2019 is weer een recordjaar voor datalekken. Hellevoetsluis onderzoekt welke privacygevoelige gegevens in ambtenarenadviezen in te zien waren. Het is monnikenwerk.

RTL Nieuws stuitte afgelopen zomer op een lek in het raadsinformatiesysteem (RIS) van de gemeente. In dat systeem konden ambtenaren openbare adviezen, inclusief bijlagen zoals facturen of brieven, aan het college van B en W invoeren. 21.000 documenten stonden op openbaar en een deel daarvan bevatte privacygevoelige informatie. Het ging om namen, telefoonnummers, e-mail- en woonadressen en burgerservicenummers. Hoe groot de schade is, kan niemand op dat moment overzien.

De gemeente slaat groot alarm en doet melding van een datalek bij de Autoriteit Persoonsgegevens (AP). De Zuid-Hollandse gemeente met zo’n veertigduizend inwoners was daarmee een van de bijna 12.000 organisaties die in de eerste helft van dit jaar een datalek moest melden bij de AP. De privacywaakhond verwacht over 2019 24.000 meldingen, een stijging van 14 procent ten opzichte van een jaar eerder...

...Het vaststellen van de omvang en de ernst van het datalek is monnikenwerk, waarvan een half jaar na de melding het einde eindelijk in zicht is. Ambtenaren van de werkgroep spitten één voor één alle openbare adviezen uit 2017, 2018 en de eerste helft van 2019 door, en inventariseren welke privacygevoelige informatie ze bevatten en wat voor risico’s dat geeft.

Het onderzoek naar 2018 en de eerste helft van 2019 is inmiddels afgerond. Burgerservicenummers of paspoortnummers werden niet aangetroffen, bijzondere persoonsgegevens over gezondheid, religie of ras evenmin, concludeert Buis. Slechts in dertien gevallen schat de gemeente in dat de gelekte gegevens een hoog privacyrisico vormen...

...Het is niet uit te sluiten dat nog meer persoonsgegevens opduiken, in oudere documenten. „In 2001 gingen we heel anders om met het raadsinformatiesysteem dan we nu doen,” zegt Buis. Ook die getroffenen moeten geïnformeerd worden.

Extra onderzoek is dus nodig, maar de werkgroep hoeft niet 16,5 jaar Hellevoetsluise raadsgeschiedenis door te vlooien. Op basis van de onderzochte jaren en de resultaten van de steekproeven maakt de gemeente straks een inschatting hoe ver terug de zoektocht nog moet gaan.

Alles bij de bron; NRC


 

Hackers van de Duitse hackersclub CCC hebben een kwetsbaarheid ontdekt in het netwerk dat straks zal worden gebruikt voor de verplichte uitwisseling van patiëntgegevens en elektronische medicijnrecepten in Duitsland, waardoor het voor onbevoegden mogelijk is om gevoelige gezondheidsgegevens te bekijken.

Op dit moment zijn al meer dan 115.000 Duitse medische en tandartspraktijken op het "Telematik-Netzwerk" aangesloten. Om toegang tot het netwerk te krijgen wordt er gewerkt met cryptografische identiteiten, die op een chipkaart worden opgeslagen. Tijdens het inloggen wordt de chipkaart van de zorgprofessional via een kaartlezer gecontroleerd.

Onderzoekers van de CCC wisten op eenvoudige wijze alle benodigde chipkaarten te verkrijgen waarmee er toegang tot het netwerk kon worden verkregen. De onderzoekers konden in naam van elke willekeurige praktijk een toegangspas aanvragen. De aanvrager wordt namelijk nooit gecontroleerd, zo laat de CCC weten. Met de invoering van het elektronisch patiëntendossier zou een aanvaller toegang tot alle patiëntendossiers van de betreffende praktijk hebben.

Ook bij twee andere toegangspassen, zoals de Gesundheidskarte (eGK) die nu al in gebruik is, schieten de procedures te kort en is het mogelijk om een pas aan te vragen. Met deze pas kan een aanvaller nu al toegang tot de medicatiegegevens en noodcontactgegevens van patiënten krijgen. In de toekomst moet deze pas ook toegang tot volledige patiëntendossiers gaan bieden.

Volgens de CCC is er sprake van nalatigheid en een gebrek aan testen door Gematik, het bedrijf dat het netwerk verzorgt. Het onderzoek naar het netwerk werd tijdens de jaarlijkse CCC-conferentie in Leipzig gepresenteerd.

Alles bij de bron; Security


 

“Ik heb niks te verbergen”, stelt Ronald Sørensen in zijn column van 8 december 2019. In deze column pleit hij ervoor om privacywetten opzij te schuiven bij misdaadbestrijding. Zo ziet hij heil in uitgebreider cameratoezicht en een verplichte DNA-bank. Zodat iedereen altijd gevolgd en opgespoord kan worden. Iemand die niks te verbergen heeft, heeft maling aan privacybescherming, betoogt hij.

