Locatiegegevens van gebruikers die zijn vergaard door ruim honderd Nederlandse apps, worden online te koop aangeboden, zo claimt BNR.
Het gaat om locatiegegevens die volgens BNR en internationale partnermedia van het platform door een malafide datahandelaar, Datastream Group, intussen als Datasys bekend, worden aangeboden. Een andere partij, Datarade uit Berlijn, zou het contact tussen de databroker en de journalisten hebben gefaciliteerd.
Onder meer locatiegegevens vergaard door Buienalarm en games van de Nederlandse ontwikkelaars My.games, GameHouse en Sparkling Society zouden via de datahandelaars te koop zijn aangeboden. Er zouden 'miljoenen Nederlanders' door deze praktijken getroffen zijn.
Het verschilt per appaanbieder welke locatiegegevens van gebruikers er worden opgeslagen. Soms gaat het om zeer exacte coördinaten, zo legt BNR uit, maar in andere gevallen om minder nauwkeurige locaties gebaseerd op IP-adressen. Het verzamelen van deze gegevens zonder nadrukkelijke toestemming van de gebruiker is volgens de Stichting Data Bescherming Nederland hoe dan ook illegaal.
Alles bij de bron; Tweakers
Een groot datalek bij Volkswagen heeft ertoe geleid dat van 800.000 bezitters van elektrische auto’s zeer privacygevoelige informatie online stond. Het lek laat zien hoeveel data automakers tegenwoordig verzamelen en delen. Acht vragen over de auto als „rijdende privacynachtmerrie.”
4
Wat voor data verzamelen autobouwers en waarom?
Moderne auto’s zijn een soort rijdende computers waarin veel techniek zit en die steeds vaker voortdurend online zijn en gegevens delen. Dat kan gaan om bestemmingen en routes, maar ook om de rijstijl (te hard!) en bijvoorbeeld contacten. Dat is privacygevoelige informatie. Mensen slaan in de app voor hun auto ook betaalgegevens op, die ze gebruiken om af te rekenen als ze laden.
Fabrikanten zeggen allerlei gegevens te verzamelen in het kader van serviceverbetering. De data helpen bijvoorbeeld bij het op afstand analyseren en verhelpen van storingen. Maar automakers kunnen en doen er veel meer mee. Dat bleek onder meer in 2023 toen de Mozilla Foundation de dataverzameling van 25 automakers vergeleek. De bedrijven kregen allemaal een ruime onvoldoende, omdat ze veel te veel tot personen herleidbare informatie verzamelden en (de meerderheid van de bedrijven) zich vrij voelden die informatie door te verkopen. „Privacynachtmerries op wielen”, concludeerden de onderzoekers.
5
Wie heeft toegang tot die gegevens?
Allereerst natuurlijk de autoproducent en de bedrijven waar die ze mee deelt. Mensen vergeten bij het huren of verkopen van een auto vaak de boordcomputer te resetten, waardoor de volgende gebruiker de gegevens ook kan inzien. Zelfs als ze dat wel doen, blijft er nog een kopie van de complete data in de cloud staan, zegt Marcel Wendt van Digidentity.
Digidentity verkoopt een softwaretool waarmee zelfstandige garagehouders toegang krijgen tot de informatie over een auto die de fabrikant verzamelt. Daarvoor moeten ze eerst geverifieerd worden. Die verificatie van garagemedewerkers is nodig, legt Wendt uit, want het kan voor de georganiseerde misdaad bijvoorbeeld heel interessant zijn om de locatiegegevens van de Audi’s van de Nederlandse politie uit te lezen. Of om een gestolen auto te kunnen resetten.
6
Is het erg dat automakers zoveel data verzamelen?
De AP krijgt er tot dusver weinig klachten over, maar wijt dat eraan dat mensen zich weinig bewust zijn van dataverzameling door auto’s. De AP raadt onder meer aan goed te kijken naar de instellingen in de autoapps. Die staan vaak standaard op de minst privacyvriendelijke optie.
