Het UWV heeft vorig jaar meer dan 600 datalekken aan de Autoriteit Persoonsgegevens gemeld. Een jaar eerder waren het er nog 342. Dat laat de instantie in het jaarverslag over 2019 weten. Vorig jaar ontving het UWV 1657 signalen over datalekken. Van deze datalekken waren er 606 "meldenswaardig" en werden aan de Autoriteit Persoonsgegevens gerapporteerd.
Vorig jaar kreeg de instantie met twee grote datalekken te maken. Bij het eerste datalek werden via het account van een werkgever op Werk.nl 117.000 unieke cv's gedownload. Daarop zijn alle gedupeerden en de AP ingelicht en het betreffende account geblokkeerd. Tevens zijn alle wachtwoorden van werkgevers gereset en oude accounts opgeschoond. Ook zijn de processen rond de monitoring verbeterd.
Bij het tweede grote datalek had een UWV-medewerker bij een uitnodigingsmail een bijlage toegevoegd met persoonsgegevens van 586 klanten. De mail werd naar 99 klanten gestuurd.
Ook de Sociale Verzekeringsbank (SVB) heeft vorig jaar meer datalekken bij de Autoriteit Persoonsgegevens gemeld. Werd er in 2018 nog 157 keer melding van een datalek bij de toezichthouder gemaakt, vorig jaar ging het om 512 datalekken. In de meeste gevallen ontstaan de datalekken bij het versturen van post. De SVB is verantwoordelijk voor de uitvoering van het AOW-pensioen, de kinderbijslag en enkele andere regelingen.
Na onderzoek door de Autoriteit Persoonsgegevens heeft de SVB de registratie van datalekken aangepast, zodat voortaan op een meer consequente wijze het soort datalekken en genomen maatregelen wordt bijgehouden. Tevens zijn er bewustwordingscampagnes onder medewerkers en leidinggevenden gehouden voor het voorkomen en rapporteren van datalekken bij de organisatie.
Van de 512 datalekken die de SVB vorig jaar bij de Autoriteit Persoonsgegevens meldde werden er 192 veroorzaakt bij het verzenden van de jaaropgaven. Het ging om een storing in een foutendetectiesysteem in de geautomatiseerde postverwerking bij de postverwerker van de SVB. Pas na de verzending werd ontdekt dat brieven gericht aan meerdere personen in één en dezelfde enveloppe terecht waren gekomen. Verder zorgden fouten in de adressering, meer brieven bij elkaar in één envelop bij handmatige verzendingen en het verwerken van stukken in verkeerde dossiers tot de nodige datalekken.
Beide instanties praten de toename goed met de motivatie 'het toegenomen bewustzijn onder medewerkers.' daarnaast claimt de SVB dat 'een stijgend privacy-bewustzijn van klanten ook leidt tot een toename van meldingen die de SVB ontvangt'
Alles bij de bron; Security [UWV] & Security [SVB]
De politie in Parijs moet per direct stoppen met het gebruik van drones bij het monitoren, of op afstand toespreken, van groepen mensen. Waar een lagere rechtbank nog akkoord ging met het inzetten van die drones bij crowd control, vindt het Hooggerechtshof nu dat de privacy van mensen op de grond te veel geschaad wordt. De drones waren voorzien van zoomlenzen en vlogen lager dan 80 meter en konden zo ‘een aanzienlijke hoeveelheid persoonsgegevens’ verzamelen...
...Als de drones gezichten, of kentekens of andere herleidbare zaken, kunnen blurren, dan mogen ze weer de lucht in. Burgerrechtenorganisaties spreken van een grote overwinning.
Alles bij de bron; CopsInCyberspace
De Belgische Gegevensbeschermingsautoriteit heeft een negatief oordeel geveld over een wetsvoorstel dat moet leiden tot een centrale databank. Die moet gebruikt worden voor grootschalig contactonderzoek om de verspreiding van het coronavirus in te dammen.
Het gaat om een gecentraliseerde databank bij de wetenschappelijke onderzoeksinstelling Sciensano. De privacytoezichthouder stelt vast dat de centralisatie en de gevoelige gezondheidsdata een aanzienlijke inbreuk maken op de bescherming van de persoonlijke levenssfeer...
...Volgens de toezichthouder voldoet het voorstel niet aan deze eisen van duidelijkheid. Ook wordt het doel van het verwerken van de data niet of niet expliciet genoeg omschreven in het wetsvoorstel. Zo stelt de privacywaakhond dat het op basis van de wettekst niet mogelijk is om te begrijpen welke data wordt verwerkt, wie deze verzamelt en wie er toegang toe heeft. Hiermee voldoet het voorstel volgens de instantie niet aan de AVG.
Alles bij de bron; Tweakers
In 2018 in aanloop naar Kerst publiceerde de verdachte via een soort adventskalender op Twitter links naar de gelekte gegevens. Onder meer e-mailadressen en een faxnummer van Angela Merkel werden gepubliceerd.
Onder alle gelekte gegevens bevonden zich volledige namen, geboortedata, woonadressen, telefoonnummers, IP-adressen, e-mailadressen, gegevens van familieleden (waaronder foto's van kinderen en scans van identiteitsdocumenten), declaraties, IBAN-gegevens, chatgesprekken en links naar Twitter-, Instagram- en Skype-profielen.
