De Europese Commissie kwam onlangs met een voorstel voor een verordening omtrent de euro als wettig betaalmiddel. Een acceptatieplicht voor contant geld is hiervan onderdeel. Het wetsvoorstel is onder meer bedoeld om meer duidelijkheid te geven over het begrip 'wettig betaalmiddel', en duidelijker vast te leggen dat eurobankbiljetten en -munten daaronder vallen.
Van Weyenberg pleit voor een brede acceptatieplicht van content geld, maar wel met voldoende mogelijkheden voor nationale uitzonderingen. Hij wijst daarbij onder meer op de mogelijkheid contante betalingen te weigeren met het oog op de veiligheid.
Alles bij de bron; Dutch-IT-Channel
Microsoft kan niet garanderen dat data van de Britse politie die is opgeslagen in Azure-omgevingen binnen het Verenigd Koninkrijk blijft, ook al maakt nationale wetgeving dat verplicht. Dat blijkt uit correspondentie tussen het bedrijf en de Schotse politie.
De politiediensten in Schotland testen momenteel een nieuw systeem, de Digital Evidence Sharing Capability (DESC), wat het delen van informatie en bewijsmateriaal tussen verschillende diensten moet vereenvoudigen. Die data wordt in Azure opgeslagen en moet binnen de grenzen van het VK blijven.
Microsoft verstuurt data die is opgeslagen op zijn publieke hyperscaler-platform echter geregeld heen en weer tussen verschillende datacenters, ook buiten het Verenigd Koninkrijk (VK). Dit zou zelfs ‘inherent’ zijn aan de architectuur van Azure, meldt Microsoft in de correspondentie met de politie van Schotland.
De info kwam boven water naar aanleiding van een beroep op de Freedom of Information Act, de Britse variant van een woo-verzoek. Het Britse IT-magazine Computer Weekly berichtte er vervolgens over.
Doordat de data ook naar andere plekken buiten het VK ‘reist’, voldoen de politiediensten niet aan een onderdeel van de zogeheten Data Protection Act aldaar die stelt dat data van wetshandhavers soeverein moet blijven. Overigens heeft Microsoft wel aanpassingen gemaakt die ervoor zorgen dat de DESC-data het land niet verlaat, maar heeft het dit volgens de berichten niet voor andere diensten gedaan omdat het bedrijf ‘hier niet om was gevraagd’. Ook zou het bedrijf hiertoe contractueel niet verplicht zijn.
In een reactie stelt Microsoft dat het de vereisten voor data residency en -bescherming serieus neemt, maar geen contractuele toezeggingen heeft gedaan die veranderen hoe Azure-services al werken. Het bedrijf zegt min of meer dat het de politiedienst heeft uitgelegd hoe Azure werkt en dat het op basis van die uitleg kan bepalen of ze het platform kunnen blijven gebruiken om aan wetgeving te voldoen.
Alles bij de bron; TechZine
Gezichtsherkenningsbedrijf Clearview AI heeft een privacyzaak in de Amerikaanse staat Illinois geschikt met aandelen voor de eisers. Het bedrijf is naar eigen zeggen financieel niet in staat om een bedrag in dollars te betalen.
Clearview beschikt over een systeem met dertig miljard afbeeldingen van gezichten. Daarmee kunnen politiediensten onbekende verdachten herkennen. Meer dan zeshonderd Amerikaanse politie- en opsporingsdiensten zouden van Clearview gebruik hebben gemaakt.
Het bedrijf wil de database uitbreiden naar honderd miljard gezichtsafbeeldingen, wat neerkomt op veertien foto's voor elk persoon op aarde. Volgens de Clearview-ceo hebben politiediensten het systeem één miljoen keer gebruikt.
Sejal Zota, een advocaat die mensen bijstaat in een rechtszaak tegen Clearview AI in de staat Californië, betreurt de uitspraak, zo laat hij tegenover persbureau AP weten. "Het legitimeert Clearview. Het lost de oorzaak van het probleem niet op. Clearview mag blijven doorgaan met het verzamelen en verkopen van mensen hun gezichten zonder hun toestemming, en die te gebruiken voor het trainen van AI-technologie."
