45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Databases

Nieuwe wetten tegen fraude kunnen privacy schaden

Twee nieuwe wetten zijn in de maak om fraude aan te pakken. Het gaat om de Wet bevorderen samenwerking en rechtmatige zorg (Volksgezondheid) en het Wetsvoorstel gegevensverwerking door samenwerkingsverbanden (Justitie en Veiligheid).

Het voorstel tegen zorgfraude verplicht onder meer gemeenten, zorgverzekeraars en toezichthouders om informatie over mogelijke fraude met elkaar te delen. Dat kan ook gaan om gegevens uit een medisch dossier. Artsen leveren deze gegevens namelijk aan bij gemeenten en zorgverzekeraars om hun zorg te declareren...

...Het andere voorstel zorgt voor een wettelijke basis waardoor organisaties gegevens kunnen delen om fraude op te sporen. Het voorstel geldt voor overheidsorganisaties, maar óók samenwerkingen met bedrijven worden genoemd.

Het wetsvoorstel moet nieuwe samenwerkingen eenvoudiger maken. Critici vrezen dat gegevens te makkelijk worden uitgewisseld. „Als steeds breder gegevens worden gedeeld en zelfs private partijen erbij worden gehaald, gaan feiten, verdenkingen en conclusies door elkaar lopen”, zegt Priscilla de Haas, partner bij De Haas Advocaten en promovenda bij de Rijksuniversiteit Groningen. „Informatie kan zo een eigen leven gaan leiden. De gevolgen van een valse beschuldiging zijn achteraf lastig te repareren.”

Het kabinet wil met het wetsvoorstel uitgewisselde gegevens kunnen analyseren met kunstmatige intelligentie. Computers kunnen zoeken naar afwijkende patronen en zo een lijst maken van mogelijk frauderende burgers. Dat gebeurt al: in 2016 gaf het kabinet in antwoord op Kamervragen bijvoorbeeld toe dat er nog „geen heldere” wettelijke basis is voor het Rotterdamse project Finpro. Daarbij zocht het Openbaar Ministerie in samenwerking met onder meer zorgverzekeraars naar fraude door data samen te voegen met toeslagen en uitkeringen.

In de Europese privacywet – sinds eind mei van kracht – staat dat gegevens die voor een bepaald doel verzameld zijn, niet zomaar voor een nieuw doel mogen worden gebruikt. In het wetsvoorstel wordt verwezen naar een uitzondering op die regel – die er op Nederlands verzoek kwam. In januari 2016 schreef toenmalig minister Ard van der Steur aan de Tweede Kamer over de uitzondering op Nederlands initiatief: als overheidsorganisaties in een wet vastgelegde redenen hebben, mogen zij gegevens ook voor andere doelen gebruiken dan waar ze ooit voor werden verzameld.

Volgens David Korteweg van digitale burgerrechtenbeweging Bits of Freedom is in de wet niet duidelijk opgeschreven wat de voorwaarden zijn voor samenwerkingsverbanden.

Alles bij de bron; NRC


 

Veel kritiek op vergoedingsplan zorgverzekeraar Menzis,

Het plan van zorgverzekeraar Menzis uit Enschede om de kosten voor behandeling van depressies en angsten te vergoeden op basis van het behaalde resultaat stuit op forse kritiek. Professor Damiaan Denys, voorzitter van de Nederlandse Vereniging voor Psychiatrie (NVvP), noemt de plannen van Menzis 'zeer gevaarlijk'. Hij wijst erop dat je het behandelen van depressies niet kunt vergelijken met bijvoorbeeld het vervangen van een heup....

...Menzis wil het resultaat van depressiebehandelingen meten aan de hand van zogenaamde ROM-vragenlijsten (Routine Output Monitoring). Aan het begin van de behandeling geef je aan hoe ellendig je je voelt, aan het eind weer en dan meet je of er een verschil is. De lijsten zijn ooit bedacht voor behandelaars, om de vinger aan de pols te houden bij hun patiënten en de behandeling te kunnen sturen, maar geef verzekeraars één datavinger aan de pols en ze pakken gelijk je hele arm. Dus willen de verzekeraars dat ggz-behandelaars de ROM-scores van al hun patiënten aanleveren bij SBG, de Stichting Benchmark GGZ.  

De Algemene Rekenkamer maakte in een onderzoeksrapport gehakt van de toepasbaarheid van deze ROM-lijsten om de kwaliteit van zorginstellingen te vergelijken. 

En toch denkt Menzis dat het kan. ‘Wij starten hier nu mee, we geloven hier ook echt in’, aldus de woordvoerder. Ggz-behandelaars moeten van Menzis doelmatiger werken, maar als uit onderzoek blijkt dat deze strategie van Menzis in de ggz waarschijnlijk niet zo doelmatig is, dan gaat het ineens over ergens in geloven.

