Het Limburgse ziekenhuis Zuyderland is getroffen door een datalek, ontstaan doordat de leverancier van een systeem voor thuiszorg en thuishulp de gegevens niet op een juiste manier verwerkte.
Het gaat om namen, adressen, woonplaatsen, BSN-nummers, bankrekeningnummers, e-mailadressen, telefoonnummers, functieschalen, datums van het in dienst treden en wachtwoorden, zo meldt L1 op basis van een brief die naar getroffen medewerkers werd gestuurd.
Details over het datalek worden niet gegeven, behalve dat de oorzaak inmiddels is verholpen.
Alles bij de bron; Security
Vorig jaar zijn bijna zevenduizend DigiD-accounts wegens mogelijk misbruik ingetrokken, een flinke stijging ten opzichte van 2022, toen het nog om bijna drieduizend accounts ging. Dat blijkt uit het vandaag verschenen jaarverslag van DigiD-beheerder Logius. Logius laat weten dat het vorig jaar alleen al 3154 actieve DigiD-accounts die op de Genesis Market waren aangetroffen heeft verwijderd.
"Als anderen je DigiD-gegevens hebben, kun je de dupe worden van identiteitsfraude. In nauwe samenwerking met andere overheidsorganisaties helpt Logius als het misgaat. We nemen contact met je op en verwijderen dan het DigiD-account, zodat je een nieuw account kunt aanvragen. Zo weet je zeker dat niemand ongevraagd bij je gegevens komt", aldus de overheidsinstantie.
Soms merken mensen zelf op dat hun DigiD-gegevens zijn gewijzigd, maar niet altijd. "Wij krijgen ook tips van bijvoorbeeld de politie of het Nationaal Cyber Security Centrum (NCSC)", laat een medewerker van Logius op de website van de DigiD-beheerder weten.
Alles bij de bron; Security
De politie heeft ruim 7 miljoen e-mailadressen aangetroffen in een onderzoek naar fraude. De gegevens kwamen naar boven na de aanhouding van zes verdachten voor bankhelpdeskfraude eind januari.
Je kunt via de website van de politie zelf controleren of jouw mailadres op de aangetroffen lijsten staat (politie.nl/checkjehack). Als je mailadres in de lijst voorkomt ontvang je een e-mail met tips en informatie over wat je het beste kunt doen. In deze mail staan geen links of bijlages, benadrukt de politie.
Hoor je daarna niets, dan zat je niet tussen de slachtoffers van dit netwerk.
Alles bij de bron; RTL
De data werd gestolen bij een aanval op een regionale afdeling van de NHS eerder deze maand, die specifiek de Schotse regio Dumfries en Galloway bedient. De lokale NHS waarschuwde op 15 maart dat cybercriminelen een 'significante hoeveelheid data' van patiënten en werknemers in handen kunnen hebben.
Nu zegt de criminele groepering INC Ransom dus dat het 3TB aan data heeft gestolen.
De ransomwarebende heeft al een klein pakket met data gedeeld, om te bewijzen dat ze de waarheid spreken. In dat pakket zit vertrouwelijke informatie over een klein aantal patiënten. INC Ransom zegt daarbij dat als de NHS geen losgeld betaalt, de rest van de 3TB aan data binnenkort gelekt wordt.
Alles bij de bron; Tweakers
Facebook heeft in het geheim Snapchat-gebruikers afgeluisterd die de vpn-tool Onavo van Facebook gebruikten. Dat blijkt uit documenten die als onderdeel van een rechtszaak tegen Meta openbaar zijn geworden. Facebook wilde via 'Project Ghostbusters' het gedrag van Snapchat-gebruikers analyseren, om zo een competitief voordeel te krijgen.
Onavo Protect werd in 2013 door Facebook overgenomen en bood gebruikers een gratis vpn-dienst aan. Meta (destijds nog Facebook) stelde dat de app de gegevens en activiteiten van gebruikers zou beschermen en dat de verzamelde data alleen werd gebruikt voor het kunnen aanbieden van de vpn-dienst.
In werkelijkheid werd het gedrag van gebruikers, zoals welke apps ze gebruikten en hoelang, door Onavo en Facebook verzameld. Vervolgens werden de gegevens gedeeld met moederbedrijf Meta. De data werd gebruikt voor Meta's marktonderzoek, zo werd vorig jaar duidelijk, toen Meta in Australië een boete van 20 miljoen dollar kreeg voor het misleiden van gebruikers van de Onavo Protect vpn-app.
Volgens de nu openbaar geworden documenten kon Facebook via de vpn-app uitgebreid analyseren hoe gebruikers Snapchat gebruikten. Het programma zou later ook zijn uitgebreid naar Amazon en YouTube.
Volgens de aanklagers in deze zaak heeft Facebook de Amerikaanse 'Wiretap' wetgeving overtreden, die het verbiedt om elektronische communicatie van mensen af te luisteren.
