Fabrikant van insulinepompen Medtronic heeft van de Italiaanse privacytoezichthouder GPDP een AVG-boete van 300.000 euro gekregen omdat het bedrijf door een fout bij het versturen van e-mails de e-mailadressen van zo'n vijfduizend gebruikers lekte.
Omdat meerdere e-mailadressen uit de voor- en achternaam van een gebruiker bestonden was indirect af te leiden dat ze diabetes hebben. Onder de getroffen gebruikers bevonden zich ook honderden Italianen, waarop de GPDP een onderzoek startte. De Italiaanse privacytoezichthouder stelde vast dat Medtronic meerdere artikelen van de AVG had overtreden.
Alles bij de bron; Security
Deel 3 van deze reeks gaat over de Wet Gegevensverwerking door Samenwerkingsverbanden (WGS): dit is een vergevorderd wetsvoorstel om uw bankgegevens structureel te delen tussen een keur van overheidsinstanties en private bedrijven.
Het voorstel voor de Wet Gegevensverwerking door Samenwerkingsverbanden (WGS) zal het mogelijk maken dat overheid en bedrijfsleven structureel data gaan delen in zogenaamde samenwerkingsverbanden om verschillende vormen van criminaliteit en overtredingen te bestrijden.
Een viertal van dit soort samenwerkingsverbanden bestaat al, terwijl de WGS er nog niet eens is. De wet wil deze bestaande samenwerkingen alsnog van een wettelijke basis voorzien, maar ook verdergaande samenwerking mogelijk maken en deelname hierin zelfs verplichten voor private partijen.
Op dit moment bestaan er al twee samenwerkingsverbanden waarin uw bankgegevens en andere financiële gegevens tussen deelnemende partijen kunnen worden gedeeld. Het belangrijkste samenwerkingsverband is het Financieel Expertise Centrum (FEC), maar bankgegevens kunnen ook worden gedeeld in de Infobox Crimineel en Onverklaarbaar Vermogen (iCOV).
In het FEC en het iCOV werken instanties als de politie, OM, FIU-NL, FIOD en de Belastingdienst samen met als doel financieel-economische criminaliteit tegen te gaan en crimineel en ‘onverklaarbaar’ vermogen te traceren. Ook de financiële toezichthouders, De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM), zijn bij het FEC en het iCOV betrokken. Het bijzondere van het FEC is, dat banken hierin deelnemen samen met deze overheidsinstanties. De gegevensuitwisseling vindt momenteel plaats op basis van onderling afgesloten convenanten.
De deelnemers in het FEC en het iCOV beschikken samen over talloze financiële gegevens van burgers en bedrijven en kunnen deze gegevens delen voor zeer breed geformuleerde doelen. Wat er exact gebeurt binnen deze gremia en hoe strikt men omgaat met rechten van burgers van wie de data gedeeld worden, is onduidelijk: het FEC en iCOV zijn feitelijk black boxen.
Het FEC en het iCOV publiceren jaarverslagen, maar op basis hiervan valt weinig tastbaars te concluderen over hun effectiviteit. Zorgen over die effectiviteit zijn er wel: de Algemene Rekenkamer karakteriseerde het overheidsbeleid om zoveel mogelijk crimineel verworven vermogen af te pakken en waarin het iCOV een belangrijke rol speelt, in 2022 als ‘veel gezaaid en beperkt geoogst.’
De WGS maakt het mogelijk dat nog meer samenwerkingsverbanden als het FEC en iCOV gecreëerd worden én maakt de mogelijkheden van data delen veel groter en structureler. De WGS staat het toe bankgegevens te combineren met allerlei andere soorten data voor opsporingsdoeleinden. De gegevensdeling beperkt zich niet tot feiten, maar omvat ook het delen van ‘signalen’, vermoedens en zwarte lijsten.
Onder de WGS kunnen allerlei soorten private partijen verplicht worden om gegevens te delen met de overheid.
Gebruik van en het combineren van alle denkbare data wordt mogelijk: identificatiegegevens van personen en hun financiële data, vermogensgegevens, gegevens over relaties tussen personen en vermogensbestanddelen, informatie over eerdere onrechtmatigheden, over relaties of contactpersonen, politiegegevens, justitiële en strafvorderlijke gegevens, etc. etc.