Ik geloof ook ergens in. Ik geloof dat als je een depressie hebt, je niet het gevoel moet hebben dat als jij niet hard genoeg je best doet, er financiële consequenties zijn voor je behandelaar.

Alles bij de bronnen; RTVOost & Volkskrant


 

Artsen geen voorstander van ‘lek’ online medisch dossier

Nederlandse artsen tonen zich geen voorstander van een systeem met gegevens van patiënten dat over twee jaar beschikbaar moet zijn. De overgrote meerderheid van de zorgverleners ziet vooral praktische bezwaren bij de zogeheten persoonlijke gezondheidsomgeving (pgo). 

Iedereen in Nederland moet vanaf 2020 online zijn of haar medische gegevens kunnen inzien en bijhouden. Via de pgo kunnen patiënten meer regie over hun gezondheid krijgen, is de visie van de Patiëntenfederatie. Met toestemming van de patiënt mogen zorgverleners het dossier inzien. Maar uit het onderzoek van Investico blijkt 72 procent van de zorgverleners bezorgd te zijn over beveiligingslekken, waardoor medische gegevens op straat kunnen komen te liggen.

 “Het lekt altijd.” En: “Digitale beveiliging blijkt keer op keer door hackers doorbroken te kunnen worden. Soms door slecht ontworpen systemen, soms door menselijk falen of onachtzaamheid.” Artsen vrezen ook dat patiënten hun informatie gaan delen met ‘ondeskundigen’, die er misbruik van kunnen maken.

Alles bij de bron; Beveiliging


 

Zorgen over gezichtsherkenning in Canadese winkelcentra

De Canadese privacytoezichthouder maakt zich zorgen over het gebruik van gezichtsherkenning in winkelcentra. Een bezoeker van een winkelcentrum in Calgary ontdekte per toeval dat een informatiebord van gezichtsherkenning was voorzien en plaatste een foto hiervan op Reddit. De eigenaar van het winkelcentrum heeft inmiddels bevestigd dat gezichtsherkenning in verschillende winkelcentra wordt toegepast.

Volgens de eigenaar wordt de data gebruikt om mensenstromen beter te begrijpen en worden er geen beelden opgeslagen. Daardoor zou het ook niet nodig zijn om van tevoren toestemming te vragen, aldus het bedrijf in een verklaring. Tegenover CBC voegt het bedrijf eraan toe dat het in juni is begonnen om leeftijd en geslacht vast te stellen om zo het gebruik van de informatieborden beter te begrijpen.

De Canadese privacytoezichthouder heeft nog geen klachten over de gezichtsherkenning ontvangen, maar gaat wel meer informatie bij de eigenaar van de winkelcentra opvragen. "Gezichtsherkenning heeft de potentie om de meest indringende biometrische identificatietechnologie te zijn", aldus de privacytoezichthouder. "Gezichten zijn veranderd in elektronische informatie die op ongekende wijze kan worden samengevoegd, geanalyseerd en gecategoriseerd." In juni liet de Nederlandse Autoriteit Persoonsgegevens nog weten dat camera's in reclameborden alleen mogen met toestemming van voorbijgangers.

Alles bij de bron; Security


 

Telegram biedt versleutelde opslag van identiteitsbewijzen

Chatdienst Telegram heeft een nieuwe feature geïntroduceerd die gebruikers hun paspoort, identiteitskaart of rijbewijs versleuteld in de Telegram-cloud laat opslaan. Telegram Passport moet het eenvoudiger voor gebruikers maken om hun identiteitsbewijs te delen met diensten die hier om vragen. Voor de versleuteling wordt gebruik gemaakt van het wachtwoord van de gebruiker. Telegram zegt dat het geen toegang tot opgeslagen identiteitsbewijzen heeft.

Telegram is van plan om binnenkort third-party verificatie voor Telegram Passport toe te voegen. Op deze manier hoeven sommige diensten de data zelf niet op te vragen, maar vertrouwen dan op het feit dat het Telegram-account door een verificatieprovider is goedgekeurd en het om een echt persoon gaat. Verder laat de chatdienst weten dat in de toekomst alle Telegram Passport-data in een gedecentraliseerde cloud zal worden opgeslagen.

Alles bij de bron; Security


 

Benelux-landen gaan ANPR-cameragegevens uitwisselen

België, Luxemburg en Nederland hebben een nieuw Benelux-politieverdrag ondertekend waardoor politiediensten in de landen toegang tot elkaars politieregisters krijgen en ANPR (Automatic Number Plate Recognition)-cameragegevens zullen gaan uitwisselen.