Alles bij de bron; Security
Al sinds 2016 weten we dat de politie gebruik maakt van gezichtsherkenning in de vorm van CATCH. Nu is de politie met nieuwe toepassingen van deze ingrijpende surveillancetechnologie aan het experimenteren. Een uitbreiding van de CATCH-database met beelden van verdachten die niet eerder geïdentificeerd konden worden en FaceF1nder, waarmee de politie kan zoeken in welke beelden een bepaald gezicht nog meer voorkomt.
Bestaande gegevensbeschermingswetgeving, die ook voor de politie geldt, vereist dat voor dingen die een hoog risico met zich meebrengen voor het recht op privacy en gegevensbescherming, de politie de Functionaris Gegevensbescherming erbij moet betrekken en een inventarisatie en beoordeling moet maken van de impact op die rechten. Het gaat hier om een zogenaamde gegevens-beschermings-effect-beoordeling.
Uit de documenten die wij hebben opgevraagd met een beroep op de Wet open overheid blijkt nu dat de politie dit voor nieuwe toepassingen niet heeft gedaan.
Dat de politie het niet zo nauw neemt met de wet bij de inzet van gezichtsherkenning is onderhand wel duidelijk. Zo is er nooit een democratisch debat aan de inzet van CATCH vooraf gegaan, en is er dus nooit een specifieke wettelijke grondslag gekomen voor de inzet van gezichtsherkenning door de politie. De politie probeert dat gat nu te vullen met een door haarzelf opgesteld "Inzetkader gezichtsherkenning".
Niet voor niets is de Autoriteit Persoonsgegevens hier kritisch. De voorzitter noemt deze gang van zaken bij NOS de omgekeerde volgorde. Er zou eerst wetgeving moeten komen, en pas dan kan de politie aan de slag met het opstellen van een protocol. Die wetgeving is er op dit moment nog niet.
Wanneer de politie op eigen houtje aan de slag gaat en de toetsing intern belegd, is het extra belangrijk dat de interne waarborgen voor de bescherming van mensenrechten en onze vrije samenleving op orde zijn. En wat blijkt nu? Het lijkt er op dat de Functionaris Gegevensbescherming niet actief op de hoogte is gesteld, maar zelf na geruchten moest aangeven dat zij geïnformeerd wil worden.
Alles bij de bron; Bits-of-Freedom
De Duitse overheid heeft een waarschuwing gegeven voor 17.000 Microsoft Exchange-servers in het land die één of meerdere kritieke kwetsbaarheden bevatten en daardoor risico lopen om te worden aangevallen. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, roept beheerders en organisaties dan ook op om in actie te komen.
Volgens het BSI blijkt uit onderzoek dat Duitsland 45.000 Exchange-servers telt die via Outlook Web Access (OWA) toegankelijk zijn. Daarvan is 37 procent kwetsbaar, aldus het BSI.
Voor 48 procent van de Exchange-servers bij onze Oosterburen kon het BSI niet duidelijk vaststellen of ze nog kwetsbaar zijn. Vanwege de situatie heeft de overheidsinstantie dreigingsniveau 'oranje' afgegeven. Exchange-beheerders worden dan ook opgeroepen om geregeld te controleren of hun servers nog wel up-to-date zijn. Tevens wordt aangeraden om webdiensten van Exchange-servers, zoals Outlook Web Access, niet direct vanaf het internet toegankelijk te maken maar achter een vpn te plaatsen.
Alles bij de bron; Security
Een Oostenrijkse gynaecoloog heeft een AVG-boete van 10.000 euro gekregen omdat hij medische gegevens van een patiënte in een reactie op een negatieve review van haar plaatste. De vrouw had in september 2022 onder haar eigen naam een negatieve recensie over de gynaecoloog geplaatst. Een dag later kwam de gynaecoloog met een reactie, waarin hij onder andere stelde dat de vrouw een vaginale infectie had.
De vrouw stapte naar de Oostenrijkse privacytoezichthouder DSB. Die stelde dat de AVG op verschillende punten was overtreden. Zo was er sprake van onrechtmatige verwerking van bijzondere persoonsgegevens door de diagnose van de vrouw in een reactie op haar review te publiceren. Daarnaast was er geen link tussen het verzamelen van de gegevens en verwerking hiervan. Ook schond de gynaecoloog de AVG-principes van doelbinding en dataminimalisatie.
Aangezien de gynaecoloog geen inzicht in zijn finaciele situatie wilde geven, keek de Oostenrijkse privacytoezichthouder naar het geschatte inkomen van de man en kwam zo uit op een boete van 10.000 euro. De gynaecoloog heeft hier bezwaar tegen gemaakt en de reactie met de medische informatie werd pas november vorig jaar van de website verwijderd.
Alles bij de bron; Security