De medische gegevens van 6,5 miljoen Nederlanders die nog geen keuze hebben gemaakt of ze hun informatie via het Landelijk Schakelpunt (LSP) willen delen zijn via de Corona Opt-in toch toegankelijk voor zorgpersoneel. De Corona Opt-in is een gedoogconstructie die nog altijd zonder juridische basis is.
"Wij kregen signalen uit de praktijk dat er iets fout ging met deze maatregel. Uit een klein onderzoek naar de uitvoering van de Corona opt-in werd duidelijk dat niet één van de ondervraagden op de hoogte was van deze maatregel", liet burgerrechtenbeweging Bits of Freedom afgelopen december weten. "Ook had ruim de helft geen keuze gemaakt om wel of niet toestemming te verlenen voor het delen van hun medisch dossier."
De Partij voor de Dieren vroeg demissionair minister Van Ark voor Medische Zorg om opheldering waarom de Corona Opt-in nog altijd van kracht is. "Kunt u onderbouwen waarom op dit moment geen einde gemaakt kan worden aan deze onwettige gedoogconstructie en waarom terug naar de wettelijke procedure zoals die bestond vóór het instellen van de Corona Opt-in niet mogelijk zou zijn?", vroeg Kamerlid Van Esch.
Volgens Van Ark is de Corona Opt-in nog steeds nodig. "De druk op de zorg is onverminderd groot, vanwege de aanhoudend grote stroom (acute) Covid-patiënten en ook omdat tegelijkertijd de reguliere acute en geplande zorg zoveel mogelijk doorgang moet vinden. Dit maakt dat snelle triage en behandeling op de HAP en SEH nog steeds van het grootste belang is", zo stelt de minister.
De minister wil de gedoogmaatregel omzetten in een tijdelijke algemene maatregel van bestuur (AMvB). "De desbetreffende AMvB is ter advisering voorgelegd aan de Autoriteit Persoonsgegevens (AP). Momenteel beraad ik mij op de verwerking van het recente advies van de AP. Ik kom hier in een aparte brief aan de Kamer op terug", laat ze weten. Oorspronkelijk was het plan om de AMvB deze winter naar de Tweede Kamer te sturen.
Alles bij de bron; Security
De gescrapete data van Clubhouse-gebruikers die dit weekeinde op een forum voor hackers verscheen, is voor iedereen toegankelijk via een api.
In de api kan iedereen volgens Clubhouse naast naam en foto ook de gebruikersnaam van die persoon op Instagram en Twitter vinden, naast gegevens over wanneer het account is aangemaakt en het aantal volgers. Met de data uit de api is het mogelijk om Clubhouse-gebruikers te koppelen aan hun andere accounts op sociale media. Daardoor kan iedereen een database opbouwen van Clubhouse-gebruikers al is het onduidelijk hoe waardevol een dergelijke database is.
Bij scrapen is er geen inbraak in het systeem van een bedrijf, maar maken hackers gebruik van openbaar beschikbare informatie op bijvoorbeeld profielpagina's om een database van gebruikers op te bouwen. Het gaat in dit geval om 1,3 miljoen gescrapete accounts, meldt Cybernews.
Alles bij de bron; Tweakers
De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) heeft in strijd met de wet jarenlang privacygevoelige informatie over burgers verzameld en verspreid. Ook volgen medewerkers met nepaccounts op sociale media in het geheim honderden politieke campagneleiders, religieuze voormannen en linkse en rechtse activisten. Dit blijkt uit onderzoek van NRC, gebaseerd op gesprekken met tientallen betrokkenen en interne documenten....
...In vertrouwelijke analyses staat beschreven met wie personen die de NCTV in beeld brengt zijn getrouwd, hoeveel kinderen ze hebben, met wie ze omgaan, soms vergezeld van foto’s. Sommige personen, zoals een prediker uit Almere, zijn in korte tijd meerdere keren onderwerp geweest van een ‘weekbericht’ van de NCTV. Weekberichten worden verstuurd aan gemeenten, politie, AIVD en buitenlandse veiligheidsdiensten.