7
Hoe zit het met de camera’s op auto’s?
Kort gezegd: ook die zijn een privacydrama. Steeds meer auto’s filmen voortdurend hun omgeving. Dat mag niet, maar gebeurt wel. Net als bij filmende deurbellen is dat de verantwoordelijkheid van de bezitter (van de auto of deurbel).
8
Wat kun je als autorijder doen?
De AP publiceerde in maart 2020 een advies over hoe je je gegevens kunt beschermen als je in een gekochte of gehuurde ‘connected car’ gaat rijden. En hoe je er bijvoorbeeld voor zorgt dat je geen gegevens over jezelf meeverkoopt als je de auto van de hand doet.
Denk bijvoorbeeld na of je het voertuig via Bluetooth toegang wil geven tot de contactenlijst in je telefoon. En toestemming om op te slaan welke locaties je vaak bezoekt. Als je via je e-mailadres inlogt bij je voertuig, gaat er mogelijk allerlei informatie naar de e-mailprovider. „Gaat u bijvoorbeeld akkoord met fabrikanten die rijgegevens delen met een verzekeringsmaatschappij? Wees kritisch op fabrikanten die gegevens delen met anderen.”
Alles bij de bron; NRC [inloggen noodzakelijk]
Burgemeesters zijn niet onder de indruk van de dreiging van de Vlaamse privacywaakhond om onnodige slimme camera’s uit te schakelen langs de wegen. “Veiligheid gaat boven privacy”, zegt onder de burgemeester van Bilzen.
De Europese verordening voor gegevensbescherming wordt in dit land op verschillende niveaus opgevolgd. Naast de federale Gegevensbeschermingautoriteit is er ook nog de Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens (VTC).
Deze Vlaamse privacywaakhond heeft nu plots zijn tanden laten zien door naar de gemeenten een stevige instructie te sturen. Als gemeenten de verkeersproblemen willen aanpakken met ANPR-camera’s die nummerplaten herkennen en met trajectcontroles zonder dat dit nodig is, dan kan de VTC de verwerking van die gegevens stilleggen.
Vorig jaar hebben de gemeenten al een soortgelijke brief ontvangen waarin werd aangeklaagd dat ze te vaak eerst camera’s plaatsen en dan pas naar de wettelijke basis kijken. Deze keer is er ook een straf aan toegevoegd.
Het Agentschap Wegen en Verkeer valt onder diezelfde regeling en kan dus diezelfde vraag krijgen, zo is te horen in kringen van de Vlaamse Toezichtcommissie. Veel trajectcontroles staan namelijk op gewestwegen en die slimme camera’s zijn in handen van Wegen en Verkeer. Ook de federale politie heeft slimme camera’s, maar daarvoor is de Vlaamse toezichtcommissie niet bevoegd.
De VTC onderstreept dat ze niet tegen alle camera’s is, maar wel dat er eerst naar alternatieven moet worden gekeken zoals verkeersremmers, sensibilisering of ad-hoccontroles zonder camera’s.
Limburgse burgemeesters zijn niet onder de indruk van de instructie die de VTC naar hen stuurde, zo blijkt uit een rondvraag. “Privacy is belangrijk, maar verkeersveiligheid is dat nog meer. Die beelden worden trouwens alleen door de politie ingekeken en door de ambtenaar verantwoordelijk voor GAS (gemeentelijke administratieve sanctie, red.).”
De burgemeester van Genk, voelt zich ook niet aangesproken. “Eigenlijk wil de Vlaamse Toezichtcommissie gewoon zeggen: let op, je kan die camera’s niet voor alles gebruiken. Dat gevoel hadden we toch bij de Vereniging van Vlaamse Steden en Gemeenten”.
