De politie maakt vaak gebruik van dwang om biometrisch beveiligde telefoons van verdachten te ontgrendelen, zo hebben medewerkers van het Team Digitale Opsporing (TDO) tegenover onderzoekers van Dialogic laten weten, zo stellen de onderzoekers in een evaluatierapport van de Innovatiewet Strafvordering. Exacte cijfers over hoe vaak dwang wordt ingezet zijn niet bekend, zo stelt minister Van Weel van Justitie en Veiligheid.
"Het komt voor dat een mobiele telefoon alleen ontgrendeld kan worden met behulp van biometrische gegevens van de gebruiker van dat toestel. De politie mag in die gevallen de verdachte vragen zijn toestel te ontgrendelen. Als de verdachte hier niet aan wil meewerken, mag de politie dwang gebruiken", aldus de minister, die wijst naar een arrest van de Hoge Raad uit 2021. De bewindsman reageerde op Kamervragen over een uitspraak van het Europese Hof van Justitie dat politie data op telefoons ook bij lichte misdrijven mag doorzoeken.
De bevoegdheid om biometrische beveiliging door middel van dwang te doorbreken is via de Innovatiewet Strafvordering vooralsnog opgenomen in artikel 558 van het Wetboek van Strafvordering. De bevoegdheid van artikel 558 Sv kan worden toegepast in iedere zaak waarin een verdenking bestaat.
De onderzoekers schrijven dat het beveiligen van telefoons met een vingerafdruk minder vaak voorkomt. "Verdachten beveiligen hun apparaten vaak opzettelijk niet met vingerafdrukken, omdat deze wijze van beveiligen relatief eenvoudig ongedaan kan worden gemaakt. Beveiliging met een irisscan komt het minst vaak voor."
Het is echter niet altijd nodig om om inbreuk te maken op de lichamelijke integriteit van de verdachte, schrijven de onderzoekers: "Wanneer vingerafdrukken van een verdachte zijn vastgelegd in een database van de politie, kunnen die in een mal worden geëtst, waarmee de vinger van de verdachte wordt nagebootst. In geval van beveiliging met een gezichts- of irisscan is het denkbaar dat de smartphone het desbetreffende gezicht herkent wanneer de smartphone ervoor wordt gehouden."
De onderzoeken stellen dat het kunnen doorbreken van biometrische beveiliging toegevoegde waarde kan hebben voor de opsporing. "Er is in sommige zaken behoefte om deze bevoegdheid te kunnen toepassen. De mate van dwang die wordt toegepast, is beperkt", concluderen ze. De onderzoekers merken op dat de bevoegdheid strikt genomen geen verbetering van de strafvordering is, omdat deze voorafgaand aan de pilot al kon worden toegepast op grond van jurisprudentie van de Hoge Raad.
Alles bij de bron; Security
Als er geen actie wordt ondernomen, bestaat het medisch beroepsgeheim over enkele jaren niet meer. Met deze boodschap lanceren privacy-organisaties Platform Burgerrechten en Stichting KDVP deze week de campagne “Behoud Beroepsgeheim”.
VWS wil dat Mitz voor alle patiënten en zorgaanbieders in Nederland het register voor toestemmingen wordt.
Het doel van Mitz is om alle verschillende manieren om de toestemmingskeuzes vast te leggen overbodig te maken. Daardoor moet de patiënt meer overzicht en regie krijgen. Tegelijkertijd moet het voor de zorgprofessional eenvoudiger worden om te zien welke gegevens wel of niet gedeeld morgen worden.
Mitz regelt dat voor alle zorgsectoren.
Volgens de privacy-organisaties maakt Mitz medische gegevens voor grote groepen zorgverleners toegankelijk, zonder dat de dossierhoudend arts kan controleren wie voor welke reden gegevens uit diens dossiers opvraagt. Daardoor wordt het medisch beroepsgeheim geschonden.
De organisaties, eerder betrokken bij de rechtszaak tegen SyRI en de rechtszaak van Vertrouwen in de GGZ, constateren dat het medisch beroepsgeheim meer dan ooit onder druk staat door de datahonger van overheden en bedrijven. Hierdoor worden keuzes gemaakt voor beleid en technologie waarin het medisch beroepsgeheim en de patiëntprivacy ondergeschikt wordt gemaakt aan politieke en commerciële doeleinden.
Namens VZVZ, de beheerder van Mitz, reageert een lezer als volgt op bovenstaand artikel:
In Nederland geldt een opt-in systeem voor de uitwisseling van medische gegevens. Dit betekent dat zorgaanbieders alleen gegevens beschikbaar mogen stellen als een patiënt uitdrukkelijke toestemming heeft gegeven. Mitz is een systeem dat de opt-in benadering volledig ondersteunt en voldoet aan alle geldende wetten en regels.
