De schoolboekenleverancier Iddink meldt dat er een mogelijk datalek heeft plaatsgevonden. In april van dit jaar werd Iddink ook al slachtoffer van een ransomwareaanval.
De schoolbesturenorganisatie Sivon meldt dat een inloglink voor het inleveren van schoolboeken bij Iddink 'eenvoudig aan te passen' was. Hierdoor kon een kwaadwillende in theorie toegang verkrijgen tot informatie van leerlingen, waaronder namen, straatnamen, postcodes, woonplaatsen en informatie over de school en schoolboeken van de persoon.
Meerdere ouders van kinderen hebben de kwetsbaarheid opgemerkt en dit bij Sivon gemeld. Iddink meldde desondanks het datalek bij de Autoriteit Persoonsgegevens, wat verplicht is.
Volgens het bedrijf is er een overlap tussen de gegevens die bij het betreffende datalek toegankelijk waren en de gegevens die bij de cyberaanval van april dit jaar werden buitgemaakt. In dat laatste geval ging het daarnaast ook om bankgegevens. Iddink levert naar eigen zeggen lesmateriaal aan 300.000 middelbareschoolleerlingen in Nederland en 120.000 scholieren in België
Alles bij de bron; Tweakers
Vinted heeft verschillende aspecten van de AVG overtreden. Dat concludeert de SDPI, de privacytoezichthouder in Vinted-thuisland Litouwen. De toezichthouder begon een onderzoek naar het kledingplatform na privacyklachten uit verschillende EU-landen.
De privacytoezichthouder stelt onder meer dat het platform niet transparant genoeg is naar gebruikers over de verwerking van hun persoonsgegevens. Daarnaast doet het bedrijf aan 'shadowbanning', waarbij gebruikers zonder kennisgeving worden uitgesloten van het platform.
De manier waarop dergelijke shadowbans worden toegepast, is volgens de SDPI onwettig. Het belemmert gebruikers bijvoorbeeld bij het gebruikmaken van hun privacyrechten onder de AVG.
Ook vraagt Vinted ten onrechte om specifieke redenen wanneer gebruikers verzoeken voor het verwijderen van hun persoonsgegevens indienden bij het platform. Als dergelijke verzoeken worden geweigerd, geeft het platform daar ook onvoldoende uitleg voor.
De SDPI heeft besloten het kledingplatform hierom een boete van 2,385 miljoen euro op te leggen. Vinted gaat in beroep tegen het besluit.
Alles bij de bron; Tweakers
Het ministerie van Financiën heeft in twee internetconsultaties voorgesteld dat de financiële toezichthouders Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) op grote schaal persoonsgegevens van klanten mogen gaan opvragen bij financiële instellingen zoals banken.
Privacy First heeft deelgenomen aan beide consultaties en heeft zware kritiek op de voorstellen, nu beide toezichthouders al op grote schaal persoonsgegevens verwerken zonder dat daar publieke verantwoording over wordt afgelegd.
Privacy First heeft geconstateerd dat internationale financiële samenwerkingsverbanden zoals de Bank for International Settlements (BIS) bepleiten dat financiële toezichthouders gebruikmaken van kunstmatige intelligentie (artificial intelligence, AI). Die kunstmatige intelligentie moet door middel van persoonsgegevens en andere gedetailleerde gegevens van personen en organisaties (‘granulaire data’) getraind worden. Gevolg van deze veronderstelling is dat de toezichthouders proberen aan zoveel mogelijk granulaire data te komen, waartoe de financiële persoonsgegevens van iedere burger behoren.
Privacy First vindt dat ongewenst en wijst op het advies van de Raad voor het Openbaar Bestuur (ROB) van mei 2021, bekendgemaakt via het nieuwsbericht ‘Politiek moet in actie komen om burgers te beschermen tegen uitdijende datahonger‘. De ROB bepleit een volwassen afweging van de noodzaak om persoonsgegevens aan de overheid te verschaffen, een afweging die in de voorstellen van het ministerie van Financiën ontbreekt.
