- Gegevens
- Hoofdcategorie: Internet en Telecom
Een Finse psychotherapiepraktijk die locaties in heel Finland heeft en duizenden patiënten behandelt is afgeperst nadat een aanvaller toegang tot zeer gevoelige patiëntdata wist te krijgen. Een deel van de data, tweehonderd patiënten "records, is inmiddels door de afperser openbaar gemaakt. Het gaat om namen, adresgegevens, persoonlijke identificatienummers en patiëntenrapporten.
Als de psychotherapiepraktijk geen 450.000 euro betaalt zal de afperser elke dag honderd nieuwe records online zetten, zo meldt televisiestation YLE. De afpersers heeft naar eigen zeggen de gegevens van 40.000 patiënten in handen. In een verklaring bevestigt Vastaamo de datadiefstal en afpersing.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
Waarom mijn titel ‘smeerboel’? Het is in ieder geval geen verwijt aan het Hof. Sterker nog, de uitspraak van het Hof is volkomen terecht. En viel ook te verwachten na de Schrems I uitspraak. Want in Schrems I oordeelde het Hof destijds al dat de Safe Harbor afspraak tussen de EU en de VS (de voorganger van Privacyshield) geen stand kon houden.
En het Hof heeft ook een kritische noot over de Standard Contractual Clauses (SCC) opgenomen. Je kunt niet volstaan met het simpel ondertekenen van de SCC. Je moet ook toetsen in het land van doorgifte hoe het met de nationale wetgeving zit, en met name of die wetgeving geen afbreuk doet aan de bescherming die je via die SCC’s wilt creëren.
Dat brengt me op mijn punt: het is Europa die er dus een smeerboel van maakt. Zeker als je op je klompen kunt aanvullen dat je nat gaat met Privacyshield. Dat mag niet alleen de EU commissie zich aantrekken (die die afspraak heeft gemaakt en ook de SCC), maar zeker ook de EU-privacywaakhonden. Die EU waakhonden zitten samen in een vehikel genaamd de European Data Protection Board (EDPB). En die hadden deze bui natuurlijk ook (allang) moeten zien hangen.
De EDPB is na drie maanden nog niet veel verder dan het benoemen van een taskforce die “will prepare recommendations to assist controllers and processors with their duty to identify and implement appropriate supplementary measures to ensure adequate protection when transferring data to third countries.”
Sinds Schrems II op 16 juli van kracht is, zit zo’n beetje heel ondernemend Europa met de handen in het haar en is er niemand die precies weet hoe je nu moet toetsen of in een bepaald land ‘een gelijkwaardig beschermingsniveau in de praktijk kan worden gewaarborgd’.
Ik vind het eerlijk gezegd behoorlijk triest wat de EU hier aan daadkracht laat zien, of beter: het gebrek eraan.
Alles bij de bron; AGConnect
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Duitse overheid is akkoord gegaan met een wetsvoorstel waardoor Duitse inlichtingendiensten heimelijk de apparaten van verdachten mogen binnendringen en via een "Staatstrojaner" versleutelde communicatie mogen onderscheppen en afluisteren. Op deze manier moet er ook toegang kunnen worden verkregen tot end-to-end versleutelde chatberichten.
Providers kunnen daarnaast worden verplicht om bij het installeren van de malware te helpen. Dat melden onder andere Netzpolitik, MDR en Die Welt .
Volgens de Duitse minister van Justitie Lambrecht moeten inlichtingendiensten op het internet dezelfde mogelijkheden hebben waarover ze ook in de analoge wereld beschikken. Er zijn echter ook tegenstanders van de wet. "Het feit dat de inlichtingendiensten nu ook gebruik mogen maken van de Staatstrojaner staat gelijk aan de uitverkoop van onze burgerrechten", zegt Stephan Thomae van de liberale FPD.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Farmaceutische gigant Pfizer heeft door een verkeerd geconfigureerde Google Cloud Storage bucket de privégegevens van honderden medicijngebruikers gelekt, alsmede informatie over gebruikte medicijnen en gezondheidstoestand. Dat laten onderzoekers van vpnMentor weten.
Pfizer had één van hun buckets verkeerd geconfigureerd, waardoor die voor iedereen op internet toegankelijk was. De bucket bevatte honderden transcripties van gebruikers van Pfizer-medicijnen die contact met het bedrijf hadden gezocht die allerlei persoonlijke identificeerbare informatie bevatten, zoals volledige naam, adresgegevens, e-mailadres, telefoonnummer en gedeeltelijke details over de medische en gezondheidstoestand.
In de transcripties werden ook de medicijnen genoemd die de gebruikers gebruikten, zoals Viagra en Advil.