Maar navraag bij de Vlaamse Toezichtcommissie wijst uit dat de regels voor alle soorten camera’s gelden, dus ook de ‘domme camera’s’ die niet zelf iets herkennen. Al hebben ze dat in de gemeentehuizen duidelijk niet zo begrepen. “Wij hebben alleen maar verplaatsbare camera’s om het zwerfvuil aan glasbollen aan te pakken”, zegt de burgemeester van Pelt. “Die zijn niet slim. Ze werken trouwens vooral preventief. Tot nu toe hebben we nog maar één persoon kunnen betrappen, maar het zwerfvuil is wel gedaald.” Maar zelfs dat soort camera’s valt dus onder de privacyregels.
“Technologie is vandaag toch hét middel om in het verkeer of in gerechtelijke dossiers het verschil te maken”, vindt Marino Keulen (Open VLD), burgemeester in Lanaken. “Privacy is voor een liberaal een hoogstaand doel, maar in die slimme camera’s zie ik toch geen problemen.”
Vlaams minister van Mobiliteit Annick De Ridder zei eind november dat ze de wildgroei aan trajectcontroles wil aanpakken. Dat de publicatie van de instructie ongeveer samenviel met die aankondiging, is volgens de Vlaamse Toezichtcommissie louter toeval.
Alles bij de bron; HBVL [inloggen noodzakelijk]
Jarenlang was Fleur Agema een groot voorvechter van meer regie voor burgers helaas ondermijnt ze nu als minister niet alleen diezelfde regie, maar zet ze ook de digitale soevereiniteit van Nederland op het spel.
Met nieuwe plannen van het Ministerie van VWS worden al onze medische gegevens straks opvraagvaar via een gigantisch dataplatform dat moet gaan draaien in een cloudoplossing van het Amerikaanse Microsoft. Het doel is alle zorgcommunicatie volledig te centraliseren, waarna onze gegevens voor een vrijwel onbegrensd scala aan doelen kunnen worden hergebruikt.
De addertjes onder het gras vind zoals zo vaak in de kleine letters en het Ministerie doet dat niet anders. We krijgen aan de voorkant de ‘zeggenschap’ over een kopietje, maar verliezen aan de achterkant controle over wie er verder nog toegang heeft tot onze medische gegevens. Bovendien is het opvragen van een kopie nu al mogelijk en hebben we conform huidige wetgeving (in beginsel) alle zeggenschap.
Op initiatief van de Patiëntenfederatie kan iedereen sinds een enkele jaren gebruik maken van een Persoonlijke Gezondheidsomgeving (PGO). Daar komen dan al je medische gegevens bij elkaar, weer te geven in mooie dashboards, maar slechts 5% van de bevolking gebruikt het. De meeste mensen hebben het eenvoudigweg niet nodig.
Dus besluit het Ministerie het aantal aanbieders van PGO’s terug te brengen naar drie. Als er over twee jaar niets veranderd is (27529 nr. 327, p4), dan gaat de stekker er mogelijk helemaal uit.
Het werkelijke probleem zit echter in het idee dat iedereen een PGO zou moeten hebben. De PGO is bedacht als plek voor ons, als burgers, waar we onafhankelijk de regie kunnen voeren over onze zorg en het is cruciaal dat die plek er is, ongeacht het aantal gebruikers.
Dat afschaffen kan overigens niet zomaar. De Europese EHDS verordening verplicht Nederland straks om een dergelijke voorziening te hebben.
Het nieuwe konijn uit de hoge hoed heet Mijn Gezondheidsomgeving (MGO) en de Minister vraagt zich nu af of hiervoor en wettelijke aanpassing nodig is (27529 nr. 327, p6). Dat lijkt bizar. Waarom al die moeite, terwijl de PGO een prima oplossing is?
Dat begint bij Ernst Kuipers. Vlak voor zijn vertrek als Minister besloot hij tot het op de agenda van het Ministerie zetten van Cumuluz. Het doel van Cumuluz is om alle gezondheidsgegevens van iedereen te ontsluiten via een gigantische data-centrale. Deze gegevens moeten vervolgens beschikbaar komen voor “preventie, zorg en welzijn” (27529 nr. 327, p6), zoals “beleidsterreinen voor gemeenten, rijk en maatschappelijke partners, die te maken hebben met de ondersteuning van mensen, het vergroten van de leefbaarheid en het bevorderen van participatie.” (27529, nr. 326 voetnoot 11).
