De populaire Chinese webshop Temu zou 'zorgwekkend veel' toegang hebben tot persoonsgegevens in vergelijking met andere apps. "De meeste mensen zouden bij het installeren van de app wel tien keer nadenken als ze wisten welke informatie Temu van je binnenhaalt."
Voor wie Temu toch niet kent, eerst even een korte uitleg. Op het eerste gezicht lijkt Temu op zijn concurrenten AliExpress en Wish. Het assortiment varieert van kleding tot elektronica, allemaal voor zeer lage prijzen. 'Winkel als een miljardair', luidt de slogan. Temu is een dochterbedrijf van de Chinese groep Pinduoduo en heeft meer dan 338 miljoen gebruikers wereldwijd.
Technologie-expert Vincent Nys deed voor het televisieprogramma 'Het digitale dilemma' van de Belgische VRT, dat eerder deze week werd uitgezonden, onderzoek naar Temu door naar de broncode te kijken van de app.
"In de broncode kan je zien welke rechten je verleent aan Temu. Daar hebben we kunnen vinden dat de app onder andere kijkt naar welke errormeldingen andere apps op je telefoon geven. Maar ook dat je toestemming geeft aan Temu om software te installeren op je telefoon. Je audio kan worden opgenomen en er kunnen ook screenshots gemaakt worden door Temu."
Als je kijkt naar welke diensten Temu aanbiedt, zou de webshop eigenlijk geen toegang moeten hebben tot deze informatie. Temu is hierdoor volgens Nys mogelijk nog een grotere 'datastofzuiger' dan TikTok.
Alles bij de bron; RTL
De politie van het graafschap Kent en de havenautoriteit van Dover hebben een berisping gekregen omdat ze Whatsapp en Telegram gebruikten om informatie over voertuigcriminaliteit te delen. In de Telegramgroep van het politiekorps zaten 241 agenten uit meerdere Britse korpsen én internationale opsporingsdiensten.
Ze deelden persoonlijke informatie zonder de juiste waarborgen, aldus het Information Commissioners Office (ICO). ‘Het gebruik van socialemedia-chatapps op persoonlijke apparaten voorkomt het noodzakelijke toezicht dat toezichthouders en managers zouden moeten hebben’. Er zijn bovendien officiële kanalen waarmee opsporingsdiensten rechtmatig informatie kunnen delen.
Het korps van Kent schakelde zelf het ICO in nadat een agent via zijn privételefoon een foto van iemands id-bewijs had gemaakt en via de Telegramgroep had gedeeld.
Alles bij de bron; Cops-in-Cyberspace
Het Amerikaanse bedrijf MedData heeft een datalek waarbij de gegevens van 136.000 patiënten door een medewerker op GitHub.com werden geplaatst geschikt voor een bedrag van 7 miljoen dollar.
Eind 2020 werd MedData door de Nederlandse beveiligingsonderzoeker Jelle Ursem ingelicht dat data van het bedrijf op GitHub stond. Het ging om namen, adresgegevens, geboortedata, social-securitynummers, diagnoses, medische aandoeningen, verzekeringsclaims en nog veel meer informatie.
Slachtoffers van het datalek werden op 31 maart 2021 ingelicht. Daarnaast besloot MedData om het gebruik van file sharing websites op het eigen netwerk te blokkeren, werden beleid en procedures aangepast, een security operations center geïmplementeerd en een managed detection and response uitgerold. MedData bevestigde dat de bestanden van GitHub zijn verwijderd.
Het is echter onduidelijk of de data ook veilig is. De medewerker had ze geüpload naar GitHub Arctic Code Vault, een publieke data repository voor de langetermijnopslag van bestanden. Daarbij wordt opgeslagen data ook op fysieke opslagmedia geplaatst.
Naar aanleiding van het datalek besloten verschillende gedupeerden een massaclaim tegen MedData te starten. Deelnemers aan de massaclaim hebben tot 21 mei om een claim in te dienen. Daarbij kan elke deelnemer een bedrag van maximaal 5.000 dollar claimen, afhankelijk van de geleden schade.
