Kaiser Permanente, één van de grootste zorgaanbieders in de Verenigde Staten, heeft gegevens van 13,4 miljoen patiënten met Google, Microsoft, X en andere adverteerders gedeeld, zo heeft het zelf bekendgemaakt.
Het gaat om namen, ip-adressen, zoekopdrachten en hoe men van de apps en websites van de zorgaanbieder gebruikmaakte. Kaiser Permanente is de grootste not-for-profit zorgverlener in de VS, met veertig ziekenhuizen, 618 praktijken en bijna honderdduizend artsen en verplegers.
Trackingtechnologie die binnen de apps en op de websites werden gebruikt zorgden ervoor dat gegevens van patiënten naar advertentiebedrijven gingen, waaronder Google, Microsoft en X. De zorgverlener beschikt over een zoekmachine waarin patiënten allerlei informatie over symptomen, medicijnen, letsels en oefeningen kunnen opzoeken. Ook die data is mogelijk bij adverteerders terechtgekomen.
Alles bij de bron; Security
Bits of Freedom (BoF) hekelt de AI-verordening die door het Europees Parlement is aangenomen. Het gaat onder andere om de uitzonderingen die in het kader van 'nationale veiligheid' gemaakt kunnen worden, terwijl niet duidelijk is wat hieronder valt. Dit zorgt voor een enorme maas in de wet, aldus Nadia Benaissa, beleidsadviseur van Bits of Freedom.
De AI Act verbiedt 'predictive policing', real-time biometrische identificatie in de publieke ruimte en social scoring. "In eerste instantie klinkt dit misschien goed, maar we zien hier dat de verboden behoorlijk nauw zijn geformuleerd. Dit terwijl de uitzonderingen weer heel breed zijn. Daarmee blijft er helaas nog maar weinig over van échte verboden," aldus Benaissa.
Zo mag real-time gezichtsherkenning worden ingezet voor het zoeken van mensen die worden vermist of slachtoffer van mensenhandel of seksueel misbruik zijn. Andere uitzonderingen zijn het voorkomen van een 'specifieke en actuele' terroristische dreiging of het vinden van de locatie of het identificeren van personen die worden verdacht van misdrijven, waaronder terrorisme, mensenhandel, seksueel misbruik, moord, kidnapping, verkrachting, gewapende overvallen, deelname aan een criminele organisatie en milieudelicten.
Verder worden private bedrijven niet verplicht AI-systemen die ze gebruiken te registreren. "Terwijl we nu al zien dat banken, incassobureaus en verzekeraars AI gebruiken die heel ingrijpend zijn voor mensen", gaat de BoF-beleidsadviseur verder.
Ook zijn in de wet beperkte rechtsmiddelen opgenomen als het gaat om de rechten van burgers én is er een hele brede uitzondering opgenomen voor 'nationale veiligheid'. Als een AI-toepassing in dit kader wordt ingezet geldt de AI-verordening niet. "Maar wat precies onder nationale veiligheid valt, wordt uit de wet niet duidelijk. Daarmee wordt er dus een enorme maas in de wet gecreëerd waarmee een soort 'digitale vrije zone' ontstaat", merkt Benaissa op.
"Europa laat hiermee zien dat de markt en economie belangrijker zijn dan de bescherming van mensenrechten", besluit Benaissa. De wet zal in verschillende fases geïmplementeerd worden, met termijnen variërend tussen zes maanden en een twee jaar.
Alles bij de bron; Security
Het Europees Parlement heeft een pakket wetten aangenomen dat de EU zal helpen om het witwassen van geld en de financiering van terrorisme aan te pakken.
De nieuwe wetten zorgen ervoor dat mensen met een legitiem belang, waaronder journalisten, mediaprofessionals, maatschappelijke organisaties, bevoegde autoriteiten en toezichthoudende instanties, onmiddellijke, ongefilterde, directe en vrije toegang krijgen tot informatie over uiteindelijke begunstigden. Deze informatie wordt bijgehouden in nationale registers en is op EU-niveau met elkaar verbonden. Naast actuele informatie zullen de registers ook gegevens bevatten die minstens vijf jaar teruggaan.
