Gegevens

Hoofdcategorie: Internet en Telecom

22 januari 2021

Persoonlijke en medische informatie van ten minste tienduizenden mensen die zich op corona lieten testen bij een commercieel bedrijf zijn niet goed beveiligd, blijkt uit onderzoek van Nieuwsuur.

Het gaat om gevoelige persoonsgegevens en medische gegevens, die zijn gedeeld in een WhatsApp-groep met 300 leden en toegankelijk waren in een slecht beveiligde database. Volgens experts is er sprake van een datalek en wordt de privacywetgeving hiermee overtreden.

Het gaat om bijvoorbeeld toeristen die via TUI of Corendon een vakantie boekten, werknemers van voedingsmiddelenconcern Ahold, spelers van FC Utrecht, huisartsenpraktijken en zorginstellingen. Ook het ministerie van Defensie laat militairen die uitgezonden worden testen bij het bedrijf.

Alles bij de bron; NOS

Gegevens

Hoofdcategorie: Internationaal Nieuws

22 januari 2021

De leden van het Europees Parlement verzoeken de Commissie een wet voor te stellen die werknemers in staat stelt buiten de werkuren offline te zijn. Ze hebben hierover een wetsinitiatief aangenomen met 472 stemmen voor, 126 tegen en 83 onthoudingen. Het voorstel moet ook minimumeisen voor telewerk bevatten en duidelijkheid verschaffen over de arbeidsomstandigheden, werktijden en rusttijden van werknemers.

De EP-leden wijzen erop dat we voor het werk meer digitale middelen gebruiken dan vroeger, wat heeft geleid tot een cultuur waarin we altijd bereikbaar zijn. De lange werkuren en hogere verwachtingen leiden echter tot meer angststoornissen, depressies, burn-out en andere geestelijke of fysieke gezondheidsproblemen.

De EP-leden beschouwen het recht om offline te zijn als een grondrecht dat werknemers helpt om buiten de werkuren geen van taken op te pakken die verband houden met hun werk, zoals telefoongesprekken, e-mails en andere vormen van digitale communicatie. Dit recht is ook van toepassing op vakanties en andere soorten verlof.

“We kunnen de miljoenen Europese werknemers die uitgeput zijn van de druk om altijd ‘ aan’ te staan en van de lange werkuren niet negeren. Het moment is daar om aan hun kant te gaan staan en ze te geven waar ze recht op hebben: het recht om offline te gaan. We moeten nu de rechten van werknemers aanpassen aan de realiteit van het digitale tijdperk”, aldus rapporteur Alex Agius Saliba (S&D, MT).

Alles bij de bron; EuroParlement

Gegevens

Hoofdcategorie: Nieuws uit NL

22 januari 2021

De politie is op basis van het gegevensbeschermingsrecht verplicht om het zoekgedrag van agenten te monitoren, zo heeft minister Grapperhaus van Justitie laten weten. Dit jaar zal de politie een systeem uitrollen dat de zoekopdrachten van agenten op politiesystemen logt en monitort. Het systeem moet voorkomen dat gevoelige informatie in verkeerde handen terechtkomt. Zo wordt er naar "atypisch gebruik" gekeken om mogelijk misbruik van informatie beter en sneller te kunnen signaleren.

Het systeem geeft een indicatie of er mogelijk sprake is van afwijkend zoekgedrag op basis van een groot aantal indicatoren. Zo wordt er gekeken naar eerder gedane zoekopdrachten en vindt er een vergelijking plaats met het gemiddelde zoekopdrachtenpatroon van collega's. Een ander kenmerk is wanneer een agent een zoekopdracht doet met betrekking tot een onderzoek waarbij hij niet betrokken is. 

Volgens de minister stelt de Wet politiegegevens (WPG) dat de politie passende technische en organisatorische maatregelen moet nemen om de gegevensverwerking te beschermen. Het gaat dan om het maken van logbestanden en beoordelen hoe gebruikers het systeem gebruiken. De Autoriteit Persoonsgegevens heeft daarnaast aangegeven dat deze monitoringsverplichting niet alleen achteraf geldt. Logbestanden moeten ook proactief worden gecontroleerd op aanwijzingen van onrechtmatige toegang of onregelmatig gebruik van politiegegevens.

De WPG stelt tevens verplicht dat de politie door middel van logbestanden een aantal verwerkingen van politiegegevens in systemen vastlegt. Deze logbestanden mogen alleen worden gebruikt om te controleren of de gegevensverwerking rechtmatig is, om interne controle uit te oefenen, om de integriteit en de beveiliging van de gegevens te garanderen en om strafrechtelijke procedures te waarborgen.