De samenwerkingsverbanden moeten een periodieke privacy-audit laten uitvoeren en jaarverslagen opstellen, waarin zij rapporteren over de bruikbaarheid van de resultaten. De uitkomsten van de privacy-audits zijn alleen niet openbaar. De wet specificeert ook niet wanneer samenwerkingsverbanden als effectief kunnen worden beschouwd.
De WGS is momenteel in behandeling in de Eerste Kamer. De SyRI-coalitie, de maatschappelijke coalitie die begin 2020 de rechtszaak tegen het Systeem Risico Indicatie (SyRI) won heeft de Eerste Kamer al herhaaldelijk met klem gevraagd het wetsvoorstel WGS niet aan te nemen. Privacy First hoopt dat de Eerste Kamer nu doorpakt en het wetsvoorstel verwerpt.
Alles bij de bron; PrivacyFirst
Politiediensten die in de werkgroep 'Going Dark' van de Europese Commissie bespreken hoe ze meer toegang tot data kunnen krijgen hebben geen bewijs aangeleverd dat dit nodig is of dat encryptie-backdoors noodzakelijk zijn, zo stelt de Europese burgerrechtenbeweging EDRi die eerder nog opriep tot het ontmantelen van de werkgroep.
"Het doel van deze groep is het vinden van manieren waardoor de EU politiediensten juridisch en technisch toegang tot meer data kan geven, alsmede het omzeilen van encryptie en andere essentiële beveiligingsfeatures in al onze digitale apparaten", aldus EDRi.
De burgerrechtenbeweging stuurde een 21 pagina's tellend document naar de werkgroep waarin het allerlei bezwaren vermeld. "EDRi heeft er herhaaldelijk op gewezen dat EU-instellingen en autoriteiten van lidstaten geen bewijs hebben geleverd voor de marginale voordelen van toegang tot elektronische data in vergelijking met minder indringende alternatieven, wat leidt tot wetsvoorstellen die de noodzakelijkheidstoets niet kunnen doorstaan."
De burgerrechtenbeweging voegt toe dat de werkgroep zich vooral druk maakt om situaties waar encryptie en hardwarematige beveiliging ervoor zorgen dat er geen toegang tot data op een apparaat kan worden verkregen. "Er is geen statistische data gegeven om deze zorgen te ondersteunen", aldus EDRi.
Smartphones vandaag de dag zijn een ware 'goudmijn' voor opsporingsdiensten waarop allerlei informatie is te vinden, zo gaat de burgerrechtenbeweging verder. "Met het wijdverbreide gebruik van online diensten en smartphones, en het dominante model van surveillancekapitalisme wat leidt tot grootschalige dataverzameling voor commerciële doeleinden, beleven opsporingsdiensten een gouden eeuw van surveillance met toegang tot meer data van Europese burgers dan ooit te voren."
Afsluitend stelt EDRi dat Europese instellingen voorstellen in twijfel moeten trekken die om een algemene bewaarplicht of encryptiebeperkingen vragen, aangezien dit soort maatregelen fundamentele rechten aantasten, zonder dat ze aan de juridische voorwaarden van noodzakelijkheid en proportionaliteit voldoen.
Alles bij de bron; Security
Autofabrikanten delen gegevens over het rijgedrag van bestuurders met verzekeringsmaatschappen wat tot hogere premies leidt, zo meldt The New York Times. Een Amerikaan laat tegenover de krant weten hoe zijn autoverzekering door het nauwkeurig analyseren van zijn rijgedrag met 21 procent omhoog was gegaan. Ook premievoorstellen van andere verzekeraars waren veel hoger dan hij eerst betaalde. Dit leidde de bestuurder naar LexisNexis, een datahandelaar die autoverzekeraars van allerlei data voorziet.
De Amerikaan vroeg informatie bij LexisNexis op en kreeg een 258 pagina's tellend rapport, met 130 pagina's waarin stond hoe vaak hij en zijn vrouw in de auto hadden gereden. Het ging om gegevens over 640 autoritten, hun start- en eindtijden, afgelegde afstand en gevallen van snelheidsovertredingen, te hard remmen of plotselinge versnellingen. Het enige wat ontbrak was waar het koppel precies had gereden.
Autobedrijven hebben relaties met verzekeringsmaatschappijen. Zo hebben autofabrikanten, waaronder General Motors, Honda, Kia en Hyundai, allerlei optionele features in hun 'connected-car apps'. Wanneer bestuurders deze features inschakelen delen de autofabrikanten informatie over het rijgedrag met datahandelaren zoals LexisNexis.
