De Britse overheid heeft toegestaan dat allerlei gokbedrijven hebben geprofiteerd van de nationale leerlingendatabase, die gegevens van 28 miljoen kinderen bevat. Volgens de Britse privacytoezichthouder ICO is een boete van tien miljoen pond gerechtvaardigd, maar heeft het weinig zin om die op te leggen. Het ministerie van Onderwijs had een screeningsbedrijf, dat controleert of mensen die een online gokaccount openen wel 18 jaar of ouder zijn, toegang tot de database gegeven.
De learning records service database (LRS) bevat de persoonlijke informatie van 28 miljoen kinderen en jongeren vanaf de leeftijd van 14 jaar. Het gaat om volledige naam, geboortedatum en geslacht, en optioneel ook e-mailadres en nationaliteit. Verder bevat de database ook informatie over de leerprestaties. De gegevens worden 66 jaar lang bewaard.
Alles bij de bron; Security
Het Britse National Cyber Security Centre (NCSC) is begonnen om alle ip-adressen in het Verenigd Koninkrijk op kwetsbaarheden te scannen. De overheidsinstantie wil zo meer inzicht krijgen hoe kwetsbaar Britse systemen zijn voor aanvallen. Naast inzicht over de digitale kwetsbaarheid en veiligheid van het VK stelt het NCSC dat de gevonden informatie systeemeigenaren ook moet helpen om op een dagelijkse basis hun eigen 'security posture' te begrijpen.
Het NCSC gebruikt twee ip-adressen waarvandaan de scans worden uitgevoerd. Daarbij wordt alle data verzameld en opgeslagen die een systeem op een request teruggeeft. Het gaat dan bijvoorbeeld om de volledige HTTP respons van een webserver. Verder wordt van alle requests en responses ook de tijd en datum en ip-adressen opgeslagen.
Het NCSC zegt dat het de voor de scan gebruikte requests zo heeft ontworpen om de hoeveelheid persoonlijke data binnen ontvangen responses te beperken. Organisaties die niet willen dat ze worden gescand kunnen een overzicht van hun ip-adressen naar het NCSC mailen.
Alles bij de bron; Security
Het Britse postorderbedrijf Easylife heeft een boete van omgerekend ruim 1,5 miljoen euro gekregen voor het illegaal gebruik van de persoonlijke informatie van klanten. Op basis van aangeschafte producten deed Easylife aannames over de gezondheid van de betreffende klant en benaderde die vervolgens zonder toestemming met gezondheidsgerelateerde producten.
Tachtig producten in de catalogus van Easylife waren "triggerproducten". Zodra iemand deze producten aanschafte ging het postorderbedrijf over op profilering om de klant met een gezondheidsgerelateerd product te benaderen.
Volgens de Britse privacytoezichthouder ICO was er sprake van aanzienlijke profilering van klanten en het 'onzichtbaar' verwerken van gezondheidsgegevens. Mensen wisten namelijk niet dat het bedrijf hun persoonlijke gegevens voor het betreffende doel verzamelden en gebruikten. Daarmee heeft Easylife de privacywetgeving overtreden.
Verder onderzoek van de ICO wees uit dat het postorderbedrijf ook mensen belde die zich in het Britse bel-me-niet-register hadden laten opnemen. Hiervoor kreeg Easylife een boete van omgerekend 150.000 euro. De totale boete bedraagt dan ook bijna 1,7 miljoen euro.
Alles bij de bron; Security
De Britse privacytoezichthouder ICO overweegt om TikTok wegens het mogelijk overtreden van de privacywetgeving een boete van omgerekend 30 miljoen euro op te leggen. Uit onderzoek van de ICO blijkt dat het platform de privacy van kinderen mogelijk niet heeft beschermd en daarmee in overtreding van de Britse databeschermingswetgeving zou zijn.
TikTok zou mogelijk zonder toestemming van ouders data van kinderen onder de dertien jaar hebben verwerkt, gebruikers geen eenvoudig te begrijpen en transparante informatie hebben geboden en speciale categorieën data hebben verwerkt zonder dat het hiervoor de vereiste juridische grondslagen had.
Het onderzoek naar de mogelijke privacyovertredingen is nog gaande, maar vandaag meldt de ICO dat het TikTok een boete van 30 miljoen euro kan opleggen. In de praktijk blijken de boetebedragen echter veel lager uit te vallen.
Alles bij de bron; Security
De Britse privacytoezichthouder ICO is een strafzaak begonnen tegen acht personen die worden verdacht van grootschalige datadiefstal. Volgens de Information Commissioner’s Office (ICO) hebben de verdachten bijna drie jaar lang op onrechtmatige wijze toegang gekregen tot gegevens van honderdduizenden mensen die hun voertuig bij autoherstelbedrijven lieten repareren, zonder dat de betreffende bedrijven hiervoor toestemming hadden gegeven.
De data werd vervolgens gebruikt voor het genereren van potentiële leads voor letselclaims. Daarmee hebben de acht Britten volgens de ICO de computermisbruikwetgeving en databeschermingswetgeving overtreden. De eerste hoorzitting voor de rechtbank zal in oktober plaatsvinden.
Alles bij de bron; Security
Nederlandse en Belgische bedrijven die persoonsgegevens uitwisselen met bedrijven in het Verenigd Koninkrijk (VK), wacht een onzekere toekomst. De plannen van de Britse regering om de bestaande privacywetgeving te veranderen, krijgen mogelijk gevolgen voor de doorgifte van persoonsgegevens naar het VK.
