- Gegevens
- Hoofdcategorie: Databases
De Nederlandse Zorgautoriteit (NZa) mag gegevens van alle ggz-patiënten verzamelen, maar alleen over de periode van één jaar, zo heeft de Autoriteit Persoonsgegevens bepaald. De NZa wil zorgverleners in de geestelijke gezondheidszorg verplichten om informatie over hun patiënten te verstrekken. Met deze informatie kan de Zorgautoriteit naar eigen zeggen de zorgkosten nauwkeuriger berekenen.
Volgens de Autoriteit Persoonsgegevens heeft de Zorgautoriteit aangegeven dat zij ontvangen informatie niet zal koppelen aan informatie waarmee individuele personen tot zijn te herleiden. Daarnaast mag de NZa gegevens van alle ggz-patiënten over de periode van één jaar opvragen. "Steeds zal dan ook voor een daarop volgend jaar opnieuw, zorgvuldig bezien moeten worden welke uitvraag van welke gegevens in welke omvang in aanvulling nog noodzakelijk is", aldus de AP in een brief aan de NZa.
Mocht de NZa op een later moment opnieuw gegevens nodig hebben voor het nieuwe systeem, dan moet daarvoor eerst een nieuwe wettelijke regeling komen met een onderbouwing van de noodzaak. Die regel moet eerst worden voorgelegd aan de de AP. Verder heeft de Zorgautoriteit aan de AP de garantie gegeven dat het de gegevens alleen gebruikt voor de ontwikkeling van het nieuwe systeem in de ggz.
Onlangs nam de Tweede Kamer nog een motie aan waarin werd gesteld dat de NZa moet stoppen met het verzamelen van persoonsgegevens van ggz-patiënten. "Dat lijkt een enorme winst voor critici van de NZa-activiteiten met het zorgprestatiemodel. Forse kanttekeningen zijn er echter te maken na het aannemen van de motie", reageerde huisarts Wim J. Jongejan.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Lichamelijke Integriteit
....Eerder was er sprake van het opzetten van een registratiefaciliteit, waarin onregelmatigheden zouden worden geregistreerd.
Deze term suggereert een nieuwe voorziening waarin geconstateerde onregelmatigheden zouden worden opgeslagen en gerubriceerd.
Bij nader inzien is een dergelijke nieuwe faciliteit niet nodig. Voor de rapportage kan gebruik worden gemaakt van bestaande voorzieningen van ketenpartners en van de Basisvoorziening Vreemdelingen (BVV), het centrale vreemdelingen administratiesysteem in de migratieketen dat door alle ketenpartners wordt gebruikt.
Een eerder gesignaleerde zorg vanuit uw Kamer was in hoeverre in de rapportage de geregistreerde onregelmatigheden herleidbaar zouden zijn tot individuele vreemdelingen. Voor de rapportage is deze herleidbaarheid niet strikt noodzakelijk....
...Er zullen drie categorieën onregelmatigheden worden gerapporteerd, namelijk:
- Signalen van mogelijke ID-fraude3 (opzettelijke functionele onregelmatigheden);
- Administratieve onregelmatigheden (onopzettelijke functionele onregelmatigheden)
- Overige onregelmatigheden; deze moeten nog nader worden uitgezocht.
....Uitkomsten rapportage:
Mogelijke ID-fraude: : 182
Administratieve onregelmatigheden : 280
Overige/nader te onderzoeken : 2030
Zoals eerder aangegeven, is het ontbreken van een nulmeting vóór de inwerkingtreding van de Wbvk op 1 maart 2014, niet goed mogelijk om aan bovenstaande cijfers een conclusie te verbinden wat betreft de doelmatigheid van de wet...
....In aanloop naar de volgende rapportage (najaar 2023) wordt nader onderzoek gepleegd naar een aantal van de geconstateerde afwijkingen. De resultaten van dit onderzoek zullen worden opgenomen in de volgende rapportage.
Alles bij de bron; RijksOverheid
- Gegevens
- Hoofdcategorie: Internet en Telecom
Staatssecretaris Vijlbrief (Mijnbouw) informeert de Tweede Kamer over Beantwoording schriftelijke vragen misbruik datalek Instituut Mijnbouwschade..
5; Herkent u dat het bedrijf ‘loket bevingsschade’ aan de gegevens over schademeldingen is gekomen door zich op de website van het Instituut Mijnbouwschade (IMG) voor te doen als gemachtigde terwijl ze dat niet zijn?
Antwoord; Ja. Naar aanleiding van de berichten over een mogelijk datalek heeft EZK direct contact opgenomen met het IMG. Zij hebben aan mij bevestigd dat het inderdaad om een lek ging en dat zij maatregelen hebben genomen om dit te dichten. Het IMG betreurt dat er onterecht gegevens van mensen zijn gedeeld en heeft inmiddels bekend gemaakt aangifte te doen tegen het bedrijf in kwestie.
7; Herkent u dat het IMG de gegevens over of op een adres reeds schade is gemeld niet op deze manier aan derden had mogen verstrekken? Is hier sprake van het tweede datalek bij het IMG in een maand tijd? Wat gaat u doen om te zorgen dat de kans op datalekken vanuit het IMG wordt geminimaliseerd?
