- Gegevens
- Hoofdcategorie: Lichamelijke Integriteit
Een Nederlands bedrijf krijgt een boete van 725.000 euro opgelegd vanwege het gebruik van vingerafdrukscanners voor aanwezigheids- en tijdregistratie. Het bedrijf mag geen vingerafdrukken van medewerkers verwerken zo meldt de Autoriteit Persoonsgegevens (AP).
Het verwerken van vingerafdrukken is alleen toegestaan indien een bedrijf zich kan beroepen op een uitzonderingsgrond voor het verwerken van bijzondere persoonsgegevens. Dat is in dit geval niet het geval, concludeert de toezichthouder.
Monique Verdier, vicevoorzitter van de AP: "Deze categorie persoonsgegevens wordt door de wet extra beschermd. Komen deze gegevens in verkeerde handen, dan kan dit mogelijk leiden tot onherstelbare schade. Zoals chantage of identiteitsfraude. Een vingerafdruk is niet vervangbaar, zoals een wachtwoord. Als het mis gaat, kan de impact groot zijn en een leven lang negatief effect hebben op iemand."
Alles bij de bron; DutchITChannel
- Gegevens
- Hoofdcategorie: Internet en Telecom
Online wervingsplatform Chattr.AI heeft gegevens gelekt van sollicitanten, klanten en eigen personeel. Via het platform kunnen bedrijven op geautomatiseerde wijze personeel werven. Allerlei grote Amerikaanse fastfoodketens werken ermee.
Chattr.AI maakt gebruik van Firebase, Googles ontwikkelplatform voor mobiele en web-apps.
Het online werveringsplatform bleek de Firebase-omgeving niet goed te hebben beveiligd, want de onderzoekers konden een nieuwe gebruiker registreren waarmee ze volledige toegang tot de Firebase-database van Chattr.AI kregen. Daarin vonden ze namen, e-mailadressen, telefoonnummers, plaintext wachtwoorden, vertrouwelijke berichten en andere informatie van Chattr-medewerkers, franchisemanagers en sollicitanten.
In het geval van de sollicitanten ging het onder andere om cv's, sollicitatiegesprekken, profielfoto en adresgegevens. Een dag na te zijn ingelicht werd het probleem door Chattr.AI verholpen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Privacystichting noyb van Max Schrems heeft een tweede klacht ingediend tegen Meta bij de Oostenrijkse privacyautoriteit. Volgens noyb maakt de techgigant het consumenten te lastig om de toestemming voor tracking in te trekken en wordt daarmee de AVG-wetgeving geschonden.
Gebruikers op Facebook en Instagram krijgen sinds november vorig jaar de keuze tussen een gratis en een betaalde versie. Als voor de betaalde versie wordt gekozen krijgen ze geen reclames meer te zien; de gratis versie verzamelt daarentegen net als voorheen gebruikersgegevens om gepersonaliseerde advertenties te kunnen tonen. Als gebruikers voor de gratis optie kiezen, geven ze volgens Meta toestemming om gevolgd te worden.
Noyb vindt echter dat het te moeilijk is om die toestemming naderhand weer in te trekken. "Hoewel gebruikers met één (gratis) klik al toestemming geven om gevolgd te worden, kan die toestemming alleen worden ingetrokken via het ingewikkelde proces van wisselen naar een betaald abonnement", aldus noyb.
Volgens de stichting wordt daarmee artikel 7 van de AVG-wetgeving geschonden, aangezien daarin vermeld staat dat het intrekken van de toestemming net zo makkelijk moet zijn als het geven ervan.
De EDPB noemt bovendien expliciet dat het intrekken van toestemming 'niet mag leiden tot kosten voor de betrokkene en dus niet leidt tot een duidelijk nadeel voor degenen die de toestemming intrekken'.
Noyb heeft zijn klacht ingediend bij de Oostenrijkse gegevensbeschermingsautoriteit. Het moet volgens noyb makkelijker worden om de toestemming in te trekken, zonder dat gebruikers daarvoor een vergoeding hoeven te betalen. Ook wil noyb dat de autoriteiten een boete opleggen aan Meta.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Databases
Locatiegegevens van Nederlandse mobiele telefoons, waarmee de eigenaren van deze toestellen zijn te volgen, worden online door datahandelaren te koop aangeboden, zo meldt BNR.
BNR verkreeg via een Duits bedrijf gigabytes aan locatiedata. Door de gegevens te combineren met informatie van openbare registers, zoals het Kadaster, en LinkedIn-profielen, is te achterhalen waar iemand woont en werkt. De locatiedata wordt verzameld via de apps die gebruikers op hun telefoon installeren en toegang tot locatiegegevens vragen.
De aangeboden datasets bevatten niet alleen locatiedata, maar worden in combinatie met een advertentie-ID aangeboden. Het advertentie-ID is een unieke identificatiecode voor de telefoon, tablet of ander smart device waarmee bedrijven gebruikers kunnen volgen. Het advertentie-ID maakt het mogelijk om data uit verschillende bronnen aan één identiteit te koppelen. Gebruikers kunnen het advertentie-ID resetten, maar weinig gebruikers doen dit, aldus Jaap-Henk Hoepman, universitair hoofddocent Digital Security aan de Radboud Universiteit.
