- Gegevens
- Hoofdcategorie: Internationaal Nieuws
De Europese gezondheidswet EHDS bedreigt het medisch beroepsgeheim, zo stelt de Europese digitale burgerrechtenbeweging EDRi.
De EHDS is een voorstel van de Europese Commissie voor het delen van medische gegevens in de Europese Unie in een gemeenschappelijk gebruikt formaat. Standaard zullen gezondheidsgegevens voor zowel primair als secundair gebruik worden uitgewisseld.
Bij primair gebruik gaat het om het gebruik van gezondheidsgegevens voor het verlenen van zorg. Bij het secundaire gebruik van gezondheidsgegevens gaat het om zaken zoals onderzoek, onderwijs, ontwikkeling van diensten en producten, inclusief AI, beleidsvorming en leveren van gepersonaliseerde zorg door behandelaars.
Vorige maand werd bekend dat de Europese Commissie, het Europees Parlement en de Raad van Ministers een voorlopig politiek akkoord over de EHDS hebben bereikt. "De EHDS stelt de medische dossiers van iedereen bloot aan onnodige beveiligings- en privacyrisico's in de naam van onderzoek en 'innovatie'", zegt Jan Penfrat van EDRi. "Het verplicht elk ziekenhuis om private medische gegevens van elke patiënt te delen, voor het doel van secundair gebruik dat niets met de behandeling te maken heeft, met een zogenoemde health data access body." Dit is de instantie voor toegang tot gezondheidsgegevens.
Hoe en welke patiëntgegevens worden gedeeld kan per lidstaat verschillen. Penfrat merkt op dat de EHDS nog steeds niet beperkt wie toegang tot gezondheidsgegevens kan krijgen voor secundair gebruik. Daarnaast hekelt hij de centrale opslag van zeer gevoelige medische informatie van miljoenen patiënten op servers van de overheid, bij landen die voor dit model kiezen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Indiase regering heeft eindelijk een oplossing gevonden voor een jarenlang cyberveiligheidsprobleem, waarbij grote hoeveelheden gevoelige gegevens over haar burgers aan het licht zijn gekomen. Een beveiligingsonderzoeker vertelde dat hij minstens honderden documenten met persoonlijke informatie van burgers – waaronder Aadhaar-nummers, COVID-19-vaccinatiegegevens en paspoortgegevens – online had gevonden waar iedereen toegang toe had.
De schuldige was de clouddienst van de Indiase overheid, genaamd S3WaaS, die wordt aangekondigd als een “veilig en schaalbaar” systeem voor het bouwen en hosten van websites van de Indiase overheid.
Beveiligingsonderzoeker Sourajeet Majumder vertelde dat hij in 2022 een verkeerde configuratie ontdekte waardoor de persoonlijke informatie van burgers die op S3WaaS was opgeslagen, werd blootgesteld aan het open internet. Omdat de privédocumenten onbedoeld openbaar werden gemaakt, indexeerden zoekmachines de documenten ook, waardoor iedereen actief op internet kon zoeken naar de gevoelige gegevens van burgers.
Majumder zei dat, ondanks herhaalde waarschuwingen over de datalekken, de clouddienst van de Indiase overheid vorige week nog steeds de persoonlijke informatie van sommige individuen openbaarde. Majumder zei dat gevoelige gegevens van sommige burgers online terechtkwamen lang nadat hij de verkeerde configuratie in 2022 voor het eerst had onthuld.
De blootgestelde gegevens, aldus Majumder, brengen burgers mogelijk het risico op identiteitsdiefstal en oplichting. “Meer nog, wanneer gevoelige gezondheidsinformatie zoals COVID-testresultaten en vaccingegevens naar buiten komt, is het niet alleen onze medische privacy die in gevaar komt – het wekt de angst voor discriminatie en sociale afwijzing”, zei hij.
Majumder merkte op dat dit incident een “wake-up call voor veiligheidshervormingen” zou moeten zijn.