Alles bij de bron; Security
Bij een cyberaanval op een dochterbedrijf van het Duitse DZ Bank zijn mogelijk persoonsgegevens van tienduizenden klanten gestolen. Het gaat specifiek om beleggers die klant zijn bij de vastgoeddochter van DZ Bank.
De Rheinische Post meldt dat de aanvallers toegang hebben weten te krijgen tot adresgegevens, geboortedata, belegde bedrage, btw-nummers en correspondentie met klanten.
Alles bij de bron; Dutch-IT-Channel
Levi Strauss heeft accounts van meer dan 72.000 gebruikers gereset wegens een credential stuffing-aanval. Aanvallers wisten met inloggegevens die bij andere websites waren gestolen in te loggen op de accounts. De aanval vond op 13 juni plaats.
"Onze securitydetectietools functioneerden naar behoren in dit geval en we wisten de aanval snel te identificeren en blokkeren", aldjus Levi Strauss. Het bedrijf zegt dat het van alle accounts waar gedurende de aanval op werd ingelogd de wachtwoorden heeft gereset.
Doordat de aanvallers toegang kregen tot de accounts van gebruikers hebben ze mogelijk ook gegevens van deze gebruikers ingezien, aldus de datalekmelding. Het gaat om informatie zoals bestelgeschiedenis, naam, e-mailadres, adresgegevens en de laatste vier cijfers van het creditcardnummer als die waren opgeslagen.
Alles bij de bron; Security
De gegevens van 60.000 Nederlanders met een studieschuld waren online zichtbaar door een fout van DUO. Analysesoftware waar DUO gebruik van maakt bleek niet goed te zijn beveiligd. Het datalek is ontdekt door een ethische hacker.
De fout is ontstaan rond een enquete die DUO op 30 mei verstuurden naar mensen die hun studieschuld terugbetalen. De resultaten analyseert DUO met behulp van software die echter niet goed beveiligd bleek te zijn waardoor de ethische hacker de e-mailadressen van de 60.000 deelnemers kon zien.
Zowel DUO als de softwareleverancier onderzoeken het lek. Ook is het lek door DUO gemeld bij de Autoriteit Persoonsgegevens.
Alles bij de bron; Dutch-IT-Channel
....uitvoeren van de motie van het lid Joseph c.s.
De door uw Kamer aangenomen (nader gewijzigde) motie bevat drie verzoeken aan de regering. Deze verzoeken zijn:
1. verzoekt de regering ervoor te zorgen dat de NZa de nu al verzamelde HoNOS+-data vernietigt;
2. verzoekt de regering ervoor te zorgen dat de NZa niet opnieuw overgaat tot de uitvraag van de HoNOS+ vragenlijsten
3. verzoekt de regering voorts ervoor te zorgen dat de NZa voor de voorspelling van de ggz kosten voortaan slechts gebruik maakt van geaggregeerde data en geen data op persoonsniveau.
Uitvoering verzoek 1
‘Het vernietigen van de nu al verzamelde HoNOS+-data’ Eerder heb ik aangegeven dat tussen 1 juli 2023 en 1 december 2023 de NZa een éénmalige data-uitvraag heeft gedaan bij ggz zorgaanbieders van de HoNOS+ vragenlijsten over de periode 1 juli 2022 tot en met 30 juni 2023.
Het ging om gepseudonimiseerde gegevens waarin geen tot personen herleidbare identificeerbare gegevens zitten zoals naam, Burgerservicenummer, geboortedatum, geslacht, woonplaats en postcode, informatie met data van de verblijfsdagen, zorgtrajectnummer en datum en type consult.3 Uiterlijk eind december 2025 vernietigt de NZa deze gegevens.
Uitvoering verzoek 2 ‘Het niet op nieuw overgaan tot de uitvraag van de HoNOS+-vragenlijsten' en verzoek 3 ‘Voor de voorspelling van de ggz kosten maakt de NZa voortaan gebruik van geaggregeerde data en geen data op persoonsniveau’
Ik kan wettelijk gezien niet voldoen aan deze verzoeken. De NZa voert namelijk haar taken als zelfstandig bestuursorgaan uit en is daarbij gebonden aan de geldende wet- en regelgeving. Dit betekent dat de NZa niet hiërarchisch ondergeschikt is aan de minister van VWS.