Mitz geeft de burger niet alleen rechten, maar ook daadwerkelijk regie en zeggenschap. Zo kan elke burger met DigiD toestemmingskeuzes vastleggen voor de uitwisseling van medische gegevens tussen behandelaren. Mitz biedt ook maximale transparantie aan de burger. Deze kan precies volgen of een zorgaanbieder een toestemmingskeuze heeft geraadpleegd. Voor meer informatie kijk op http://www.MijnMitz.nl.
Alles bij de bron; Skipr
De gegevens van meer dan één miljoen medewerkers van de Britse National Health Service (NHS) waren via verkeerd ingestelde Microsoft Power Pages voor iedereen op internet toegankelijk. Het ging om naam, adresgegevens, telefoonnummer en e-mailadres. Dat meldt beveiligingsonderzoeker Aaron Costello op basis van eigen onderzoek.
Microsoft Power Pages is een SaaS (Software-as-a-service) platform waarmee gebruikers en organisaties eenvoudig websites kunnen maken en hosten. Het maakt gebruik van een role based access control (RBAC) model om het toegangsniveau van gebruikers te beheren. Daarbij wordt er gewerkt met anonieme en geauthenticeerde gebruikers.
Costello ontdekte dat verschillende organisaties de permissies van anonieme gebruikers verkeerd hadden ingesteld, waardoor die toegang hadden tot data die alleen voor geauthenticeerde gebruikers had moeten zijn. Daarnaast bleek ook dat alle data in een tabel onbedoeld als toegankelijk was aangemerkt. Hierdoor was onbeperkte leestoegang tot gegevens mogelijk.
In het geval van de gegevens van NHS-medewerkers ging het om een grote, niet nader genoemde, zakelijke serviceprovider die de gegevens voor de Britse gezondheidszorg verwerkte en de eerder genoemde configuratiefouten had gemaakt. Na te zijn ingelicht werden de instellingen aangepast.
Alles bij de bron; Security
Een spionagegroep heeft in 2022 verschillende organisaties in de VS gecompromitteerd door het wifi-netwerk van de buren te gebruiken, zo stelt securitybedrijf Volexity in een analyse. De aanvallers bevonden zich op duizenden kilometers afstand toen de aanval plaatsvond.
De aanvallers hadden eerder een password spraying-aanval tegen een publiek toegankelijke service van de organisatie uitgevoerd, wat een werkende gebruikersnaam en wachtwoord opleverde. Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen.
De service in kwestie maakte gebruik van multifactorauthenticatie (MFA), waardoor alleen een gebruikersnaam en wachtwoord niet voldoende waren om op de service in te loggen. Het wifi-netwerk vereiste echter geen MFA.
De aanvallers waren niet in staat om zelf fysiek verbinding met het wifi-netwerk te maken. Om deze barrière te overkomen werden verschillende organisaties in de buurt van de aan te vallen organisatie gecompromitteerd. De doelwit organisatie, organisatie A, werd aangevallen via het wifi-netwerk van organisatie B. Organisatie B was echter aangevallen via het wifi-netwerk van organisatie C, alsmede gecompromitteerde vpn-inloggegevens.
Uiteindelijk kregen de aanvallers zo toegang tot een systeem dat zowel over een bedrade verbinding als wifi-adapter beschikte. Vervolgens werd er via deze wifi-adapter en de eerder verkregen gebruikersnaam en wachtwoord ingelogd op het netwerk van organisatie A.
Alles bij de bron; Security
Afgelopen week zijn circa 150 mannen en jongens die worden verdacht van het bezitten van kinderporno, onaangekondigd bezocht door politieagenten.
Zij kregen thuis, soms in bijzijn van familie of partner, een laatste waarschuwing: direct stoppen met downloaden, anders volgt alsnog strafrechtelijke vervolging.
Allemaal hadden ze strafbare beelden gedownload. De boodschap is dus duidelijk, zegt Annemiek van Noord van het Team Bestrijding Kinderporno en Kindersekstoerisme: ‘we komen er wel achter wie je bent’. De politie krijgt alleen al via Amerikaanse platforms zo’n zeventigduizend meldingen per jaar over downloaders.
De huisbezoekactie heeft mogelijk ook een preventief effect: niet alleen de bezochte mannen zijn geschrokken en gewaarschuwd, ook anderen in hun omgeving. Na een vergelijkbare actie in 2023 zochten veel mannen hulp, weet Van Noord.