Daar komt nog bij dat zowel AFM als DNB al op grote schaal granulaire data verwerken. Voorbeeld zijn de persoonsgegevens die AFM verwerkt op grond van Mifid 2: weinig beleggers zijn ervan op de hoogte dat de AFM bij iedere aandelenkoop of -verkoop paspoortnummers en/of fiscale nummers en geboortedata van de betrokken belegger ontvangt. Verder ontvangt AFM van pensioenfondsen op grote schaal persoonsgegevens van burgers.
DNB ontvangt persoonsgegevens bij uitvoering van het depositogarantiestelsel, onder meer adressen en telefoonnummers, en verwerkt op grote schaal persoonsgegevens in het kader van het witwasbestrijdingstoezicht. Beide toezichthouders ontvangen op grote schaal persoonsgegevens van het Centraal Bureau voor de Statistiek.
Privacy First stelt voor dat eerst verantwoording wordt afgelegd van de huidige verwerking van granulaire gegevens door DNB en AFM en dat vervolgens door middel van een adequate grondrechtentoetsing wordt vastgesteld of er wel redenen zijn om financiële instellingen te verplichten extra gegevens te leveren.
Verder achten wij het ongewenst dat de uitwerking van het type persoonsgegevens dat financiële instellingen moeten verschaffen niet plaatsvindt in een wet, maar in een algemene maatregel van bestuur. Voorts is niet transparant hoe de toezichthouders de van financiële instellingen verkregen gegevens gaan koppelen aan andere datasets waarover zij beschikken en dient daar helderheid over te komen. Verschaffing van granulaire data aan internationale organisaties hoort naar de mening van Privacy First niet plaats te vinden.
Tot slot is gewenst dat er onafhankelijk gegevensverwerkingstoezicht op AFM en DNB wordt gecreëerd en dat wordt gezorgd voor andere waarborgen om te voorkomen dat de financiële toezichthouders verkeerd omgaan met persoonsgegevens en andere granulaire data.
Alles bij de bron; PrivacyFirst
Het Europese Hof van Justitie stelde in 2022 dat een openbaar register van begunstigden de privacy van bestuurders schond. Nu is een nieuw register in de maak, met gevolgen voor familiebedrijven en stichtingen.
In het nieuwe pakket met antiwitwasmaatregelen wil de Europese Unie opnieuw toegang geven tot het UBO-register aan een groot aantal partijen. Dat betreft, naast overheidsinstanties, ook journalisten, verslaggevers en ‘anderen die zich uiten in de media’ – wat dus de vraag oproept of naast echte journalisten straks ook gewoon iedereen met een socialemedia-account een aanvraag kan doen.
Daarnaast kan, zonder goede definitie en restrictie, iedereen onder een van de andere groepen vallen die straks toegang moet krijgen tot het UBO-register. Zo krijgt iedereen die een transactie wil aangaan met een rechtspersoon én betrokkenheid met witwassen en terrorismefinanciering wil voorkomen toegang. En termen als ‘maatschappelijke organisaties’ en ‘wetenschappers’ zijn bijzonder vaag.
Ironie ten top is dat de geregistreerde zelf niet in mag zien wie in zijn of haar gegevens heeft gekeken, vanwege de privacy van de persoon die deze gegevens heeft willen inzien. Dat is in afwijking van een eerdere uitspraak van het Europees Hof. Bovendien is het onacceptabel.
Eigenaren van familiebedrijven, ondernemers en bestuurders van stichtingen en verenigingen zijn óók burgers, met grondrechten én belang bij privacy en veiligheid. Wij vragen de politiek in Brussel én in Den Haag om die grondrechten te beschermen, en de verleiding te weerstaan om deze opzij te zetten.
Alles bij de bron; FD [inloggen noodzakelijk]
In 2023 kwam de toeslagenaffaire in een nieuwe fase met de verhoren van de parlementaire enquêtecommissie Fraudebeleid en Dienstverlening. Tegelijk werd pijnlijk duidelijk dat er nog bitter weinig veranderd is.
...in 2023 bleek dat verschillende overheidsorganisaties gewoon doorgingen met het gebruik van ondoordachte algoritmes. Enkele voorbeelden:
De Dienst Uitvoering Onderwijs (DUO) gebruikte voor het opsporen van fraude met studiebeurzen een algoritme dat zonder enige onderbouwing discriminatoir van aard was.
Het UWV gebruikte illegaal een algoritme om fraude met WW-uitkeringen op te sporen.
