Qr-codes zijn tegenwoordig niet meer weg te denken, maar privacyexperts maken zich zorgen over de tracking die deze technologie mogelijk maakt. De code kan namelijk informatie bevatten wanneer, waar en hoe vaak een scan plaatsvindt. Daarnaast kan een qr-code ook een website openen die gebruikers trackt of om informatie vraagt.
Door middel van qr-codes hebben sommige restaurants al databases opgezet met de bestelgeschiedenis en contactgegevens van klanten, zo meldt The New York Times. Volgens de krant zullen mensen mogelijk binnenkort al met gepersonaliseerde aanbiedingen te maken krijgen als ze op qr-code-gebaseerde betaalsystemen gebruiken.
"Mensen beseffen niet dat wanneer je een qr-code scant, het complete apparaat van online tracking tussen jou en je maaltijd wordt geplaatst", zegt Jay Stanley van de Amerikaanse burgerrechtenbeweging ACLU tegenover The New York Times. "Opeens is je offline activiteit dat je iets gaat eten onderdeel van een online advertentiecampagne geworden."
Alles bij de bron; Security
Wie twijfelt of zijn smartphone gehackt is en besmet met Pegasus, de spionagesoftware van de Israëlische NSO Group, kan dit controleren met een tool.
De zogeheten Mobile Verification Toolkit (MVT) is ontwikkeld door de onderzoekers van Amnesty International die de malware Pegasus grondig hebben onderzocht en onthuld. De tool werkt op zowel iPhones als Android-apparatuur.
De toolkit controleert de volledige back up op zogeheten indicators of compromise (IOC’s) die NSO gebruikt om Pegasus op een systeem te zetten. Ook een versleutelde iPhone-back up kan gecontroleerd worden door de toolkit; die ontsleutelt de back up volledig zonder dat een complete nieuwe kopie gemaakt moet worden.
Voor gebruik van de toolkit moeten wel de IOC’s van Amnesty geladen worden. Die staat op de GitHub-pagina van Amnesty.
Alles bij de bron; AGConnect
Huisartsen hebben zonder toestemming van honderden mensen die expliciet hadden aangegeven dat hun vaccinatiegegevens niet met het RIVM mochten worden gedeeld dit toch gedaan. Het datalek werd veroorzaakt door een fout in één van de systemen waar huisartsenpraktijken gebruik van maken.
Wie zich laat vaccineren wordt gevraagd of hij zijn gegevens in het COVID-vaccinatie Informatie- en Monitoringsysteem (CIMS) wil laten opslaan. In de database worden burgerservicenummer (BSN), geboortedatum, naam, adresgegevens, reden van vaccinatie zoals medische indicatie, beroep of leeftijd, datum en plaats van vaccinatie en naam vaccin en serienummer voor een periode van minimaal twintig jaar opgeslagen.
Van mensen die geen toestemming geven worden ook gegevens vastgelegd, maar gaat het om een "anonieme set van gegevens", namelijk vaccinatiegegevens (vaccin, batchnummer, prikdatum, eerste of tweede prik), herkomst (Nederland, BES-eilanden en CAS-landen) en leeftijdscohort (drie cohorten).
Door een fout in een systeem waar huisartsenpraktijken gebruik van maken voor het doorgeven van vaccinatiegegevens is van mensen die expliciet hadden aangegeven dat ze hun data niet wilden delen met het RIVM dit toch gebeurd.
Het gaat om de persoonsgegevens van vijfhonderd mensen die duidelijk hadden aangegeven dat hun informatie niet gedeeld mag worden. Van tweehonderd patiënten is niet bekend of zij toestemming hebben gegeven. Het datalek is gemeld bij de Autoriteit Persoonsgegevens en de gegevens zijn inmiddels uit de centrale vaccinatiedatabase verwijderd.
Alles bij de bron; Security
De spionagesoftware Pegasus is in 2019 ingezet om telefoons van 1400 gebruikers, onder wie hooggeplaatste ambtenaren, via WhatsApp te infecteren, zegt WhatsApp-topman Will Cathcart in een interview met The Guardian.
Cathcart ziet overeenkomsten tussen de bevindingen van The Washington Post en zijn mediapartners, en het eigen onderzoek van de berichtendienst naar de aanval via zijn app. Sinds de aanval heeft plaatsgevonden claimen WhatsApp en moederbedrijf Facebook dat Pegasus is gebruikt om de telefoons van de getroffenen te hacken. Dat gebeurde met een WhatsApp-belletje naar het doelwit, waarbij het gesprek niet eens hoefde worden opgenomen. Wie achter de aanval zit, is niet bekend.
