De Autoriteit Persoonsgegevens heeft een negatief advies uitgebracht over het eerste wetsvoorstel van het kabinet om telecomgegevens in de strijd tegen het coronavirus te delen en gebruiken. De noodzaak voor de maatregel is nog onvoldoende onderbouwd, de gekozen systematiek nog niet evenwichtig en belangrijke waarborgen ontbreken in de wettekst. Het gaat dan bijvoorbeeld over de aard van de informatie en maximale bewaartermijn.
Volgens minister De Jonge van Volksgezondheid kan geaggregeerde data afkomstig van mobiele telecomnetwerken helpen bij het vroegtijdig signaleren van nieuwe oplevingen van het virus. Het RIVM zal deze data straks gaan gebruiken.
Het wetsvoorstel is alleen gericht op het verstrekken van tellingen van het aantal personen, afgeleid uit de aantallen in de gemeente aanwezige mobiele telefoons, dat per uur in een gemeente aanwezig is. Met de gegevens moet het RIVM inzicht krijgen in hoe de mobiliteit zich de dag ervoor heeft ontwikkeld. "Zo kan het RIVM sneller inspelen op actuele ontwikkelingen dan nu het geval is", aldus de minister.
De Autoriteit Persoonsgegevens heeft half mei een eerste versie van het wetsvoorstel beoordeeld en daarop een advies met aanbevelingen aan het kabinet uitgebracht. De AP keek verder of de wetswijziging voldoet aan de kaders over privacy die binnen de Europese Unie zijn afgesproken.
Het eindoordeel is negatief. Zo is het voorstel onvoldoende duidelijk waar het RIVM de telecomgegevens precies voor nodig heeft en om welke specifieke gegevens het gaat. Verder hekelt de AP de systematiek van het voorstel. Zodra het in werking treedt kan de minister van Volksgezondheid telecomproviders opdragen informatie op basis van verkeers- en locatiegegevens aan het RIVM te verstrekken. "Dat is niet evenwichtig en komt ook niet tegemoet aan de eisen die het Europees recht op dit punt stelt. Het geven van aanwijzingen wordt immers aan geen enkele toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit onderworpen, niet voorafgaand aan het geven van de aanwijzing noch gedurende de periode dat deze aanwijzing geldt", aldus de toezichthouder.
Tevens is niet nauwkeurig beschreven hoe lang de gegevens worden bewaard, om welke gebiedsgrootte het gaat en de interval van verzamelde gegevens. Daarnaast is de kans op herleidbaarheid van de gegevens tot (groepen van) individuele personen aanwezig. De AP vindt dan ook dat de gegevens niet als anonieme gegevens kunnen worden beschouwd.
Alles bij de bron; Security
De Nederlandse Loterij roept 1,5 miljoen actieve gebruikers op om hun wachtwoord te wijzigen. Dat doet de loterij nadat er verdachte inlogpogingen bij meer dan 12.000 klanten zijn waargenomen.
Cybercriminelen konden niet bij de online portemonnee van loterij-klanten, maar hebben mogelijk wel inzage gekregen in de persoonlijke gegevens van vele duizenden gebruikers. ,,Criminelen kunnen met die gegevens fraude plegen.’’, zegt woordvoerder Sander van de Vooren.De hackers zijn al sinds maart actief.
Alles bij de bron; AD
Het is een opvallend blauw, rechthoekig pakje. Op de bovenkant, gedrukt in grote letters, staat het logo van margarinemerk Blue Band. Vlak daarnaast: mijn naam en mijn adres. Ik scheur het pakket open. Een blauwe boterhammentrommel. Met een brief; Gefeliciteerd met de vierde verjaardag van je kindje! Nu gaat hij/zij voor het eerst naar de grote school. Blue Band heeft voor deze gebeurtenis een cadeau. Een eigen boterhammentrommeltje.
Mijn eerst reactie: vragen. Hoe komen ze aan mijn naam? Hoe komen ze aan mijn adres? Hoe weten ze dat mijn zoon jarig is? Hoe weten ze überhaupt dat mijn zoon bestaat?
Voor de geboorte van onze zoon namen mijn vrouw en ik ons iets voor. We wilden proberen zo min mogelijk sporen van hem achter te laten op internet. Om, zo was het idee, te voorkomen dat persoonlijke gegevens van hem in databases van bedrijven terecht zouden komen. Informatie die hem, misschien, later in zijn leven zou kunnen achtervolgen. Dat lukte – al die jaren – vrij goed. Dachten we.