Volgens The New York Times is deze samenwerking tussen fabrikant en verzekeraar voor veel bestuurders onzichtbaar en wordt de toestemming verkregen via de kleine lettertjes in het privacybeleid dat maar weinigen lezen. De krant noemt het met name verontrustend dat meerdere bestuurders van auto's gemaakt door General Motors aangeven dat hun rijgedrag getrackt werd, ook als ze de betreffende feature niet hadden ingeschakeld en als gevolg daarvan een hogere premie moesten betalen.
Volgens Jen Caltrider, een onderzoeker van Mozilla die het privacybeleid van 25 autofabrikanten analyseerde, hebben bestuurders geen idee waar ze toestemming voor geven als het aankomt op dataverzameling. "Het is onmogelijk voor consumenten om te begrijpen." Volgens Caltrider zijn moderne auto's dan ook een 'privacynachtmerrie op wielen.'
Alles bij de bron; Security
De Nederlandse Rijksinspectie Digitale Infrastructuur legt Odido een boete van 175.000 euro op. De provider zou intern verkeersgegevens van 2,5 tot 4,5 miljoen klanten voor onjuiste doeleinden hebben verwerkt. Dit vond tussen 2018 en 2019 plaats.
De RDI beboet Odido naar eigen zeggen nadat de provider verkeersgegevens heeft verwerkt voor een samenwerkingsproject met het Centraal Bureau voor de Statistiek. Er werden volgens de overheidsinstantie privacygevoelige gegevens verwerkt voor dit project, waaronder tijdstippen van telefoongesprekken en locaties van bellers. De twee partijen werkten samen om in kaart te brengen hoe grote groepen mensen zich verplaatsen.
Dit is onder bepaalde omstandigheden toegestaan, maar niet voor het project met het CBS; Odido voldeed daarom niet aan de Telecommunicatiewet.Het samenwerkingsproject tussen de provider en het CBS werd begin 2020 beëindigd en sindsdien heeft de RDI geen overtredingen geconstateerd.
Alles bij de bron; Tweakers
Aangemoedigd door de politie filmen we in Nederland massaal de straat en ontstaat er een collectieve massasurveillance. Bij het uitlaten van je hond is het wel erg gezellig met die dame of heer uit de buurt en een flauw vermoeden is al voldoende voor het ontstaan van een buurtsoap.
Ondanks initiëel protest zijn de cameradeurbellen al jaren uitgerust met gezichtsherkenning. Een beetje handige programmeur uit de buurt bouwt er zelf een applicatie bij en legt voor de hele buurt vast wie de hond uitlaat. Alle beelden worden opgeslagen in de cloudsystemen van de fabrikanten, waarbij het maar de vraag is wat ze daar werkelijk mee doen.
De deurbellen zijn eenvoudig te hacken, dus ook voor geïnteresseerde Chinezen en Russen die gezichten willen kunnen herkennen. Dan is er nog de politie die de beelden kan vorderen, waarmee je naam en adres in een strafzaak terecht kan komen.)
Met de angstpromotie van fabrikanten en gebrek aan handhaving lijkt een ‘nieuw normaal’ te ontstaan. Het mag misschien wel niet, maar er wordt niet gehandhaafd en wie doet er nou moeilijk over? De politie zeker niet. In Nederland barstte een maatschappelijke discussie hierover de afgelopen weken los.
Doordat de Autoriteit Persoonsgegevens (AP) zich van de rechter mag beroepen op een tekort aan capaciteit, draaien burenruzies uit op rechtszaken en worden overtreders amper aangepakt. Krijgen we de AP wel zo ver om fatsoenlijk te gaan handhaven, dan zijn we er nog niet.
Als er komende zomer ineens een drone boven je achtertuin hangt, dan voel je je bespied, ongeacht of er werkelijk gefilmd wordt. Het panopticum dat de drone creëert is de werkelijke inbreuk op je privéleven. Een software-instelling in de camera verandert daar niets aan. Ook de AP erkent dit probleem, maar kan een ‘dummy camera’ niet verbieden.
Is de camera niet langer op de straat gericht, dan is er nog de kwestie ‘pakketbezorger’. Van iedereen die aan de deur komt wordt het gezicht gearchiveerd, geanalyseerd en eventueel geïdentificeerd. Als eigenaar van de camera heb je een informatieplicht, maar bij de meeste camera’s ontbreekt die sticker. Ben je gefilmd? Dan moet de eigenaar die beelden met je delen of ze verwijderen als je daarom vraagt.
