Europol mag in bepaalde gevallen grote datasets met gegevens van niet-verdachte burgers opslaan en verwerken, zo is mogelijk gemaakt door het aanpassen van een verordening door het Europees Parlement en de Europese Raad.

De Europese privacytoezichthouder EDPS is niet blij met de aanpassing en stelt dat die het toezicht verzwakt. Op dit moment houdt de Europese opsporingsdienst zich niet aan de regels voor het verwerken van persoonsgegevens en is ingrijpen noodzakelijk om de rechten van burgers te beschermen, aldus de EDPS. Onder de Europol Regulation mag de Europese opsporingsdienst data verwerken van personen die een duidelijk vastgestelde relatie met criminele activiteiten hebben. Op deze manier moet worden voorkomen dat Europol gegevens van niet-verdachte personen verwerkt. Europol ontvangt deze data van Europese politiediensten en verwerkt het vervolgens in de eigen systemen.

De hoeveelheid data die Europol ontvangt is echter zo groot dat het niet meteen zonder een assessment onderscheid kan maken tussen personen van wie er duidelijk is vastgesteld dat er een relatie is met criminele activiteiten en niet-verdachte personen. Europol bewaart deze datasets voor lange tijden in de eigen systemen, soms zelfs jaren. De opsporingsdienst kan echter niet garanderen dat deze datasets geen gegevens van niet-verdachte personen bevatten en is daarmee in overtreding van de Europol Regulation, zo laat de EDPS weten.

De Europese privacytoezichthouder sprak Europol hier in september 2020 op aan, maar heeft het niet voldaan aan het verzoek van de EDPS om een bewaartermijn voor het filteren van de data in te stellen. Daarop besloot EDPS om in januari in te grijpen. Europol kreeg voortaan zes maanden de tijd om ontvangen datasets te filteren en moet het alle al ontvangen ongefilterde datasets ouder dan zes maanden vernietigen.

Brussel heeft echter besloten om de verordening aan te passen, waardoor Europol in bepaalde gevallen wel grote datasets mag verwerken. Dat leidt volgens de privacytoezichthouder tot een aanzienlijke toename van de hoeveelheid persoonlijke data die de opsporingsdienst opslaat en verwerkt. Dit heeft tot gevolg dat data van niet-verdachte personen op dezelfde manier zal worden verwerkt als die van personen die wel verdacht zijn.

De EDPS betreurt dat de uitbreiding van Europols mandaat niet gecompenseerd is met sterkere databeschermingsmaatregelen. Daarnaast hebben EU-lidstaten met terugwerkende kracht de mogelijkheid om eerder gedeelde datasets te autoriseren. De EDPS heeft naar eigen zeggen grote twijfels over de rechtsgeldigheid van deze retroactieve autorisatie. De aangepaste verordening zorgt er dan ook voor dat Europol de datasets die het van de Europese privacytoezichthouder moest vernietigen niet hoeft te vernietigen en wordt dinsdag 28 juni van kracht.

Alles bij de bron; Security


 

Online webshop CafePress betaalt voor het verzwijgen van een groot datalek waarbij privégegevens van meer dan 23 miljoen gebruikers werden gestolen een bedrag van 500.000 dollar. Dat heeft de Amerikaanse toezichthouder FTC bepaald. 

Volgens de FTC wist een aanvaller in februari 2019 misbruik te maken van een kwetsbaarheid en kon zo e-mailadressen, namen, telefoonnummers, wachtwoordhashes, securityvragen en antwoorden en adresgegevens van 23,2 miljoen accounts buitmaken, alsmede 180.000 onversleutelde social-securitynummers en tienduizenden gedeeltelijke creditcardnummers en verloopdata. Sommige van de informatie werd vervolgens op internet te koop aangeboden.

Een maand nadat CafePress was gewaarschuwd voor de kwetsbaarheid en dat aanvallers klantgegevens hadden buitgemaakt werd het beveiligingslek pas verholpen. Pas in september 2019, een maand nadat het datalek breed in de media was gekomen, kwam CafePress met een waarschuwing aan klanten. Volgens de FTC zorgden de lakse beveiligingsmaatregelen van CafePrss ervoor dat klanten nog steeds risico liepen. Zo konden mensen hun wachtwoord resetten door de securityvragen te beantwoorden die bij de aanval waren buitgemaakt.

Alles bij de bron; Security


 

Minister Kuipers wil vol inzetten op de online persoonlijke gezondheidsomgeving (PGO) waar Nederlanders hun gezondheidsgegevens kunnen beheren, maar de animo om hier gebruik van te maken is laag. Dat blijkt uit een brief van de minister aan de Tweede Kamer.

Het gebruik van PGO's is echter laag. Uit onderzoek onder ruim duizend PGO-gebruikers blijkt dat een meerderheid niet met de persoonlijke gezondheidsomgeving wil doorgaan. Slechts een derde zegt het PGO in de toekomst te willen blijven gebruiken.

