- Gegevens
- Hoofdcategorie: Databases
Een harde schijf met de gegevens van 30.000 mensen is gestolen uit een pand van Belastingen Amsterdam, dat heeft de Amsterdamse wethouder financiën Victor Everhardt in een brief aan de gemeenteraad laten weten (pdf). De harde schijf zat in een computer die wordt gebruikt voor het scannen van inkomende poststukken.
Uit onderzoek blijkt dat de gestolen harde schijf scans van documenten bevat die in de periode juli 2020 tot en met maart 2021 per post zijn gestuurd door zo'n 30.000 belastingplichtigen. Het gaat om uiteenlopende documenten, waaronder bezwaren, aangiftes en verzoeken om kwijtschelding, waarbij bijvoorbeeld contactgegevens, kopieën van ID-bewijzen en zorgpolisbladen kunnen zijn meegestuurd. De opgeslagen informatie verschilt van geval tot geval.
Everhardt merkt op dat de schijf is voorzien van "authenticatie-beveiliging" en "Gelet op het risico dat de beveiliging is of wordt omzeild en de gegevens kunnen worden doorverkocht of gebruikt voor oplichting en (identiteits)fraude, wordt de diefstal van de schijf behandeld als een datalek conform de voorschriften van de Autoriteit Persoonsgegevens", aldus de wethouder.
De gemeente heeft op 7 april aangifte bij de politie gedaan en zal alle gedupeerde inwoners vanaf volgende week via een brief informeren. Ook raadt de gemeente Amsterdam gedupeerden aan om alert te zijn op facturen, telefoontjes, appjes en e-mails van zowel bekende als onbekende afzenders.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
De Ierse Data Protection Commission (DPC), die toeziet op de naleving van de privacywetgeving, start een onderzoek naar een datalek bij Facebook, waarna de gegevens van 533 miljoen Facebookgebruikers te grabbel werden gegooid op een hackersforum.
Hackers maakten onder andere Facebookprofielnamen, telefoonnummers, locatiegegevens en andere persoonlijke informatie van meer dan 530 miljoen gebruikers uit 106 landen buit, en maakten die informatie begin april openbaar. Volgens experts kunnen oplichters met die gegevens fraude plegen.
Het onderzoek komt er na druk van de Europese Commissie op de Ierse privacycommissaris Helen Dixon. Europees Commissaris Didier Reynders (MR) tweette maandag dat hij met Dixon gesproken had en dat de Europese Commissie de zaak nauw opvolgt.
Alles bij de bron; HLN
- Gegevens
- Hoofdcategorie: Databases
Staten lopen het risico de controle over de financiële sector en andere belangrijke delen van economie te verliezen aan Big Tech, particuliere bedrijven die de digitale ruimte domineren. Daarvoor waarschuwt Europol in een jaarlijks overzicht van criminele dreigingen.
Big Tech kan zijn monopoliepositie consolideren door een enorme financiële macht en technische superioriteit. Het monopolie op gegevens van derden zal een steeds groter risico op manipulatie en crimineel gebruik van persoonlijke gegevens opleveren, aldus Europol.
Digitalisering zal de hoeveelheid digitale persoonlijke gegevens die merendeels in handen zijn van particuliere bedrijven, verder vergroten. Cybercriminelen zullen geavanceerde en grootschalige aanvallen uitvoeren op kritieke infrastructuur. Ze doen dat om toegang te krijgen tot gevoelige gegevens en deze te stelen.
Europol ziet de cybercriminaliteit de komende jaren in omvang en verfijning verder toenemen. Dit soort misdaad is zeer dynamisch en maakt gebruik van snel voortschrijdende technologieën. Kritieke infrastructuren zullen de komende jaren het doelwit blijven van cybercriminelen, wat aanzienlijke risico's met zich meebrengt.
Ontwikkelingen als de uitbreiding van internet of things, het toegenomen gebruik van kunstmatige intelligentie (ai), toepassingen voor biometrische data of de beschikbaarheid van zelfrijdende voertuigen zullen een grote impact hebben. Deze innovaties creëren criminele kansen.