Mijn Gezondheidsomgeving moet een inzagefunctie worden, maar voor het gebruik van een data-centrale is wel je toestemming nodig. Daar wil het Ministerie nu van af, zodat iedereen automatisch kan worden opgenomen. Daarna kan ook de PGO eenvoudig worden aangesloten, zo is het idee. (27529, nr. 326 voetnoot 7).
Alles bij de bron; PrivacyFirst
De Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens (VTC) vindt dat lokale besturen al te makkelijk naar slimme camera’s grijpen voor bijvoorbeeld trajectcontroles. Als ze zich niet aan de richtlijnen houden, dreigen steden en gemeenten de verwerking van de beelden stil te moeten leggen, waarschuwt de privacywaakhond.
De VTC spreekt die waarschuwing uit in een e-mail aan de bestuursploegen van alle Vlaamse steden en gemeenten, die vorige maand ook op de website van de instantie is verschenen.
De aanleiding is dubbel. Enerzijds heeft de privacywaakhond via de media gemerkt dat steeds meer lokale besturen ANPR-camera’s – die nummerplaten herkennen – inzetten voor trajectcontroles. Daarnaast ontving de toezichtcommissie het afgelopen jaar verschillende klachten over de inzet van slimme camera’s om snelheidsovertredingen vast te stellen of sluipverkeer te weren, en heeft ze die casussen van naderbij bekeken.
De analyse is niet mals. Omdat de camera’s beelden maken van het voertuig, de nummerplaat en mogelijk ook de inzittende(n), én zowel de locatie als het tijdstip bekend is, is de verwerking ervan ‘extreem invasief op privacyvlak’, vindt de VTC. Lokale besturen moeten zich om die reden altijd afvragen of de camera noodzakelijk is, en of alternatieven zoals verkeersdrempels geen oplossing kunnen bieden.
Daarnaast moet het doel van de ANPR-camera’s altijd ‘specifiek en duidelijk’ zijn. Toch stelt de toezichtcommissie vast dat de camera’s in eerste instantie voor bijvoorbeeld snelheidscontrole worden geplaatst, maar daarna ook voor andere doeleinden worden ingezet. Function creep, noemt de VTC dat: de doelstellingen worden altijd maar verder uitgebreid, zonder dat er een nieuwe afweging gebeurt.
Alles bij de bron; DataNews
Gegevens van ongeveer 800.000 elektrische auto's van Volkswagen AG waren maandenlang publiekelijk toegankelijk. In meer van de helft van de gevallen is er precieze locatiedata blootgesteld. Het lek is inmiddels gedicht.
Der Spiegel schrijft dat 'enkele terabytes aan gegevens' van ongeveer 800.000 elektrische auto's in Europa maandenlang grotendeels onbeschermd en toegankelijk waren via cloudopslag van Amazon.
Dit omvat gegevens zoals de acculading en of de motor aan of uit staat. Bij het uitschakelen van de motor wordt ook de locatie vastgelegd. Bij auto's van Volkswagen en Seat zou deze geodata tot op tien centimeter nauwkeurig zijn, terwijl het bij Audi's en Skoda's om tien kilometer gaat.
Deze gegevens konden worden gelinkt aan namen en contactgegevens van bestuurders, eigenaars of fleetmanagers. Volgens Der Spiegel behoren de Volkswagen ID.3 en ID.4 tot de modellen waarover veel data wordt vastgelegd. Gegevens van die auto's zouden vooral bijgehouden worden nadat gebruikers de app hebben geïnstalleerd.
Met 300.000 getroffen voertuigen heeft het lek voornamelijk een impact op Duitse gebruikers. In Nederland gaat het om 61.000 auto's, gevolgd door 38.000 in België.
