De website van het Bewoners Aanspreekpunt Schiphol (BAS) ging deze week uit de lucht nadat bekend was geworden dat er een datalek is. Wel kunnen nog telefonisch klachten worden doorgegeven over het vliegverkeer.
„Door een melding bij de Autoriteit Persoonsgegevens is bekend geworden dat de beveiliging van de klachtendatabase van Schiphol niet op orde is. De bewonersdelegatie is daarvan zeer geschrokken, zij mocht ervan uitgaan dat Schiphol zorgvuldig zou omgaan met persoonlijke gegevens van klagers”, laat voorzitter Matt Poelmans weten.
De gegevens van "bijna 60.000" mensen die via het Bewoners Aanspreekpunt Schiphol (BAS) een klacht hebben ingediend, waren inzichtelijk via een lek in de website van het klachtenloket, bevestigt een woordvoerder vrijdag na eerdere berichtgeving door de actiegroep SchipholWatch. Afhankelijk van de situatie zijn namen, adressen, e-mailadressen, telefoonnummers en wachtwoorden van klagers gelekt.
De bewonersdelegatie grijpt het datalek aan om te pleiten voor een andere manier van klachtenafhandeling. „Behalve dat het kennelijk schort aan beveiliging is de kritiek dat er te weinig wordt gedaan met deze gegevens. Het blijft beperkt tot registratie van klachten, zonder dat er voldoende wordt gedaan om de oorzaken weg te nemen. Nu het klachtensysteem opnieuw moet worden opgezet, eisen wij dat de klachtenprocedure wordt gemoderniseerd en er serieus werk wordt gemaakt van die informatie”, eist Poelmans.
Schiphol laat in een reactie weten dat BAS dan wel is opgezet door de luchthaven en de luchtverkeersleiding, maar dat het meldpunt onafhankelijk is. Zij registreren alle klachten en maken eigen rapportages.
Alles bij de bron; Gooi & Eemlander & NU [bron update]
Afspraken tussen grote softwarebedrijven en overheidsinstanties om de privacy van gebruikers te beschermen, zoals tussen de Nederlandse Rijksoverheid en Microsoft, zouden ook voor burgers moeten gelden. Dat vindt de European Data Protection Supervisor (EDPS).
Strategisch Leveranciersmanagement (SLM) Microsoft Rijk sloot afgelopen mei nieuwe privacyvoorwaarden met Microsoft voor de 300.000 digitale werkplekken van de Rijksoverheid. Hierop draaien de grootzakelijke versies van Windows 10 en Office. Uit eerder onderzoek van de Haagse Privacy Company bleek dat de software van Microsoft diagnostische gegevens van en over gebruikers verzamelde en bewaarde in een database in de Verenigde Staten, op een manier die hoge risico's meebracht voor de privacy van de gebruiker.
Naar aanleiding van het onderzoek ging de overheid met Microsoft in gesprek over een verbeterplan... Afgelopen juli meldde de Privacy Company dat door een combinatie van technische, organisatorische en contractuele maatregelen verschillende eerder geconstateerde privacyrisico’s voor Office 365 ProPlus door Microsoft zijn verholpen.
De EDPS stelt nu dat deze overeenkomst laat zien dat er ruimte voor verbetering is in het opstellen van contracten tussen overheidsinstanties en softwarebedrijven. Deze oplossingen zouden echter niet alleen voor overheid en bedrijfsleven moeten gelden, maar ook voor burgers, aldus de toezichthouder.
Eind augustus lanceerde de EDPS in Den Haag het "The Hague Forum", waar partijen bespreken hoe ze de controle over de it-diensten en -producten van grote it-bedrijven kunnen terugkrijgen. De toezichthouder roept alle partijen die zich zorgen maken dan ook op om zich bij het Forum aan te sluiten en mee te helpen met het opstellen van eerlijke contractuele voorwaarden voor de publieke sector.
"De overeenkomst tussen het Nederlandse ministerie van Justitie en Veiligheid en Microsoft over gepaste contractuele en technische waarbogen en maatregelen om de risico's voor individuen te beperken is een positieve stap voorwaarts", zegt adjunct-EDPS Wojciech Wiewiorowski. Hij merkt op dat het onderzoek en de oprichting van het The Hague Forum de databescherming binnen alle EU-instellingen zal verbeteren.