Enkele gemeenten gebruikten tegen beter weten in op onrechtmatige wijze de ‘fraudescorekaart’.
Er zijn vragen over de inzet van gezichtsherkenning door de politie en over het functioneren van het Team Openbare Orde Inlichtingen (TOOI) van de politie.
Aleid Wolfsen, voorzitter AP: “Dit is hoogstwaarschijnlijk nog maar het topje van de ijsberg. De datahonger van de overheid lijkt nog nauwelijks ingedamd."
Alles bij de bron; Durtch-IT-Channel
Bunq-bank heeft een kort geding aangespannen tegen NRC Handelsblad dat berichtte over medewerkers van de bank die zonder beletsel stiekem kunnen gluren op de rekeningen van klanten.
In het stuk wordt ingegaan op de privacy van zowel klanten als medewerkers van Bunq. Wie bij Bunq werkt kan zonder problemen de rekeningen inzien die er lopen, ook van collega’s.
In een brief aan NRC neem media-advocaat Christiaan Alberdingk Thijm alle ruimte om de ‘kwaadaardige bedoelingen’ van NRC te benoemen, maar in de sommatie komt het uiteindelijk neer op twee punten.
Een eerste is dat NRC de 'feitelijke onjuistheden' verwijdert en aangehaalde teksten uit de Slack-discussie verwijdert. Deze is vertrouwelijk volgens Bunq en ‘buiten de juiste context gepubliceerd’. Daarnaast wil Bunq dat de namen van medewerkers die deelnamen aan een interne Slack-discussie uit het stuk worden gehaald, omdat hun privacy daarmee is geschonden.
NRC heeft aan deze eis inmiddels gevolg gegeven. Volgens adjunct-hoofdredacteur Melle Garschagen gaat het overigens niet om namen van medewerkers, maar om gebruikersnamen op Slack.
Alles bij de bron; Adformatie
De Autoriteit Persoonsgegevens (AP) waarschuwt dat de “datahonger van de overheid” blijft aanhouden. Overheidsdiensten bleven vorig jaar doorgaan met het gebruik van “ondoordachte algoritmes”, staat in het jaarverslag van de organisatie. Ondanks de toeslagenaffaire, waarbij algoritmes ook een rol speelden, is er volgens de AP “bitter weinig veranderd”.
De instantie wijst onder meer op een discriminerend algoritme van de Dienst Uitvoering Onderwijs, een illegaal algoritme van het UWV om fraude met de WW op te sporen en het gebruik van gezichtsherkenning door de politie.
“Natuurlijk kunnen algoritmes en kunstmatige intelligentie ons ook veel goeds opleveren. Zoals efficiëntere werkprocessen voor overheidsorganisaties. Maar als samenleving moeten we steeds heel alert zijn op de risico’s van algoritmes, waaronder discriminatie. Zodat overheidsinstellingen niet opnieuw levens van mensen verwoesten en onze rechtsstaat en de bescherming van grondrechten overeind houden.”, stelt AP-voorzitter Aleid Wolfsen.
Het valt Wolfsen verder op dat dat de overheid steeds vaker private organisaties inschakelt om privacyschendingen te onderzoeken. “Terwijl de AP de aangewezen partij is om als onafhankelijke toezichthouder dit onderzoek te doen”, zegt hij."Bedrijven krijgen op deze manier soms toegang tot zeer gevoelige persoonlijke informatie”, aldus de voorzitter.
Alles bij de bron; NieuwsNL
Ruim veertig handhavers in het centrum van Amsterdam zijn sinds 1 juli bij wijze van proef uitgerust met een korte wapenstok.
De afgelopen maanden hebben zij getraind met de wapenstok en een examen afgelegd om deze te mogen gebruiken.
Begin vorig jaar vroeg het college van burgemeester en wethouders aan het ministerie van Justitie en Veiligheid om toestemming voor de proef, ondanks dat een meerderheid van de gemeenteraad tegen was.
Burgemeester Halsema zette de proef toch door omdat handhavers volgens haar vaak te maken krijgen met agressie en geweld tijdens hun werk. Eind 2023 gaf het ministerie toestemming voor de proef die anderhalf jaar gaat duren waarna een evaluatie zal volgen.
Alles bij de bron; Beveiliging