Ik ben het met de heer Sørensen eens dat misdadigers opgepakt moeten worden. Echter, het medicijn moet niet erger zijn dan de kwaal. Sørensen stelt namelijk voor dat de overheid alles van ons mag weten en moet kunnen gebruiken om misdadigers op te sporen. Dat moeten we niet willen toestaan. Privacy is een grondrecht en dient goede – wettelijke -bescherming. Privégegevens zijn primair van de privépersoon. Als liberaal sta ik voor een overheid die ten dienste staat van haar inwoners en niet andersom. De overheid heeft de autonomie van haar burgers te respecteren. Uit principe maar ook vanuit de wetenschap dat de overheid feilbaar is...

...Veiligheid is belangrijk om in vrijheid te kunnen leven. Onvrijheid om in veiligheid te kunnen leven is het paard achter de wagen spannen.

Alles bij de bron; Dagblad010


 

De Belgische politie waarschuwt weggebruikers op de regels rondom dashcams in auto's. Die vallen vaak in sommige gevallen onder de privacywet en dat betekent dat weggebruikers aan bepaalde regels moeten voldoen voor ze de camera's mogen inzetten.

Weggebruikers die beelden maken van bijvoorbeeld een vakantieroute en die beelden alleen voor eigen gebruik bewaren kunnen dat gewoon doen. Zodra zij de beelden echter publiceren, bijvoorbeeld door ze op internet te zetten, zijn ze wel gebonden aan de privacywet. In dat geval moet de camera geregistreerd worden bij de autoriteiten, en gelden andere regels zoals het portretrecht.

Als de dashcambeelden gebruikt worden als bewijsmateriaal bij bijvoorbeeld aanrijdingen mag dat, maar gelden er ook regels. Ook dan moet de dashcam geregistreerd worden. De eigenaar moet bovendien de beelden 's avonds wissen als er overdag niets problematisch is gefilmd. Ook moet een eigenaar de tegenpartij melden dat hij beelden heeft opgenomen.

Alles bij de bron; Tweakers


 

Tech-goeroe Peter Diamandis stelt in zijn nieuwe boek ‘The Future is Faster Than You Think’ dat big data tech-giganten als Apple, Amazon en Google de doctoren van de toekomst worden. Daarbij gaan big data, AI, wearables en stemassistenten zoals de Google Assistant, Amazon Alexa en Apple’s Homepod, een belangrijke rol spelen...

...In het Verenigd Koninkrijk en de VS zijn de eerste stappen al gezet om de Amazon Alexa gezondheidstaken toe te bedelen.

Amazon werkt in het VK samen met de NHS (National Health Service) om gezondheidsvragen te beantwoorden zoals “Wat zijn de symptomen van gordelroos?” Of “Wat doe je als je verkouden bent?” In de VS is Alexa goedgekeurd voor de HIPAA wetgeving en zijn overeenkomsten gesloten met zorginstellingen en zorgverzekeraars. Patiënten kunnen op die manier via Alexa gezondheidsinformatie bij deze instanties opvragen en uitwisselen.

De Google Assistant wordt eveneens al gebruikt voor het opvragen en verstrekken van informatie over medicijnen, symptomen, ziekten en artsen. De Google Home en Amazon Echo kunnen dankzij een door de Mayo Clinic ontwikkeld programma al eerste hulp bieden bij kleine verwondingen door patiënten te vertellen wat, en in welke volgorde, te doen.

Diamandis gelooft dat de inzet van slimme assistenten en big data de gezondheidszorg goedkoper zal maken door een deel van de zorg te verplaatsen vanuit ziekenhuizen naar de thuissituatie.

De overtuiging dat grote tech-bedrijven daarbij een belangrijke rol zullen gaan spelen komt voort uit het feit dat deze bedrijven al meester zijn in het verzamelen en gebruik van persoonlijke gegevens om te anticiperen op gebruikersgedrag. Persoonlijke gezondheidsgegevens kunnen gebruikt worden om voorspellingen te doen over iemands gezondheidsperspectieven op de lange termijn en hen dienovereenkomstig te adviseren.

Om die voorspellingen en adviezen zo nauwkeurig mogelijk te maken is veel en gedetailleerde informatie van de patiënt nodig. De slimme assistenten, in combinatie met smartwatches en andere health gadgets en -sensoren, kunnen die informatie verzamelen, centraal opslaan en koppelen aan medische dossiers. Het gaat niet alleen om de medische historie en genetische aanleg, maar ook om eetpatroon, bacteriën in stoelgang, slaappatronen en dagelijkse blootstelling aan geluid, luchtkwaliteit etc.