Anders dan de politie of een geheime dienst heeft de coördinator geen bevoegdheden om personen nauwgezet online te volgen. Bovendien hebben veiligheidsdiensten toezichthouders en moeten zij hun stappen verantwoorden, de NCTV hoeft dat niet....
....De baas van de NCTV, Pieter-Jaap Aalbersberg, erkent dat er problemen zijn met de „juridische grondslag”. Dit betreft het „in beeld brengen van personen” op verzoek van gemeenten en een overheidstaskforce, iets wat de coördinator jarenlang deed. De NCTV is hier recent mee gestopt. Een nepaccount waarmee de NCTV op Twitter, Facebook en Instagram honderden burgers en organisaties volgde, is twee dagen voor publicatie van dit artikel verdwenen.
Ook voor het opslaan van gevoelige persoonsgegevens ontbreken richtlijnen. Rapportages met die gegevens belanden in een centrale database. Hoe lang die gegevens bewaard worden, is onbekend.
Op de analyse-afdeling van de NCTV, waar het monitoren plaatsvindt, rommelt het al jaren, blijkt ook uit onderzoek van NRC. Enkele analisten negeren kritiek van collega’s en de leiding beschermt hen. Heldere regels voor het opstellen van reguliere analyses ontbreken. Het brengt de kwaliteit van rapporten in het geding.
Alles bij de bron; NRC
Half december zei de minister van Justitie en Veiligheid "het effect van encryptie op de opsporing nader te onderzoeken." Dat is een belangrijke stap, want tot nu toe kon de minister niet goed uitleggen wat "het probleem van encryptie" precies is. En politie en Openbaar Ministerie weten dat net zo min.
De afgelopen jaren hebben we hen al meerdere keren gevraagd documenten openbaar te maken "die iets zeggen over het aantreffen van versleutelde informatie in strafrechtelijke onderzoeken." Maar wat blijkt elke keer weer: die documenten zijn er helemaal niet. En je zou verwachten: als iets écht een probleem is, dan zijn er al tal van rapporten, evaluaties en beleidsnotities over geschreven.
En de kans dat je met een gebrekkige probleemstelling maatregelen voorstelt die ook echt een probleem oplossen, is bijzonder klein. Tegelijkertijd loop je wel een enorm risico dat je talloze ongewenste en negatieve bijwerkingen introduceert. Als met name de encryptie van informatie op harde schijven een probleem is, dan lost een wet die de encryptie verzwakt bij communicatiediensten precies niets op. Maar door het verzwakken van de beveiliging, brengt zo'n maatregel wel de veiligheid van elke gebruiker in gevaar. Een slecht omschreven probleemstelling is dus een recept voor slechte wetgeving.
Daarnaast is er nog iets anders van belang: de context. Je kunt eigenlijk niet veel zeggen over "het effect op de opsporing" als je niet ook de ontwikkelingen erom heen meeneemt. We hopen dat de onderzoekers van het ministerie met een brede blik die vraag aanvliegen. Wat ons betreft kijken de onderzoekers daarbij in ieder geval ook naar de volgende vijf punten;
Alles bij de bron; Bits-of-Freedom
Het kan nog jaren duren voordat de overheid alle "vervuilde data" heeft opgeruimd, zo heeft demissionair staatssecretaris Knops van Binnenlandse Zaken in een brief aan de Tweede Kamer laten weten. Naar aanleiding van de toeslagenaffaire kwam de SP met een motie waarin het kabinet werd opgeroepen om met een plan te komen hoe overal binnen overheidsinstellingen vervuilde data, risicomodellen en het gebruik van nationaliteit worden opgeruimd.
Om aan de motie te voldoen presenteert Knops een plan dat uit drie stappen bestaat. Als eerste vindt er een inventarisatie plaats waar afkomst gerelateerde indicatoren een rol spelen. Vervolgens wordt getoetst in hoeverre er sprake is van (on)rechtmatig of (on)eigenlijk gebruik van afkomst gerelateerde variabelen in de risicomodellen. Als laatste stap zullen overheidsinstellingen gegevens rectificeren of wissen wanneer deze gebaseerd zijn op risicomodellen waarin onrechtmatig of oneigenlijk gebruik is gemaakt van afkomst gerelateerde indicatoren.