Tot het pakket van Blue Band. De start van, zo zal achteraf blijken, een frustrerend bureaucratisch gevecht om onze gegevens uit databases van allerlei bedrijven door heel Nederland gewist te krijgen.
De eerste hint naar een antwoord op mijn vragen staat in kleine letters onderaan de brief die ik van Blue Band ontvang. „Wij hebben uw adres verkregen, omdat u staat ingeschreven bij de blije doos of De Zwangerbox.” De blije doos wordt uitgegeven door WIJ Special Media (WSM), een organisatie die zichzelf omschrijft als een ‘datageoriënteerd mediabedrijf’. WSM heeft naar eigen zeggen data van 1 miljoen Nederlandse ouders met kinderen tot 12 jaar in bezit. Denk aan naam, adres, telefoonnummer, IP-adres, de uitgerekende datum, de geboortedatum en de naam van het kind.
Alles bij de bron; NRC
De Amerikaanse Civil Liberties Union (ACLU) heeft het omstreden gezichtsscanbedrijf Clearview donderdag voor de rechter gedaagd voor het schenden van de privacy van burgers. Clearview kwam eerder dit jaar in het nieuws nadat bleek dat het bedrijf miljoenen foto's van sociale media had verzameld om gezichtsscansoftware te leveren. De zaak is aangespannen in de Amerikaanse staat Illinois. De staat kent in de Verenigde Staten een van de strengste wetten omtrent het gebruik van biometrische gegevens, zoals scans van gezichten.
De ACLU praat over een "privacynachtmerrie" en stelt dat Clearview zonder toestemming vingerafdrukken of gezichtsscans van inwoners heeft gebruikt, wat niet mag volgens de wet. "Buiten het medeweten van het publiek, heeft dit bedrijf een enorme database met gezichtsafdrukken aangeboden aan particuliere bedrijven, politie, federale instanties en vermogende individuen, waardoor ze in het geheim iedereen kunnen volgen en targeten met gezichtsherkenningstechnologie", schrijft ACLU-advocaat Nathan Freed Wessler. "Mensen kunnen hun naam en adres wijzigen om hun verblijfplaats en identiteit, maar ze kunnen hun gezicht niet veranderen."
Uit onderzoek van BuzzFeed News bleek eerder dat de software door private bedrijven gebruikt werd, ook al zei het bedrijf dat de software alleen voor autoriteiten bedoeld is.
Alles bij de bron; NU
Donald Trump heeft donderdag een decreet ondertekend waarmee wetgeving die socialemediabedrijven worden beschermd, wordt afgezwakt of opgeheven. Trump ligt in de clinch met Twitter, omdat het bedrijf twee van berichten voorzag van een label dat waarschuwde voor mogelijk misleidende informatie.
Trump wil dat de bedrijven verantwoordelijk worden gehouden voor keuzes die zij maken over wat voor inhoud er op de sociale media wordt geplaatst. De president heeft de Amerikaanse minister van justitie William Barr de opdracht gegeven om nieuwe wetgeving op te stellen. Huidige Amerikaanse wetgeving zorgt er onder meer voor dat bedrijven als Twitter en Facebook niet verantwoordelijk zijn voor wat gebruikers uploaden. De bedrijven mogen namelijk niet als uitgevers van deze uitspraken worden gezien.
De actie van Trump volgt op het besluit van Twitter om labels toe te voegen aan twee berichten van de president. Deze labels wijzen erop dat de berichten mogelijk onwaarheden bevatten.
Alles bij de bron; NU
De gemeente Rotterdam moet voorzichtiger omgaan met cameratoezicht na de omstreden coronacontroles met camera-auto’s. Dat is de uitkomst van moties die de gemeenteraad donderdag heeft aangenomen na een kritisch debat. De camera-auto’s zelf worden 1 juni van de weg gehaald, heeft het college deze week al besloten.
Zo moet het college de gemeenteraad informeren over inzet van camera’s die volgens de Autoriteit Persoonsgegevens een hoog privacyrisico hebben. Vóóraf moeten de privacyrisico’s onderzocht worden, wat bij de inzet van de camera-auto’s niet is gebeurd. Verder moet het college lokale regels opstellen voor cameratoezicht dat onder de Gemeentewet valt.
Zonder de raad te informeren, zetten de gemeente en politie vanaf 10 april twee camera-auto’s in om samenscholingen te controleren. Toen de Autoriteit Persoonsgegevens kritische vragen stelde over privacyrisico’s, werden de auto’s in stilte tijdelijk stopgezet. Pas toen de burgemeester, politiechef en hoofdofficier van justitie achteraf wettelijke regels vaststelden voor het gebruik, werden de auto’s als ‘pilot’ weer ingezet.
