Een Spaans outsourcingsbedrijf heeft wegens meerdere AVG-overtredingen bij het gebruik van een inlogsysteem met vingerafdruk een boete van 365.000 euro gekregen. Het bedrijf liet medewerkers twee jaar lang inloggen via hun vingerafdruk. De Spaanse privacytoezichthouder AEPD ontving een klacht over het systeem en besloot onderzoek te doen.
Het bedrijf liet weten dat de vingerafdrukscanner geen identificatiesysteem was, maar een authenticatiesysteem. Er werden dan ook geen vingerafdrukken opgeslagen, maar hashes van vingerafdrukken. De vingerafdruk zou na de scan meteen verwijderd worden. Tevens stelde het bedrijf dat medewerkers via een werknemersportaal over de gegevensverwerking werden ingelicht.
Volgens de Spaanse privacytoezichthouder was de informatievoorziening over de gegevensverwerking onjuist, te algemeen en onvoldoende informatief. Er werd alleen gemeld dat er een vingerafdruk-inlogsysteem werd gebruikt.
Verder stelde de toezichthouder vast dat er onvoldoende beveiligingsmaatregelen waren genomen om de vingerafdrukgegevens te beschermen. De derde AVG-overtreding die de toezichthouder vaststelde betrof het niet uitvoeren van een data protection impact assessment (DPIA) voor het verwerken van de vingerafdrukgegevens.
Alles bij de bron; Security
Op 2 april 2024 heeft de Tweede Kamer, onder voorbehoud, het Wetsvoorstel gegevensverwerking Persoonsgerichte Aanpak radicalisering en terroristische activiteiten aangenomen.
Privacy First maakt zich daar zorgen over omdat er in Nederland naar schatting al tienduizenden Nederlanders in een Persoonsgerichte Aanpak (PGA) zitten met zeer ingrijpende gevolgen voor hun grondrechten en persoonlijke levenssfeer, zonder adequate rechtsbescherming.
Een Persoonsgerichte Aanpak betekent dat de overheid een burger wil “resocialiseren”. Dat gebeurt op gemeentelijk niveau in samenwerking met “ketenpartners”, zoals Politie, Justitie, Bureau Jeugdzorg, GGD, GGZ, reclassering en woningbouwcorporaties.
Deze ketenpartners wisselen informatie uit over de persoonlijke levenssfeer van de burger en overleggen hoe ze die op het rechte pad kunnen krijgen, kunnen heropvoeden.
In een PGA krijgt een burger eerst een “hulpaanbod” van bijvoorbeeld Bureau Jeugdzorg of de GGD. Als dat niet werkt krijgt de betreffende burger te maken met repressie zoals strafzaken entameren of een uithuisplaatsing.
Juridisch blijkt er weinig tegen een Persoonsgerichte Aanpak te beginnen. Een PGA is geen “besluit” in de zin van de Algemene wet bestuursrecht en daarom is er geen bezwaar en beroep mogelijk.
De AVG-wetgeving werkt hier in de praktijk niet omdat de overheid geen volledige dossiers vrijgeeft. Daardoor is er geen eerlijk proces mogelijk.
Tot nu toe worden PGA’s uitgevoerd op basis van convenanten tussen de samenwerkende ketenpartners en is er geen verankering in de wet. Juridisch is het daarom maar de vraag of de huidige PGA’s rechtmatig zijn.
Omdat de overheid zekerheid wil dat PGA’s rechtmatig zijn, is het nu voor het eerst dat er een wettelijke basis komt voor een deel van de bestaande PGA’s.
Alles bij de bron; PrivacyFirst
Bij zo’n vijf tankstations in de regio van Den Haag hebben ze een gezichtsscanner in gebruik genomen.
Vanaf 1 juli 2024 is tabak bij wet alleen nog verkrijgbaar bij tabaksspeciaalzaken en tankstations en met het verminderen van verkooppunten neemt de kans op fouten toe bij de overgebleven verkooppunten met tabaksvergunningen.
Om deze reden zijn er NIX18-automaten geïntroduceerd voor leeftijdsverificatie bij tabaksaankopen...
...Met behulp van kunstmatige intelligentie maakt een camera in het apparaat een scan van het gezicht van de klant. Als de klant akkoord geeft om een scan te maken, wordt de automaat geactiveerd. ,,Door kenmerken zoals de huid en rimpels kan de automaat een schatting maken van de leeftijd van de klant,’’ legt Snijders uit.
