Overheid, Politiek & Wetgeving
- Gegevens
- Hoofdcategorie: Nieuws uit NL
De NL Alert-app van de Nederlandse overheid had nog een tweede beveiligingslek. Daarmee was het mogelijk om de locatie van individuele gebruikers te achterhalen. Het lek is verholpen, maar werd niet aan de Tweede Kamer gemeld. Het ministerie van Justitie bevestigt tegen de NOS dat het lek in de app zat.
Het lek kwam naar boven via een beveiligingsonderzoeker die dat aan de NOS doorgaf. Met het lek was het mogelijk locatiegegevens van gebruikers te achterhalen. Die locatiedata was nodig om gebruikers in bepaalde gebieden een melding te kunnen sturen. De verzending werd echter niet versleuteld.
Voor het achterhalen van de locatie was het nodig een token te achterhalen dat voor iedere gebruiker uniek was. Het token stond onder andere in de privacyinstellingen van de app. De app verstuurde de locatiedata van gebruikers twee keer. Bij één van die keren gebeurde dat onveilig. Daardoor was het mogelijk de verzending te onderscheppen, en daarbij het unieke token van een gebruiker te vervangen. Het is volgens de onderzoeker die het aan de NOS meldde niet duidelijk waarom de locatiedata twee keer verstuurd werd.
Het beveiligingslek zat in de losstaande NL Alert-app, een aanvullende app bovenop het standaard NL Alert-systeem dat via cell broadcasting werkt. Donderdag waarschuwde het ministerie van Justitie en Veiligheid al de app te verwijderen omdat daar een datalek in zat. Daarbij werden locatie- en andere persoonsgegevens van gebruikers verstuurd naar een derde partij.
Opvallend is dat de onderzoeker het lek aan de overheid heeft gemeld, en dat dat inmiddels ook gerepareerd is. Dat gebeurde al voordat minister Grapperhaus de Tweede Kamer informeerde over het eerste lek. In die brief werd dit nieuwe lek niet genoemd.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Het corona-opt-in waarmee de medische dossiers van ruim 8 miljoen Nederlanders zijn opengesteld is geen opt-out-systeem, aldus minister Van Rijn voor Medische Zorg. De 8 miljoen Nederlanders om wie het gaat hadden nog geen keuze gemaakt of ze hun medisch dossier via het Landelijk Schakelpunt (LSP) voor zorgverleners toegankelijk willen maken.
Om de huisartsgegevens van deze groep toch te kunnen raadplegen is het 'corona opt-in' bedacht. Daardoor zijn de dossiers van de ruim 8 miljoen Nederlanders nu wel op de huisartsenpost of spoedeisende hulp via het LSP en andere kanalen toegankelijk. Voordat de dossiers door zorgverleners worden geraadpleegd moet de patiënt, als die hiertoe in staat is, nog wel mondeling toestemming geven.
PvdD-Kamerlid Van Esch wilde opheldering van de minister. "Waarom noemt u deze ingreep een 'corona-opt-in' aangezien een opt-in systeem er vanuit gaat dat men een actie moet ondernemen om mee te doen en hier het tegenovergestelde (dus opt-out) het geval is? Acht u een opt-out systeem passend voor de omgang met medische gegevens?"
Volgens Van Rijn is er geen sprake van een opt-out-systeem. Patiënten moeten namelijk nog eerst mondeling toestemming geven. Wanneer ze geen toestemming geven wordt hun informatie ook niet geraadpleegd. "Daarmee is geen sprake van een opt–out-systeem, maar blijft de regie bij de patiënt. Tevens is van belang dat burgers ook als ze nog geen zorgvraag hebben, de mogelijkheid hebben tot een opt-out", merkt de minister op. Zo is het mogelijk om een opt-out via de huisarts of de website Volgjezorg.nl door te geven.
De corona-opt-in is een tijdelijke maatregel die in ieder geval tot 1 juni van dit jaar duurt of zolang er maatregelen van kracht zijn om het coronavirus onder controle te krijgen. "De terugkeer naar de normaaltoestand blijft het uitgangspunt en technisch is voorzien dat de corona-opt-ins dan direct kunnen worden verwijderd", aldus Van Rijn.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Op de twee zoekgeraakte externe harde schijven van het Donorregister stonden gegevens van meer dan zes miljoen personen, schrijft minister Hugo de Jonge (Volksgezondheid) donderdag in een antwoord op Kamervragen. De minister bevestigt dat deze gegevens niet beveiligd waren...