Alles bij de bron; ICT&Health [long-read]


 

Een elektricien uit Nieuw-Zeeland die ontslagen werd omdat hij weigerde op zijn werk een gezichtsscanner te gebruiken, had niet om die reden weggestuurd mogen worden. Dat oordeelde een lokale arbeidswaakhond onlangs. De man moet 14.000 euro schadevergoeding krijgen.

De man maakte zich zorgen over wat er gebeurde met zijn persoonlijke data en stuurde zijn baas een bericht met het verzoek het systeem aan te passen naar een fysiek pasjessysteem. Dat zou volgens de werknemer een minder ingrijpende werkwijze zijn en zou de privacy kunnen waarborgen. Vervolgens kreeg de elektricien een bericht dat dit zijn ‘laatste waarschuwing’ was. Na het stelselmatig weigeren van de gezichtsscan werd de man uiteindelijk ontslagen in augustus 2018.

Dat was onterecht, oordeelt de onafhankelijke Nieuw-Zeelandse arbeidswaakhond nu. Volgens de Employment Relations Authority was het ontslag een greep ‘naar Victoriaanse tijden waar werkgevers de menselijke kant opofferen om drie minuten extra werk te besparen’. 

Alles bij de bron; AD


 

De Vlaamse ziekenfondsen zijn druk bezig hun websites in orde te maken met de privacywetgeving, blijkt uit een rondvraag van VRT NWS. In oktober berichtten we dat het privacybeleid van de meerderheid van de ziekenfondsen niet voldeed aan de wetgeving. Nu de Gegevensbeschermingsautoriteit een boete heeft opgelegd aan een andere website vanwege het cookiebeleid, doen we nogmaals een check...

...Zo geven het Onafhankelijk Ziekenfonds, de Christelijke Mutualiteiten en de Socialistische Mutualiteiten aan dat zij een extern bureau hebben ingeschakeld voor een inspectie op het gebied van privacy- en cookiewetgeving. De CM verwacht binnenkort al met deze adviezen aan de slag te kunnen: de andere ziekenfondsen zullen hun websites in 2020 geheel op orde maken.

Het Vlaams en Neutraal Ziekenfonds, één van de ziekenfondsen die de meeste cookies bij gebruikers plaatsten, verwijderde na de eerste berichtgeving van VRT NWS al een groot deel van deze cookies van de site. Algemeen Directeur Jürgen Constandt laat weten dat de website van VNZ nog voor de jaarwisseling zal voldoen aan de privacywetten.

Alles bij de bron; VRT


 

De website Jubel.be is veroordeeld voor het niet correct toepassen van de regels rond cookies op websites. Het is de eerste dergelijke veroordeling in ons land, maar volgens experten niet de laatste...

...Wat had de website dan precies verkeerd gedaan? In de eerste versie van de site werden cookies gebruikt zonder toestemming van de gebruiker. In een latere versie waren de vakjes om toestemming te geven op voorhand aangekruist. Dat is een praktijk die vaak voorkomt, maar niet mag volgens de regels. Ook was de uitleg over het cookiebeleid niet in alle talen beschikbaar, stonden er fouten in en was die onvolledig. De site lijstte niet alle cookies op, omdat die ook door derde partijen geplaatst kunnen worden, bijvoorbeeld om statistieken bij te houden...

Volgens Magali Feys, advocate en oprichter van Acontrario, dat bedrijven adviseert rond IT en privacy, is dit een belangrijk precedent. 'Veel bedrijven hebben bijna twee jaar na de invoer van de GDPR-regels het gevoel dat er weinig controle is. Deze boete kan dus wel een wake up call zijn.'

Het bedrag van 15.000 euro noemt ze een 'speldenprik', en ze verwacht vooral grotere boetes. 'Nog veel belangrijker dan cookies is de bescherming van persoonlijke gegevens van gebruikers. Het privacybeleid is lang onduidelijk geweest, maar hoe meer tijd verstrijkt, hoe minder bedrijven het 'ik wist het niet'-argument kunnen gebruiken.'

Alles bij de bron; deTijd


 

 

Subcategorieën

Schrijf je in op onze wekelijkse nieuwsbrief!

 

WeHebbenHetGeweten

SteunVrijbit

PTBanner  

PrivacyGuides

BvV

meldpunt misbruik identificatieplicht

BoF2019

Privacy Barometer

Liga voor mensenrechten

EP GegBesch 150

EP PNR 150

STT Logo

150PF150

 150PB150

150FHD150

150PMIO150

 150 QiY150

logo-IDnext

ikhebniksteverbergen