De website van een Nederlandse vermogensbeheerder is lek. Nobel Vermogensbeheer, dat particulieren en ondernemingen bedient die minstens 100.000 euro kunnen beleggen, heeft informatie op internet staan die niet voor de buitenwereld is bedoeld. Zo was op de website een persoonlijke brief aan een klant te lezen. Nobel beheert 260 miljoen euro en werd twee jaar geleden genomineerd als beste vermogensbeheerder van het land.
De brief is gericht aan een winkelier die zijn zaak heeft gesloten en voorbereidingen treft voor zijn pensioen. ‘Persoonlijk’ staat erboven en de ondertekening is van directeur Suzanne Band en een vermogensbeheerder van Nobel. De brief schetst de vermogenspositie van de winkelier en noemt allerlei bedragen. Bijvoorbeeld over de hypotheken van de winkelier zelf en een van zijn kinderen. De brief stond tot gisteren in een map die publiek toegankelijk is en door Google te vinden is.
Ook stond er per abuis een handleiding online waarin Nobel de IT-procedures en de gebruikte computersystemen beschrijft. Deze procedures moeten het risico beheersen “dat dataverlies ontstaat vanwege falende of gebrekkige procedures en systemen in combinatie met tekortschietende interne controles.” Dit document is voor intern gebruik...
...in allerlei mappen zijn computerbestanden zichtbaar, onder meer met een verouderde softwarebibliotheek genaamd ‘PHPExcel’. De ontwikkelaars ervan ontraden al twee jaar om het nog te gebruiken. Opgeteld wijzen deze voorbeelden op een slordige en riskante manier van werken. Nobel heeft de Autoriteit Persoonsgegevens en de Autoriteit Financiële Markten op de hoogte gesteld. Ook heeft Nobel contact gezocht met de klant en de brief verwijderd.
Alles bij de bron; Trouw
Met één muisklik ging kunstenaar Julia Janssen akkoord met de voorwaarden van de website van The Daily Mail. Pas later kwam ze erachter dat die haar gegevens deelde met 835 bedrijven. Ze zette de ‘kleine lettertjes’ van al die bedrijven achter elkaar en laat ze voorlezen op de Dutch Design Week in Eindhoven.
Toen ze vorig jaar onderzoek deed naar haar eigen surfgedrag, leidden die haar terug naar de website van Daily Mail. Met wat doorklikken zag ze dat die samenwerkt met websites waarvan ze het bestaan niet vermoedde. Ze struinde al die sites af en bundelde de voorwaarden....
...Met rustige stem somt Ellen Julio op dat Adility niet alleen uw browser registreert, maar ook het IP-adres en apparaat waarmee u surft. Natuurlijk wist ze wel dat haar online-gedrag werd gevolgd. Onlangs nog zocht ze in een webwinkel naar een linnen blouse, toen ze tussendoor een woordje wilde leggen op het digitale scrabblebord WordFeud kwam een reclame in beeld voor precies zo’n blouse. Maar het wordt haar nu nog duidelijker: ‘We zijn verkoopwaar geworden.’
En dat is precies hoe Janssen erover denkt. Tussen de 835 bedrijven die haar gegevens verzamelden, zaten veel adverteerders en data brokers – bedrijven die persoonsgegevens weer doorverkopen aan adverteerders. Hoe representatief het aantal van 835 is, weet ze niet. Maar dat bedrijven onderling data delen, is bekend en toegestaan. Zo deelt DPG Media, de uitgever van onder meer de Volkskrant en Trouw, gegevens over onder meer surfgedrag met Sanoma, Telegraaf Media Groep en RTL Nederland, ‘om zo marketeers in staat te stellen betere advertenties te tonen’.
...En dat is ook helemaal niet erg, vindt Janssen. Aan het delen van data zitten zelfs voordelen, want wie vindt een gepersonaliseerd reisadvies niet handig. ‘Maar we moeten wel controle hebben over wie wat van ons weet.’ In de toekomst ziet ze het liefst dat gebruikers zelf de voorwaarden formuleren waarop ze hun data aan bedrijven verkopen. Maar ze geeft direct toe dat dat nog wel even zal duren. Eerst moeten mensen er überhaupt van doordrongen zijn dat hun privacy wordt geschonden. Samen lezen dus. Zodat we straks niet meer pikken wat we elke dag aan voorwaarden accepteren.
Alles bij de bron; Volkskrant
De kluisroof waarbij vorige maand een backup van verzekeraar Allianz werd gestolen bevatte gegevens van veel meer klanten dan eerste instantie werd gedacht. Het gaat volgens het bedrijf om 2,3 miljoen Nederlanders. Eerder leek het om 260.000 mensen te gaan, dat zijn mensen die direct via Allianz een verzekeringspolis hebben afgesloten. Van hen zijn naam en adresgegevens en het kenteken gekoppeld.