...Nu blijkt dat op deze formulieren de voor- en achternaam, het geslacht, de geboortedatum, de adresgegevens, de donorkeuze, de handtekening en het burgerservicenummer van 6.058.250 unieke personen stonden.
Alles bij de bron; NU
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Er zit een datalek in de NL-Alert app. Minister Ferd Grapperhaus van Justitie en Veiligheid roept gebruikers op om de app meteen te verwijderen. De app-maker krijgt locatiegegevens en persoonlijke gegevens van de gebruikers door. Die hebben daar geen toestemming voor gegeven.
Dat schrijft minister Grapperhaus in een brief aan de Tweede Kamer. "Eind maart ontdekten medewerkers van mijn ministerie dat de NL-Alert app gebruik maakt van een externe dienst die mogelijk niet voldoet aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG)", meldt de minister, waarmee hij verwijst naar de privacywet.
Er komt een update, waarin het lek gedicht is.
Alles bij de bron; RTL
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Op 1 april 2020 heeft de Afdeling bestuursrechtspraak van de Raad van State (de Afdeling) in vier zaken geoordeeld over verzoeken om immateriële schadevergoeding bij een privacy-inbreuk. In alle zaken komt de Afdeling tot het oordeel dat sprake is van een schending van de AVG. Het verzoek om schadevergoeding wordt in vier zaken afgewezen. De Afdeling heeft hierin uitvoerig stilgestaan bij de beoordeling van dergelijke verzoeken.
In deze blog gaan we in op de bevoegdheid van de bestuursrechter bij een verzoek om schadevergoeding. Vervolgens geven we aan welke vuistregels zijn af te leiden uit de uitspraken van de Afdeling ten aanzien van immateriële schadevergoeding bij een privacy-inbreuk.
Alles bij de bron; BinnenlandsBestuur
- Gegevens
- Hoofdcategorie: Nieuws uit NL
De ministers Dekker en Grapperhaus van Justitie en Veiligheid hebben de Tweede Kamer een wetsvoorstel gestuurd, dat het makkelijker moet maken om gegevens over verdachten te delen. Hiervan kunnen ook sommige private partijen profiteren, zoals banken en verzekeraars.
Een eerste voorstel werd nog door de Afdeling advisering van de Raad van State bekritiseerd omdat het niet aan de Grondwet voldeed.
Volgens de minister kan criminaliteit effectiever worden aangepakt als overheidsorganisaties ruimere mogelijkheden krijgen om de informatie waarover zij beschikken met elkaar te delen. Het gaat dan om het uitwisselen van gegevens tussen gemeenten, politie, Openbaar Ministerie en de Belastingdienst, maar ook met bedrijven zoals banken kan er data worden uitgewisseld.
Op dit moment ontbreekt er een specifieke wettelijke grondslag voor onderlinge gegevensverwerking. Overheidsinstanties kunnen daardoor niet zomaar gegevens met elkaar delen en analyseren. Het wetsvoorstel maakt dit wel mogelijk door een juridisch kader voor gezamenlijke gegevensverwerking te introduceren.
Het voorstel voor de "Wet gegevensverwerking door samenwerkingsverbanden" zorgt ervoor dat niet alleen de informatieverstrekking aan, maar ook de verwerking van gegevens binnen samenwerkingsverbanden makkelijker wordt. Ook moet het voor samenwerkingsverbanden eenvoudiger worden om gegevens met deelnemers of derden te delen.
De Afdeling advisering Raad van State boog zich over een eerste versie van het wetsvoorstel en was zeer kritisch. Zo hadden de voorgestelde regels een te ruime reikwijdte en waren te weinig specifiek. Daarnaast nam het voorstel de juridische onzekerheid over de toelaatbaarheid van de gegevensuitwisseling door samenwerkingsverbanden op de voorgestelde wijze niet weg.
"Omdat het voorstel vergaande beperkingen van het recht op bescherming van de persoonlijke levenssfeer mogelijk wil maken en tegelijkertijd niet de wezenlijke elementen en begrenzingen bevat, voldoet het in deze vorm niet aan de eisen van artikel 10 Grondwet. Dat artikel beschermt het recht op eerbiediging van de persoonlijke levenssfeer", aldus de Afdeling, die de minister adviseerde om het wetsvoorstel niet bij de Tweede Kamer in te dienen tenzij het werd aangepast (pdf).