De inzet van de camera-auto’s viel binnen de coalitie met name verkeerd omdat wethouder Bert Wijbenga (Handhaving, VVD) het nieuws niet via de gemeenteraad, maar via De Telegraaf en talkshow Op1 naar buiten bracht.
Het college heeft schriftelijk al toegegeven dat de raad wel geïnformeerd had moeten worden over de kritische vragen van de Autoriteit Persoonsgegevens en het tijdelijk stilzetten van de wagens. Ook wordt inmiddels een onderzoek naar de privacyrisico’s van de camera-auto’s uitgevoerd, maar dat is nog niet afgerond of bekendgemaakt. Hoeveel aanhoudingen of bekeuringen de camera-auto’s hebben opgeleverd, is ook nog niet bekend; een toegezegde evaluatie is nog niet af, volgens het college.
Alles bij de bron; NRC
Scholen letten in hun digitaliseringsdrang niet altijd even streng op de privacy van leerlingen. ‘In deze tijd moet iedereen soms dingen accepteren die we minder prettig vinden’, reageerde minister van Onderwijs, Cultuur & Wetenschap Ingrid van Engelshoven op 29 april in de Tweede Kamer weinig begripvol tegenover studenten die protesteerden tegen privacygevoelige anti-spieksoftware.
Universiteiten grepen naar een middel dat ze op grote schaal jarenlang hadden afgezworen: online proctoring. Daarbij nemen gespecialiseerde bedrijven de webcam van de student over. Of deze bedrijven – veelal Amerikaans – handelden volgens de privacywetten van de Algemene Verordening Gegevensbescherming (AVG), vonden rechtenstudenten van Tilburg University twijfelachtig. Hun petitie tegen de software kreeg bijna vijfduizend ondertekenaars.
Ook in het basis- en voortgezet onderwijs ging niet alles even ‘AVG-proof’. Ouders klaagden bijvoorbeeld over het gebruik van videobeldienst Zoom, weet Wytze Niezen van adviesbureau EduNovum. Want waar kwamen die gegevens precies terecht en wat werd ermee gedaan? ‘Ik merkte dat het op scholen af en toe ging over ‘zeurouders’, maar dat is onzin: zij hebben recht op het stellen van vragen. Dat dwingt scholen over deze dingen na te denken.’
‘Wat ik jammer vond’, zegt Niezen, ‘is dat het voor een groot deel over de techniek ging. Scholen zagen de AVG-normen vooral als check. Als je Zoom niet mag gebruiken, welk platform dan wel?
‘Maar heb je überhaupt gedragsregels met elkaar opgesteld? Heb je aan leraren uitgelegd dat ze niet zomaar kunnen weglopen als de webcam aanstaat, omdat er misschien privacygevoelige informatie in het zicht ligt. Weten ze dat ze moeten vragen of ze de woonkamer van een leerling mogen zien? Een docent loopt normaal ook niet zomaar de woonkamer van een leerling binnen. Dat gesprek heb ik nu gemist en vind ik een les voor de toekomst. De AVG is nu vooral een technisch verhaal, maar het gedrag van mensen omtrent privacy is minstens zo belangrijk. Dat vraagt nog veel voorlichting.’
Alles bij de bron; Volkskrant
Elke OV-chipkaart moet na vijf jaar worden vervangen wat helpt bij het bestrijden van fraude, zo heeft staatssecretaris Van Veldhoven van Infrastructuur laten weten. De staatssecretaris reageerde op vragen van de VVD dat veel mensen weinig gebruik maken van hun OV-chipkaart en na vijf jaar toch worden geconfronteerd met kosten voor een nieuwe kaart.
De VVD-fractie had dan ook gevraagd om een langere levensduur van de OV-chipkaart te onderzoeken. Ook vroegen de fractieleden wat de risico's voor de OV-chipkaart zijn en of de kaarten vaak "gehackt" worden. Volgens Van Veldhoven is de technologie achter het OV-chipkaartsysteem verouderd en wordt daardoor ook kwetsbaarder voor fraude. "Translink maakt in haar jaarverslag melding van eventuele hackgevallen en in 2019 zijn er enkele incidenten geweest", merkt ze op.
Volgens Translink, de uitgever van de OV-chipkaart en verantwoordelijk voor het functioneren van het OV-chipkaartsysteem, zijn er geen aanwijzingen dat grootschalig misbruik van de OV-chipkaart ophanden is. Het aantal gesignaleerde fraudegevallen beperkte zich vorig jaar tot enkele OV-chipkaarten (pdf).
Alles bij de bron; Security