Ingrijpen in de bevoegdheden van het zelfstandig bestuursorgaan NZa kan alleen voor zover geldende wetgeving dat mogelijk maakt. Voor partijen staat ten algemene ook de gang naar de rechter open. De taakuitoefening voor zover het om de verwerking van persoonsgegevens gaat door de NZa is onderhavig aan toezicht van de Autoriteit Persoonsgegevens....
....Ten slotte acht ik het van belang om u er nog(maals) op te wijzen dat deze eenmalige data-uitvraag op dit moment door de rechter wordt onderzocht. Diverse partijen hebben op 19 juli 2023 een civiele rechtszaak aangespannen tegen de NZa. De rechter heeft bij uitspraak van 1 november 2023 de vordering voor een onmiddellijk verbod op het verwerken ten behoeve van de verbetering van de zorgvraagtypering afgewezen. De eisers hebben onvoldoende aannemelijk gemaakt dat de verplichting tot gegevenslevering en de verwerking daarvan evident in strijd is met hoger recht en daardoor gestaakt moet worden. De NZa kan in ieder geval zolang de bodemprocedure loopt, de verwerking voortzetten.
Alles bij de bron; RijksOverheid
Begin juni schaarde een meerderheid van de Tweede Kamer zich achter een motie die de regering opdraagt een einde te maken aan de indringende dataverzameling binnen de geestelijke gezondheidszorg (ggz).
Deze dataverzameling is opgezet door de Nederlandse Zorgautoriteit (NZa), een onafhankelijk bestuursorgaan dat toezicht houdt op de ‘zorgmarkt’. Om de zorg efficiënter in te richten, wil de toezichthouder voorspellen hoeveel zorg patiënten nodig hebben, zodat zorgverzekeraars vervolgens met meer precisie zorg kunnen inkopen.
Het gevolg: de intieme, medische gegevens van 800.000 ggz-patiënten worden gepseudonimiseerd (maar niet geanonimiseerd, dus potentieel herleidbaar ) opgevraagd via de zogeheten Honos+-vragenlijst, waarin vragen staan als: heeft de patiënt weleens last van suïcidale gedachten of depressieve stemmingen? Gebruikt hij te veel drugs of alcohol, heeft hij last van waanvoorstellingen? Heeft hij seksuele- of gedragsproblemen? Is hij een gevaar voor zijn omgeving, bijvoorbeeld voor zijn kinderen?
Extra pervers is dat patiënten door de NZa niet om toestemming wordt gevraagd voor het delen van hun gegevens. Het merendeel verkeert zelfs in zalige onwetendheid: uit een peiling van patiëntenorganisatie Mind bleek dat driekwart van de patiënten een half jaar na de start van de dataverzameling nog steeds van niets wist.
De aangenomen motie is daarom goed nieuws. Maar in het grotere geheel nog altijd vrij onbeduidend.
Want ook als de dataverzameling door het nieuwe kabinet zou worden stopgezet, blijft de mentaliteit waaruit die is voortgekomen, gewoon in leven. Precies dat zou ons als maatschappij zorgen moeten baren: het gemak waarmee de overheid, en specifiek de NZa, dit soort dataverzamelingen opzet zonder goed na te denken over de consequenties ervan.
De laatste jaren hebben we kunnen zien dat wanneer de ene dataverzameling wordt tegengehouden, de volgende alweer uit de grond schiet. Het is nog maar vijf jaar geleden dat de vorige databank met gegevens van ggz-patiënten op last van de Autoriteit Persoonsgegevens (AP) moest worden vernietigd (ook toen werd patiënten geen toestemming gevraagd). Intussen is de NZa - naast de huidige uitvraag - alweer druk bezig met het optuigen van een vergelijkbare dataverzameling binnen de jeugdzorg....
....De overheid en de NZa hebben het nagelaten om te onderzoeken en verwoorden wat deze dataverzameling in de praktijk betekent voor patiënten, met name voor degenen met complexe, zware problematiek, de doelgroep die ze juist zeggen te willen helpen, de doelgroep ook die wij als maatschappij koste wat kost zouden moeten beschermen.
Alles bij de bron; NRC
Pagina 61 van 678