Alles bij de bron; TechCrunch [googliaans vertaald]
- Gegevens
- Hoofdcategorie: Divers Nieuws
Booking.com meldt datalekken inmiddels op tijd, zegt de Autoriteit Persoonsgegevens na een jaar intensief toezicht. In 2021 kreeg het platform nog een boete van 475.000 euro omdat een datalek te laat werd gemeld. Nu houdt het bedrijf zich wel aan de regels, stelt de AP...
...Als onderdeel van dat intensieve toezicht moest Booking.com gedurende het jaar rapporteren over maatregelen die het platform had genomen om datalekken op tijd te melden. Daarnaast moest het bedrijf rapporteren over maatregelen om incidenten te voorkomen en controleerde de Autoriteit of Booking.com 'bepaalde incidenten' onterecht niet meldde.
In 2023 meldde Booking.com 'diverse fraudezaken'. Bij een groot deel hiervan konden criminelen accounts van accommodaties overnemen. Hiermee werden Booking.com-gebruikers weer opgelicht. "Vanwege dit soort incidenten blijft de AP Booking.com goed in de gaten houden." De AP zegt dat tijdige meldingen belangrijk zijn, 'zodat de AP kan adviseren waar nodig'.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Justitie heeft zonder een toereikende wettelijke grondslag een telefoon ontgrendeld en doorzocht van een vreemdeling die was vastgezet.
De zaak gaat over een Mongoolse vrouw die in vreemdelingenbewaring was gesteld. Een ambtenaar van de Afdeling Vreemdelingenpolitie, Identificatie en Mensenhandel (AVIM) heeft zonder haar toestemming haar telefoon ontgrendeld en doorzocht. Dit deed hij door het toestel voor het gezicht van de vrouw te houden. De medewerker heeft vervolgens handmatig de telefoon doorzocht op zoek naar foto’s van identiteitsdocumenten om informatie te krijgen over haar identiteit.
Demissionair staatssecretaris Van der Burg stelde dat de ambtenaar op basis van de Vreemdelingenwet 2000 bevoegd is om de telefoon zonder toestemming te onderzoeken. Bij het opstellen van de betreffend wetsbepaling in 2012 is via de memorie van toelichting duidelijk gemaakt dat ook telefoons doorzocht mogen worden.
"Maar in mobiele telefoons staan tegenwoordig veel meer persoonsgegevens dan toen de wettelijke bepaling in 2012 werd ingevoerd", zo stelt de Raad van State.
De Raad stelt dat het artikel van de Vreemdelingenwet 2000 daarom niet volstaat als wettelijke grondslag voor het zonder toestemming onderzoeken van telefoons, louter en alleen omdat de wetgever daar bij de totstandkoming melding van heeft gemaakt in de memorie van toelichting. Tevens stelt de RvS dat het wetsartikel onvoldoende bescherming biedt tegen willekeurig optreden, omdat dit niet voorschrijft in welke omstandigheden onder welke voorwaarden een mobiele telefoon mag worden onderzocht.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
SurveyLama heeft de persoonlijke gegevens van 4,4 miljoen gebruikers gelekt. Het gaat om e-mailadressen, ip-adressen, adresgegevens, telefoonnummers, geboortedatum en wachtwoordhashes. Hoe de gegevens konden worden gestolen is onbekend.
Van de 4,4 miljoen e-mailadressen die via SurveyLama op straat zijn beland was 28 procent al via een ander datalek bij Have I Been Pwned bekend. SurveyLama claimt dat het gebruikers via e-mail over het datalek heeft ingelicht.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
De Brand New Day (BND) Bank mocht transacties van een klant onderzoeken en hem daarop aanspreken, zo heeft het financiële klachteninstituut Kifid geoordeeld. Ook heeft BND niet de AVG overtreden, zo laat het Kifid verder weten. De klant die bij het klachteninstituut een klacht indiende heeft sinds juli 2021 een spaarrekening bij BND. Eind 2022 werd door een kleine veertig personen een bedrag van in totaal 620 euro overgemaakt. Het ging om bedragen van tussen de vijfiten en twintig euro per persoon.
