Een Britse financieel dienstverlener moet van de Information Commissioner's Office, ofwel ICO, een boete betalen van 50.000 pond. Het bedrijf heeft namelijk ruim 31.000 sms-spamberichten verstuurd naar mensen die daar geen toestemming voor hadden gegeven.
Ook was het voor de ontvangers niet mogelijk om zich via de berichten af te melden, terwijl het wel wettelijk verplicht is om die mogelijkheid te bieden. Daarom heeft de privacytoezichthouder de dienstverlener een boete opgelegd.
LADH Limited zegt dat een derde partij had bevestigd dat de personen in de dataset toestemming hadden gegeven om benaderd te worden. De toestemming was echter niet schriftelijk vastgelegd en de derde partij had dit alleen mondeling bevestigd aan de financieel dienstverlener, aldus ICO.
Alles bij de bron; Tweakers
De Autoriteit Persoonsgegevens (AP) heeft creditcardmaatschappij ICS een boete van 150.000 euro opgelegd wegens het overtreden van de AVG bij de digitale identificatie van klanten.
ICS begon in 2019 met het digitaal identificeren van zo'n 1,5 miljoen klanten in Nederland. Bij de identificatie werd gevoelige informatie gebruikt. Behalve om bijvoorbeeld naam, adres, telefoonnummer en e-mail van klanten, ging het onder meer om een foto die klanten van zichzelf moesten maken en opsturen via een mobiele telefoon of webcam. ICS gebruikte deze foto’s vervolgens om ze te vergelijken met de kopieën van de identiteitsbewijzen van klanten.
Financiële instellingen zijn wettelijk verplicht om de identiteit van hun klanten vast te stellen en mogen daarvoor zulke informatie gebruiken. "Maar ze moeten wel uiterst zorgvuldig met de informatie omgaan", aldus de AP. Dat houdt bijvoorbeeld in dat een DPIA verplicht is. ICS heeft nagelaten om een DPIA uit te voeren voordat het met de identificatie begon, waarmee de creditcardmaatschappij de Algemene verordening gegevensbescherming (AVG) heeft overtreden.
"Organisaties zijn niet voor niets wettelijk verplicht om van tevoren al te kijken welke risico’s jij loopt als ze jouw gegevens gaan gebruiken. Want als gegevens van jou – zoals een kopie van je paspoort – in verkeerde handen vallen, kun je bijvoorbeeld het slachtoffer worden van identiteitsfraude. Iemand kan dan op jouw naam online spullen kopen zonder zelf te betalen", zegt AP-bestuurslid Katja Mur. ICS kan nog bezwaar maken tegen de boete.
Alles bij de bron; Security
De Amerikaanse toezichthouder FTC heeft datahandelaar Outlogic verboden om gevoelige locatiegegevens van mensen te verkopen. Het bedrijf informeerde mensen onvolledig over het verzamelen en verkopen van hun locatiegegevens en deed dit zonder geïnformeerde toestemming van mensen.
Outlogic biedt een software development kit (SDK) waarmee app-ontwikkelaars allerlei data over hun gebruikers kunnen verzamelen, zoals locatiegegevens, advertentie-ID en installatie-ID. Deze data wordt weer door Outlogic aan andere derde partijen doorverkocht.
Volgens de FTC worden de locatiegegevens niet geanonimiseerd en zijn te gebruiken om de telefoon van de gebruiker te koppelen aan de locaties die hij heeft bezocht. Daarnaast biedt Outlogic ook eigen apps aan en koopt locatiegegevens weer van andere datahandelaren.
De locatiegegevens worden doorverkocht aan honderden klanten in allerlei sectoren. De informatie die via de locatiegegevens was te achterhalen schond niet alleen de privacy van mensen, maar stelde ze ook bloot aan mogelijke discriminatie, fysieke geweld en ander leed, aldus de FTC.
De FTC heeft Outlogic nu opgedragen om de verkoop van gevoelige locatiegegevens te stoppen. Daarnaast moet alle locatiedata die eerder is verzameld worden vernietigd, tenzij het toestemming van gebruikers heeft en de data ge-deidentificeerd of niet-gevoelig meer is. Tevens moeten gebruikers kunnen opvragen aan wie hun locatiegegevens zijn doorverkocht en moet er een uitgebreid privacybeleid worden geïmplementeerd.