Alles bij de bron; NU
Een kwetsbaarheid in de verplichte corona-app van Qatar maakte het mogelijk om toegang tot gevoelige persoonlijke gegevens van meer dan één miljoen gebruikers te krijgen. Het ging onder andere om naam, nationaal identiteitsnummer, gezondheidsstatus en locatiegegevens, zo meldt Amnesty International op basis van eigen onderzoek.
Gegevens die de app verzamelt worden naar een centrale server van de overheid geüpload. Die gegevens waren echter voor iedereen op internet toegankelijk, aangezien er geen beveiligingsmaatregelen aanwezig waren om de data te beschermen, aldus Amnesty International. De Ehteraz-app laat via een qr-code de gezondheidsstatus van de gebruiker zien. De qr-code gebruikt een kleurensysteem om de gezondheid van de gebruiker aan te geven.
De qr-code wordt door de app bij de centrale server opgevraagd. Hiervoor maakt de app gebruik van het nationaal identiteitsnummer waarmee de gebruiker zich registreerde. Bij het opvragen van de qr-code vond er geen aanvullende authenticatie plaats. Hierdoor was het mogelijk voor een aanvaller om zich met een willekeurig identiteitsnummer te registreren en vervolgens de qr-code van de burger in kwestie op te vragen. Daar komt bij dat het nationaal identiteitsnummer van Qatar een consistent formaat volgt. Zodoende is het mogelijk om alle combinaties te genereren en daarmee de gegevens van de betreffende Ehteraz-gebruikers op te vragen die op de server waren verzameld.
Amnesty waarschuwde de autoriteiten in Qatar, waarna de namen en locatiegegevens uit de qr-code werden verwijderd.
Alles bij de bron; Security
Een Brits advocatenkantoor PGMBM heeft wegens een datalek een massaclaim tegen easyJet ingediend wat de luchtvaartmaatschappij miljarden euro's zou kunnen gaan kosten. Vorige week meldde easyJet dat het slachtoffer van een aanval was geworden en de gegevens van negen miljoen klanten waren gestolen.
Het gaat om e-mailadressen en reisgegevens, waaronder naam, vertrek-, aankomst- en reserveringdata. Van 2200 klanten werden ook de creditcardgegevens gestolen. Onder de negen miljoen slachtoffers bevinden zich ook 200.000 Nederlanders.
Volgens PGMBM heeft easyJet vier maanden gewacht met het informeren van klanten. Daarnaast gaat het om gevoelige informatie die de aanvaller wisten buit te maken. "Met name het lekken van de persoonlijke reispatronen kan een beveiligingsrisico voor individuen vormen en is een grove schending van de privacy", aldus het advocatenkantoor.
Alles bij de bron; Security
De Chinese stad Hangzhou wil een permanente versie ontwikkelen van de gezondheidsapp die in China wordt ingezet om het coronavirus te monitoren.
De autoriteiten hebben aangekondigd dat ze gaan proberen een bredere versie van de app te lanceren, waarbij burgers naast de kleurcode ook een gezondheidsscore van tussen de 0 en de 100 krijgen op basis van onder meer medische dossiers, fysieke testresultaten en andere levensstijlkeuzes zoals roken. Deze gezondheidsscore zal geëmbed worden in de QR-code in de app. De aankondiging zorgde voor veel weerstand onder de Chinese bevolking.
Alles bij de bron; NU
Nieuwe banken zijn vaak onzorgvuldiger met online privacy dan banken die al langer meedraaien. Dat concludeert de Consumentenbond, die online bankieren bij dertien banken in Nederland onderwierp aan de Privacymeter.
Vier banken scoren matig tot slecht. Bij Revolut is volgens de Consumentenbond het meeste mis en deze bank krijgt dan ook een onvoldoende. Revolut deelt persoonsgegevens van klanten, zoals e-mailadres en telefoonnummer, met Facebook om via het platform te kunnen adverteren. Consumenten die dit niet willen, moeten een e-mail sturen. Daarnaast blijkt uit een analyse van het dataverkeer dat de app van Revolut zonder waarschuwing vooraf informatie deelt met marketingbureaus. Omdat het verkeer versleuteld is, is niet duidelijk om welke informatie het gaat. Ook de apps van de nieuwe banken Bunq en N26 communiceren met derde partijen, die het gedrag van appgebruikers nauwkeurig volgen.
Revolut, Bunq, N26 en Openbank krijgen bovendien minpunten omdat ze de mist in gaan met het plaatsen van advertentiecookies. Revolut en Bunq plaatsen die zonder de gebruiker om toestemming te vragen. N26 en Openbank vragen die toestemming wel, maar niet op de juiste manier.
De Privacymeter laat zien in welke mate bedrijven de privacywet (de AVG) respecteren en of ze gegevens niet onnodig met derde partijen delen. De Privacymeter maakte het voor consumenten makkelijker om te kiezen voor banken die goed omgaan met hun gegevens, aldus de Consumentenbond.
Alles bij de bron; BeveilNieuws