NSO, het bedrijf achter de spyware, blijft ontkennen dat zijn software is ingezet in de WhatsApp-aanval.
"De berichtgeving van TWP komt overeen met wat we zagen bij de aanval van twee jaar geleden", zegt de WhatsApp-topman. Volgens hem dient dit deels als bewijs dat Pegasus wel degelijk is gebruikt om de 1400 slachtoffers te hacken.
WhatsApp ontdekte dat, naast hooggeplaatste ambtenaren, ook journalisten en mensenrechtenactivisten wereldwijd het doelwit waren bij de aanval van 2019. "Veel van de getroffen gebruikers in deze zaak hadden nooit gesurveilleerd mogen worden", zegt Cathcart.
...Een woordvoerder van NSO zegt tegen The Verge dat het onderzoek "vol met verkeerde aannames en niet-onderbouwde theorieën zit die twijfels oproepen over de betrouwbaarheid en belangen van de bronnen". Ook zegt het bedrijf het aantal telefoonnummers op de lijst "wordt overdreven" en dat het te hoog is voor het aantal personen dat door de software wordt gesurveilleerd.
WhatsApp-baas Cathcart twijfelt aan die bewering. In het Guardian-interview wijst hij naar de 1400 gebruikers als bewijs dat het aantal doelwitten "zeer hoog" was.
Alles bij de bron; NU
Vorige maand schreef ik op deze plek over een rechtszaak in Frankrijk tegen Amesys, een bedrijf dat handelt in spionagetechnologie. De zaak zou, zo hoopte ik, kunnen bijdragen aan het beteugelen van ‘giftige’ bedrijven die miljarden verdienen met verkoop van hacking-, tracing- en spionagesystemen. Notoir in deze sector is de Israëlische NSO Group. Met haar infiltratieproduct Pegasus kun je heimelijk toegang krijgen tot telefoons en computers, camera’s en microfoons op afstand aanzetten en zo de locatie, contacten, foto’s en gedrag van ‘verdachten’ in de gaten houden.
Deze week bleek via een groot collectief van onderzoeksjournalisten, het ‘Pegasus Project, dat zelfs het telefoonnummer van de Franse president Macron op de lijst van doelwitten staat en al langer was bekend hoe telefoons en computers van mensenrechtenverdedigers en kritische journalisten werden geïnfiltreerd.
Zo stapelen de voorbeelden zich op van misplaatst gebruik van infiltratietechnologie, verkocht onder het mom van terreur- en misdaadbestrijding. Dat zelfs de Franse president met deze technologie kan worden belaagd, onderstreept hoezeer de commerciële spionagesector ontspoord is...
...Qua transparantie over de producten die in Nederland gebruikt worden, is er nog een wereld te winnen. Zeker is dat hier commerciële hacksoftware wordt gebruikt, maar officieel komt die niet van leveranciers aan dubieuze regimes. Verzoeken om informatie hierover van de Volkskrant, op basis van de Wet openbaarheid van bestuur, bleven onbeantwoord.
Technologie kun je meestal breder inzetten dan aanvankelijk beoogd werd. De snelle verspreiding van spionagetechnologie is een gevaarlijke realiteit. Infiltratietechnologie, zelfs als die ooit met een legitiem oogmerk is ontwikkeld, verspreidt zich als onkruid over de wereld. De onthullingen van het Pegasus Project stimuleren hopelijk de politieke urgentie, in elk geval in democratische landen, om voorop te gaan lopen in de zorg voor ‘veiligheid, vertrouwen, en stabiliteit in cyberspace’.
Alles bij de bron; NRC
De NCTV brengt „geen personen in beeld”, zei justitieminister Grapperhaus in de Kamer. Een linkse activist ontdekte dat hij wél online werd gevolgd en in een terrorismeaanpak belandde...
...Op 28 november 2019 zit hem bijvoorbeeld een rechtszaak dwars. „Onderweg naar gerechtshof Leeuwarden. Bizarre zaak”, twittert hij. ....Alles direct geseponeerd. Video’s van politie worden ‘per abuis’ gewist.” Met zes rode, boze emoji’s sluit hij af.
op de zevende etage van het ministerie van Justitie en Veiligheid in Den Haag houden monitoringsspecialisten van anti-terrorismecoördinator NCTV zijn tweets in de gaten via een door hen gecreëerd nepaccount dat ‘Harry van Duinen’ heet. De tweet wordt een screenshot en wordt opgeslagen in het interne systeem. De NCTV stuurt hem ook door naar de politie. Zonder hij het weet,
Zelfs een retweet van leggen de monitoringsspecialisten vast, van een tweet van een journalist die agenten met ‘lange latten’ ziet rondlopen bij de Stopera in afwachting van een demonstratie. Van der Linde voegt toe: ‘Met lange lat…WTF’. Weer die rood-boze gezichten. Ook deze tweet belandt in de systemen van de NCTV en bij de politie.