Alles bij de bron; Cops-in-Cyberspace
De medische gegevens van 750.000 Fransen zijn door hackers openbaar gemaakt na een cyberaanval op het elektronisch patiëntendossier MediBoard.
Een hacker of hackersgroep verkoopt volgens Bleeping Computer toegang tot de systemen van MediBoard, een Frans platform om medische gegevens van ziekenhuis- en dokterspatiënten uit te wisselen. Dat platform wordt door meerdere Franse ziekenhuizen gebruikt.
De hackers zeggen toegang te hebben en toegang te verkopen tot de gegevens van 1,5 miljoen patiënten. Het gaat daarbij om persoonsgegevens en paspoort- en identiteitsbewijzen, maar ook om medische gegevens zoals facturen, medicatie en afspraken met artsen en specialisten.
De maker van het medische platform, Softway Medical Group, bevestigt in een reactie dat er inderdaad een inbraak heeft plaatsgevonden. De aanval zou hebben plaatsgevonden op 19 november.
Alles bij de bron; Tweakers
Een decryptieplicht voor versleutelde chatapps zoals WhatsApp en Signal is een politiek-bestuurlijk dilemma, zo stelt minister Van Weel van Justitie en Veiligheid. GroenLinks-PvdA had de bewindsman gevraagd of aanbieders van versleutelde communicatie-apps verplicht moeten kunnen worden om op aanvraag de versleuteling bij gebruikers uit te schakelen.
Van Weel reageert dat aanbieders van dit soort diensten, zoals Whatsapp en Signal, niet onder de verplichting in de Telecommunicatiewet vallen om mee te werken aan een aftapbevel. "In beginsel klinkt het wenselijk dit met dezelfde waarborgen uit te breiden naar deze aanbieders. Het is echter de vraag of dit in de praktijk mogelijk is zonder end-to-end-encryptie onmogelijk te maken", voegt de minister toe. "Bij end-to-end-encryptie is het voor de appaanbieder niet mogelijk om de encryptie voor een specifieke verdachte uit te zetten, omdat de encryptie op de telefoon van de verzender en ontvanger wordt toegepast en niet centraal zoals bij een telecomaanbieder."
De Tweede Kamer nam in 2022 een motie van de PvdD aan die de regering oproept om end-to-end encryptie in stand te houden en Europese voorstellen die dat onmogelijk maken niet te steunen. De motie werd met 128 stemmen voor en 22 stemmen tegen aangenomen. Alleen het CDA, ChristenUnie en de SGP stemden tegen. Het kabinet gaf vervolgens aan de motie te zullen uitvoeren.
"Dat maakt dit een politiek-bestuurlijk dilemma", merkt Van Weel op. Hij zegt alleen voorstander van een decryptieplicht voor chatapps te zijn als dit zowel juridisch als in de technische praktijk met voldoende waarborgen, als noodzakelijkheid, proportionaliteit en subsidiariteit. kan worden omkleed. "Zodat de inbreuk op het communicatiegeheim zo minimaal mogelijk is én de veiligheid van het digitale domein gewaarborgd blijft."
Alles bij de bron; Security
Volgens het FD jaagt de Autoriteit Persoonsgegevens (AP) op de drie grote dataverzamelaars Experian, Focum en EDR vanwege het stelselmatig schenden van de privacy van Nederlandse burgers.
Deze zogenaamde kredietinformatiebureaus creëren profielen van miljoenen consumenten in Nederland en verhandelen de enorme databases die ze daarmee opbouwen.
De kredietinformatiebureaus verkopen de profielen van miljoenen consumenten aan bedrijven die het betaalgedrag willen analyseren. Dit gebeurt zonder medeweten van de consument en kan leiden tot bijvoorbeeld het weigeren van een huurwoning of het afkeuren van aankopen op een webshop, legt Johan Leupen, onderzoeksjournalist bij het FD, uit.
Het is onbekend van hoeveel Nederlanders zulke profielen zijn opgesteld en verkocht. Volgens Leupen heeft de eigenaar van EDR, Guus Franken, gezegd dat 'alle Nederlanders in feite hun betaalgedrag daar opgeslagen hebben'.
Terwijl de AP nu 'duidelijk stelling heeft genomen om deze bedrijven op te rollen', vertelt Leupen dat de waakhond dit niet 'van de daken' kan schreeuwen. De betreffende bedrijven verzetten zich namelijk en proberen boetebesluiten bij de rechter tegen te houden. Ze proberen deze rechtszaken doelbewust 'afgesloten te houden voor buitenstaanders', uit vrees dat klanten zullen weglopen als dit openbaar wordt.
Alles bij de bron; BNR [met podcast]