De wetten geven financiële inlichtingeneenheden (FIU’s) ook meer bevoegdheden om gevallen van witwassen en terrorismefinanciering te analyseren, op te sporen en om verdachte transacties op te schorten....
...De wetgeving bevat ook bepalingen over een EU-brede limiet van 10 000 euro voor contante betalingen (behalve tussen particulieren in een niet-beroepsmatige context).
Alles bij de bron; EP
Voor de veiligheid van Nederland heeft de AIVD in 2023 niet alleen veel maar vaak ook urgente dreigingen moeten onderzoeken. Het grimmige beeld dat de AIVD vorig jaar schetste is in veel opzichten slechter geworden. Dat stelt de AIVD in het jaarverslag 2023.
Steeds vaker zijn nationale dreigingen verbonden met internationale ontwikkelingen. Nederland is dagelijks doelwit van cyberaanvallen om te spioneren en economische voordelen uit te buiten.
Alles bij de bron; DutchITChannel
Politiechefs van Europese politiediensten hebben techplatforms en politici opgeroepen om ‘dringend’ actie te ondernemen waarmee de openbare veiligheid op socialemediaplatforms wordt gewaarborgd.
Ze vrezen vooral de gevolgen van privacymaatregelen zoals end-to-end-encryptie. Die belemmeren de mogelijkheden van wetshandhaving: bewijsmateriaal bij ernstigste misdrijven wordt dan moeilijker te vergaren.
‘Wij zullen simpelweg de bevolking niet meer veilig kunnen houden’, aldus de verklaring van de Chiefs of Police.
Alles bij de bron; CopsInCyberspace
In een reeks korte artikelen maakt Privacy First inzichtelijk bij welke gegevens instanties nu al kunnen en wat er nog meer op stapel staat. Deel 4 van deze reeks gaat over het bestrijden van witwassen: veel goede bedoelingen om witwassen op te sporen hebben inmiddels geleid tot het permanent monitoren van iedereen die een bankrekening heeft.
Het opsporen van witwassen lijkt primair een taak van politie en Openbaar Ministerie, maar niets is minder waar. Bij het detecteren van mogelijk witwassen heeft de wetgever een doorslaggevende rol toegekend aan zogenaamde ‘poortwachters’; dit zijn banken en andere ondernemingen die een rol spelen in het financiële verkeer. Banken zijn verplicht de identiteit en de herkomst van het vermogen van hun klanten rigoureus te checken en álle transacties van hun klanten te monitoren. Die monitoring is nodig, omdat de banken in staat worden geacht crimineel geld te kunnen detecteren en ‘ongebruikelijke’ transacties moeten melden bij de Financial Intelligence Unit (FIU), een zelfstandig onderdeel van de politie.
Voor een beperkt aantal gevallen bepalen de regels wat ‘ongebruikelijk’ is, maar voor het overgrote deel wordt het aan de banken overgelaten te bepalen of een transactie ongebruikelijk is.
Zij moeten hiervoor processen inrichten, waarvoor zij kunnen putten uit een keur van vermeende good practices en andere overheidspublicaties.
Nadat de banken een ongebruikelijke transactie hebben gemeld, bepaalt de FIU of een transactie ‘verdacht’ is. Hierna zullen echte opsporingsautoriteiten met de verdachte betaling mogelijk aan de slag gaan.
Het hierboven beschreven systeem in combinatie met de afschrikwekkende boetes en reputatieschade voor banken heeft er inmiddels toe geleid, dat de banken alle transacties van hun klanten intensief monitoren. Iedere bankrekeninghouder wordt in feite dagelijks digitaal gefouilleerd om te bezien of hij geen overtreding heeft begaan.