Alles bij de bron; Security
Zestien- en zeventienjarigen moeten op 9 juni net als alle volwassen Belgen opdagen aan het stemhokje voor de Europese verkiezingen. Dat heeft het Grondwettelijk Hof donderdag beslist.
Het Grondwettelijk Hof oordeelt dat jongeren geen opkomstplicht opleggen niet kan. Op die manier zouden minder- en meerderjarige Belgen verschillend worden behandeld.
“Het Hof oordeelt dat het verschil in behandeling van de kiezers naargelang zij meerderjarig of minderjarig zijn, niet lijkt te zijn verantwoord door dwingende motieven van algemeen belang”, meldt het Grondwettelijk Hof donderdag. De wet die alleen meerderjarigen verplicht om Europees te gaan stemmen, wordt bijgevolg geschorst.
Daardoor “zijn ook de 16- en 17-jarigen verplicht om te gaan stemmen voor de Europese verkiezingen en kunnen zij worden gesanctioneerd indien zij niet gaan stemmen”.
Alles bij de bron; deMorgen
De verplichting om twee vingerafdrukken op te nemen op elektronische identiteitskaarten gaat niet in tegen het recht op privacy. Dat concludeert het Europees Hof van Justitie in een arrest.
De Europese verordening die de verplichting regelt moet niettemin op de schop, omdat ze gebaseerd is op “een onjuiste rechtsgrondslag”.
Omdat de gevolgen te groot zouden zijn als het Europees Hof de verordening meteen ongeldig verklaart, blijft ze gehandhaafd tot 31 december 2026. Tegen die datum moet er een nieuwe verordening zijn.
Alles bij de bron; HLN
Banken mogen rekeningen van klanten niet zonder duidelijk opgaaf van redenen blokkeren, zo stelt demissionair minister van Financiën. Hij reageerde op Kamervragen van de ChristenUnie over signalen dat bankrekeningen van jongeren steeds vaker worden geblokkeerd wegens de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).
Volgens de demissionair minister worden rekeningen van jongeren vaak in het geval van fraude geblokkeerd. "In het kader van fraude zijn mij signalen bekend dat jongeren vaker misbruikt worden als geldezel, en dat daardoor de betaalrekening kan worden geblokkeerd."
Hij voegt toe dat het vaak personen in een kwetsbare situatie zijn die als katvanger worden misbruikt. Op dit moment vinden er drie pilots plaats met de aanpak van katvangers. De resultaten van daarvan worden dit jaar verwacht. Aan de hand van de resultaten zal de aanpak ook verder in Nederland worden ingezet.
De bewindsman gaf ook aan het belangrijk te vinden om een beter beeld te krijgen van het aantal burgers van wie een betaalrekening is geblokkeerd, geweigerd of opgezegd en met welke redenen. "Ik zal daarom de NVB vragen om cijfers en de redenen van blokkade beter bij te houden."
Alles bij de bron; Security
Deel 3 van deze reeks gaat over de Wet Gegevensverwerking door Samenwerkingsverbanden (WGS): dit is een vergevorderd wetsvoorstel om uw bankgegevens structureel te delen tussen een keur van overheidsinstanties en private bedrijven.
Het voorstel voor de Wet Gegevensverwerking door Samenwerkingsverbanden (WGS) zal het mogelijk maken dat overheid en bedrijfsleven structureel data gaan delen in zogenaamde samenwerkingsverbanden om verschillende vormen van criminaliteit en overtredingen te bestrijden.
Een viertal van dit soort samenwerkingsverbanden bestaat al, terwijl de WGS er nog niet eens is. De wet wil deze bestaande samenwerkingen alsnog van een wettelijke basis voorzien, maar ook verdergaande samenwerking mogelijk maken en deelname hierin zelfs verplichten voor private partijen.
Op dit moment bestaan er al twee samenwerkingsverbanden waarin uw bankgegevens en andere financiële gegevens tussen deelnemende partijen kunnen worden gedeeld. Het belangrijkste samenwerkingsverband is het Financieel Expertise Centrum (FEC), maar bankgegevens kunnen ook worden gedeeld in de Infobox Crimineel en Onverklaarbaar Vermogen (iCOV).