Als de klant ouder is dan 25 jaar, ontvangt de verkoper een groen vinkje en kan de verkoop doorgaan. Zo niet, dan moet de klant zijn of haar identiteit verifiëren door een identiteitsbewijs, paspoort of rijbewijs te scannen in de automaat.
Het systeem richt zich uitsluitend op de geboortedatum en vergelijkt deze met de foto die op het identificatiedocument is opgeslagen. ,,De gegevens die worden waargenomen, worden onmiddellijk verwijderd uit het geheugen van de scanner, waardoor geen enkele relatie kan worden gelegd tussen de transactie en de scan,’’ legt Snijders uit.
Dit waarborgt strikte naleving van de privacywetgeving. De enige informatie die wordt opgeslagen is hoe vaak de scan is gebruikt en hoeveel beelden zijn goedgekeurd. ,,Mensen hoeven dus niet bang te zijn dat hun gegevens worden opgeslagen en gebruikt voor andere doeleinden dan de controle.’’
Het proces is in samenwerking met de NVWA (Nederlandse Voedsel en Waren Autoriteit), privacy-waakhonden en juristen tot stand gekomen. Snijders benadrukt dat niemand verplicht is om een gezichtsscan uit te voeren. ,,Dat is bij wet verboden.’’
Alles bij de bron; AD [premium artikel]
De Europese gezondheidswet EHDS bedreigt het medisch beroepsgeheim, zo stelt de Europese digitale burgerrechtenbeweging EDRi.
De EHDS is een voorstel van de Europese Commissie voor het delen van medische gegevens in de Europese Unie in een gemeenschappelijk gebruikt formaat. Standaard zullen gezondheidsgegevens voor zowel primair als secundair gebruik worden uitgewisseld.
Bij primair gebruik gaat het om het gebruik van gezondheidsgegevens voor het verlenen van zorg. Bij het secundaire gebruik van gezondheidsgegevens gaat het om zaken zoals onderzoek, onderwijs, ontwikkeling van diensten en producten, inclusief AI, beleidsvorming en leveren van gepersonaliseerde zorg door behandelaars.
Vorige maand werd bekend dat de Europese Commissie, het Europees Parlement en de Raad van Ministers een voorlopig politiek akkoord over de EHDS hebben bereikt. "De EHDS stelt de medische dossiers van iedereen bloot aan onnodige beveiligings- en privacyrisico's in de naam van onderzoek en 'innovatie'", zegt Jan Penfrat van EDRi. "Het verplicht elk ziekenhuis om private medische gegevens van elke patiënt te delen, voor het doel van secundair gebruik dat niets met de behandeling te maken heeft, met een zogenoemde health data access body." Dit is de instantie voor toegang tot gezondheidsgegevens.
Hoe en welke patiëntgegevens worden gedeeld kan per lidstaat verschillen. Penfrat merkt op dat de EHDS nog steeds niet beperkt wie toegang tot gezondheidsgegevens kan krijgen voor secundair gebruik. Daarnaast hekelt hij de centrale opslag van zeer gevoelige medische informatie van miljoenen patiënten op servers van de overheid, bij landen die voor dit model kiezen.
Alles bij de bron; Security
De Indiase regering heeft eindelijk een oplossing gevonden voor een jarenlang cyberveiligheidsprobleem, waarbij grote hoeveelheden gevoelige gegevens over haar burgers aan het licht zijn gekomen. Een beveiligingsonderzoeker vertelde dat hij minstens honderden documenten met persoonlijke informatie van burgers – waaronder Aadhaar-nummers, COVID-19-vaccinatiegegevens en paspoortgegevens – online had gevonden waar iedereen toegang toe had.
De schuldige was de clouddienst van de Indiase overheid, genaamd S3WaaS, die wordt aangekondigd als een “veilig en schaalbaar” systeem voor het bouwen en hosten van websites van de Indiase overheid.
Beveiligingsonderzoeker Sourajeet Majumder vertelde dat hij in 2022 een verkeerde configuratie ontdekte waardoor de persoonlijke informatie van burgers die op S3WaaS was opgeslagen, werd blootgesteld aan het open internet. Omdat de privédocumenten onbedoeld openbaar werden gemaakt, indexeerden zoekmachines de documenten ook, waardoor iedereen actief op internet kon zoeken naar de gevoelige gegevens van burgers.
