Volgens de CTIVD heeft deze pilot geleid tot meer bewustzijn binnen de diensten over eventuele risico’s die kunnen ontstaan bij de inzet van tools in het inlichtingenproces. Voor een aantal tools zijn de risico's in kaart gebracht en mitigerende maatregelen genomen.
De CTIVD stelt dat het noodzakelijk is om dit voor alle tools in het inlichtingenproces te doen. Daarnaast wil de toezichthouder ook een overzicht van alle tools die de diensten gebruiken. "De AIVD en de MIVD zijn verzocht op korte termijn verbeteringen door te voeren. Dit betekent dat er binnen twaalf weken een sluitend overzicht dient te zijn en het wegingskader op alle tools uit dat overzicht (dus niet enkel die uit de pilot) dient te zijn toegepast."
In een reactie op de brief van de toezichthouder stellen De Jonge en Ollongren dat het afwegingskader voor alle tools zal worden toegepast. Ook zal er een sluitend overzicht worden aangeleverd. Of dit binnen twaalf weken zal zijn laten de ministers niet weten. De diensten zullen namelijk met de CTIVD in gesprek gaan over een haalbare uitvoeringstermijn, aldus de reactie van de bewindslieden (pdf).
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Privégegevens van ggz-patiënten die een privacyverklaring hebben ondertekend dat ze hun gegevens niet willen delen zijn door een softwarefout toch gedeeld, zo heeft demissionair minister Helder voor Langdurige Zorg laten weten (pdf). Psychiaters en psychologen zijn sinds 1 juli door de NZa verplicht om informatie over iedere patiënt aan te leveren. Het gaat daarbij om zeer vertrouwelijke informatie.
Gegevens worden standaard verzameld en patiënten moeten actief bezwaar tegen de dataverzameling maken.
Hierdoor wordt echter niet alleen het delen van gegevens met de NZa stopgezet, maar ook het delen van gegevens met de desbetreffende zorgverzekeraar. Dijk wilde uitleg waarom er geen aparte privacyverklaring is ontwikkeld die alleen over het delen van gegevens met de NZa gaat.
Volgens Helder heeft de NZa dit onderzocht. ".... De partijen die de ict-systemen van zorgaanbieders verzorgen gaven in dit kader aan de NZa aan dat het onmogelijk was deze splitsing (tijdig) gerealiseerd te krijgen."
Daarnaast blijkt dat gegevens van patiënten die een privacyverklaring hadden getekend toch zijn gedeeld. Eén systeem waar zorgverleners gebruik van maken gaf door 'een probleem in de programmatuur' aan dat er geen privacyverklaring was ondertekend, terwijl dit wel het geval was. De NZa ontving van vijf zorgaanbieders een melding dat dit probleem zich bij hen had voorgedaan.
Helder stelt dat de toezichthouder alle bestanden waarin deze fout zat heeft verwijderd en de zorgaanbieders heeft gevraagd om deze opnieuw aan te leveren met gecorrigeerde gegevens. De minister merkt op dat de NZa heeft onderzocht of dit soort situaties met extra automatische of menselijke interventies voorkomen kunnen worden. "Dit blijkt helaas niet het geval volgens de NZa, omdat de fout zit in de ict-systemen waaruit de bestanden worden aangeleverd."
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Divers Nieuws
De beelden van particuliere bewakingscamera’s zijn belangrijk voor opsporingsonderzoek en de rechtspraak. De afgelopen drie jaar speelden camerabeelden een rol in 5500 strafzaken.
Demissionair minister Yesilgöz-Zegerius (Justitie en Veiligheid) is dan ook blij met de groei van het aantal bij de politie geregistreerde particuliere camera’s. De minister is wel bezorgd over het grote aantal verkeerd afgestelde camera’s.
Burgers en bedrijven kunnen hun bewakingscamera’s aanmelden bij Camera in Beeld. De politie weet per straat welke camera’s beschikbaar zijn. Als er een misdrijf is gepleegd, kunnen beelden gericht worden gevorderd om de daders op te sporen.
Opsporingsambtenaren hebben op grond van artikel 126nda van het Wetboek van Strafvordering de bevoegdheid om camerabeelden te vorderen. Voorwaarde is dat het een verdenking van een misdrijf betreft waarop naar de wettelijke omschrijving een gevangenisstraf van vier jaren of meer is gesteld. Voorbeelden daarvan zijn straatroof en seksueel geweld.
Ook beelden van particuliere camera’s die niet zijn aangemeld bij Camera in Beeld kunnen worden gevorderd. Bij vordering dient de eigenaar mee te werken aan het verstrekken van de camerabeelden. Het opzettelijk niet voldoen aan een vordering is strafbaar.
Volgens de minister is er door Camera in Beeld geen landelijk dekkend cameranetwerk ontstaan waardoor de gehele openbare ruimte in beeld wordt gebracht. “Dit is nu niet het geval en ik ben van mening dat het een onwenselijk toekomstbeeld is. Het is belangrijk dat eigenaren er blijvend op worden gewezen dat zij hun camera moeten afstellen volgens de regels van de Algemene verordening gegevensbescherming.”
In antwoord op Kamervragen van D66, SP, PvdD en DENK zegt de minister dan ook te begrijpen dat privacywaakhonden zoals de Autoriteit Persoonsgegevens en Bits of Freedom hiervoor aandacht vragen.
Yesilgöz-Zegerius: “Camera’s mogen alleen de eigen bezittingen filmen. Het is dus niet toegestaan om het huis of de tuin van buren of de openbare weg, zoals de stoep of parkeerplaatsen, te filmen. Het goed afstellen van een camera is daarom belangrijk. De politie wijst alle deelnemers aan Camera in Beeld op de regels daartoe. Alleen in uitzonderlijke gevallen mag een camera doelbewust worden gericht op een gedeelte van het terrein van de buren of de openbare ruimte. De eigenaar van de camera moet dan een beroep doen op één van zes grondslagen die de Algemene verordening gegevensbescherming noemt.”
De minister wijst er tot slot op dat voor een deurbel met camera dezelfde regels gelden als voor een bewakingscamera.
Alles bij de bron; Bits-of-Freedom