Vpnmentor waarschuwde Pfizer op 13 juli, gevolgd door een tweede poging op 19 juli. Een derde poging volgde op 22 september, waarop de farmaceut reageerde. Volgens de onderzoekers stelde Pfizer dat het niet om belangrijke data ging. Daarop deelden de onderzoekers een deel van de persoonlijke informatie die ze hadden gevonden, waarop de bucket door Pfizer werd beveiligd.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
Met het digitale gezondheidspaspoort 'de CommonPass', een app waarin de testresultaten en gezondheidsgegevens wereldwijd gestandaardiseerd zijn, proberen de vliegtuigmaatschappijen de vliegtuigen weer de lucht in te krijgen. Eerder werd dit coronapaspoort van de World Economic Forum getest bij een Aziatische luchtvaartmaatschappij. Deze testrondes tussen de vluchten Hong Kong en Singapore verliepen zo goed, dat het experiment wordt vervolgd.
De privacy is nog een dingetje. Want mag een luchtvaartmaatschappij in staat zijn om gezondheidsgegevens te verwerken? "Het gaat om de verwerking van bijzondere gegevens. Dat zou alleen maar mogen als er een juridische grondslag aan vast zit.", zegt Corrette Ploem, gezondheidsjurist en gespecialiseerd in privacy en dataprotectie.
Die juridische grondslag gaat in feite om het verlenen van toestemming. "Maar zo makkelijk is dat niet, die toestemming krijgen," stelt Ploem. "Een luchtvaartmaatschappij kan bijvoorbeeld niet eisen dat je als reiziger de CommonPass downloadt, omdat je anders het vliegtuig niet in mag. Die toestemming is niet vrijelijk verkregen, dus dan gaat die grondslag niet door."
Alles bij de bron; 1Vandaag
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Volkbank schakelt de hulp van Schluss in om op een veilige en snelle manier toegang te krijgen tot persoonsgegevens van klanten die nodig zijn om een hypotheekaanvraag doen.
Een hypotheekaanvraag duurt bij de Volksbank gemiddeld zo’n acht weken. In die tijd besteedt de bank vooral veel tijd aan het verzamelen, delen en controleren van de benodigde data van (potentiële) klanten. Denk aan inkomsten, uitgaven, leningen en eigen vermogen. Deze data is afkomstig van verschillende partijen zoals de Belastingdienst, BKR, UWV en DUO. De klanten leveren deze documenten per mail aan bij de Volksbank. Naast het feit dat dit relatief onveilig is, ontvangt de bank ook veel overbodige informatie. Dit terwijl de bank werkt aan dataminimalisatie.
Schluss ontwikkelt een datakluis waarin eindgebruikers persoonsgegevens kunnen opslaan. Zij kunnen deze data via een link openstellen voor individuen, waaronder medewerkers van bepaalde instanties. Deze toegang kan op elk gewenst moment worden stopgezet. Omgekeerd kunnen instanties toestemming vragen om specifieke data in te zien. Hiervoor moeten zij een qr-code genereren en delen met de datakluisbeheerder, die op zijn beurt het verzoek tot inzage kan goedkeuren.
Schluss brengt eind dit jaar een betáversie van hun product op de markt. Voorlopig zijn er nog geen instanties die gebruikmaken van de Schluss-app.
Alles bij de bron; Computable
- Gegevens
- Hoofdcategorie: Internet en Telecom
Staatssecretaris Knops van Binnenlandse Zaken heeft besloten om gegevens in de Basisregistratie Personen (BRP) voorlopig niet versleuteld op te laten slaan. "Op dit moment valt er meer winst te behalen door het nemen van andere maatregelen dan extra versleuteling", zo laat de staatssecretaris in een brief aan de Tweede Kamer weten.
Het kabinet heeft in het Regeerakkoord gesteld om gegevens van burgers in basisadministraties en andere privacygevoelige informatie versleuteld op te slaan (pdf). "De Basisregistratie Personen wordt gemoderniseerd en zal de e-mailadressen van burgers bevatten. Gegevens van burgers in basisadministraties en andere privacygevoelige informatie wordt altijd versleuteld opgeslagen."
Knops heeft een onderzoek naar de beveiliging van de BRP laten uitvoeren, waarbij er bijzondere aandacht was voor de risico's die door middel van encryptie zijn te verkleinen. De onderzoekers stellen dat het altijd versleuteld opslaan van gegevens slechts één bestaand beveiligingsrisico voor de BRP verhelpt, namelijk diefstal van een fysieke harde schijf met BRP-data vanuit een rack in een datacenter, of het stelen van een kopie of back-up.
Op basis van het onderzoek heeft Knops dan ook besloten om data in de BRP voorlopig niet versleuteld op te slaan.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Nieuws uit NL
De Rijksoverheid krijgt een centraal meldpunt waar burgers incorrecte gegevens kunnen aanmelden, zoals onterechte overlijdensverklaringen. Zulke foute data worden automatisch doorgegeven aan vele systemen en in de praktijk blijkt rechtzetten daarvan moeilijk, ook jaren later nog.
De toezegging voor een meldpunt is gedaan naar aanleiding van een klacht van een Rotterdammer die door een fout van de gemeente als overleden is geregistreerd waarna hij verzekeringen, paspoort, rijbewijs en pensioen kwijtraakte. Deze fout ijlt na drie jaar nog na.
Alles bij de bron; AGConnect