Kuipers benadrukt dat in het coalitieakkoord is opgenomen dat het einddoel een goed functionerend PGO is. Op dit moment zijn zorgaanbieders niet verplicht om gegevens voor een PGO toegankelijk te maken en hij gaat nu kijken of zorgaanbieders hiertoe verplicht kunnen worden.

Afsluitend stelt de minister dat hij de persoonlijke gezondheidsomgeving als een veelbelovend innovatief concept blijft zien waarmee Nederlanders in een door henzelf gekozen omgeving gezondheidsgegevens kunnen ophalen, bewaren en toevoegen. 

Alles bij de bron; Security


 

Commercieel databedrijf Medworq heeft jarenlang volledige medische dossiers bij huisartsen verzameld, meldt Follow the Money (FTM). Hiermee is de privacy van minimaal 72.000 patiënten en het medisch beroepsgeheim van zeker 35 huisartsen ernstig geschonden. De artsen en patiënten wisten van niets.

Medworq bewaarde volgens FTM de gegevens jarenlang ongeanonimiseerd op onveilige plekken. Een klokkenluider kaartte de privacyschending intern en extern aan. Toen dat niets opleverde, besloot hij de medische dossiers en interne documenten zelf mee te nemen.

De dossiers bevatten zeer privacygevoelige gegevens. De namen, burgerservicenummers en adresgegevens zijn gekoppeld aan fysieke kwalen maar ook zware persoonlijke problemen zoals huiselijk en seksueel geweld, en psychische klachten....

...FTM heeft de getroffen huisartsen benaderd en een factsheet en verdere informatie gegeven waarmee ze melding kunnen doen bij de Autoriteit Persoonsgegevens. De huisartsen informeren hun patiënten zelf, zo is afgesproken....

...Medworq verklaart dat de getroffen huisartspraktijken meteen geïnformeerd zijn nadat de ex-medewerker de dossiers had meegenomen.

FTM zegt dat uit navraag blijkt dat dit niet klopt: geen enkele huisarts of praktijk is over het lek ingelicht. Uit interne documenten zou blijken dat Medworq al eerder bewust een datalek bij huisartsen in stand liet.

Alles bij de bron; NOS


 

Nederlandse en Belgische bedrijven die persoonsgegevens uitwisselen met bedrijven in het Verenigd Koninkrijk (VK), wacht een onzekere toekomst. De plannen van de Britse regering om de bestaande privacywetgeving te veranderen, krijgen mogelijk gevolgen voor de doorgifte van persoonsgegevens naar het VK.

Het plan is onder meer om de privacywetgeving minder omslachtig te maken: allerlei administratieve lasten en overbodig papierwerk moeten verdwijnen.

De zogeheten Data Reform Bill zou het voor Britse bedrijven en wetenschappelijke instellingen gemakkelijker maken persoonsgegevens te ontsluiten. De regels rond onderzoek worden vereenvoudigd. Ook wordt gedacht aan ‘smart data schemes’ waarmee het mkb en particulieren hun persoonsgegevens beter kunnen beheren.

De administratieve lastendruk neemt toe als Nederlandse en Belgische bedrijven die persoonsgegevens uitwisselen met het VK, extra controles moeten doen. ‘Hoewel er nog veel onduidelijkheid bestaat over de implicaties van de Data Reform Bill, komt het huidige adequaatheidsbesluit mogelijk op losse schroeven te staan.’ Als zo’n besluit ontbreekt, wordt het lastiger om persoonsgegevens naar het VK te sturen en daar verwerkingen te doen. 'Dan kan een soortgelijke situatie ontstaan zoals nu met de Verenigde Staten.' aldus Anne Zwierstra, adviseur bij een informatiebeveiligings- en privacybedrijf uit Warmond.

De verwachting is dat de Data Reform Bill rond de zomer van 2023 in werking treedt. De Europese Commissie moet dan oordelen of de aanpassingen inderdaad voldoende aansluiten op de GDPR, zoals de Britten stellen. De vraag is wanneer de Commissie dat doet. ‘Ze kan wachten tot eind juni 2025 wanneer het adequaatheidsbesluit automatisch afloopt. Maar de Commissie kan in de Britse aanpassingen ook aanleiding zien het oordeel te vervroegen.’ 

Lastig wordt het voor betrokken bedrijven als de Commissie meer tijd nodig heeft na juni 2025. ‘Dan is er niks meer’, stelt Van der Wolk. Als er geen adequaatheidsbesluit is, kun je data niet zomaar naar het VK doorgeven. 

Alles bij de bron; Computable


 

Gelre ziekenhuizen is begonnen met het verplaatsen van het Elektronisch Patiëntendossier naar de Microsoft Azure-cloud. Deze migratie is onderdeel van een omvangrijk transitieproject want Gelre heeft de strategische keuze gemaakt om het grootste deel van de IT-infrastructuur naar de cloud te verhuizen. 