Steeds meer komt naar buiten, dat dit controleren van de betalingen en ontvangsten van klanten ver strekt en regelmatig misgaat.
Onduidelijk is of de banken zelf doorschieten in hoe zij opvolging geven aan hun poortwachtersfunctie of dat de toezichthouders en opsporingsautoriteiten de banken onder druk zetten om minutieus al hun klanten te volgen. Wel is duidelijk dat er een permanent surveillance systeem is opgetuigd, waarbij financiële instellingen taken verrichten die opsporingsautoriteiten niet zelf zomaar mogen uitvoeren; voordat de politie inzage kan vorderen in de betaalgegevens van een bankrekeninghouder zal toch minstens sprake moeten zijn van een redelijke verdenking, dat sprake is van enige overtreding.
De Minister van Justitie heeft onlangs bevestigd dat uit gehackte berichten blijkt dat criminelen hun geld niet via het normale bancaire systeem laten lopen, maar via ondergronds bankieren het land uit krijgen en in het buitenland uitgeven.
Alles bij de bron; PrivacyFirst
Het Amerikaanse bedrijf Cerebral, dat online geestelijke gezondheidszorg en gerelateerde diensten biedt, heeft van meer dan drie miljoen cliënten gevoelige persoonlijke informatie gedeeld met LinkedIn, TikTok en Snapchat. De gegevens werden vervolgens voor advertenties gebruikt.
Cliënten die zich aanmelden voor de diensten van Cerebral moeten allerlei persoonlijke data verstrekken, waaronder adresgegevens, e-mailadressen, geboortedata, medisch verleden, medicijngebruik, rekeninggegevens en rijbewijsnummer, alsmede informatie over hun behandelplannen, apotheek, zorgverzekering, geloofsovertuiging en seksuele geaardheid.
Volgens de Amerikaanse toezichthouder FTC claimde Cerebral dat het gegevens van cliënten veilig zou houden, maar in werkelijkheid werden die met allerlei derde partijen voor advertentiedoeleinden gedeeld. Disclaimers over het delen van de data stonden in het moeilijk leesbare privacybeleid, maar het bedrijf stelde geregeld dat het gebruikersgegevens niet zonder toestemming voor marketing zou delen.
Door middel van trackingpixels en andere software op de websites van Cerebral en in de apps van het bedrijf, werden gegevens van bijna 3,2 miljoen cliënten gedeeld met LinkedIn, Snapchat en TikTok. Via de trackingtools kregen derde partijen toegang tot allerlei persoonlijke gegevens van Cerebral-cliënten, waaronder namen, medisch verleden, medicijngebruik, adresgegevens, e-mailadressen, telefoonnummers, geboortedata, demografische informatie, ip-adressen, apotheek, zorgverzekeringsinformatie en andere gezondheidsgegevens.
De FTC stelt ook dat het bedrijf zich schuldig heeft gemaakt aan 'roekeloze marketing'. Zo verstuurde Cerebral naar meer dan zesduizend cliënten briefkaarten, die niet in een envelop zaten, met daarop hun namen en taalgebruik waaruit het mogelijk was om de diagnose en behandeling te achterhalen door iedereen die de briefkaart te zien kreeg.
De toezichthouder laat verder weten dat het bedrijf toegang tot cliëntgegevens niet beperkte tot medewerkers die er toegang tot moesten hebben, ex-medewerkers nog steeds toegang tot dossiers hadden en procedures en training met betrekking tot het omgaan met gevoelige data ontbraken.
Cerebral en de FTC zijn een schikking overeengekomen, waarbij het bedrijf 7,1 miljoen dollar betaalt. De FTC diende ook een aanklacht in tegen de ceo, maar die besloot niet te schikken. De rechter zal zich nu over deze zaak buigen.