Alles bij de bron; Security
Minister Hoekstra van Financiën is vanwege de vele zorgen over de privacy van ondernemers als gevolg van de invoering van het UBO-register met de Kamer van Koophandel tot twee aanvullende maatregelen gekomen. De identificatie van raadplegers van het register wordt verbeterd met betrouwbaarder identificatiemiddelen en uiteindelijk belanghebbenden krijgen inzicht in hoe vaak hun informatie wordt geraadpleegd. Dat schrijft de minister in de nota naar aanleiding van het verslag UBO-register die hij vrijdag samen met de nota van wijziging aan de Tweede Kamer heeft gestuurd.
Ten eerste wordt de identificatie van raadplegers van het register verbeterd. Een account om informatie uit het handelsregister op te vragen bestaat momenteel uit een zelfgekozen naam en wachtwoord, zonder robuuste verificatie van de identiteit. Ik wil dat de vaststelling van de betrouwbaarheid van de identiteit van de raadpleger verhoogd wordt. Dit maakt de drempel voor kwaadwillenden om het register te misbruiken hoger omdat daarmee de identiteit van die personen wordt vastgelegd door de Kamer van Koophandel en eventueel teruggehaald kan worden in geval van strafrechtelijk onderzoek.
Ten tweede krijgen uiteindelijk belanghebbenden inzicht in hoe vaak hun informatie wordt geraadpleegd. Raadplegingen door de FIU-Nederland en bevoegde autoriteiten zijn hiervan uitgezonderd. Het inzicht in de hoeveelheid raadplegingen komt tegemoet aan de wens van meerdere vertegenwoordigers van belanghebbenden. Het geeft UBO’s een beeld van de verwerking van hun gegevens.
Alles bij de bron; Accountancy-van-Morgen (via DeDikkeBlauwe)
De website van een Nederlandse vermogensbeheerder is lek. Nobel Vermogensbeheer, dat particulieren en ondernemingen bedient die minstens 100.000 euro kunnen beleggen, heeft informatie op internet staan die niet voor de buitenwereld is bedoeld. Zo was op de website een persoonlijke brief aan een klant te lezen. Nobel beheert 260 miljoen euro en werd twee jaar geleden genomineerd als beste vermogensbeheerder van het land.
De brief is gericht aan een winkelier die zijn zaak heeft gesloten en voorbereidingen treft voor zijn pensioen. ‘Persoonlijk’ staat erboven en de ondertekening is van directeur Suzanne Band en een vermogensbeheerder van Nobel. De brief schetst de vermogenspositie van de winkelier en noemt allerlei bedragen. Bijvoorbeeld over de hypotheken van de winkelier zelf en een van zijn kinderen. De brief stond tot gisteren in een map die publiek toegankelijk is en door Google te vinden is.
Ook stond er per abuis een handleiding online waarin Nobel de IT-procedures en de gebruikte computersystemen beschrijft. Deze procedures moeten het risico beheersen “dat dataverlies ontstaat vanwege falende of gebrekkige procedures en systemen in combinatie met tekortschietende interne controles.” Dit document is voor intern gebruik...
...in allerlei mappen zijn computerbestanden zichtbaar, onder meer met een verouderde softwarebibliotheek genaamd ‘PHPExcel’. De ontwikkelaars ervan ontraden al twee jaar om het nog te gebruiken. Opgeteld wijzen deze voorbeelden op een slordige en riskante manier van werken. Nobel heeft de Autoriteit Persoonsgegevens en de Autoriteit Financiële Markten op de hoogte gesteld. Ook heeft Nobel contact gezocht met de klant en de brief verwijderd.
Alles bij de bron; Trouw
Met één muisklik ging kunstenaar Julia Janssen akkoord met de voorwaarden van de website van The Daily Mail. Pas later kwam ze erachter dat die haar gegevens deelde met 835 bedrijven. Ze zette de ‘kleine lettertjes’ van al die bedrijven achter elkaar en laat ze voorlezen op de Dutch Design Week in Eindhoven.
Toen ze vorig jaar onderzoek deed naar haar eigen surfgedrag, leidden die haar terug naar de website van Daily Mail. Met wat doorklikken zag ze dat die samenwerkt met websites waarvan ze het bestaan niet vermoedde. Ze struinde al die sites af en bundelde de voorwaarden....
...Met rustige stem somt Ellen Julio op dat Adility niet alleen uw browser registreert, maar ook het IP-adres en apparaat waarmee u surft. Natuurlijk wist ze wel dat haar online-gedrag werd gevolgd. Onlangs nog zocht ze in een webwinkel naar een linnen blouse, toen ze tussendoor een woordje wilde leggen op het digitale scrabblebord WordFeud kwam een reclame in beeld voor precies zo’n blouse. Maar het wordt haar nu nog duidelijker: ‘We zijn verkoopwaar geworden.’