Sinds 2020 is Gelre al bezig met het versnellen van de cloudstrategie. Het streven naar meer schaalbaarheid, flexibiliteit van de IT-omgeving en lagere kosten zijn hierbij belangrijke overwegingen. Met de migratie naar de cloud ontstaat meer grip op de beheeromgeving en technologie wordt eenvoudig schaalbaar. Belangrijk is ook dat cybersecurity in de cloud in het algemeen goed kan worden gewaarborgd. Dat is óók voor veel organisaties, zeker zorgorganisaties met gevoelige data,  een belangrijke overweging om in de cloud te opereren.

Arnold Groot Koerkamp is Service Level Manager bij Gelre en licht toe: “Ons beleid is nu om zoveel mogelijk Software as a Service (SaaS) af te nemen zodat beheer, updates en veiligheid geborgd zijn. Als dit niet mogelijk blijkt, kijken we naar de mogelijkheid om dit met Azure in onze cloud onder te brengen. 

Het Elektronisch Patiëntendossier (EPD) is een belangrijk onderdeel van de migratie naar de cloud. Gelre is het eerste ziekenhuis in Europa dat een EPD naar Azure Cloud wil migreren. Veel ziekenhuizen wereldwijd, maar ook de EPD-softwareleverancier, kijken daarom mee.

Alles bij de bron; ICT&Health


 

Nederland kent ongeveer 23.000 boa’s die via honderden publieke en private werkgevers in zes domeinen werken. Het gaat onder andere om gemeentelijke handhavers, boswachters, leerplichtambtenaren, sociaal rechercheurs en ov-boa’s: conducteurs in de trams, treinen en bussen. Wanneer een boa op straat bij een overtreding een boete wil uitschrijven, moet hij de identiteit van de overtreder kunnen vaststellen.

Wanneer de persoon in kwestie geen identiteitsbewijs bij zich heeft, moet nu de politie erbij komen om de identiteit vast te stellen. Om ervoor te zorgen dat boa’s dit zelfstandig kunnen doen krijgen zij toegang tot het rijbewijzenregister van de Dienst Wegverkeer (RDW). Dit moet ervoor zorgen dat gemeentelijke handhavers, publieke groene boa’s en ov-boa’s naar verwachting in de loop van 2023 zelfstandig de identiteit van een persoon kunnen vaststellen.

Dat laat minister Yesilgöz van Justitie en Veiligheid weten in de meerjarige beleidsagenda boa’s die aan de Tweede Kamer heeft aangeboden.

Alles bij de bron; Security


 

Instagram komt met een controversieel plan voor het gebruik van kunstmatige intelligentie. Als je je leeftijd wil verifiëren binnen het social medium, dan moet je nu een gezichtsscan laten maken waarbij kunstmatige intelligentie bepaalt hoe oud je bent.

Het is vooral bij kinderen belangrijk dat er wordt gecheckt hoe oud ze zijn, want onder de 13 jaar mag je Instagram niet gebruiken. Instagram maakt voor deze check gebruik van een bedrijf genaamd Yoti, dat AI ontwikkelde om door middel van een gezichtsscan te checken hoe oud je bent. 

Alleen is het de vraag of het publiek dit wel ziet zitten. Veel mensen vrezen voor hun privacy als steeds meer bedrijven een gezichtsscan maken en dus heel belangrijke biometrische gegevens in handen kunnen hebben. Een wachtwoord met nummers of letters kun je veranderen, je gezicht verander je iets minder makkelijk, naast dat je je moet afvragen of je dat ooit zou willen.

Aan de andere kant is Yoti wel een vertrouwde leverancier: in Duitsland en het Verenigd Koninkrijk wordt gebruikgemaakt van deze technologie door overheden. De AI kan zien hoe oud je bent aan bepaalde signalen, al is het onduidelijk welke signalen dit zijn.

Natuurlijk kan dit systeem ook omzeild worden maar Instagram heeft ook zo zijn maniertjes om dingen te checken. Via een systeem checkt het bijvoorbeeld de verjaardagsberichten van gebruikers en de leeftijd van mensen waarmee ze veel interactie hebben. Kortom, het arsenaal aan controlerende wapens is flink. Alleen moet je daarmee dus ook iets opgeven dat veel mensen veel te waardevol vinden voor slechts een social medium.

Alles bij de bron; DutchCowboys


 

Subcategorieën

Schrijf je in op onze wekelijkse nieuwsbrief!

 

WeHebbenHetGeweten

SteunVrijbit

PTBanner  

PrivacyGuides

BvV

meldpunt misbruik identificatieplicht

BoF2019

Privacy Barometer

Liga voor mensenrechten

EP GegBesch 150

EP PNR 150

STT Logo

150PF150

 150PB150

150FHD150

150PMIO150

 150 QiY150

logo-IDnext

ikhebniksteverbergen