Twee miljoen mensen hebben een pechhulpverzekering via de leasemaatschappij of de autodealer afgesloten. Van hen is in de meeste gevallen alleen het kenteken bekend. Alleen van mensen die in de afgelopen vijf jaar een beroep hebben gedaan op pechhulp zijn behalve het kenteken ook de naam- en adresgegevens vermeld. Hoeveel dat er zijn is niet duidelijk.
Alles bij de bron; NOS
Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) vorig jaar, denken veel organisaties dat ze geen persoonsgegevens meer mogen delen wanneer ze geen expliciete toestemming hebben. Onterecht, zegt ook Jay Remmelzwaal van het Juridisch adviesbureau ICTRecht: ‘’De AVG laat veel toe, mits je maar goed uitlegt wat je aan het doen bent.’’
...Jeroen Terstegge van Privacy Management Partners is het met Hut en Remmelzwaal eens: “Het is een grote misvatting dat je altijd expliciete toestemming nodig hebt om persoonsgegevens te delen en te verwerken. Toestemming is één grondslag waarop persoonsgegevens gedeeld mogen worden, maar daarnaast zijn er nog vijf. Het wordt tijd dat die duidelijker in beeld worden gebracht.” Een andere grondslag geldt wanneer het delen van gegevens noodzakelijk is voor de behartiging van ‘gerechtvaardigde belangen’, zoals het in kaart brengen van uitbuiting.
Jurist Remmelzwaal zegt dat het zonder toestemming in veel gevallen wel degelijk mogelijk is om persoonsgegevens te delen en te verwerken: “Als je goed uitlegt wat je aan het doen bent en kan aantonen waarom het nodig is om een bepaald doel te bereiken, dan mag het. Daarnaast moet je wel goed de afweging maken tussen de belangen van jouw organisatie en het privacybelang van de betrokken persoon.”
De Autoriteit Persoonsgegevens erkent dat de privacywet voor sommigen onduidelijk is en probeert bedrijven en brancheorganisaties per sector te adviseren. “De online campagnes zijn een stap in de goede richting, maar het is nog niet genoeg”, zegt Remmelzwaal. Hij ziet liever duidelijke richtlijnen die misverstanden helpen voorkomen. “Wat wel en niet mag bevindt zich momenteel nog in een grote grijze zone. Er is nood aan meer zwart en wit. Nieuwe richtlijnen kunnen daarbij helpen.”
Alles bij de bron; Trouw
Als privacydeskundige Jacob van de Velde het plein bij het Muiderpoortstation in Amsterdam oploopt, telt hij al snel acht camera's. "En dat terwijl je gewoon bij het station loopt", aldus de advocaat informatierecht. De vraag is: moet je dat willen? Het uitgangspunt is dat je overal gefilmd wordt en dat is niet waar mensen zich prettig bij voelen. Dat is waar de gemeente over na moet gaan denken."
Alles bij de bron; Gids.TV
In het journaal laat de NOS een filmpje van een meisje zien. Loes heet ze en ze is illustratiemateriaal bij een onderwerp dat op de agenda is gezet door de Nationaal Rapporteur Mensenhandel en Seksueel Geweld tegen Kinderen.
Die rapporteur heeft een rapport uitgebracht waarin hij kritiek uit op de aanpak van mensenhandel door de overheid.... vanwege nieuwe privacyregels maken hulpverleners minder melding bij het coördinatiecentrum tegen mensenhandel: in 2014 kreeg het centrum 1.225 meldingen en in 2018 nog maar 668...
De onrust over de privacyregels wordt ook aangezwengeld door de Nationaal Rapporteur zelf, als hij in het NOS-journaal een contrast tussen privacy en bescherming schetst en vervolgens de voorkeur geeft aan bescherming. „Wat heb je aan privacy als je slachtoffer bent en ten prooi valt aan een mensenhandelaar? Dan wil je in de eerste plaats dat je beschermd wordt.”
Deze opvatting is dominant bij de overheid. Privacy is een luxe. Ben je slachtoffer en heb je bescherming nodig, ben je patiënt of word je bedreigd met geweld, dan kun je je de luxe van de privacy niet permitteren. In een uitgave van het ministerie van VWS over het delen van gegevens in de zorg, E-health ‘zoveel meer dan alleen techniek’, werd een paar jaar geleden al geklaagd over de ‘privacy maffia’. Luid en duidelijk klonk de boodschap dat „privacy meer hordes opwerpt dan wenselijk”. „Hoe zieker een patiënt, hoe minder belangrijk privacyregels worden.”
In een interview met de Volkskrant zei het voormalige hoofd van de AIVD de discussie over privacy beu te zijn. „Ik vind bescherming van privacy ook uitermate belangrijk, maar zouden mensen die privacy als hoogste doel hebben dat net zo enthousiast nastreven als zij slachtoffer zijn van een aanslag?”
Privacyregels moeten kwetsbare groepen beschermen: Loes wil niet volledig in beeld. Beweer je dat privacy en bescherming in strijd met elkaar zijn, dan breng je niet alleen nieuwe, maar ook allerlei oude beschermingsconstructies in gevaar. Mensenrechten. Burgerrechten. Regels omtrent de anonimiteit van slachtoffers en getuigen. Het medisch beroepsgeheim.