In het FEC en het iCOV werken instanties als de politie, OM, FIU-NL, FIOD en de Belastingdienst samen met als doel financieel-economische criminaliteit tegen te gaan en crimineel en ‘onverklaarbaar’ vermogen te traceren. Ook de financiële toezichthouders, De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM), zijn bij het FEC en het iCOV betrokken. Het bijzondere van het FEC is, dat banken hierin deelnemen samen met deze overheidsinstanties. De gegevensuitwisseling vindt momenteel plaats op basis van onderling afgesloten convenanten.
De deelnemers in het FEC en het iCOV beschikken samen over talloze financiële gegevens van burgers en bedrijven en kunnen deze gegevens delen voor zeer breed geformuleerde doelen. Wat er exact gebeurt binnen deze gremia en hoe strikt men omgaat met rechten van burgers van wie de data gedeeld worden, is onduidelijk: het FEC en iCOV zijn feitelijk black boxen.
Het FEC en het iCOV publiceren jaarverslagen, maar op basis hiervan valt weinig tastbaars te concluderen over hun effectiviteit. Zorgen over die effectiviteit zijn er wel: de Algemene Rekenkamer karakteriseerde het overheidsbeleid om zoveel mogelijk crimineel verworven vermogen af te pakken en waarin het iCOV een belangrijke rol speelt, in 2022 als ‘veel gezaaid en beperkt geoogst.’
De WGS maakt het mogelijk dat nog meer samenwerkingsverbanden als het FEC en iCOV gecreëerd worden én maakt de mogelijkheden van data delen veel groter en structureler. De WGS staat het toe bankgegevens te combineren met allerlei andere soorten data voor opsporingsdoeleinden. De gegevensdeling beperkt zich niet tot feiten, maar omvat ook het delen van ‘signalen’, vermoedens en zwarte lijsten.
Onder de WGS kunnen allerlei soorten private partijen verplicht worden om gegevens te delen met de overheid.
Gebruik van en het combineren van alle denkbare data wordt mogelijk: identificatiegegevens van personen en hun financiële data, vermogensgegevens, gegevens over relaties tussen personen en vermogensbestanddelen, informatie over eerdere onrechtmatigheden, over relaties of contactpersonen, politiegegevens, justitiële en strafvorderlijke gegevens, etc. etc.
De samenwerkingsverbanden moeten een periodieke privacy-audit laten uitvoeren en jaarverslagen opstellen, waarin zij rapporteren over de bruikbaarheid van de resultaten. De uitkomsten van de privacy-audits zijn alleen niet openbaar. De wet specificeert ook niet wanneer samenwerkingsverbanden als effectief kunnen worden beschouwd.
De WGS is momenteel in behandeling in de Eerste Kamer. De SyRI-coalitie, de maatschappelijke coalitie die begin 2020 de rechtszaak tegen het Systeem Risico Indicatie (SyRI) won heeft de Eerste Kamer al herhaaldelijk met klem gevraagd het wetsvoorstel WGS niet aan te nemen. Privacy First hoopt dat de Eerste Kamer nu doorpakt en het wetsvoorstel verwerpt.
Alles bij de bron; PrivacyFirst
Autofabrikanten delen gegevens over het rijgedrag van bestuurders met verzekeringsmaatschappen wat tot hogere premies leidt, zo meldt The New York Times. Een Amerikaan laat tegenover de krant weten hoe zijn autoverzekering door het nauwkeurig analyseren van zijn rijgedrag met 21 procent omhoog was gegaan. Ook premievoorstellen van andere verzekeraars waren veel hoger dan hij eerst betaalde. Dit leidde de bestuurder naar LexisNexis, een datahandelaar die autoverzekeraars van allerlei data voorziet.
De Amerikaan vroeg informatie bij LexisNexis op en kreeg een 258 pagina's tellend rapport, met 130 pagina's waarin stond hoe vaak hij en zijn vrouw in de auto hadden gereden. Het ging om gegevens over 640 autoritten, hun start- en eindtijden, afgelegde afstand en gevallen van snelheidsovertredingen, te hard remmen of plotselinge versnellingen. Het enige wat ontbrak was waar het koppel precies had gereden.
