Het bedrijf Formdesk wist van het beveiligingslek in de Infectieradar die het bedrijf ontwikkelde voor het RIVM, liet minister de Jonge dinsdag aan de Tweede Kamer weten. In een reactie zegt het bedrijf "werkelijk geen idee" te hebben waar de minister dit op baseert.
Zaterdag werd bekend dat de Infectieradar, waarmee mensen hun ziekteverschijnselen rond het coronavirus kunnen doorgeven aan het RIVM, een lek bevatte. Door het webadres aan te passen, kon iemand inzicht krijgen in de gegevens die een ander had ingevuld.
"Bij het ontwikkelen van die site zijn juist wel veiligheidschecks gedaan, waarbij ook dit (specifieke lek, red.) als een van de veiligheidsrisico's in beeld is gekomen", zei De Jonge over wat er op dit moment over het lek bekend is. "Vervolgens is daar ook een oplossing voor aangedragen die Formdesk moest doorvoeren. Deels is dat overgenomen en deels niet", aldus De Jonge. "Zo gaan de dingen soms. Menselijke fouten zijn menselijk."
Marco Beuk van Formdesk laat in een reactie weten verbaasd te zijn over het verhaal van De Jonge. Volgens hem is de kwetsbaarheid niet eerder aan het licht gekomen en dus ook niet aan Formdesk teruggekoppeld. "Ik heb werkelijk geen idee waar de minister het over heeft", zegt hij over de verklaring van de minister.
De onderzoeker en de journalist die het lek hebben ontdekt en gemeld hadden toegang tot de formulieren van 49 personen. Deze mensen zijn daarvan op de hoogte gesteld.
Alles bij de bron; NU
Het Ministerie van Volksgezondheid ontwikkelt een app die het je moet gaan vertellen als je recent in de buurt van iemand bent geweest die met het corona-virus besmet blijkt te zijn. De "slimme digitale oplossing" is bedoeld om iets toe te voegen aan het proces van contactonderzoek van de GGD.
Een voorwaarde (dat is overigens iets anders dan een garantie) voor effectiviteit is dat een groot deel van de bevolking de app gebruikt. Dat is ambitieus, en hooguit haalbaar als gebruikers er op kunnen vertrouwen dat de app ook echt alleen voor dat ene doel gebruikt wordt. De minister moet ons dus beschermen tegen private bedrijven en andere overheidsinstanties die de app, om andere redenen, ook wel zien zitten.
Zo wilden de "slimme koppen" van het horecanetwerk HorecaBrains eerder al dat "straks iedereen die een café, club of andere nachthorecagelegenheid bezoekt verplicht [moet worden] om van een corona-app gebruik te maken". De app zou "niet voor iedereen verplicht [moeten zijn], maar wel voor diegene die gebruik willen maken de horeca."
Ook de opsporings- en geheime diensten bedenken nu al wat zij aan zo'n app kunnen hebben. Zo organiseerde Interpol een paar weken geleden een sessie rond de vraag "hoe apps voor het traceren van contacten het politiewerk in de toekomst zullen veranderen." (De Nederlandse politie nam geen deel aan de sessie, vertelden ze ons.) Gek is dat niet: als telefoons bij gaan houden welke andere telefoons recent in de buurt waren, dan kan dat waardevolle informatie in een opsporingsonderzoek zijn. En alleen al het aantal identifiers van andere telefoons in de jouwe kan een aanwijzing zijn van hoe goed je je aan een opdracht tot thuisquarantaine hebt gehouden. Leuk voor de handhaving.
Wij pleiten er daarom voor dat er een wet komt die elk ander gebruik van de app verbied. De app, en de geregistreerde gegevens, zouden alleen voor het contactonderzoek door de GGD gebruikt mogen worden. Elk ander gebruik zou strafbaar moeten zijn. Zo mag het gebruik van de app geen voorwaarde zijn om een terrasje te pakken, bepaalde zorg te krijgen of om van het openbaar vervoer gebruik te maken. Ook het gebruik in machtsrelaties moet verboden zijn. Een werkgever mag het gebruik niet vereisen van zijn werknemers, een onderwijsinstelling niet van haar scholieren of studenten. En ook niet onbelangrijk: het gebruik door opsporings- en geheime diensten van de gegevens die door deze app worden verzameld zou voorkomen moeten worden. Als de minister een app succesvol wil inzetten in de strijd tegen het coronavirus, dan kan dat alleen als burgers de app kunnen vertrouwen.
Alles bij de bron; Bits-of-Freedom
IRMA is een authenticatieapp waarmee Nederlanders op een privacyvriendelijke manieren kunnen inloggen bij bijvoorbeeld overheidsdiensten, maar ook bij commerciële bedrijven.