"Op basis van het gegevensbeschermingsrecht is het dus toegestaan, en zelfs verplicht dat dergelijke handelingen van politiemedewerkers worden gelogd en gemonitord", antwoordt minister Grapperhaus op de vraag van CDA-Kamerlid Van Dam. De minister voegt toe dat de verplichting tot logging nog niet in werking is getreden. 

Alles bij de bron; Security

Gegevens

Hoofdcategorie: Internet en Telecom

22 januari 2021

Het valt niet te achterhalen of UWV-medewerkers misbruik van klantgegevens hebben gemaakt, zo heeft minister Koolmees van Sociale Zaken laten weten. De minister reageerde op Kamervragen van de PvdA over het nieuws dat privégegevens van miljoenen huidige en voormalige UWV-klanten eenvoudig voor duizenden ambtenaren toegankelijk zijn...

...PvdA-Kamerlid Gijs van Dam wilde van Koolmees weten of er misbruik van klantgegevens is gemaakt en of de minister dit wil onderzoeken. "Door de technisch beperkte logging en monitoring op het systeem Sonar, kan niet achterhaald worden welke medewerkers op welk moment welke gegevens hebben ingezien. Daardoor kan het niet worden uitgesloten dat er ongeoorloofd gebruik is gemaakt van klantgegevens", reageert Koolmees.

Volgens de minister houdt dit in dat medewerkers met toegang tot Sonar mogelijk meer persoonsgegevens hebben verwerkt of hebben ingezien dan strikt noodzakelijk is voor de uitvoering van hun taken. Het UWV is nu bezig om het loggen en monitoren te verbeteren, zodat het wel mogelijk wordt om ongeoorloofd gebruik vast te stellen...

Afsluitend laat de minister weten dat niet alle privacyproblemen en kwetsbaarheden in Sonar met betrekking tot de AVG zijn te verhelpen. Uiteindelijk zal het systeem dan ook na 2025 worden vervangen. In aanloop naar deze vervanging zal het UWV wel stapsgewijs verschillende maatregelen doorvoeren. Zo worden in het eerste kwartaal van dit jaar de gegevens verwijderd van klanten die vijf jaar of langer inactief zijn.

Alles bij de bron; Security

Gegevens

Hoofdcategorie: Internationaal Nieuws

21 januari 2021

Ongeveer 400.000 vingerafdruk-, DNA- en arrestatierecords zijn per ongeluk uit de database van de Britse politie verwijderd na een technisch probleem veroorzaakt door een menselijke fout. Volgens  minister Patel wordt geprobeerd de bestanden te herstellen, al is nog onduidelijk of dat gaat lukken.

De oorzaak is volgens de Britse regering een 'menselijke fout' in een programmascript dat in november al werd toegevoegd aan het systeem, maar dat pas eerder deze maand voor het eerst werd gedraaid. Mogelijk moet een deel van de verloren gegevens opnieuw handmatig worden ingevoerd in de systemen.

Er zijn naar schatting 213.000 gegevens over misdrijven, 175.000 gegevens over aanhoudingen en 15.000 gegevens over personen ten onrechte verwijderd.Vanwege de ontbrekende gegevens zijn in sommige gevallen verdachten na hun arrestaties weer vrijgelaten, zei het ministerie van Binnenlandse Zaken. Hoeveel mensen er precies zijn vrijgelaten is onduidelijk.

Alles bij de bron; RTL

Gegevens

Hoofdcategorie: Divers Nieuws

21 januari 2021

De PvdD wil opheldering van minister Ollongren van Binnenlandse Zaken en minister Van Engelshoven van Onderwijs over een datalek bij de surveillancesoftware van de Hanzehogeschool Groningen. Het Groningse blog Sikkom meldde vorige week dat het mogelijk was om met de online tentamens die studenten afnamen mee te kijken. Alleen een linkje was voldoende om studenten die thuis de tentamens maakten via hun eigen smartphone te bespioneren.

PvdD-Kamerlid Van Raan wil nu een overzicht van alle bekende privacyschendingen en overige incidenten met online tentamens. "Erkent u dat de huidige wet- en regelgeving kennelijk niet heeft kunnen voorkomen dat er een grove privacyschending heeft plaatsgevonden?", vraagt Van Raan verder.

Het PvdD-Kamerlid wil daarnaast weten of de ministers bereid zijn om de huidige wet- en regelgeving aan te passen en wat de privacyschending voor gevolgen voor het organiseren van tentamens in de nabije toekomst heeft. Van Raan had de ministers eerder al gevraagd om onderwijsinstellingen te helpen om zo snel mogelijk op veilige wijze tentamens te organiseren, zonder het gebruik van surveillancesoftware. De ministers hebben drie weken de tijd om de vragen te beantwoorden.

