De Duitse staat verzamelt in de strijd tegen terreur en criminaliteit persoonlijke data van smartphone- en internetgebruikers. Maar volgens Duitse rechters mag dat niet op de manier zoals dat nu gaat. Het sleepnet druist in tegen de grondwet, zo heeft de hoogste Duitse rechtbank besloten.
De federale recherche en de binnenlandse veiligheidsdienst kunnen bijvoorbeeld namen, geboortedata en contractgegevens van klanten opvragen bij telecombedrijven. Ze hebben ook toegang tot de zogenoemde IP-adressen, die laten zien op welke sites iemand is geweest.
De rechters roepen de wetgever op betere regels op te stellen. Want zij vinden het in principe wel kunnen dat de staat over bepaalde gegevens beschikking krijgt, melden Duitse media. Tot de nieuwe wetgeving klaar is, mag de staat op de oude voet doorgaan.
Alles bij de bron; AGConnect
De afdeling Toeslagen van de Belastingdienst heeft jarenlang de wet overtreden doordat ze gegevens over een (dubbele) nationaliteit van de aanvragers van kinderopvangtoeslag gebruikte.
Deze verwerkingen waren “onrechtmatig, discriminerend en daarmee onbehoorlijk”, stelt de Autoriteit Persoonsgegevens (AP) in een onderzoek naar etnisch profileren door de Belastingdienst. Het gaat volgens de privacywaakhond om zware overtredingen van de privacywet.
De Belastingdienst had de gegevens over een dubbele nationaliteit al begin 2014 moeten wissen. Toch stonden in mei 2018 nog zeker 1,4 miljoen mensen met een dubbele nationaliteit in de systemen van de Belastingdienst geregistreerd.
Alles bij de bron; Trouw
Het Britse “Which?” heeft een studie gepubliceerd waaruit blijkt dat veel bestuurders (4 op 5) vergeten hun privégegevens uit het infotainmentsysteem van hun auto te verwijderen alvorens deze te verkopen.
Op de nieuwste generatie auto’s biedt dat een koper toegang tot telefoonnummers, adressen of nog erger: toegang tot een wifi-netwerk. Omgekeerd kan ook: een verkoper die de auto niet heeft gereset, kan de wagen blijven volgen via een applicatie of hem zelfs openen en aan de praat krijgen.
“Which?” kocht voor de gelegenheid een VW en een Ford infotainmentsysteem en liet dat onderzoeken door beveiligingsexperts. Het doel: de multimediasystemen hacken, wat snel lukte. Tal van persoonlijke gegevens kwamen vrij, wat de kwetsbaarheid van de informatiebescherming op dergelijke apparaten aantoont.
Alles bij de bron; Which [engelstalig]
Bij een aanval op 251 Amerikaanse politiewebsites zijn privégegevens van ruim 700.000 politie-accounts buitgemaakt, zoals adresgegevens, telefoonnummers en e-mailadressen. De inbraak op de politiesites kwam vorige maand al in het nieuws, maar website The Intercept heeft nu meer informatie over het datalek gegeven, dat de naam "BlueLeaks" kreeg.
De getroffen websites zijn van Amerikaanse politiekorpsen en fusion centers. Fusion centers zijn door de Amerikaanse overheid aangestuurde centra die politie-informatie verzamelen en onder andere instanties en opsporingsdiensten delen. Alle 251 gecompromitteerde websites waren ontwikkeld en gehost door hetzelfde bedrijf en draaiden allemaal hetzelfde contentmanagementsysteem (CMS). Mogelijk dat aanvallers via een kwetsbaarheid in het CMS toegang tot de data wisten te krijgen.
In totaal ging het om 269 gigabyte aan gegevens met meer dan 711.000 accounts die teruggaan tot 2007. De meeste personen die een account op deze websites hebben zijn politieagenten. Elk van deze accounts bevat de volledige naam, rang, politiekorps, e-mailadres, thuisadres, telefoonnummer, naam van leidinggevende, e-mailadres en ip-adres waarmee het account is aangemaakt.
Volgens The Intercept gaat het niet alleen om gegevens van politieagenten. Ook honderdduizenden pdf-bestanden en Microsoft Office-documenten, duizenden video's, miljoenen foto's, e-mails, omschrijvingen van vermeende misdrijven en hun locatie, interne onderzoeksresultaten, websitelogs en veel meer kregen de aanvallers in handen. De data werd vervolgens via een website en BitTorrent openbaar gemaakt. De server die de data aanbood is inmiddels door de Duitse autoriteiten in beslag genomen.