Hoewel er nu vier samenwerkingsverbanden worden genoemd die gegevens kunnen delen, is in het wetsvoorstel wel de mogelijkheid opgenomen om nieuwe samenwerkingsverbanden makkelijker gegevens te laten uitwisselen. Dergelijke samenwerkingsverbanden worden bij algemene maatregel van bestuur (amvb) aangewezen. Daarin staat het doel van de samenwerking en welke regels er gelden. Ook wordt het parlement vooraf betrokken. Wanneer de Tweede Kamer over het voorstel stemt is nog onbekend.
Alles bij de bron; Security & RijksOverheid
- Gegevens
- Hoofdcategorie: Nieuws uit NL
De afgelopen tien jaar is hard gewerkt aan versterking van de positie van slachtoffers van criminaliteit in het strafproces. Dit heeft ertoe geleid dat de rechten van het slachtoffer binnen en buiten het strafproces zijn versterkt. Het slachtoffer is daarmee ook zichtbaarder geworden, en staat soms letterlijk in de schijnwerpers. Die zichtbaarheid heeft ook een keerzijde, want het kan leiden tot een inbreuk op de persoonlijke levenssfeer (hierna: privacy) van het slachtoffer.
Het moet voor een slachtoffer buitengewoon pijnlijk zijn om tijdens het strafproces ook nog eens het gevoel te hebben dat je privacy niet wordt gerespecteerd. Als minister voor Rechtsbescherming zie ik het als mijn taak om deze inbreuken zoveel mogelijk te beperken. In deze brief ga ik in op de acties die ik daarop heb ingezet en nog zal inzetten.
In deze brief ga ik in op de volgende aspecten van de privacy van slachtoffers:
I. Bescherming van privacy binnen het strafproces
A) Beschermen adresgegevens tegen kennisname door verdachte
B) Bescherming van medische gegevens als onderdeel van vordering benadeelde partij
C) Bescherming van privacy tijdens terechtzitting
II. Bescherming van privacy buiten het strafproces
D) Bescherming van privacy in voorlichting over strafzaken
E) Bescherming van privacy in de media
Alles bij de bron; RijksOverheid
- Gegevens
- Hoofdcategorie: Nieuws uit NL
De hoogleraren staatsrecht Jan Brouwer (Rijksuniversiteit Groningen) en Jon Schilder (Vrije Universiteit) merken dat juristen én handhavers zich ongemakkelijk beginnen te voelen bij de in de haast geschreven teksten van de noodverordening. Deze geeft verregaande bevoegdheden aan de 25 voorzitters die de veiligheidsregio’s leiden, de zogenaamde ‘superburgemeesters’. Zij worden tijdens deze crisis ook niet langer gecontroleerd door de gemeenteraad, maar staan in direct contact met het kabinet. Alleen de Tweede Kamer kijkt nog mee, op afstand.
In de handhaving loopt de politie voortdurend tegen twee tegenstrijdige rechten aan, zegt Brouwer, die specialist is op het gebied van de openbare orde. “Aan de ene kant moeten die voorzitters de gezondheid en het leven van de bevolking beschermen, aan de andere kant staat in de Grondwet het recht op privacy en het huisrecht beschreven.”
“Dat is nadrukkelijk benoemd. Wat in deze crisis gebeurt, is dus illegaal”, zegt Schilder. “Met het binnentreden van woningen en bedrijfsgebouwen worden het fundamentele recht op privacy en het huisrecht geschonden. Mocht je willen dat dit wél mogelijk moet zijn, dan moet het parlement de wet aanpassen.”
Er zijn volgens Brouwer uitzonderingen mogelijk, maar die zijn juridisch op het randje.
Burgemeesters hanteren de noodverordening ook voor zaken die helemaal niets met corona van doen hebben. Burgemeester Peter Snijders van Zwolle verbiedt bijvoorbeeld de betoging van Pegida zaterdag bij een moskee, op grond van die noodverordening. Volgens Snijders geldt de regel dat je niet met meer dan drie personen mag samenkomen ook voor demonstraties. Volgens Brouwer is dat pertinent onjuist. “Zolang zij anderhalve meter afstand houden, mag er gewoon gedemonstreerd worden.”