Alles bij de bron; Security

Gegevens

Hoofdcategorie: Nieuws uit NL

21 januari 2021

De Wet op de inlichtingen- en veiligheidsdiensten 2017 (WIV 2017) moet worden aangepast, zo stelt de Evaluatiecommissie Wet op inlichtingen- en veiligheidsdiensten (ECW) in een vandaag gepubliceerd evaluatierapport (pdf). De Commissie van Toezicht op de Inlichtingen- en veiligheidsdiensten (CTIVD) en de Toetsingscommissie Inzet Bevoegdheden (TIB) zijn echter kritisch over het rapport zelf en de aanbevelingen...

...De Evaluatiecommissie stelt in het rapport ook dat de Toetsingscommissie Inzet Bevoegdheden (TIB) van grote meerwaarde is voor het toezicht. Ondanks het belang van de TIB doet de Evaluatiecommissie verschillende voorstellen om de inhoudelijke toets van de TIB in de toekomst in te perken en de inzet van een aantal bevoegdheden helemaal niet meer door de TIB te laten toetsen.

De Toetsingscommissie stelt dat dit een mogelijke achteruitgang zou betekenen in de balans tussen bescherming van de nationale veiligheid en de privacy van burgers en daarmee voor de waarborgen voor de rechtstaat Nederland. De TIB zegt het rapport eerst verder te zullen bestuderen en komt op een later moment met een inhoudelijke reactie...

...Ook vanuit de Commissie van Toezicht op de Inlichtingen- en veiligheidsdiensten is er kritiek op het rapport. Volgens de toezichthouder zijn de belangen van de diensten en de bescherming van fundamentele rechten van burgers in het rapport van de ECW niet in balans. De huidige wet kent op één onderdeel de mogelijkheid dat onafhankelijke toezichthouders bindende uitspraken kunnen doen over de verwerking van gegevens door de inlichtingen- en veiligheidsdiensten. De evaluatiecommissie wil die bevoegdheid ongedaan maken zonder dat daar andere bindende toezichtsbevoegdheden tegenover staan.

De CTIVD komt tot de conclusie dat de operationele belangen van de diensten en de belangen van de bescherming van fundamentele rechten van burgers in het rapport van de ECW niet in balans zijn. De toezichthouder zal de komende tijd nader ingaan op specifieke onderdelen van het rapport, mede in het licht van een komende aanpassing van de Wet op de Inlichtingen- en Veiligheidsdiensten.

Alles bij de bron; Security

Gegevens

Hoofdcategorie: Internationaal Nieuws

20 januari 2021

President Donald Trump legt op de laatste dag van zijn presidentschap cloudaanbieders de verplichting op om de identiteit van klanten te verifiëren en vast te leggen. Het doel van deze 'executive order'  is om cloudgebruik door buitenlandse aanvallers te voorkomen en zo de VS beter te beschermen.

President Trump bepaalt in dit formele bevel dat er aanvullende stappen genomen moeten worden tegen nationale noodtoestanden door grote, kwaadaardige cyber-acties tegen de Verenigde Staten. Het gaat bijvoorbeeld om aanvallen, sabotage-acties en vormen van spionage die door ICT worden gefaciliteerd.

Deze cyber-enabled activiteiten van buitenlands herkomst zijn onder president Barack Obama in 2015 al in een 'executive order' benoemd. Daarbij mogen bezittingen van personen achter of betrokken bij vijandige cyber-activiteiten worden bevroren of in beslag genomen.

Trumps bevel gaat een stap verder. Het richt zich op gebruik van Amerikaanse cloudcapaciteit, specifiek IaaS (infrastructure-as-a-service), om cyberaanvallen, cybersabotage of cyberspionage uit te voeren. Het ministerie van Handel krijgt hiermee de opdracht om regels op te stellen voor cloudproviders om de identiteit van buitenlandse klanten met kwaadaardige activiteiten te identificeren, en om daar dan actie tegen te ondernemen.

Naast de identificatieplicht en bewaarplicht daarvoor zet het bevel ook in op meer samenwerking tussen Amerikaanse IaaS-aanbieders. Zij zouden op vrijwillige basis meer informatie moeten delen om zo inspanningen tegen hackaanvallen te versterken. De impact van dit presidentiële bevel voor de cloud- en security-industrie zal waarschijnlijk fors zijn, meent security-expert Katie Nickels van Red Canary.

Alles bij de bron; AGConnect