Alles bij de bron; Security
Eén account voor alle kranten en gratis nieuwssites. Handig om merkonafhankelijk te bladeren, verlost van ‘cookies’ van de vele onbekende reclamemakelaars. Eén keer inloggen voor de lezer en handig voor uitgevers en hun adverteerders: één account betekent één ruime verzameling persoonsgegevens die gedeeld kan worden met adverteerders. Binnen de grenzen van de Europese privacyregels. En vaak zonder cookies.
De uniforme inlog geeft de uitgevers naam, geslacht en leeftijd van hun bezoekers. Mandic: „Die komen in een gemeenschappelijke databank. Daaraan voegt elke uitgever voor zichzelf z’n data van bezoekersgedrag op zijn sites toe. En verkoopt zelf reclame.” Hij meent bovendien dat de privacy van gebruikers in betere handen is bij de Nederlandse bedrijven. „Persoonsgegevens worden nu op grote schaal ongezien verhandeld door internationale partijen, straks niet meer.”
Achter dit streven voor een gezamenlijke login zit nog een reden: het alternatief, de cookie, heeft z’n langste tijd gehad. In plaats van gebruikers te laten inloggen, brachten onlinemedia jarenlang hun bezoek in kaart met behulp van tekstbestandjes die (eerst heimelijk, later na toestemming) werden geplaatst op de pc of telefoon van de gebruiker.
Nu is er echter software om cookies en reclame te blokkeren (adblockers), er is nieuwe regelgeving en Google blokkeert bepaalde cookies in zijn populaire browser Chrome.
De cookie is nog geen verleden tijd. Britse uitgevers kiezen in The Ozone Project wel voor intensieve, gezamenlijke profilering met cookies en gezamenlijke verwerking van surfgegevens. En in Nederland is in 2018 NLprofiel opgetuigd. Bedrijven kunnen er reclame kopen gericht op allerlei doelgroepen en zestien ‘interesseprofielen’ zoals auto’s en reizen. Die kennis is opgebouwd via cookies. Binnen de regels van de privacywet, benadrukt interim-directeur Wouter Hulst van NLprofiel: „We doen dit niet door zo slinks mogelijk om te gaan met de regels.”
NRC Media, naast Mediahuis Nederland een andere tak van het overkoepelende Mediahuis, zal vooralsnog niet aansluiten bij de gezamenlijke login. Directeur Dominic Stas: „Als NRC voeren we de strategie om geen persoonsgegevens van bezoekers meer te verzamelen om met derden te delen. Daar zijn we gelukkig mee. Wij hebben voor adverteerders een aantrekkelijke, homogene doelgroep. En we zijn succesvol met deze afwijkende strategie. Maar voor de Nederlandse nieuwsmedia als geheel moeten mogelijk gezamenlijke stappen worden gezet.”
Alles bij de bron; NRC
Het Europees Hof heeft donderdag verklaard dat de Privacy Shield-overeenkomst met de Verenigde Staten ongeldig is. Dat betekent dat deze overeenkomst niet meer kan worden gebruikt om automatisch gegevens van Europeanen naar de VS te sturen. Het Privacy Shield was de opvolger van het eerder ongeldig verklaarde Safe Harbour-verdrag.
De regeling ging in juli 2016 van start nadat het Europees Hof het Safe Harbour-verdrag ongeldig had verklaard.
Het Privacy Shield beschermde gegevens van Europese burgers al meer dan het voorgaande verdrag, maar het is volgens het Hof nog niet voldoende. De data-uitwisseling met de VS wordt niet meteen geschrapt. Wel moet komende tijd een nieuw systeem worden bedacht om gegevens op een veilige manier uit te wisselen.
Het grootste bezwaar is dat niet kan worden ingezien welke gegevens er worden bewaard, zoals dat in Europa volgens de Algemene verordening gegevensbescherming (AVG) moet. Ook hebben Amerikaanse inlichtingendiensten meer toegang tot data van gebruikers.
Zogeheten modelcontractbepalingen blijven wel geldig. Dit zijn standaardvoorwaarden die door de EU en gegevensverwerkers zijn opgesteld en die aan de AVG voldoen. Als bedrijven zich aan deze voorwaarden houden, kunnen zij wel data blijven doorspelen aan de VS.
Alles bij de bron; NU
Het nieuwe wetsvoorstel Tijdelijke wet maatregelen Covid-19 van maandag 13 juli zou een verbetering worden van het eerdere wetsontwerp, beloofde minister Hugo de Jonge (VWS, CDA). Ik zie daar helaas niet zo veel van terug. Integendeel: de minister van VWS wordt zowat alleen kapitein van Nederland, voor een duur van zes maanden, een termijn die bij een virusuitbraak telkens met drie maanden kan worden verlengd. De Tweede Kamer mag alleen toekijken...