Het volggedrag van de NCTV staat ter discussie. In april onthulde NRC dat de coördinator al jaren via nepaccounts burgers online in de gaten houdt: coronademonstranten, rechtse activisten, milieuactivisten, streng-islamitische predikers. En linkse activisten. Na vragen van NRC werden de nepaccounts van ‘Harry van Duinen’ op Facebook, Instagram en Twitter verwijderd....
...De NCTV heeft voor deze activiteiten niet meer bevoegdheden dan welke overheidsinstantie dan ook.
In een vijf uur durend Kamerdebat in juni was demissionair minister Ferd Grapperhaus (Justitie en Veiligheid, CDA) stellig. De NCTV „volgt geen personen”, zei hij, en „doet daar ook geen onderzoek naar”. De NCTV verwerft geen gegevens over personen, „dat doen we niet”. In open bronnen volgen de ambtenaren volgens hem het maatschappelijk debat, maar daarbij worden „echt […] geen personen in beeld gebracht, als doel”.
Toch wil de minister de NCTV nu snel meer ruimte geven om persoonsgegevens te verwerken. In zijn wetsvoorstel staat dat de coördinator online uitingen van burgers wil bekijken om „trends en fenomenen” over veiligheidsthema’s te beschrijven.
SPOED NIEUWE WET
Demissionair minister Grapperhaus (Justitie en Veiligheid, CDA) wil de NCTV snel meer ruimte geven om burgers online te volgen en ook om persoonsgegevens te verwerken.
Daarvoor diende hij onlangs met spoed een wetsvoorstel in.
Amnesty International en Bits of Freedom spreken van een „controversieel” wetsvoorstel
waarmee „gehaast en onzorgvuldig” wordt omgegaan.
„Met deze wet installeren we een nieuwe geheime dienst die specifiek het maatschappelijk middenveld in de gaten houdt.”
De ervaring van de activist is een andere. Hij vroeg zijn dossiers op bij de NCTV, de politie en de gemeente Amsterdam en deelde die met NRC. Er blijkt uit dat de coördinator zijn online uitlatingen niet alleen gebruikte voor een algemene schets van het ‘maatschappelijk discours’. De NCTV verspreidde informatie over hem onder politiediensten, veiligheidsinstanties en gemeenten, waarna hij in een terrorismeaanpak belandde....
...De vertrouwelijke rapportages stuurt de NCTV officieel slechts ‘ter kennisgeving’ aan andere overheidspartijen, om hen te voorzien van achtergrondinformatie. Maar als zo’n bericht gaat over iemand in je gemeente moet je er iets mee, zegt een Amsterdamse veiligheidsambtenaar. „Als je gewaarschuwd bent, kun je geen risico’s nemen. Je gaat dingen doen om je in te dekken. Om te kunnen zeggen: ik heb iets met de informatie gedaan.”
Een gelegenheid daarvoor komt sneller dan verwacht: begin 2017 meldt Van der Linde zich bij de gemeente.... Op 21 juni 2017 besluit de gemeente hem in haar deradicaliseringsaanpak te plaatsen, net als op dat moment 58 anderen, veelal „gerelateerd aan het jihadisme”. In het plan van aanpak staat dat hij geholpen moet worden bij het „verwerken” van alle „doodsbedreigingen”, die „traumatisch” lijken te zijn geweest. „Doel daarna is werk vinden en leven opnieuw opbouwen”.
Wat het verband is met zijn vermeende radicalisering, wordt niet vermeld. Hij gaat het systeem in als ‘Dossier 606’.
De gemeente weet dat de politie op dat moment juist níet vindt dat hij aan de eisen voor de deradicaliseringsaanpak voldoet. Een gespecialiseerd politieteam duidt hem die zomer als „niet-CTER-waardig”: geen potentiële extremist. Maar zodra burgemeester Van der Laan de handtekening zet waarmee hij in de aanpak belandt, wordt hij in de politiesystemen toch als zodanig bestempeld. Deze CTER-code vestigt de aandacht op de activist en maakt het overheden makkelijker hem in de gaten te houden.