Alles bij de bron; Security
Een nieuwe Europese wet die in 2026 van kracht wordt maakt het eenvoudiger voor autoriteiten om digitaal bewijsmateriaal op te vragen, ongeacht waar het zicht bevindt, aldus de Europese Raad. Het verkrijgen van digitaal bewijsmateriaal is op dit moment een lastig proces, omdat de gegevens zich vaak in andere landen bevinden.
"Online serviceproviders bewaren gebruikersgegevens op servers die zich in verschillende landen kunnen bevinden, zowel binnen als buiten de EU", aldus de Raad.
Door de 'e-evidence' verordening kunnen autoriteiten middels een 'productiebevel' in het ene land opgeslagen data bij een provider in een andere lidstaat direct opvragen. De serviceprovider moet binnen tien dagen reageren, of zes uur als het om een noodgeval gaat.
Daarnaast mag de provider de opgevraagde gegevens niet verwijderen zolang het 'productiebevel' wordt verwerkt.
De komende twee jaar zal het ministerie van Justitie en Veiligheid de veranderingen die de verordening betekenen doorvoeren. "Naast het ontwikkelen van nieuwe wetgeving omtrent het delen van digitaal bewijsmateriaal zijn er belangrijke veranderingen op til voor ons opsporingsapparaat en Openbaar Ministerie", aldus het ministerie.
Alles bij de bron; Security
Een Nederlandse AIVD-agent heeft het Stuxnet-virus in de Iraanse uraniumverrijkingscentrale van Natanz geïnstalleerd, zonder dat de Nederlandse politiek hier weet van had, zo meldt de Volkskrant.
De AIVD was niet van het doel van de operatie op de hoogte. Het is onduidelijk of de Nederlander wist dat de apparatuur die hij naar Natanz moest brengen Stuxnet bevatte.
Alles bij de bron; Security
Google heeft recentelijk in de Verenigde Staten een schikking getroffen in een rechtszaak waarbij het werd beschuldigd van het illegaal volgen van Chrome-gebruikers in de Incognito-modus.
Het bedrijf zou hiervoor Google Analytics, apps en browser plug-ins hebben ingezet.
Openbaar gemaakte interne gesprekken tussen Google-managers zouden hebben aangetoond dat het bedrijf zelf Incognito-gebruikers volgde om advertenties te verkopen en het webverkeer te monitoren.
In een commentaar zou Google hebben gesteld dat de Incognito-modus weliswaar geen gebruikersactiviteit opslaat op een apparaat, maar dat het andere websites wel in staat stelt informatie te verzamelen tijdens sessies met deze gebruikers.
De eisers hielden Google verantwoordelijk voor schendingen van zowel Amerikaanse federale wetten als wetten van de staat Californië met betrekking tot afluisteren en privacy. De totaal geëiste schadevergoeding bedroeg 5 miljard dollar.
Alles bij de bron; TechZine
Er moet permanente wetgeving komen die ervoor zorgt dat de inhoud van chatberichten kan worden gecontroleerd en zolang die er niet is moet de tijdelijke wet voor het controleren van berichten worden verlengd, zo stelt Eurocommissaris en Big Brother Award-winnaar Ylva Johansson.
In juli 2021 keurde het Europees Parlement nieuwe regels goed waardoor online aanbieders vrijwillig misbruikmateriaal kunnen blijven opsporen, verwijderen en rapporteren. Volgend jaar augustus verloopt deze tijdelijke wet en volgens Johansson moet dit door een strengere, permanente wet worden vervangen. Ze doelt daarbij op haar eigen wetsvoorstel.
"We hebben een permanente wet nodig, om preventie op de eerste plaats te zetten en bedrijven te verplichten misbruikmateriaal te detecteren wanneer preventie faalt, en ervoor te zorgen dat alle bedrijven hun verantwoordelijkheid nemen. Zeker nu Meta end-to-end versleuteling aan het uitrollen is", aldus de Eurocommissaris.
Johansson heeft voorgesteld de tijdelijke wetgeving net zolang te verlengen totdat er een akkoord is bereikt.
Alles bij de bron; Security
De Europese lidstaten zijn onderling verdeeld over de invoering van client-side scanning, waarbij alle chatberichten van burgers worden gecontroleerd zoals de Europese Commissie wil. Het Europees Parlement had eerder al aangegeven dat het tegen client-side scanning is, maar de Europese lidstaten hebben nog geen gezamenlijke positie ingenomen en die is er nog altijd niet.