Vervolgens vroeg BND de klant om opheldering over de relatie die hij met deze personen had en wat het doel van de stortingen was. ...
...De klant stelt dat BND ten onrechte een cliëntenonderzoek naar hem heeft uitgevoerd. Het afwijken van transacties ten opzichte van het doel en de aard van de dienstverlening op een spaarrekening bij BND is geen geldige reden om de transacties te onderwerpen aan een cliëntenonderzoek, zo stelde hij. Tevens stelde de klant dat BND de resultaten van het cliëntenonderzoek onrechtmatig gebruikt voor andere doelstellingen dan vermeld in de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). Ook vindt hij dat BND in strijd met de AVG heeft gehandeld.
Volgens de klant heeft BND onrechtmatig gehandeld en hij wil dan ook excuses van BND. Tevens vordert hij dat BND stopt met soortgelijk onrechtmatig handelen richting andere klanten. Verder had de klant gevorderd dat het Kifid de zaak voorlegt aan de Autoriteit Persoonsgegevens en de reactie van de privacytoezichthouder meeneemt in de beoordeling.
Voor het cliëntenonderzoek geldt dat de wet niet voorschrijft hoe het onderzoek moet worden uitgevoerd, maar tot welk resultaat het onderzoek moet leiden, aldus het Kifid. Dat stelt dat niet is gebleken dat BND in strijd met haar beleidsvrijheid heeft gehandeld.Het onderzoek was dan ook niet onterecht, zo concludeert het klachteninstituut dat de klacht van de klant ongegrond verklaart.
Wat betreft het verzoek om de zaak aan de AP voor te leggen is dit volgens het Kifid niet aan het klachteninstituut. Het verzoek is dan ook niet uitgevoerd.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
Het Open Web Application Security Project (OWASP), een organisatie die zich met de veiligheid van webapplicaties bezighoudt, heeft via de misconfiguratie van een webserver de persoonsgegevens van leden gelekt. Dat heeft de organisatie zelf bekendgemaakt. Het gaat om cv's met e-mailadressen, telefoonnummers, adresgegevens en andere persoonlijke identificeerbare informatie van mensen die van 2006 tot en met 2014 hun cv hadden verstrekt om lid te worden.
Wat de misconfiguratie precies is wordt niet genoemd, maar OWASP zegt naar aanleiding van het datalek specifiek directory browsing te hebben uitgeschakeld. Tevens heeft het de webserver en wikiconfiguratie op andere beveiligingsproblemen gecontroleerd.
Volgens OWASP is het lastig om slachtoffers van het datalek in te lichten. Veel van de getroffen personen zijn geen lid meer en de data uit het datalek is tussen de tien en achttien jaar oud en daardoor waarschijnlijk niet meer actueel. Wel zal er een datalekmelding naar de gelekte e-mailadressen worden gestuurd.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een man uit Kesteren is zaterdagmiddag en -avond lastiggevallen en bedreigd. In verschillende appgroepen ging rond dat hij de dader zou zijn van de gijzeling in Ede zaterdagochtend. Daar bleek echter niets van waar.
De man vertoont enige uiterlijke gelijkenissen met de foto's van de gijzelnemer. Foto's van de man uit Kesteren werden samen met foto's van de gijzelnemer uit de media verspreid. Ook de naam van de man uit Kesteren en foto's van zijn vrouw werden gedeeld...
..Toen even later bekend werd dat de verdachte een 28-jarige man uit Ede is, was duidelijk dat de man uit Kesteren niets met de kwestie te maken heeft. Agenten hebben inmiddels contact opgenomen met degene die de man vals beschuldigde. ‘Die ging diep door het stof', schrijft wijkagent Langerak op Instagram.
Dan volgt er een oproep: ‘Beschuldig nooit zomaar iemand. De schade die wordt veroorzaakt is vaak niet te overzien.
Alles bij de bron; AD