Gebruikers voeren in de app informatie in over hun adres of leeftijd. Als ze vervolgens moeten inloggen bij een dienst die de woonplaats of leeftijd wil verifiëren kan dat met IRMA. De app bevestigt dan alleen of de benodigde informatie klopt, of een gebruiker bijvoorbeeld inderdaad woont waar hij zegt of ouder dan 18 is. Zo krijgt de dienst niet meer informatie dan strikt noodzakelijk.
De app krijgt met name een nieuw uiterlijk, schrijven de makers wat moet zorgen voor 'duidelijkere en intuïtievere gebruikerservaring'. Onder andere het toevoegen van nieuwe identificatiemethodes is makkelijker geworden, en bij de menu's om dat te doen staat meer uitleg.
De ontwikkelaars van de app, SIDN en Privacy By Design, hebben meerdere gebruikersonderzoeken laten doen naar de app. Bij de onderzoeken moesten gebruikers de app op hun telefoon installeren en er bepaalde handelingen mee doen zoals een digitale authenticatie invoeren. Ook werden er praktische tests gedaan om te zien of gebruikers de app makkelijk wisten in te zetten.
Alles bij de bron; Tweakers
De NOvA zegt zich zorgen te maken over de zorgvuldigheid en de kwaliteit van de wetgeving, ‘Het wetsvoorstel maakt het mogelijk te veel en te ver gaande beperkingen van bewegings- en vergadervrijheden voor een onbepaalde periode normaal te maken; beperkingen die niet normaal zijn en ook niet behoren te zijn in een democratische samenleving.’
De NOvA wijst erop dat het niet nodig is de inperking van grondrechten en vrijheden via een tijdelijke wet te regelen. ‘Regels met betrekking tot afstand en ook groepsvorming buiten evenementen zouden er evenwel niet moeten komen, zeker niet als daarmee inbreuk wordt gemaakt op de grondrechten van vergadering en het huisrecht.’
De NOvA is ook niet gerust op het tijdelijk karakter van de beoogde wet. Hoewel de werkingsduur één jaar is, kan de wet en daarmee de inperking van grondrechten eenvoudig worden verlengd. Ook ten aanzien van de handhaving en het opleggen van sancties heeft de orde fundamentele kritiek. Omdat de regels zo onduidelijk zijn, ligt willekeur op de loer.
Lees hier het volledige advies
Alles bij de bron; Advocatenblad
Alleen in Nederland al zijn tientallen collecties met lichaamsmateriaal van patiënten. Nederlandse ziekenhuizen en laboratoria bewaren miljoenen monsters ‘resterend lichaamsmateriaal’. Als artsen bloed afnemen, een uitstrijkje maken of een tumor verwijderen, mogen ze materiaal dat overblijft na onderzoek of behandeling bewaren voor toekomstig wetenschappelijk onderzoek. “Patiënten hoeven niets extra’s te doen”, schrijven de samenwerkende Nederlandse biobanken optimistisch op hun website.
Nee, inderdaad en daar gaat het mis. Materiaal willen verzamelen voor toekomstig onderzoek is begrijpelijk, maar nu gebeurt dat grotendeels buiten de patiënt om.
Patiënten mogen bezwaar maken, maar dan moeten ze wel weten dat het materiaal verzameld wordt en dat is nu vaak niet zo. Veel ziekenhuizen zetten het weliswaar netjes in hun patiëntenfolders, maar meestal wel pas op de laatste bladzijde. Bovendien hebben patiënten vlak voor een onderzoek of operatie zoveel aan hun hoofd dat de inhoud van die pagina, als ze hem al lezen, niet altijd tot ze doordringt.
Drie jaar geleden kwam toenmalig minister Schippers met een wetsvoorstel om mensen meer zeggenschap te geven over hun lichaamsmateriaal. Uitstekend idee, jammer dat ze in diezelfde wet ook wilde regelen dat justitie medisch restmateriaal mocht gebruiken voor DNA-onderzoek bij opsporing van verdachten.
Daar kwam veel kritiek op, terecht natuurlijk, en daar schrokken ze op het ministerie zo van, dat haar opvolger zich, zo liet hij vorig jaar aan de Kamer weten, nog altijd beraadt op hoe het verder moet.
Ziekenhuizen hoeven daar niet op te wachten. Niets verbiedt ze om patiënten nu al expliciet om toestemming te vragen. Een handvol ziekenhuizen doet dat al, het zou mooi zijn als de rest dat voorbeeld volgt.