Autobedrijven hebben relaties met verzekeringsmaatschappijen. Zo hebben autofabrikanten, waaronder General Motors, Honda, Kia en Hyundai, allerlei optionele features in hun 'connected-car apps'. Wanneer bestuurders deze features inschakelen delen de autofabrikanten informatie over het rijgedrag met datahandelaren zoals LexisNexis.
Volgens The New York Times is deze samenwerking tussen fabrikant en verzekeraar voor veel bestuurders onzichtbaar en wordt de toestemming verkregen via de kleine lettertjes in het privacybeleid dat maar weinigen lezen. De krant noemt het met name verontrustend dat meerdere bestuurders van auto's gemaakt door General Motors aangeven dat hun rijgedrag getrackt werd, ook als ze de betreffende feature niet hadden ingeschakeld en als gevolg daarvan een hogere premie moesten betalen.
Volgens Jen Caltrider, een onderzoeker van Mozilla die het privacybeleid van 25 autofabrikanten analyseerde, hebben bestuurders geen idee waar ze toestemming voor geven als het aankomt op dataverzameling. "Het is onmogelijk voor consumenten om te begrijpen." Volgens Caltrider zijn moderne auto's dan ook een 'privacynachtmerrie op wielen.'
Alles bij de bron; Security
Het Home Office, het Britse ministerie van Binnenlandse Zaken, is onzorgvuldig omgegaan met de gegevens van meer dan 76.000 immigranten. Deze zijn onder meer geregistreerd onder de verkeerde namen en er zijn foto’s van immigranten door elkaar gehaald.
Uit interne documenten blijkt dat het ministerie een tool heeft ontwikkeld om potentiële samengevoegde identiteiten te signaleren. Tot nu toe zijn daarmee ruim 38.000 problemen gesignaleerd, die elk ten minste twee mensen hebben getroffen. Een woordvoerder van het Home Office zegt dat de problemen naar schatting 0,02 procent van de personen in de database hebben getroffen.
Door de fout van het Home Office kunnen de getroffenen niet solliciteren en komen ze niet in aanmerking voor een woning of voor behandeling bij de National Health Service, schrijft The Guardian donderdag op basis van uitgelekte documenten. Dat komt doordat er in het systeem van het Home Office identiteiten zijn samengevoegd. Dat houdt in dat de biografische en biometrische gegevens van twee of meer personen aan elkaar zijn gekoppeld.
Het ging vaak om gegevens van immigranten die volgens The Guardian ‘totaal niets met elkaar te maken hadden’. De krant heeft gesproken met een aantal getroffenen. Een man uit Nicaragua zou meer dan honderd keer naar het Home Office hebben gebeld om aan zijn werkgevers te kunnen bewijzen dat hij een werkvergunning had. Een andere vluchteling zag herhaaldelijk het identiteitsbewijs met de foto van een vreemde toen ze inlogde op haar account.
Alles bij de bron; Tweakers
De FTC en het toenmalige Facebook sloten in 2020 een privacyovereenkomst in een rechtszaak over Meta's rol in het Cambridge Analytics-schandaal. Onderdeel van die overeenkomst was een boete van 5 miljard dollar. Ook moest Meta voldoen aan een aantal strikte regels voor de privacy van gebruikers.
De Amerikaanse toezichthouder concludeerde afgelopen mei dat Meta die regels geschonden heeft. De FTC wil daarom de rechtszaak heropenen en de regels strenger maken. Zo zou Meta niet mogen profiteren van data die het verzamelt van gebruikers onder de achttien en moet het nadrukkelijk toestemming van de gebruiker hebben voor toekomstig gebruik van gezichtsherkenningstechnologie.
De FTC wil verder dat Meta eerst schriftelijke toestemming van een onafhankelijke privacybeoordelaar moet krijgen voordat het nieuwe of gewijzigde producten, diensten of functies op de markt mag brengen. Op die manier moet verzekerd worden dat Meta voldoet aan het privacybevel uit 2020.
Volgens de rechter impliceren de zorgen van de FTC 'belangrijke publieke belangen'. Ook benadrukt de rechter dat Meta bezwaar kan maken tegen de beslissingen van de FTC.
Alles bij de bron; Tweakers