...Begin september hoort hij naar eigen zeggen voor het eerst dat hij in de deradicaliseringsaanpak zit. „Hij lijkt het er niet mee eens te zijn”, staat in het verslag van de gemeente.
Was het onduidelijk waarom hij in de aanpak belandde, net zo vaag blijft waarom hij er weer uit wordt gehaald. Op 7 maart 2019 ontvangt hij een ‘uitstroombrief’ van de nieuwe burgemeester Femke Halsema. De gemeente en betrokken instanties, waaronder de NCTV, hebben getoetst „of er nog sprake is van concrete signalen en risico’s die wijzen op radicalisering”. Hij voldoet daar niet meer aan. „Dat is goed nieuws”, schrijft Halsema.
De gemeente Amsterdam wil vragen van NRC over het persoonsdossier van hem niet beantwoorden „in verband met de privacy van betrokkenen”.
Ook de NCTV gaat niet in op individuele casuïstiek. „De NCTV volgt geen personen zoals de politie of inlichtingendiensten dat doen.” Op een vraag naar het aantal tweets van burgers dat de NCTV doorstuurt naar de politie, komt een algemeen antwoord: „Waar relevant” en altijd ten behoeve van „duiding en analyse van fenomenen”.
Er is voor zover bekend dan nog maar één instantie die hem buiten zijn medeweten om blijft volgen. Dat is de NCTV. Tot aan de opheffing in april van dit jaar is het NCTV-nepaccount op Twitter hem blijven volgen.
...De rechtbank zal in het voorjaar van 2021, bekrachtigen dat niet duidelijk is waarom hij een extremist zou zijn. De code bij zijn naam moet uit alle overheidssystemen worden verwijderd....
Alles bij de bron; NRC
De politie heeft vorig jaar ruim 218.000 foto's uit haar database voor gezichtsherkenning verwijderd. Dat maakt de Landelijke Eenheid bekend met de publicatie van de jaarcijfers over 2020. Een woordvoerder kon niet zeggen hoeveel unieke personen daarmee uit de database zijn verdwenen.
Met gezichtsherkenning kan de politie beelden, afkomstig van bijvoorbeeld een beveiligingscamera, vergelijken met de 2,65 miljoen gezichtsfoto's in de database. Een match kan de politie helpen om achter de identiteit van een verdachte te komen.
Met de opschoning van de 218.000 foto's geeft de politie voor het eerst publiekelijk een indicatie van het aantal foto's dat onterecht in de gezichtendatabase heeft gestaan. De politie moet gezichtsfoto's namelijk verwijderen als een persoon niet langer verdachte is, bijvoorbeeld na vrijspraak.
Het gebruik van CATCH, zoals de dienst heet, is niet onomstreden. In maart onthulde NU.nl dat de gezichtsfoto's van mogelijk tienduizenden mensen onterecht in de database staan.
Dat ligt gevoelig, omdat gezichtsherkenning bijzonder ingrijpend is. Het is "alsof de politie een soort nummer op je voorhoofd brandmerkt", zei een deskundige hierover destijds.
Alles bij de bron; NU
De gemeente Purmerend gebruikt nepaccounts op social media om burgers online te monitoren, zo heeft de gemeente laten weten.
Via Facebook, Twitter en andere social media proberen de gemeenten om zicht op mogelijke ongeregeldheden te krijgen en fraude te bestrijden. Hierbij wordt soms ook de wet overtreden. Zo werkt bijna één op de zes van de ondervraagde gemeenten met nepaccounts. Alleen politie en inlichtingendiensten mogen deze methode onder strikte voorwaarden inzetten.
"Er is een aantal ambtenaren dat uit hoofde van hun functie de bevoegdheid heeft om gebruik te maken van een fictieve accountnaam, te gebruiken voor online monitoring. Zij nemen geen deel aan besloten Facebookgroepen. Social media bestaan al langer en wij monitoren deze ook al langer", aldus de B&W van de gemeente op de vraag van raadslid Monait of Purmerend ook gebruikmaakt van nepaccounts.
Volgens de gemeente is het volgen van social media met een nepaccount niet in strijd met de wet. Verder slaat Purmerend bij de online monitoring geen data/persoonsgegevens geautomatiseerd op. De gemeente voegt toe dat het op verschillende plekken aandacht aan de privacyregels besteedt en over een Functionaris Gegevensbescherming beschikt (pdf).
Alles bij de bron; Security