Eén van de datahandelaren claimt in promotiematerialen elke maand bijna de helft van alle Nederlandse telefoons te kunnen volgen. Volgens BNR zaten in het door deze datahandelaar aangeleverde proefbestanden iets meer dan vier miljoen unieke identifiers.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Zo'n 150.000 WordPress-sites zijn door een kritieke kwetsbaarheid in een populaire SMTP-plug-in op afstand over te nemen. Een beveiligingsupdate is beschikbaar, maar zo'n 150.000 websites hebben die nog niet geïnstalleerd.
De kwetsbaarheid is aanwezig in de plug-in "POST SMTP", waarmee het mogelijk is om een SMTP-mailer in WordPress in te stellen voor het versturen van e-mail. Dat meldt securitybedrijf Wordfence. De plug-in is een vervanging voor de standaard PHP-mailfunctie van WordPress. Meer dan 300.000 websites maken gebruik van de plug-in.
De plug-in is via een mobiele app te bedienen. Een kwetsbaarheid in een functie van deze app maakt het mogelijk voor een aanvaller om alle verzonden e-mails te bekijken, waaronder wachtwoordresetmails. Een aanvaller kan een wachtwoordreset voor de beheerder uitvoeren en via de kwetsbaarheid dit bericht in handen krijgen om vervolgens een eigen wachtwoord voor de beheerder in te stellen en zo de website over te nemen. Op 1 januari verscheen een update voor de kwetsbaarheid.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
De Amerikaanse toezichthouder FTC heeft datahandelaar Outlogic verboden om gevoelige locatiegegevens van mensen te verkopen. Het bedrijf informeerde mensen onvolledig over het verzamelen en verkopen van hun locatiegegevens en deed dit zonder geïnformeerde toestemming van mensen.
Outlogic biedt een software development kit (SDK) waarmee app-ontwikkelaars allerlei data over hun gebruikers kunnen verzamelen, zoals locatiegegevens, advertentie-ID en installatie-ID. Deze data wordt weer door Outlogic aan andere derde partijen doorverkocht.
Volgens de FTC worden de locatiegegevens niet geanonimiseerd en zijn te gebruiken om de telefoon van de gebruiker te koppelen aan de locaties die hij heeft bezocht. Daarnaast biedt Outlogic ook eigen apps aan en koopt locatiegegevens weer van andere datahandelaren.
De locatiegegevens worden doorverkocht aan honderden klanten in allerlei sectoren. De informatie die via de locatiegegevens was te achterhalen schond niet alleen de privacy van mensen, maar stelde ze ook bloot aan mogelijke discriminatie, fysieke geweld en ander leed, aldus de FTC.
De FTC heeft Outlogic nu opgedragen om de verkoop van gevoelige locatiegegevens te stoppen. Daarnaast moet alle locatiedata die eerder is verzameld worden vernietigd, tenzij het toestemming van gebruikers heeft en de data ge-deidentificeerd of niet-gevoelig meer is. Tevens moeten gebruikers kunnen opvragen aan wie hun locatiegegevens zijn doorverkocht en moet er een uitgebreid privacybeleid worden geïmplementeerd.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Burgerwacht: in 2016 nog een ‘opkomend fenomeen’, inmiddels ‘een nuttig verlengstuk voor politie en hulpdiensten’.
In die jaren groeide behalve het aantal burgerwachten ook hun uitrusting. In Neder-Betuwe investeerde een lokale burgerwacht al in drones met warmtecamera’s, portofoons en steekvesten. De burgerwacht kwam er na de sluiting van het politiebureau.
In het begin leidde het ‘testosterongehalte’ van deelnemers nog wel eens tot ‘cowboyacties’ maar inmiddels is er een zelfs een screening voor nieuwe leden – een VOG is verplicht – en goed overleg met wijkagent en gemeente.
Deelnemers haalden geld op voor een drone met warmtebeeldcamera die ‘beter werkt dan een zaklamp’. De drone gaat alleen in overleg met de politie de lucht in, aldus burgerwacht ‘Marco’. De burgemeester ziet de groep als een ‘succesvolle vorm van burgerparticipatie’.
Het CCV ziet echter een schaduwkant: privacyschendingen, valse verdachtmakingen en discriminatie, doorgeschoten sociale controle, en eigenrichting door burgers via intimidatie of geweld. Ook vakbond ACP vindt de burgerwacht ‘ongewenst’: het geweldsmonopolie ligt bij de politie en burgerwachten hebben ‘soms de neiging om voor eigen rechter te spelen’.
Criminoloog Jossian Zoutendijk (Hogeschool Inholland) wijst op een mogelijke tweedeling tussen de mensen die wel en niet bij de burgerwacht horen. Hij deed onderzoek naar buurtpreventiegroepen die via Whatsapp juist ‘gevoelens van onveiligheid’ kunnen opwekken. Slinger niet alles lukraak in de appgroep, is het devies, maar meldt het eerst bij de politie en dan pas in de groep. Bij de Stichting Whatsapp BuurtPreventie (WABP) zijn al bijna tienduizend groepen aangesloten.
Bron; Cops-in-Cyberspace
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Vanaf 1 januari 2024 is de Verklaring Omtrent het Gedrag politiegegevens (VOG P) ook verplicht voor een aantal functies bij de particuliere Forensische Psychiatrische Centra en particuliere Forensische Psychiatrische Klinieken omdat dit functies zijn waarvoor een hoge mate van integriteit is vereist.
Dit betekent dat altijd politiegegevens worden opgevraagd bij een VOG-aanvraag voor deze functies. De VOG kan in dat geval ook worden geweigerd op basis van (enkel) relevante politiegegevens.
Alles bij de bron; Beveiliging