Alles bij de bron; Security
Het Parlement heeft woensdag ingestemd met de verlenging tot 3 april 2026 van een vrijstelling van de EU-privacyregels voor het opsporen van online seksueel misbruik van kinderen, zodat overeenstemming kan worden bereikt over het rechtskader voor de lange termijn ter voorkoming en bestrijding van online seksueel misbruik van kinderen.
Hierme hebben de EP-leden ingestemd met een tijdelijke verlenging van de huidige e-privacy-afwijking die het mogelijk maakt om via internetplatforms vrijwillig online materiaal over seksueel misbruik van kinderen (CSAM) op te sporen.
Tegelijkertijd zal de rapportage over de vrijwillige maatregelen die bedrijven hebben genomen om CSAM te vinden worden geharmoniseerd. Volgens de Europese Commissie is de rapportage tot dusver inconsistent geweest, waardoor het moeilijk is om de gevolgen van de huidige wetgeving te beoordelen.
Alles bij de bron; EuroParlement
Twee Amerikaanse politici dienen een wetsvoorstel in dat Amerikaanse burgers voor het eerst een basisrecht op privacy geeft voor hun online data. Als het wetsvoorstel, dat door een Democraat en een Republikein werd ingediend, wordt aangenomen, zouden Amerikaanse burgers voor het eerst een federaal recht op privacy krijgen.
Het wetsvoorstel komt er zo’n vierentwintig jaar nadat de telecomwaakhond FTC voor het eerst vroeg om een privacywetgeving in te voeren. De data van veel Amerikanen kan momenteel makkelijk worden gedeeld en verkocht aan de hoogste bieder.
De nieuwe federale standaard zou dataverkopers aan banden leggen, maar ook techplatformen, telecomproviders en andere organisaties waarmee je op het internet interactie hebt. Alleen kleine bedrijven en overheidsorganisaties vallen buiten de regelgeving.
Alles bij de bron; DutchITChannel
Het voorstel van EU-voorzitter België voor de aanpak van misbruikmateriaal (CSAM) is in de kern hetzelfde als het plan van de Europese Commissie om alle berichten van burgers door middel van client-side scanning te controleren, zo waarschuwen Europarlementariërs en de Europese burgerrechtenbeweging EDRi op basis van gelekte documenten .
De laatste versie van het voorstel die nu gelekt is, blijkt niet propotioneler te zijn dan het originele weggestemde voorstel van de Europese Commissie uit 2022, aldus EDRi.
Zo moeten chatapps en andere online diensten zelf bepalen hoe groot het risico is dat er via hun platforms CSAM-materiaal wordt verspreid. Afhankelijk van het risico kan een autoriteit de dienst opleggen maatregelen te treffen. In het geval van diensten met een 'hoog' risico kan er een detectiebevel worden gegeven, waarbij het verkeer van gebruikers moet worden gecontroleerd.
Volgens EDRi zijn de primaire voorwaarden voor het geven van een dergelijk detectiebevel onveranderd ten opzichte van het oorspronkelijke voorstel en gelden detectiebevelen nog steeds voor de gehele dienst. Daarnaast kunnen end-to-end versleutelde diensten nog steeds worden gedwongen om de cybersecurity te verzwakken of ondermijnen, zo gaat de burgerrechtenbeweging verder. Een nieuw onderdeel van het voorstel is dat de Europese Commissie vergaande bevoegdheden krijgt om de risicoregels te interpreteren en op te rekken, wat zonder feedback van de Raad of het Europees Parlement gebeurt.
EDRi roept de Raad dan ook op om zich tegen het voorstel te keren, omdat het in de kern nog steeds 'chat control' is. "Miljoenen privéberichten en privéfoto's van onschuldige burgers zullen door onbetrouwbare technologie worden doorzocht en verwijderd, zonder dat degenen die het betreft iets met kindermisbruik te maken hebben. Dit vernietigt ons digitale briefgeheim." aldus Patrick Breyer, Europarlementariër voor de Piratenpartij.
Alles bij de bron; Security