De personen in kwestie zullen daarnaast worden gewezen op het recht om gegevens te rectificeren of te laten wissen. Knops merkt op dat in bepaalde gevallen vervuilde gegevens enige tijd afgeschermd worden bewaard, zodat betrokken burgers geïnformeerd kunnen worden. Wanneer alle vervuilde gegevens zijn verwijderd kan de staatssecretaris niet zeggen, maar dit zou nog jaren kunnen duren.
Alles bij de bron; Security
De AVG beschermt de privacy van kinderen onvoldoende. Daarom zijn aanvullende regels nodig. Dat concludeert de Consumentenbond, die de positie van deze kwetsbare groep in de wet liet onderzoeken.
Hoewel de AVG voorschrijft dat platforms ‘specifieke bescherming’ moeten bieden aan kinderen, laat de wet grotendeels in het midden hoe ze dat precies moeten doen. Slechts 2 artikelen in de wet gaan over dit onderwerp. En daarin staat alleen iets over de ouderlijke toestemming. En de verplichting van platforms om duidelijk te zijn over welke persoonsgegevens ze verzamelen en hoe ze die verwerken.
‘Volstrekt onvoldoende,’ vindt Sandra Molenaar, directeur Consumentenbond. ‘De ouderlijke toestemming is meestal kinderlijk eenvoudig te omzeilen. Bovendien kun je van kinderen niet verwachten dat ze kunnen overzien wat de gevolgen zijn van hun toestemming voor het verzamelen van hun gegevens.’
Dat de wet onvoldoende bescherming biedt, blijkt wel uit een steekproef bij Facebook, Instagram, TikTok, Snapchat en Youtube. Al deze platforms verdienen juist aan het profileren van kinderen en het tonen van gepersonaliseerde reclame.
‘Wat ons betreft zouden van kinderen helemaal geen marketingprofielen gemaakt mogen worden. Bedrijven kunnen prima adverteren rondom content die voor kinderen is bestemd. Maar zolang ze niet volwassen zijn, is profileren en persoonlijk adverteren uit den boze. Daarom zijn extra regels nodig. En daar moeten het Europese samenwerkingsverband van toezichthouders (de EDPB) en de AP voor zorgen.’
Alles bij de bron; Consumentenbond
Dankzij de meldplicht datalekken (onderdeel van de AVG, de Algemene Verordening Gegevensbescherming) weten we dat de wereld uitpuilt van slordige en slome organisaties die niet in staat zijn de data van hun gebruikers te beschermen. Dat is iets om in het achterhoofd te houden als straks het registratieseizoen weer begint en cafés en bioscopen naar je naam en telefoonnummer gaan vragen.
Ondanks alle missers van databewaarders, het eerste datalek ben je zelf. Verstrek daarom niet meer persoonlijke gegevens dan nodig. Ook al vraagt het inschrijfformulier daarom en al vult de browser dat formulier zo compleet mogelijk in.
Ik laat geen 06-nummer, adres of geboortedatum achter als dat niet hoeft. Liefst maak ik helemaal geen accounts aan. Ook deins ik er niet voor terug mijn naam verkeerd te spellen. Regelmatig vergeet ik daarom mijn huisnummer of vergis me in mijn verjaardag. Het idee: een dataset vol fouten maakt het voor criminelen lastiger om identiteitsfraude te plegen.
Liegen over je echte mailadres is sowieso een aanrader. Veel mensen gebruiken aparte mailaccounts voor commerciële diensten, om het kaf van het koren te scheiden. Maar je kunt ook kiezen voor geanonimiseerde wegwerpadressen van GuerillaMail of e4ward.com.
Als webdiensten je laten inloggen via Apple, kun je zo je mailadres verbergen. Gmail-gebruikers hebben de optie een extra woord toe te voegen aan hun mailadres, gescheiden met een plusteken.