Het project ‘Shutterring‘ (een schuifje voor je deurbelcamera) lijkt vooral een ludiek concept, maar is wellicht de enige doeltreffende oplossing voor het bovenstaande. En hebben de cameradeurbellen straks allemaal een ‘shutterring’, dan staan de overgebleven beelden nog steeds in de cloudsystemen van Amazon en Google. Massaal accepteren we die gebruiksvoorwaarden en dan hopen we dat de fabrikanten zich daaraan houden. Een veel betere oplossing is om alle beelden en data te verhuizen naar een persoonlijke, beveiligde omgeving van de eigenaar van de camera.
De totale oplossing vraagt handhaving, regulering en aanpassing van technologie. ‘Shutterring’ als standaard op iedere camera zou een bijzonder doeltreffende, effectieve en eenvoudige deeloplossing zijn. Het grootste voordeel: de fabrikanten heb je daar niet voor nodig. Voor het creëren van data-soevereiniteit en een andere rol voor fabrikanten zullen we wat meer werk moeten verzetten.
Privacy First is sinds begin dit jaar onderdeel van het nieuwe ‘Consortium Slimme Deurbellen’, waarin het vraagstuk en oplossingen onderzocht gaan worden. Website volgt.
Alles bij de bron; PrivacyFirst
Het college van bestuur wil discriminatie effectiever bestrijden en gelijke kansen bevorderen, en wil daarom meer informatie over de achtergrond van medewerkers en studenten. Het kan gaan om data als geaardheid, etniciteit, beperkingen en sociale klasse.
Het idee is om de personeelsmonitor uit te breiden met vragen en er komt een inclusiemonitor voor studenten, die is verplicht door het ministerie van Onderwijs.
De universiteitsraad maakt zich zorgen over de privacy bij het binnenhalen van deze gevoelige informatie. Dat snapte collegevoorzitter Ottow.
‘Uiteraard vinden wij het ook heel belangrijk dat dit goed gebeurt. We voldoen aan alle privacy-eisen. Het invullen is vrijwillig en de gegevens zijn geanonimiseerd. ‘ok worden de gegevens op hoog niveau geaggregeerd, zodat de data niet herleidbaar is tot personen en groepen’, zei ze tijdens universiteitsraadsvergadering.
Patrick Klaassen van personeelspartij UB verzet zich tegen het vragen naar de persoonlijke data. ‘Mijn fractie vindt dit een uitermate slecht plan. Het zijn de meest gevoelige gegevens die er zijn. Seksuele voorkeur. Geloof misschien? Straks ook politieke voorkeur? Dit is een hellend vlak. Er zijn geen problemen in de organisatie die deze aanpak rechtvaardigen.’
Een half jaar geleden hebben we een heel debat gehad over #cameragate, memoreerde hij. ‘Toen concludeerden we dat de slimme camera’s van de muur moesten omdat we geen bijzondere persoonsgegevens van mensen in universiteitsgebouwen binnen wilden halen. Nu gaan we gevoelige persoonlijke data opvragen.’
Studentenpartij DSP vond de houding van UB vreemd: ‘Ik vind het zeer zorgelijk dat UB het idee heeft dat er geen problemen zijn. Uit de personeelsmonitor en landelijke data blijkt dat er mensen nog steeds gediscrimineerd worden, bijvoorbeeld op basis van gender. Je mag met alle liefde “nee” zeggen als je geen vragen wil beantwoorden.’
'Het is cruciaal dat we dit gaan doen,’ vond ook Ottow, en een meerderheid in de raad bleek het daarmee eens.
Alles bij de bron; MareOnLine
Een regionale Schotse gezondheidsdienst is slachtoffer geworden van een cyberaanval, waarbij mogelijk ook persoonlijke gegevens van patiënten en medewerkers zijn buitgemaakt. Dat laat National Health Service (NHS) Dumfries and Galloway via de eigen website weten.
Volgens de dienst is het slachtoffer geworden van een cyberaanval; "Tijdens de inbraak op onze systemen is er een risico dat hackers grote hoeveelheden data hebben bemachtigd", aldus de verklaring. "Er wordt onderzocht welke data is benaderd, maar we hebben reden om aan te nemen dat het om patiënt- en personeelsgegevens gaat." Verdere details over het soort aanval zijn niet gegeven.
Alles bij de bron; Security