En dat is precies hoe Janssen erover denkt. Tussen de 835 bedrijven die haar gegevens verzamelden, zaten veel adverteerders en data brokers – bedrijven die persoonsgegevens weer doorverkopen aan adverteerders. Hoe representatief het aantal van 835 is, weet ze niet. Maar dat bedrijven onderling data delen, is bekend en toegestaan. Zo deelt DPG Media, de uitgever van onder meer de Volkskrant en Trouw, gegevens over onder meer surfgedrag met Sanoma, Telegraaf Media Groep en RTL Nederland, ‘om zo marketeers in staat te stellen betere advertenties te tonen’.
...En dat is ook helemaal niet erg, vindt Janssen. Aan het delen van data zitten zelfs voordelen, want wie vindt een gepersonaliseerd reisadvies niet handig. ‘Maar we moeten wel controle hebben over wie wat van ons weet.’ In de toekomst ziet ze het liefst dat gebruikers zelf de voorwaarden formuleren waarop ze hun data aan bedrijven verkopen. Maar ze geeft direct toe dat dat nog wel even zal duren. Eerst moeten mensen er überhaupt van doordrongen zijn dat hun privacy wordt geschonden. Samen lezen dus. Zodat we straks niet meer pikken wat we elke dag aan voorwaarden accepteren.
Alles bij de bron; Volkskrant
De kluisroof waarbij vorige maand een backup van verzekeraar Allianz werd gestolen bevatte gegevens van veel meer klanten dan eerste instantie werd gedacht. Het gaat volgens het bedrijf om 2,3 miljoen Nederlanders. Eerder leek het om 260.000 mensen te gaan, dat zijn mensen die direct via Allianz een verzekeringspolis hebben afgesloten. Van hen zijn naam en adresgegevens en het kenteken gekoppeld.
Twee miljoen mensen hebben een pechhulpverzekering via de leasemaatschappij of de autodealer afgesloten. Van hen is in de meeste gevallen alleen het kenteken bekend. Alleen van mensen die in de afgelopen vijf jaar een beroep hebben gedaan op pechhulp zijn behalve het kenteken ook de naam- en adresgegevens vermeld. Hoeveel dat er zijn is niet duidelijk.
Alles bij de bron; NOS
Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) vorig jaar, denken veel organisaties dat ze geen persoonsgegevens meer mogen delen wanneer ze geen expliciete toestemming hebben. Onterecht, zegt ook Jay Remmelzwaal van het Juridisch adviesbureau ICTRecht: ‘’De AVG laat veel toe, mits je maar goed uitlegt wat je aan het doen bent.’’
...Jeroen Terstegge van Privacy Management Partners is het met Hut en Remmelzwaal eens: “Het is een grote misvatting dat je altijd expliciete toestemming nodig hebt om persoonsgegevens te delen en te verwerken. Toestemming is één grondslag waarop persoonsgegevens gedeeld mogen worden, maar daarnaast zijn er nog vijf. Het wordt tijd dat die duidelijker in beeld worden gebracht.” Een andere grondslag geldt wanneer het delen van gegevens noodzakelijk is voor de behartiging van ‘gerechtvaardigde belangen’, zoals het in kaart brengen van uitbuiting.
Jurist Remmelzwaal zegt dat het zonder toestemming in veel gevallen wel degelijk mogelijk is om persoonsgegevens te delen en te verwerken: “Als je goed uitlegt wat je aan het doen bent en kan aantonen waarom het nodig is om een bepaald doel te bereiken, dan mag het. Daarnaast moet je wel goed de afweging maken tussen de belangen van jouw organisatie en het privacybelang van de betrokken persoon.”
De Autoriteit Persoonsgegevens erkent dat de privacywet voor sommigen onduidelijk is en probeert bedrijven en brancheorganisaties per sector te adviseren. “De online campagnes zijn een stap in de goede richting, maar het is nog niet genoeg”, zegt Remmelzwaal. Hij ziet liever duidelijke richtlijnen die misverstanden helpen voorkomen. “Wat wel en niet mag bevindt zich momenteel nog in een grote grijze zone. Er is nood aan meer zwart en wit. Nieuwe richtlijnen kunnen daarbij helpen.”
Alles bij de bron; Trouw
Als privacydeskundige Jacob van de Velde het plein bij het Muiderpoortstation in Amsterdam oploopt, telt hij al snel acht camera's. "En dat terwijl je gewoon bij het station loopt", aldus de advocaat informatierecht. De vraag is: moet je dat willen? Het uitgangspunt is dat je overal gefilmd wordt en dat is niet waar mensen zich prettig bij voelen. Dat is waar de gemeente over na moet gaan denken."
Alles bij de bron; Gids.TV