Kunnen bewuste formulierfoutjes dan wel door de beugel? Ik leg mijn dilemma voor aan Arnoud Engelfriet, de algemeen directeur van ICTrecht. Zijn blog is al jarenlang het juridisch geweten van online Nederland.
„Een leugentje om bestwil is prima”, zegt Engelfriet: „De AVG eist sowieso dat bedrijven niet meer vragen dan strikt noodzakelijk. Vanuit dat perspectief help je ze alleen maar de wet na te komen als je niet-noodzakelijke informatie alvast anonimiseert.”
Dat is een mooie gedachte. Bescherm bedrijven en instellingen tegen hun eigen zwakheden door zo weinig mogelijk van jezelf bloot te geven. Want je digitale identiteit is zo kostbaar als je maagdelijkheid. Ook die kun je maar één keer verliezen.
Alles bij de bron; NRC
Door de coronacrisis zijn hogescholen en universiteiten massaal omstreden antispieksoftware gaan gebruiken. Een praktische oplossing, maar de ethische bezwaren zijn talrijk....
....Er zijn grofweg drie soorten proctoring. Live proctoring: de student wordt tijdens het tentamen via de webcam gefilmd, terwijl een surveillant live meekijkt, maar dat is arbeidsintensief. Meestal worden beelden daarom opgeslagen en later teruggekeken door een surveillant, die in dienst is van het proctorbedrijf. Die beoordeelt de beelden op ‘afwijkend gedrag’. De snelst opkomende soort is proctoring software die gebruikmaakt van kunstmatige intelligentie. Het opsporen van verdacht gedrag gebeurt dan automatisch.
Maar wat is afwijkend gedrag? Dat verschilt per programma. Veel programma’s letten op oog- en gezichtbewegingen: kijkt een student bijvoorbeeld verdacht vaak naar rechts? Ook letten ze op omgevingsgeluid, zoals gefluister. Soms ook op schaduwen en reflecties. Er kan worden gevraagd een tweede camera aan te zetten, van een smartphone die naast of achter de student moet staan. De meeste programma’s kunnen in meerdere of mindere mate de computer van de student ‘overnemen’: schermafbeeldingen nemen, zien welke tabbladen en applicaties openstaan, bepaalde websites blokkeren of privacy-instellingen veranderen....
....Voor studenten is het niet altijd duidelijk waar de beelden worden opgeslagen en door wie ze worden bekeken. „Door goedkope krachten uit Bangladesh?”, oppert een student die NRC spreekt. Ze weten meestal ook niet waar de ‘rode vlaggen’ op zijn gebaseerd, dus waar ze aan moeten voldoen om niet als fraudeur te worden aangemerkt. Dat is een bezwaar, vindt de Autoriteit Persoonsgegevens: studenten zouden iets moeten weten over de onderliggende logica van het programma dat hen beoordeelt.
Een andere veelgehoorde klacht van studenten gaat over buggy software. Ze worden tijdens een tentamen ineens uit het proctorprogramma gegooid, of komen er überhaupt niet in....
....„Technische problemen worden op de student afgeschoven”, zegt privacy-advocaat Sofie van Londen, die met onderwijsadvocaat Wilco Brussee studentenraden bijstaat in een zaak tegen de Universiteit van Amsterdam (UvA) vanwege het gebruik van proctoring software....
....Online proctoring staat niet op zichzelf, zegt onderzoeker Bart Karstens van het Rathenau Instituut. „Het is deel van een bredere beweging van steeds meer dataverzameling over studenten.” Steeds vaker wordt die data gebruikt om met behulp van een algoritme tot een advies te komen, zegt hij. Aan de onderwijsinstelling: hoe kan een opleiding verbeterd worden? Of aan de student: welke master kun je het beste gaan volgen? Karstens: „De vraag is: wat doet dat met de keuzevrijheid en autonomie van studenten en onderwijsinstellingen? Zeker omdat er vaak bedrijven achter die algoritmes zitten, die geld met data willen verdienen. Ze gebruiken die data om hun producten beter te maken. Het is maar zeer de vraag of zij het publieke belang van het onderwijs voorop hebben staan.”
Alles bij de bron; NRC [lang artikel]