Hulporganisatie Fier zegt tegen de NOS dat juist slachtoffers bezwaar maken tegen melding van hun zaak bij de overheid. „Ik schat dat nog maar een op de vijf slachtoffers akkoord geeft. Ze zien het voordeel niet direct.” Wil je ze in beeld krijgen, dan zul je ze dat voordeel dus moeten uitleggen. En dat lukt alleen als je hun gegevens niet met jan en alleman deelt en begrijpt wat bescherming van de persoonlijke levenssfeer betekent.
Alles bij de bron; NRC
Een aanvaller heeft in maart 2018 toegang tot een Finse server van vpn-provider NordVPN gekregen en daar een privésleutel bemachtigd waarmee man-in-the-middle-aanvallen konden worden uitgevoerd. Dat laat het bedrijf vandaag tegenover TechCrunch weten.
Gisteren verschenen de eerste berichten dat NordVPN was gecompromitteerd en een aanvaller een inmiddels verlopen privésleutel in handen had gekregen. Volgens de vpn-provider werd één van de datacenters die het in Finland gebruikt zonder toestemming benaderd. De aanvaller wist via een "onveilig remote beheersysteem" dat door de datacentrumprovider was achtergelaten toegang tot de server te krijgen. NordVPN wist naar eigen zeggen niet dat een dergelijk systeem aanwezig was. De naam van de datacentrumprovider is niet bekendgemaakt.
De server in kwestie bevatte geen activiteitenlogs van gebruikers, aldus een woordvoerder en met de privésleutel was het niet mogelijk om vpn-verkeer van een andere server te ontsleutelen.
De inbraak werd een "aantal maanden" geleden door de vpn-provider ontdekt. Pas vandaag is die bekendgemaakt. De vpn-provider wilde naar eigen zeggen eerst zeker weten dat elk onderdeel van de eigen infrastructuur veilig is.
Alles bij de bron; Security
Op dinsdag 29 oktober as. om 9.30 uur vindt in de Rechtbank Den Haag de rechtszitting plaats in de bodemprocedure van een brede coalitie van maatschappelijke organisaties tegen het Systeem Risico Indicatie (SyRI). SyRI licht met geheime algoritmen complete woonwijken door om burgers te profileren op het risico dat ze frauderen met sociale voorzieningen. Volgens de coalitie van eisers vormt dit systeem een bedreiging voor de rechtsstaat en moet SyRI onrechtmatig worden verklaard.
De groep eisers, bestaand uit de Stichting Platform Bescherming Burgerrechten, het Nederlands Juristen Comité voor de Mensenrechten (NJCM), Stichting Privacy First, Stichting KDVP en de Landelijke Cliëntenraad, daagde in maart 2018 het Ministerie van Sociale Zaken voor de rechter. Auteurs Tommy Wieringa en Maxim Februari, die zich eerder zeer kritisch uitspraken over SyRI, sloten zich op persoonlijke titel bij de procedure aan. In juli 2018 voegde ook FNV zich bij de coalitie.
SyRI koppelt op grote schaal persoonsgegevens van burgers uit overheidsdatabases. De centraal bijeengebrachte gegevens worden geanalyseerd met geheime algoritmen. Dit moet uitwijzen of burgers een risico vormen om zich schuldig te maken aan één van de vele fraudevormen en overtredingen die het systeem omvat.
Met deze sleepnetmethode licht SyRI alle inwoners van een wijk of gebied door. Hiervoor gebruikt het systeem vrijwel alle gegevens die overheden over burgers bewaren. Het gaat om 17 datacategorieën, die tezamen een zeer indringend en volledig beeld geven van iemands privéleven. Op dit moment beslaat SyRI de databases van de Belastingdienst, de Inspectie SZW, UWV, SVB, gemeenten en IND.
Volgens de Raad van State, dat een negatief advies gaf over het SyRI-wetsvoorstel, viel er nauwelijks een gegeven te bedenken dat niet binnen de reikwijdte van het systeem valt. Voormalig voorzitter Kohnstamm van de Autoriteit Persoonsgegevens, die eveneens negatief advies over het systeem uitbracht, noemde de aanname van de SyRI-wetgeving destijds “dramatisch”.
De in totaal vijf SyRI-onderzoeken die sinds de wettelijke invoering werden aangekondigd, hebben inmiddels tienduizenden burgers binnenstebuiten gekeerd, maar spoorden tot nu toe nog niet één fraudeur op. Dit werd eind juni 2019 onthuld door de Volkskrant, die de hand wist te leggen op evaluaties van SyRI-onderzoeken.
De zitting is openbaar toegankelijk voor het publiek en zal plaatsvinden vanaf 9.30u in het Paleis van Justitie, Prins Clauslaan 60 in Den Haag. Privacy First nodigt u van harte uit om de zitting bij te wonen. Klik HIER voor een routebeschrijving.
Alles bij de bron: campagnewebsite Bijvoorbaatverdacht.nl. & PrivacyFirst
Pagina 660 van 679