Een burgemeester mag in een uitzonderlijk geval bijzondere bevoegdheden gebruiken die voor korte tijd van de wet afwijken. Ook in die gevallen geldt: je mag niet afwijken van de Grondwet. Dat gebeurt in de coronacrisis wél, en voor een langere periode waarvan op dit moment het einde nog niet in zicht is.”
Alles bij de bron; Trouw
- Gegevens
- Hoofdcategorie: Nieuws uit NL
De Nederlandse Staat gaat niet in beroep tegen het vonnis van de rechter over het risicoprofileringssysteem SyRI.
SyRI is een systeem van het ministerie van Sociale Zaken waarin persoonsgegevens van Nederlandse burgers uit allerlei overheidsdatabases worden samengevoegd en geanalyseerd met de bedoeling om sociale zekerheids-, arbeids- en belastingfraude tegen te gaan. SyRI genereert op basis van de geanalyseerde data risicomeldingen, die tot verder onderzoek kunnen leiden.
Volgens een coalitie van maatschappelijke organisaties, waaronder Stichting Platform Bescherming Burgerrechten, het Nederlands Juristen Comité voor de Mensenrechten, vakbond FNV, Stichting Privacy First, Stichting KDVP en de Landelijke Cliëntenraad en auteurs Maxim Februari en Tommy Wieringa, vormt het systeem een bedreiging voor de rechtsstaat en moet het uit de wet worden geschrapt.
De rechtbank zette de doelen van de SyRI-wetgeving, het voorkomen en bestrijden van fraude in het belang van het economisch welzijn, af tegen de inbreuk op het privéleven die de wetgeving maakt. Volgens de rechtbank voldoet de wetgeving niet aan de 'fair balance' die het Europees Verdrag voor de Rechten voor de Mens vereist om te kunnen spreken over een voldoende gerechtvaardigde inbreuk op het privéleven. SyRI mocht vervolgens niet meer als handhavingsinstrument worden ingezet.
"Ik heb het vonnis van de rechter bestudeerd en heb, na overleg met mijn collega's binnen het kabinet, besloten om niet in hoger beroep te gaan", zegt staatssecretaris Van Ark van Sociale Zaken. Van Ark wil een nieuw instrument ontwikkelen waarbij ze ook lering uit SyRI wil trekken. Hierbij zullen onder andere de Belastingdienst en het UWV worden betrokken.
Van Ark en minister Koolmees zullen later een visie op het uitwisselen van gegevens en privacy in het sociaal domein aan de Tweede Kamer presenteren.
Alles bij de bron; Security [Kamerbrief]
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Op grond van onze werkzaamheden concluderen wij dat het stelsel van maatregelen en procedures gericht op de bescherming van de poiitiegegevens, betrekking hebbende op de in de WPG genoemde artikelen, naar de stand van ultimo december 2018, in opzet, bestaan en werking niet of niet geheel heeft voldaan aan de vereisten, zoals genoemd in de WPG.
Het oordeel heeft betrekking op de zogenaamde verwerkingen genoemd in de WPG. Het hierbij gehanteerde normenkader omvat de door de politie te nemen maatregelen. Tekortkomingen op deze vlakken hebben uiteindelijk geleid tot het geformuleerde oordeel....
...Ondanks de verbeteractiviteiten die opgestart zijn vanuit het landelijk verbeterprogramma is de conclusie voor cyclus 3, periode 2015/2018, dat de politie niet of niet geheel voldoet aan de WPG. De WPG staat niet bovenaan de prioriteitenlijst van de Nationale Politie. Er is er nog steeds veel onbekendheid rondom de WPG en de WPG wordt soms, ondanks de essentie, als last gezien. ...
Uit het onderzoek komt naar voren dat Privacy en in het bijzonder meer attentie en aandacht zouden moeten krijgen, zeker nu de verwachting is dat burgers steeds meer vragen gaan stellen, ook op straat. Met de huidige aandacht in de samenleving voor privacy — mede door de inwerkingtreding van de AVG op 25 mei jl.— is het belangrijk om bewust om te gaan met het verwerken van politiegegevens.
Het verwerken van politiegegevens vormt het fundament van het bestaan van de politie. De betrouwbaarheid van de politie kan in gevaar komen wanneer er onvoldoende aandacht is voor het goed omgaan met gegevens. Structurele duideiijkheid en borging van de WPG in processen is noodzakelijk.
Alles bij de bron; RijksOverheid