Het plan is onder meer om de privacywetgeving minder omslachtig te maken: allerlei administratieve lasten en overbodig papierwerk moeten verdwijnen.
De zogeheten Data Reform Bill zou het voor Britse bedrijven en wetenschappelijke instellingen gemakkelijker maken persoonsgegevens te ontsluiten. De regels rond onderzoek worden vereenvoudigd. Ook wordt gedacht aan ‘smart data schemes’ waarmee het mkb en particulieren hun persoonsgegevens beter kunnen beheren.
De administratieve lastendruk neemt toe als Nederlandse en Belgische bedrijven die persoonsgegevens uitwisselen met het VK, extra controles moeten doen. ‘Hoewel er nog veel onduidelijkheid bestaat over de implicaties van de Data Reform Bill, komt het huidige adequaatheidsbesluit mogelijk op losse schroeven te staan.’ Als zo’n besluit ontbreekt, wordt het lastiger om persoonsgegevens naar het VK te sturen en daar verwerkingen te doen. 'Dan kan een soortgelijke situatie ontstaan zoals nu met de Verenigde Staten.' aldus Anne Zwierstra, adviseur bij een informatiebeveiligings- en privacybedrijf uit Warmond.
De verwachting is dat de Data Reform Bill rond de zomer van 2023 in werking treedt. De Europese Commissie moet dan oordelen of de aanpassingen inderdaad voldoende aansluiten op de GDPR, zoals de Britten stellen. De vraag is wanneer de Commissie dat doet. ‘Ze kan wachten tot eind juni 2025 wanneer het adequaatheidsbesluit automatisch afloopt. Maar de Commissie kan in de Britse aanpassingen ook aanleiding zien het oordeel te vervroegen.’
Lastig wordt het voor betrokken bedrijven als de Commissie meer tijd nodig heeft na juni 2025. ‘Dan is er niks meer’, stelt Van der Wolk. Als er geen adequaatheidsbesluit is, kun je data niet zomaar naar het VK doorgeven.
Alles bij de bron; Computable
De Britse minister van Binnenlandse zaken Priti Patel heeft groen licht gegeven voor de uitlevering van WikiLeaks-oprichter Jullian Assange aan de Verenigde Staten. In april oordeelde een Britse rechter al dat Assange mag worden uitgeleverd. Assange kan nog in beroep tegen de uitspraak en zal dit ook doen, zo meldt WikiLeaks op Twitter. Volgens de klokkenluiderswebsite is de beslissing van Patel een donkere dag voor de persvrijheid en Britse democratie.
WikiLeaks laat weten dat de uitspraak niet het einde van het gevecht is, maar het begin van een nieuwe juridische strijd. De klokkenluiderswebsite claimt dat het altijd om een politieke zaak ging omdat Assange oorlogsmisdrijven van de Verenigde Staten openbaar maakte. De advocaten van Assange hebben veertien dagen de tijd om beroep aan te tekenen.
Alles bij de bron; Security
De Information Commissioner’s Office (ICO) heef Clearview AI een boete van ruim 7,5 miljoen pond opgelegd, omgerekend een bedrag van ruim 8,9 miljoen euro. Het Amerikaanse bedrijf heeft zonder expliciete toestemming foto’s van Britse mannen en vrouwen verzameld, wat volgens de Britse privacywetgeving verboden is. Naast een miljoenenboete moet het bedrijf tevens al het beeldmateriaal uit haar database verwijderen.
Alles bij de bron; VPN-Gids
Detective Constable Henh Ban Song van de politie in West-Londen schakelde voor het opsporen van een zedenverdachte de registers van deelfietsen-exploitant Santander in.
De voortvluchtige verdachte, schuldig bevonden aan twee aanrandingen en inmiddels veroordeeld tot drie jaar en acht maanden celstraf, ging er bij een van die aanrandingen vandoor op zo’n deelfiets. Bewakingscamera’s lieten zien waar hij de fiets uiteindelijk parkeerde, ‘financiële analyses’ van Santander-data leverden zijn identiteit op.
Alles bij de bron; Cops-in-Cyberspace
Alle websites met pornografisch materiaal moeten verplicht de leeftijd van bezoekers verifiëren volgens de bijgewerkte Online Safety Bill die de Britse overheid bij het parlement gaat indienen. Doen sites dit niet, dan riskeren ze boetes of blokkades.
Het gaat om een uitbreiding van het Online Safety Bill-wetsvoorstel en Chris Philp, digital minister, presenteert deze dinsdag op Safer Internet Day. Het wetsvoorstel bevatte al een verplichte leeftijdscheck voor pornosites, maar daarbij ging het alleen om commerciële sites die het uploaden van user-generated content mogelijk maken. Ook socialemediasites en zoekmachines die toegang tot porno bieden, vallen hieronder. De toevoeging breidt dit uit naar alle sites die gebruikers in het VK toegang bieden tot pornografisch materiaal.
Die sites worden, als het wetsvoorstel aangenomen wordt, verplicht om 'robuuste checks' te integreren om te garanderen dat alleen Britten van achttien jaar en ouder deze nog kunnen bezoeken. Het ministerie van Digitalisering, Cultuur, Media en Sport geeft als voorbeeld van zo'n check het gebruik van verificatietechnologie om te controleren of een bezoeker een creditcard heeft en achttien jaar of ouder is. Ook noemt het ministerie het inzetten van diensten van derden om de leeftijd te controleren.
Alles bij de bron; Tweakers