Majumder zei dat, ondanks herhaalde waarschuwingen over de datalekken, de clouddienst van de Indiase overheid vorige week nog steeds de persoonlijke informatie van sommige individuen openbaarde. Majumder zei dat gevoelige gegevens van sommige burgers online terechtkwamen lang nadat hij de verkeerde configuratie in 2022 voor het eerst had onthuld.
De blootgestelde gegevens, aldus Majumder, brengen burgers mogelijk het risico op identiteitsdiefstal en oplichting. “Meer nog, wanneer gevoelige gezondheidsinformatie zoals COVID-testresultaten en vaccingegevens naar buiten komt, is het niet alleen onze medische privacy die in gevaar komt – het wekt de angst voor discriminatie en sociale afwijzing”, zei hij.
Majumder merkte op dat dit incident een “wake-up call voor veiligheidshervormingen” zou moeten zijn.
Alles bij de bron; TechCrunch [googliaans vertaald]
Booking.com meldt datalekken inmiddels op tijd, zegt de Autoriteit Persoonsgegevens na een jaar intensief toezicht. In 2021 kreeg het platform nog een boete van 475.000 euro omdat een datalek te laat werd gemeld. Nu houdt het bedrijf zich wel aan de regels, stelt de AP...
...Als onderdeel van dat intensieve toezicht moest Booking.com gedurende het jaar rapporteren over maatregelen die het platform had genomen om datalekken op tijd te melden. Daarnaast moest het bedrijf rapporteren over maatregelen om incidenten te voorkomen en controleerde de Autoriteit of Booking.com 'bepaalde incidenten' onterecht niet meldde.
In 2023 meldde Booking.com 'diverse fraudezaken'. Bij een groot deel hiervan konden criminelen accounts van accommodaties overnemen. Hiermee werden Booking.com-gebruikers weer opgelicht. "Vanwege dit soort incidenten blijft de AP Booking.com goed in de gaten houden." De AP zegt dat tijdige meldingen belangrijk zijn, 'zodat de AP kan adviseren waar nodig'.
Alles bij de bron; Tweakers
Justitie heeft zonder een toereikende wettelijke grondslag een telefoon ontgrendeld en doorzocht van een vreemdeling die was vastgezet.
De zaak gaat over een Mongoolse vrouw die in vreemdelingenbewaring was gesteld. Een ambtenaar van de Afdeling Vreemdelingenpolitie, Identificatie en Mensenhandel (AVIM) heeft zonder haar toestemming haar telefoon ontgrendeld en doorzocht. Dit deed hij door het toestel voor het gezicht van de vrouw te houden. De medewerker heeft vervolgens handmatig de telefoon doorzocht op zoek naar foto’s van identiteitsdocumenten om informatie te krijgen over haar identiteit.
Demissionair staatssecretaris Van der Burg stelde dat de ambtenaar op basis van de Vreemdelingenwet 2000 bevoegd is om de telefoon zonder toestemming te onderzoeken. Bij het opstellen van de betreffend wetsbepaling in 2012 is via de memorie van toelichting duidelijk gemaakt dat ook telefoons doorzocht mogen worden.
"Maar in mobiele telefoons staan tegenwoordig veel meer persoonsgegevens dan toen de wettelijke bepaling in 2012 werd ingevoerd", zo stelt de Raad van State.
De Raad stelt dat het artikel van de Vreemdelingenwet 2000 daarom niet volstaat als wettelijke grondslag voor het zonder toestemming onderzoeken van telefoons, louter en alleen omdat de wetgever daar bij de totstandkoming melding van heeft gemaakt in de memorie van toelichting. Tevens stelt de RvS dat het wetsartikel onvoldoende bescherming biedt tegen willekeurig optreden, omdat dit niet voorschrijft in welke omstandigheden onder welke voorwaarden een mobiele telefoon mag worden onderzocht.
Alles bij de bron; Security
SurveyLama heeft de persoonlijke gegevens van 4,4 miljoen gebruikers gelekt. Het gaat om e-mailadressen, ip-adressen, adresgegevens, telefoonnummers, geboortedatum en wachtwoordhashes. Hoe de gegevens konden worden gestolen is onbekend.
Van de 4,4 miljoen e-mailadressen die via SurveyLama op straat zijn beland was 28 procent al via een ander datalek bij Have I Been Pwned bekend. SurveyLama claimt dat het gebruikers via e-mail over het datalek heeft ingelicht.
Alles bij de bron; Security