...Het grote probleem van dit nieuwe wetsvoorstel is dat het een machtigingswet is die een minister de volledige ruimte geeft met eigen, haast zelfstandig vastgestelde regelingen vergaande beperkingen aan het gedrag van burgers op te leggen.
Beperkingen waarover het parlement inhoudelijk niet mee kan praten, en die ook niet geamendeerd, verbeterd, kunnen worden. Het recht van amendement is een grondwettelijk recht van het parlement als het gaat om belangrijke vrijheidsbeperkende maatregelen.
Een ontwerpregeling toesturen aan het parlement, een week voordat die in werking treedt – zoals dit wetsvoorstel wil – zorgt ervoor dat de Tweede Kamer het nakijken heeft. Zelfs al zou de Kamer een motie aannemen om een ministeriële coronamaatregel tegen te houden of aan te passen, dan hoeft de minister zich daar niets van aan te trekken.
Dit wetsvoorstel zegt dat hij zijn maatregel toch door kan zetten – een week na toezending aan de Kamers mag hij zijn regels in werking laten treden. Die zijn dan rechtsgeldig, ze verbinden, er kunnen boetes worden uitgedeeld. Daar kunnen de Kamers helemaal niets aan doen. Het wetsvoorstel komt neer op een vorm van decretenbestuur.
En het is de regering die beslist of en wanneer dit hele draconische noodstelsel in werking treedt. Zelfs na zes maanden kan die beslissen dat een nieuwe periode van noodbestuur nodig is die weer drie maanden (met verlengingsmogelijkheid) zou kunnen gaan duren.
Deze wet is vooral een cosmetische verandering ten opzichte van het eerdere ontwerp en probeert – hier en daar een beetje doorzichtig – via verhullende termen de zaak te maskeren: een artikel dat over de mogelijkheid tot sluiting van publieke plaatsen gaat heeft ineens als titel ‘Openstelling van publieke plaatsen’.
Hoe het beter zou kunnen? Heel eenvoudig. De Tweede Kamer zou in deze Covid-19-machtigingswet een bekrachtigingsrecht moeten krijgen. Ministeriële regelingen, waarvan het ontwerp wordt toegestuurd aan de Kamers, moeten worden goedgekeurd door de Tweede Kamer. Dat is een stelsel dat we allang kennen. Niemand betwijfelt het nut of de noodzaak om met noodmaatregelen snel tegen epidemieën op te kunnen treden, maar dit wetsvoorstel gaat té ver en plaatst ons voor een faustiaans dilemma. En dat moeten we niet willen: onze democratisch rechtsstatelijke ziel is niet, nooit, te koop.
Alles bij de bron; NRC
Banken willen makkelijker gebruik kunnen maken van biometrische gegevens en vragen het kabinet om dit in het wetsvoorstel Verzamelwet Gegevensbescherming duidelijk te vermelden. Het wetsvoorstel zal wijzigingen aan de Uitvoeringswet AVG (UAVG) doorvoeren.
Nu de UAVG al enige tijd in gebruik is wilde minister Dekker de wet op bepaalde punten aanpassen, waaronder de tekst over het gebruik van biometrische gegevens.
Zo verbiedt de UAVG het verwerken van biometrische gegevens, tenzij dit noodzakelijk is om iemand voor authenticatie of beveiligingsdoeleinden te identificeren. In de tekst van de UAVG staat het zwaarwegend algemeen belang waarvoor een uitzondering in de verwerking van biometrische gegevens mag worden gemaakt niet vermeld, tot onvrede van de Europese Commissie...
...Via Internetconsultatie.nl kon op het voorstel worden gereageerd. De Nederlandse Vereniging van Banken (NVB), die de belangen van banken behartigt, diende ook een reactie in. Daarin vragen de banken om duidelijk in de Toelichting van het wetsvoorstel te vermelden dat er ruimte is voor banken om makkelijker gebruik te maken van biometrische gegevens. Het gebruik van biometrische gegevens, zoals gezichtsherkenning ter identificatie, zou het doen van bankzaken voor bankklanten moeten vereenvoudigen en helpen bij tegengaan van fraude en witwassen.
"Bij de opsomming van doeleinden in het wetsvoorstel staan "diensten" genoemd. Het zou de duidelijkheid ten goede komen als in de Memorie van Toelichting nader toegelicht wordt dat financiële diensten daar tevens worden inbegrepen", aldus de NVB in de reactie op het wetsvoorstel (pdf).
Alles bij de bron; Security