Daardoor zal er dit jaar geen akkoord worden bereikt, zo heeft ook Spanje erkend. Volgend jaar is een Europees verkiezingsjaar, onderhandelingen tussen het Europees Parlement en de Europese Raad over client-side scanning, als die al zullen plaatsvinden, zullen dan pas op z'n vroegst in de herfst van volgend jaar kunnen starten.
Volgens eDRI wil dit niet zeggen dat de strijd tegen client-side scanning voorbij is, waarbij het naar een nieuw voorstel wijst. "Ook gaan er geruchten rond dat de Europese Commissie zeer gefrustreerd is dat het Parlement opkomt voor onze digitale rechten en opties en strategieën overweegt om, ongeacht een gebrek aan politieke geloofwaardigheid, brede en ongerichte scanmogelijkheden door te drukken", waarschuwt de burgerrechtenbeweging.
Ales bij de bron; Security
Er is een groot risico dat de Britse overheid op een gegeven moment met een 'catastrofale ransomware-aanval' te maken krijgt en dat de huidige plannen onvoldoende voor een dergelijk situatie zullen zijn. Ransomware moet dan ook hoger op de politieke agenda komen, zo staat in een vandaag verschenen rapport van het Joint Committee on the National Security Strategy (JCNSS) van het Britse parlement.
Volgens de parlementscommissie is er meer politieke aandacht en middelen nodig. Het Britse National Crime Agency moet dan ook meer middelen krijgen zodat het ransomwaregroepen kan aanpakken, zo laat het rapport weten.
Als de Britse politiek niet meer doet, krijgt het op een gegeven moment met een 'catastrofale ransomware-aanval' te maken, waarschuwt de commissie. "Het is essentieel dat ransomware een belangrijkere politieke prioriteit wordt en dat er meer middelen worden vrijgemaakt om deze dreiging aan te pakken", aldus het JCNSS.
Alles bij de bron; Security
De Europese Unie kwam vrijdag na een uitzonderlijk lange onderhandeling tot een voorlopig akkoord om de ontwikkeling van kunstmatige intelligentie aan banden te leggen.
Vanuit de tech-industrie is zeer veel moeite gedaan om de nieuwe AI-wet iets af te zwakken. Deels met succes, maar de strengste regels bleven overeind.
De AI-wet moet ervoor zorgen dat AI-modellen in Europa straks veilig en transparant worden ingezet. Hoe hoger het risico op problemen, des te zwaarder de regels. Sommige systemen worden helemaal verboden. Denk aan programma’s die burgers kunnen beoordelen op hun gedrag, zoals in China gebeurt.
Voordat deze week de laatste gesprekken begonnen, was er een enorme lobby vanuit de techindustrie.
Een van de struikelblokken tijdens de gesprekken was de inzet van slimme camera's in de publieke ruimte, waarmee mensen gevolgd kunnen worden. Er komt een verbod, maar met uitzonderingen voor opsporingsdiensten.
"Daar zijn wij echt teleurgesteld in", zegt Nadia Benaissa van burgerrechtenorganisatie Bits of Freedom. "Wij hebben er altijd voor gepleit dat mensen zich vrij in de openbare ruimte moeten kunnen begeven. Deze uitzonderingen op het verbod lijken de deur open te zetten voor het legitimeren van massasurveillance."
Ook Europarlementariër Kim van Sparrentak had liever een volledig verbod. Maar volgens haar trokken sommige lidstaten daar een absolute grens, waardoor er water bij de wijn moest.
Over het algemeen is Bits of Freedom voorzichtig positief over de AI-wet. Ook Bo Hijstek, onderzoeker naar generatieve AI verbonden aan het Rathenau Instituut, prijst dat gedeelte van de wet. "Maar er blijven wel vragen open", zegt ze. "Hoe meet je of een AI-model voldoet aan mensenrechtelijke bescherming? Eisen in de regels zijn vaak op veel manieren te interpreteren. Bij veel producten is het functioneren controleerbaar, maar of iets aan mensenrechten voldoet is veel abstracter."
Overigens gaat het nog wel even duren voordat de Europese AI-wet van kracht is. Begin volgend jaar wordt er door de Europese raad en de lidstaten gestemd. Dit is doorgaans een formaliteit. Daarna duurt het nog twee jaar voordat de regels daadwerkelijk ingaan.
Alles bij de bron; NU