Alles bij de bron; Tweakers
Mensen die onterecht als verdachte zijn aangemerkt, blijven na hun aanhouding structureel in gezichten- en vingerafdrukkendatabanken van politie en justitie hangen. Dat blijkt uit onderzoek van RTL Nieuws. Justitie controleert zelden of de gevoelige gegevens verwijderd moeten worden, terwijl dat volgens de wet wel moet.
In vier jaar tijd concludeerde het Openbaar Ministerie (OM) dat bijna 20.000 keer iemand ten onrechte als verdachte was aangemerkt, blijkt uit cijfers over de jaren 2020 tot en met 2023. In dezelfde periode liet het OM van 392 zaken beoordelen of onder meer gezichtsfoto's en vingerafdrukken verwijderd moesten worden.
De toezichthouder Autoriteit Persoonsgegevens (AP) maakt zich 'serieuze zorgen' hierover. Dat komt omdat de politie de gezichtsfoto's die bij een arrestatie worden gemaakt (mugshots) ook bewaart in een databank voor gezichtsherkenning.
De AP twijfelt of er 'voldoende waarborgen en maatregelen zijn getroffen om te voorkomen dat personen onterecht in deze database zijn opgenomen'.
"Schokkend", zegt Frederik Zuiderveen Borgesius, hoogleraar ICT en Recht aan de Radboud Universiteit. "Dit is dubbel verontrustend: allereerst dat blijkt dat je in de gezichtendatabank blijft staan als je onterecht als verdachte bent aangemerkt. En als je zelf aan de bel trekt, kost het ook nog heel veel moeite om jezelf daaruit te laten verwijderen."
"Deze gegevens mogen alleen bewaard worden als dat strikt noodzakelijk is", zegt Maša Galič van de Vrije Universiteit Amsterdam. Zij is deskundige op het gebruik van persoonsgegevens in het strafrecht. "Het geeft een slecht signaal af dat de politie en justitie hun eigen wetten niet kunnen naleven."
In een reactie op het onderzoek erkent het ministerie van Justitie en Veiligheid, waar de politie, het OM en Justid onder vallen, dat het probleem binnen de hele keten speelt en dat dat nog ruim een jaar het geval zal zijn.
Ondertussen wordt van tienduizenden mensen beoordeeld of hun gevoelige gegevens bewaard zijn gebleven terwijl dat niet mocht. Binnen het ministerie van Justitie en Veiligheid is in 2021 al vastgesteld dat 80.000 mensen mogelijk onterecht in de justitie- en politiedatabanken staan, onder meer met hun vingerafdrukken en gezichtsfoto's.
Alles bij de bron; RTL
Het is de afgelopen jaren een traditie op je telefoon geworden: in december presenteren apps en diensten persoonlijke jaaroverzichten aan klanten. Van Spotify tot sportapp Strava en de Rabobank. Hartstikke leuk en handig, maar ook best confronterend.
Spotify Wrapped is het bekendste voorbeeld van zo'n jaaroverzicht. Sinds 2016 biedt de muziekdienst zijn abonnees jaarlijks inzicht in hun meest beluisterde artiesten, nummers en podcasts en veel Spotify-gebruikers kijken er naar uit. De functie werkt zo goed doordat de lijstjes persoonlijk zijn, zegt marketingstrateeg Wendy Oude Veldhuis. Een persoonlijke attentie is volgens haar het beste wat je iemand kunt geven. "Dat is altijd leuk",zegt ze. "Het gaat over jou, dus je wordt gezien. Er komt dan een shotje dopamine vrij en daardoor voel je je beter."
De lijstjes worden massaal gedeeld op sociale media. Op die manier werkt het geluk van Spotify Wrapped twee kanten op. Niet alleen richting de gebruiker, ook richting Spotify. Want veel mensen maken door het delen reclame voor Spotify. "Dit zijn monsterreclamecampagnes", zegt marketingstrateeg.