Politiediensten kunnen door het verdrag rechtstreekse toegang tot elkaars politiedatabases krijgen op basis van hit/no hit. Daarnaast wordt het mogelijk om politiedatabases tijdens gezamenlijke acties en in gemeenschappelijke politieposten direct te raadplegen. Ook zal binnen de grenzen van de eigen nationale wetgeving raadpleging van bevolkingsregisters mogelijk zijn.

In de toekomst zullen ANPR (Automatic Number Plate Recognition)-cameragegevens tussen de Benelux-landen uitgewisseld kunnen worden. Het gaat dan om een uitwisseling van persoonsgegevens in de vorm van referentielijsten. Een referentielijst is een lijst met kentekens die op naam van gezochte personen staan. Deze lijsten worden dan gebruikt in de camerasystemen van de andere verdragspartij die de zendstaat informeert over de hits. 

Dit najaar wordt gestart met het schrijven van de goedkeuringswetten voor de Parlementen van de drie landen. Die zullen allemaal moeten zijn afgerond voordat het verdrag in werking kan treden.

Alles bij de bron; Security


 

FNV: Staat moet stoppen met risicoprofileringssysteem SyRI

Vakbond FNV heeft zich aangesloten bij een coalitie van maatschappelijke organisaties en personen, waaronder stichting Privacy First en de Stichting Platform Bescherming Burgerrechten, die de staat in maart hebben gedagvaard om te stoppen met het gebruik van SyRI.

SyRI is al sinds 2008 in gebruik en maakt gebruik van persoonsgegevens die burgers ooit voor volledig andere doeleinden hebben afgestaan. Het systeem van het ministerie van Sociale Zaken voegt persoonsgegevens van Nederlandse burgers uit allerlei overheidsdatabases samen en analyseert deze met de bedoeling om sociale zekerheids-, arbeids- en belastingfraude tegen te gaan. Via SyRI worden risicoprofielen van honderdduizenden burgers opgesteld, wat in sommige gevallen tot een "risicomelding" leidt. Deze melding duidt op een verhoogd risico op onrechtmatig gedrag of het overtreden van arbeidswetten.

"Dit gebeurt zonder enige openheid over welke gegevens gebruikt worden, welke analyses worden uitgevoerd en wat de burger in kwestie precies tot risico maakt", aldus FNV. "Maar hoe het systeem precies werkt en wie er wordt geprofileerd is geheim, een hele schimmige en zorgelijke zaak en een grote inbreuk op de privacy van burgers. 

Volgens de vakbond schaadt SyRI het vertrouwen van de burger in de overheid en heeft het nadelige effecten op de bereidheid informatie aan de overheid te verstrekken. "Daarmee vormt SyRI een fundamentele bedreiging voor de rechtsstaat", stelt FNV verder. Ook ontbreekt het aan onafhankelijk toezicht op het systeem en heeft de staat nooit de noodzaak van de inzet van SyRI kunnen aantonen, aldus Jong. Zowel de Raad van State als de Autoriteit Persoonsgegevens hebben zich meer dan kritisch uitgelaten over SyRI. Maar daar trekt de overheid zich niets van aan", zegt FNV-vicevoorzitter Kitty Jong.

Rondom de rechtszaak is de voorlichtingscampagne 'Bij Voorbaat Verdacht' gestart.

Alles bij de bron; Security


 

Datahandelaar Exactis lekt database met 340 miljoen records

De Amerikaanse datahandelaar Exactis heeft een database met 340 miljoen individuele records gelekt. Het gaat om gegevens van miljoenen Amerikanen, zoals adresgegevens, e-mailadressen, leeftijd, interesses, gewoontes en het geslacht van iemands kinderen, en miljoenen bedrijven.

Wat vooral opvalt is het grote aantal eigenschappen dat per persoon in de database werd bijgehouden. Naast openbare records en algemene contactgegevens gaat het bijvoorbeeld ook of iemand rookt, geloofsovertuiging, of iemand huisdieren heeft en allerlei andere zaken. De 2 terabyte grote database werd door beveiligingsonderzoeker Vinny Troia via de zoekmachine Shodan op een publiek toegankelijke server gevonden.

Hoeveel mensen er precies in de gelekte records aanwezig zijn, alsmede waar de data vandaan komt is onbekend. De 340 miljoen records konden worden verdeeld in 230 miljoen records over particulieren en 110 miljoen records over bedrijven. Exactis claimt op de eigen website dat het meer dan 3,5 miljard records van particulieren en bedrijven bezit.

Inmiddels is de database niet meer toegankelijk. 

Alles bij de bron; Security