Alles bij de bron; Trouw
De Infectieradar van het RIVM, waar Nederlanders aan kunnen geven of ze last hebben van coronaklachten, bevatte een ernstig datalek. Dat blijkt zaterdag uit onderzoek van de NOS in samenwerking met beveiligingsonderzoeker Tom Wolters. Het RIVM heeft de database uit de lucht gehaald.
Volgens de NOS kon "iedereen met enige technische vaardigheid tot vanmorgen zien wat andere deelnemers antwoordden op persoonlijke en medische vragen".
Deelnemers aan de Infectieradar vullen wekelijks een formulier in waarbij ze aangeven welke klachten ze hebben. Hiermee kan het RIVM volgen hoe gezondheidsklachten verspreid zijn in Nederland en hoe zich dat ontwikkelt in de tijd.
Deelnemers aan de Infectieradar krijgen een uniek nummer toegewezen. Bij het invullen van het formulier was dat nummer te zien in de adresbalk. Wie het nummer veranderde, kreeg een formulier te zien van een andere deelnemer. Onder meer e-mailadres, geboortejaar en postcodecijfers waren dan zichtbaar.
Het lek bestond al sinds de introductie van Infectieradar op 17 maart.
Alles bij de bron; NU
Bedrijven die software leveren voor het monitoren van werknemers op afstand, zien de vraag naar hun product groeien. „Werkgevers proberen terug te krijgen wat ze door de coronacrisis verloren zijn.”
De coronacrisis kent een aantal opmerkelijke winnaars. Zoals de techbedrijven die software leveren om thuiswerkers te monitoren. Nu werkgevers fysiek geen zicht meer op medewerkers hebben, zien bedrijven die software voor employee monitoring leveren, hun verkoopcijfers stijgen. Dit soort programma’s, van bedrijven als WorkExaminer, Teramind, Hubstaff of Interguard, maken inzichtelijk wanneer werknemers inloggen, hoeveel ze werken en ook wát ze op hun computer doen.
Interguard topman Brad Miller laat telefonisch vanuit de Amerikaanse plaats Westport weten dat de vraag naar monitoringsoftware in Nederland is verdrievoudigd sinds het uitbreken van de coronacrisis. Zijn klanten zijn divers. Ze zitten in de zakelijke dienstverlening en op hoofdkantoren van grote bedrijven. Gemeenschappelijk kenmerk: ze willen medewerkers die op een computer werken, kunnen volgen.
Met de software kunnen leidinggevenden computeractiviteit van werknemers op kantoor en op afstand monitoren, legt Miller uit. Het programma registreert wanneer en hoelang een pc of laptop aanstaat, en ook wát de gebruiker op het apparaat doet. Miller: „Wanneer iemand inlogt, wordt het systeem actief. De software maakt onderscheid tussen apps, programma’s en internetpagina’s. Die krijgen de labels ‘productief actief’ of ‘onproductief actief’.”
Bedrijven kunnen zelf aangeven welke programma’s en sites ‘productief’ en ‘niet-productief’ zijn. Een leidinggevende kan statistieken uit het systeem halen van de werktijden van personeel, productief én onproductief. Voor individuen kan een productiviteitsscore worden gemaakt. Gebaseerd op deze score kan de software zelfs een ranglijst maken.
Waarom kiezen bedrijven software van Interguard? De meeste werkgevers willen zeker weten dat hun personeel ook thuis productief is, zegt Miller. „Werkgevers proberen terug te krijgen wat ze door de coronacrisis verloren zijn. Op kantoor kan een leidinggevende zien wanneer iemand aankomt, weggaat en tussendoor af en toe een blik op de schermen van het personeel werpen.”
Alles bij de bron; NRC
Gegevens van mensen die tussen 2009 en 2017 een Porsche hebben gekocht zijn buitgemaakt bij de diefstal van een USB-stick. Dat bevestigt Pon nadat er naar gedupeerde klanten een mail is gestuurd. Een USB-stick met NAW-gegevens (inclusief telefoonnummer en/of mailadres) werd gestolen ’uit een beveiligde ruimte in een van onze kantoren’, zo schrijft het concern in een statement...
...ICT-advocaat bij Lawfox Wouter Dammers laat weten dat het niet uitzonderlijk is dat gevoelige data op usb-sticks wordt bewaard. „Erg handig vind ik dat niet”, laat hij weten. „Een USB-stick kan je makkelijk kwijtraken, zeker als de informatie die erop staat onversleuteld is, is dat niet ideaal. Zeker als het onversleuteld is, is dit niet handig.”
Alles bij de bron; Telegraaf