Antwoord; Ja, hier is inderdaad sprake geweest van twee datalekken bij het IMG in relatief korte tijd. Het eerste datalek vond plaats medio oktober. Hierbij waren gedurende 48 uur voor maximaal 60 aanvragers ten onrechte de gegevens van andere aanvragers inzichtelijk. Dit vond plaats door een fout in een nieuwe versie van software waar het IMG op haar bewonersportaal gebruik van maakt.
Om dit in de toekomst te voorkomen heeft het IMG een verbetering doorgevoerd in de tests die worden uitgevoerd voorafgaand aan de implementatie van nieuwe software.
Het tweede lek kwam voort uit het feit dat mensen informatie konden opvragen over de schadegeschiedenis van een pand waar zij niet de eigenaar van waren. Deze situatie bestond sinds de introductie van de vaste vergoeding in november 2021. Inmiddels heeft het IMG maatregelen genomen om dit lek te dichten. Het IMG heeft extern laten valideren of er afdoende maatregelen getroffen waren bij het oplossen van dit datalek. Dit bleek het geval. Tenslotte heeft het IMG het datalek gemeld bij de Autoriteit Persoonsgegevens.
Dergelijke lekken schaden het vertrouwen van mensen in de achterliggende ICTsystemen die gebruikt worden voor de schadeafhandeling. Ik ben hierover in contact met het IMG en zal blijven benadrukken dat ik er van uit wil kunnen gaan dat zij werken met veilige en betrouwbare ICT-systemen.
Alles bij de bron; RijksOverheid
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
De Europese Commissie heeft een volgende stap gezet in het vervangen van het geklapte Privacy Shield. Met Privacy Shield werd de doorgifte van data van persoonsgegevens vanuit de Europese Unie naar de VS geregeld, maar in juli 2020 zette een rechter een streep door het akkoord.
Officieel is het sinds dat moment niet meer toegestaan om zomaar data door te geven naar de VS. Alleen met een doorgiftecontract en extra aanvullende maatregelen waarmee gegarandeerd wordt dat persoonsgegevens veilig zijn, mogen nu data naar de VS doorgegeven worden.
De Europese Commissie kan veilige datadoorgifte echter ook mogelijk maken zonder regelingen als Privacy Shield. Op basis van artikel 45 van de AVG kan de Europese Commissie namelijk bepalen of een land buiten de EU een adequaat niveau van databescherming biedt. Met andere woorden: de databescherming daar moet in de buurt komen van onze AVG.
Dergelijke adequaatheidsbesluiten zijn al genomen voor bijvoorbeeld het Verenigd Koninkrijk, Zwitserland, Canada, Argentinië en Israël.
Nu heeft de Europese Commissie ook een concept adequaatheidsbesluit gepubliceerd voor de VS. De Amerikaanse president Biden tekende op 7 oktober namelijk een presidentieel bevel, waarmee onder meer extra regels worden ingesteld om te voorkomen dat de Amerikaanse autoriteiten en inlichtingendiensten zomaar toegang kunnen krijgen tot data.
Het adequaatheidsbesluit wordt echter niet voor de gehele VS genomen, maar specifiek voor het Data Privacy Framework, waar in maart 2022 al een principeakkoord over werd gesloten. Amerikaanse bedrijven kunnen zich bij dat framework aansluiten als zij voldoen aan een gedetailleerde set aan privacyverplichtingen.
Het conceptbesluit wordt nu naar de European Data Protection Board gestuurd, die daar zijn mening over moet geven. Daarna moet het conceptbesluit voorgelegd worden aan vertegenwoordigers van de EU-lidstaten en moet het Europees Parlement nog akkoord gaan.
Max Schrems, een Oostenrijkse privacyactivist die al jaren een strijd voert tegen de Privacy Shield, is kritisch. Schrems vermoedt dat ook de nieuwe Privacy Shield een aanklacht bij het Hof van Justitie niet zal 'overleven'.
Alles bij de bron; AGConnect
- Gegevens
- Hoofdcategorie: Databases
‘We moeten ons schrap zetten voor véél meer aanvallen en datadiefstallen bij instanties en besturen’, schrijft privacyactivist Matthias Dobbelaere-Welvaert over de hackers die stadsdiensten van Antwerpen binnendrongen. ‘We kunnen weinig meer doen dan hopen dat men hier iets uit leert.’
Ik ben boos. Want onze overheden vragen bijzonder veel vertrouwen aan ons, burgers. Vertrouwen dat men keer op keer beschaamd: niet enkel door slachtoffer te worden van ransomware (een goede dief raakt overal binnen), maar wel door telkenmale dermate nonchalant om te springen met gevoelige gegevens van hun burgers, dat criminelen niets minder dan een rode loper uitgerold krijgen. En dan is er nog de communicatie.
Het minste wat je mag verwachten – en dit dateert uit elk oud handboek over cybercrime – is minimale transparantie. Die is er vandaag niet, en men houdt stijf de lippen op elkaar over de omvang van de hack, welke databases en types van informatie is gelekt, en hoe ze de situatie willen repareren.