Andere merken proberen het succes van Spotify te kopiëren. Daardoor krijg je de laatste jaren van veel meer bedrijven een persoonlijk overzicht. Strava laat zien hoeveel kilometer je hebt gefietst en Duolingo toont hoeveel voortgang je hebt gemaakt met het leren van Spaans.
Soms lijkt het een beetje vreemd en misplaatst, zo'n jaaroverzicht. De terugblik van Rabobank laat bijvoorbeeld jouw financiële hoogtepunten zien. Hoeveel uitgaven je deed, wat je grootste en kleinste uitgaven waren en hoeveel je kwijt was aan vaste lasten. Hoewel Rabobank ook deelknoppen bij het overzicht zet, zullen veel minder mensen dat doen.
Data zijn vooral belangrijk voor bedrijven
De lijstjes geven vooral aan hoe goed ons (digitale) leven wordt gedocumenteerd. Voetballer Virgil van Dijk kon daardoor bijvoorbeeld delen dat hij dit jaar 222 keer in de sauna had gezeten, veertig keer op de fiets had gereden en een slaapwaardering van 90 procent had.
Vooral de bedrijven die dat gedrag monitoren hebben daar baat bij, zegt Lotje Beek van burgerrechtenorganisatie Bits of Freedom. "Met dit soort overzichten doen ze alsof zij die data voor ons verzamelen en presenteren ze het op een coole manier", zegt ze. "Maar in de kern verzamelen ze die data natuurlijk niet voor hun klanten, maar om daar zelf geld aan te verdienen."
Met de verzamelde data bouwen bedrijven profielen van hun klanten op, zodat bekend is wie dat zijn en waar ze van houden. Op die manier kunnen bedrijven bijvoorbeeld gerichter adverteren.
Bij veel diensten is het lastig om onder het verzamelen van persoonlijke gegevens uit te komen. En als het dan toch kan, zitten de instellingen om te weigeren vaak verstopt. "Het kost enorm veel moeite", zegt Beek. "Het is niet gebruiksvriendelijk om iets om je privacy te geven."
Toch snapt ze de mensen die blij worden van de jaaroverzichten. Ze vindt het zelf ook wel grappig om te zien. "Muziek wordt niet gezien als iets wat slecht voor je is", zegt ze over Spotify Wrapped. "Een TikTok-overzicht met schermtijden zou vreselijk zijn."
Alles bij de bron; NU
Meta moet een boete van 251 miljoen euro betalen vanwege een groot datalek dat plaatsvond in 2018. Daarbij belandden persoonlijke gegevens van 29 miljoen mensen wereldwijd op straat.
Een fout in het ontwerp van Facebook zorgde ervoor dat gegevens van gebruikers uitgelezen konden worden, ook als die normaal gesproken afgeschermd waren. Het ging om onder meer namen, e-mailadressen, telefoonnummers, religies en informatie over eventuele kinderen van Facebook-gebruikers.
Nadat het datalek werd ontdekt, greep Facebook in om te zorgen dat er geen verdere informatie meer openbaar was.
Alles bij de bron; NU
In de eerste zes maanden van dit jaar heeft de Autoriteit Persoonsgegevens (AP) al duizenden meldingen van datalekken ontvangen als gevolg van verkeerd geadresseerde post en e-mail. Dat blijkt uit een analyse van het Centraal Bureau voor de Statistiek (CBS) op basis van meer dan 9800 datalekmeldingen die in de eerste helft van 2024 gedaan.
In 41 procent van de meldingen bleek het datalek te zijn veroorzaakt door verkeerd geadresseerde post met persoonsgegevens. Achttien procent van de datalekmeldingen was het gevolg van fouten bij het versturen van e-mail met persoonsgegevens.
Bijna zeven op de tien datalekmeldingen werd gedaan door een groot bedrijf of grote organisatie. Verder blijkt dat de helft van de datalekmeldingen werd gedaan door openbaar bestuur, overheidsdiensten en verplichte sociale verzekeringen.
Vorig jaar ontving de AP in totaal zo'n 26.000 meldingen van datalekken.
Alles bij de bron; Security