Dan blijft natuurlijk de vraag openstaan: welke data ligt er nu op straat? De enige die dat met zekerheid weet, is Antwerpen (en de hackers). Op hun kanaal in de dark web spreken de hackers van identiteitskaarten, paspoorten, financiële documenten en meer.
Er is discussie of men ook aan de vingerafdrukken kon. Eigenlijk is die discussie zelfs niet relevant: op identiteitskaarten en paspoorten staat ook uw – al dan niet lieflijk – gezicht, en daar heb je maar ééntje van. Biometrische data is in dat geval sowieso gestolen.
Wat de vingerafdrukken betreft, hebben we het alleszins ooit wel gevraagd aan het Grondwettelijk Hof: “De keuze van de regering om het digitale beeld van de vingerafdrukken in te zamelen en op te slaan op de chip van de kaart vormt volgens de EDPS niet de meest opportune keuze gelet op het risico van onrechtmatig gebruik van de identiteit in geval van hacking van de gegevens die voorkomen op de elektronische chip van de kaart. Deze keuze dient dus te worden herzien”.
Het Hof wou er niet van weten: “Hoewel het juist is dat de diefstal van gegevens met betrekking tot de vingerafdrukken voor de betrokken persoon, wiens identiteit zou kunnen worden overgenomen, ernstige nadelen met zich kan meebrengen, blijft het feit dat dat risico aanzienlijk kan worden ingeperkt door de beperkte bewaartermijn van de gegevens, ten behoeve van het aanmaken en het afgeven van de kaart, alsook door de technische beveiligingsmaatregelen die de Koning moet treffen.
Voor het half miljoen Antwerpenaren heb ik geen goed nieuws. Ik weet niet welke data er straks eventueel op straat ligt. Ik weet niet of uw rijksregisternummer straks jarenlang wordt misbruikt, of uw foto, of uw bouwplannen (hoi, fysieke dieven). Ik weet het niet. Wat ik wel weet, is dat identiteitsdiefstal jarenlang, mogelijks levenslang, pijnlijke gevolgen heeft voor haar slachtoffers. Jarenlang moeten zij bewijzen dat ze niét die huurwagen hebben gehuurd, niét die lening hebben afgesloten bij de bank, niét dat gascontract hebben besteld. De rekeningen blijven toekomen, en men moet telkens klacht indienen bij de politie. Een politie die daar weinig tijd voor heeft, en al te vaak haar eigen datazaakjes nog niet eens op orde heeft.
Alles bij de bron; Knack
- Gegevens
- Hoofdcategorie: Divers Nieuws
De Britse internetprovider Three UK blokkeert al dagen lang de toegang van klanten tot de versleutelde e-maildienst Tutanota. Alleen wanneer klanten bewijzen dat ze ouder zijn dan 18 jaar wordt er toegang gegeven.
Tutanota vroeg de provider op 9 december om opheldering en stuurde een verzoek om de blokkade op te heffen. Vijf dagen later is het echter nog steeds niet mogelijk voor Three UK-klanten om gewoon toegang tot Tutanota te krijgen. Tutanota klaagt dan ook via Twitter over de gang van zaken.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
Als een dataset persoonsgegevens bevat dan geldt de AVG. Voor de verwerking van niet-persoonsgegevens heeft de EU andere regels vastgesteld, waarbij juist het vrije verkeer van gegevens belangrijk is. De juridische beoordeling of een dataset wel of geen persoonsgegevens bevat, betekent dus een verschil in regels die bijna 180 graden van elkaar afwijken.
Door vooral technologische ontwikkelingen, zoals Big Data, Deep Learning en quantum computing en doordat overheidsinformatie beschikbaar is voor hergebruik wordt het steeds complexer om vast te stellen of de Algemene Verordening Gegevensbescherming (AVG) van toepassing is op specifieke data.
Daardoor wordt het makkelijker om persoonsgegevens af te leiden uit datasets die op het eerste gezicht geen persoonsgegevens lijken te bevatten. Of om anonieme datasets te de-anonimiseren. De juridische status van data is dus niet meer een kwestie van wel of geen persoonsgegevens. Door het delen en bewerken van data kan die status namelijk steeds wisselen, constateren onderzoekers van het Tilburg Institute for Law, Technology and Society. Zij onderzochten in opdracht van het WODC hoe wetgeving kan reageren op deze ontwikkelingen.
Alles bij de bron; Beveiliging
- Gegevens
- Hoofdcategorie: Databases
Uber is getroffen door een datalek. Onder meer e-mailadressen van werknemers, interne rapporten en informatie over IT-assets zijn gestolen. De diefstal vond plaats via een derde partij.
Bleeping Computer meldt dat een aanvaller genaamd 'UberLeaks' data op een hacking forum online plaatste die naar verluid was gestolen van Uber en Uber Eats. De aanval vond plaats via een softwareleverancier van Uber en dit bedrijf bevestigt de aanval. De aanvaller wisten de backupomgeving op AWS binnen te dringen.
Alles bij de bron; DutchITChannel