Een nieuw gevaar is dat misdaadgroepen ai gaan misbruiken. Als ai wordt gebruikt in besluitvormingssystemen, kan manipulatie van gegevens ernstige gevolgen hebben voor individuele gebruikers. Het criminele gebruik van ai, inclusief de exploitatie van deepfakes, zal naar verwachting in de toekomst toenemen. De integratie van ai in bestaande technieken kan de reikwijdte en schaal van cyberaanvallen vergroten.
Het gebruik van cryptomunten en de toename van anonimiseringstechnieken, waaronder encryptie, zullen daardoor blijven groeien.
Alles bij de bron; Computable
- Gegevens
- Hoofdcategorie: Databases
Bij de aanval op de Nederlandse Aardolie Maatschappij (NAM) is ook gevoelige persoonsinformatie buitgemaakt van mensen die zijn gedupeerd door aardbevingsschade, zo heeft demissionair minister Van 't Wout van Economische Zaken laten weten op Kamervragen...
...Het gaat om persoons- en adresgegevens van 19.000 personen, zo maakte de NAM in maart bekend.
Minister Van 't Wout bevestigt dit: "Voor het overgrote deel betreft het vooral NAW-gegevens, zoals initialen, achternaam, adres en woonplaats en soms ook geboortedatum en -plaats. De gelekte adressen variëren in gegevens: bij tweederde deel van de adressen staat bijvoorbeeld geen naamsinformatie vermeld maar enkel een adres, huisnummer, postcode en plaatsnaam."
Bij 122 mensen gaat het ook om gevoelige persoonsinformatie, zoals bijvoorbeeld e-mailadressen en telefoonnummers, merkt de minister op. Van zeven mensen staan in de gestolen dataset ook bankgegevens en vaststellingovereenkomsten met de NAM. Deze zeven personen zijn telefonisch door de NAM ingelicht. De overige 115 personen van wie de gevoelige persoonsgegevens zijn gelekt hebben een e-mailbericht of brief van de NAM ontvangen met daarin adviezen en informatie. Mochten slachtoffers van het datalek schade ondervinden, dan kunnen ze de NAM aansprakelijk stellen, aldus Van 't Wout.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
Nu het einde van third-party trackingcookies in zicht is, en sommige browsers die al blokkeren, zoeken advertentiebedrijven naar nieuwe oplossingen om gebruikers over het web te kunnen volgen. Eén van die oplossingen is de Unified Identifier 2.0 (UID2) en de Amerikaanse burgerrechtenbeweging EFF slaat alarm.
De UID 2.0 is een identifier gebaseerd op persoonlijke identificeerbare informatie van internetgebruikers, zoals hun e-mailadres of telefoonnummer. Een website vraagt gebruikers om hun e-mailadres of telefoonnummer. Vervolgens wordt deze informatie met een advertentiebedrijf gedeeld, dat van het adres of nummer een hash maakt.
Deze hash vormt de "Unified Identifier" waarmee de gebruiker binnen het systeem wordt geïdentificeerd. Een centrale beheerder voorziet het advertentiebedrijf van encryptiesleutels om de Unified Identifier te versleutelen, wat een token oplevert. Het advertentiebedrijf stuurt dit token terug naar de website, die het vervolgens deelt met adverteerders.
Advertentiebedrijven die lid van het onderliggende ecosysteem zijn zullen van de centrale beheerder de decryptiesleutels ontvangen waarmee ze het token kunnen ontsleutelen om zo de oorspronkelijke Unified Identifier te zien. Deze identifier vormt de basis voor een gebruikersprofiel en maakt het mogelijk voor trackers om verschillende soorten data over een persoon aan elkaar te koppelen. Ook kunnen de identifiers worden gedeeld met datahandelaren en andere partijen binnen het systeem om gebruikersdata samen te voegen....
...Volgens de EFF zijn er nog veel vragen over het systeem. Zijn cookies gekoppeld aan één browser op één apparaat, het UID2 zal zijn gekoppeld aan mensen, niet apparaten, waarschuwt de EFF. Adverteerders die de UID2 van een website verzamelen kunnen die vervolgens koppelen aan de identifiers die ze via apps en andere platformen binnenkrijgen. Zo is het mogelijk om mensen eenvoudiger over meerdere apparaten te volgen.
Het systeem zal alleen kunnen werken als de gebruiker zijn informatie afstaat, maar de EFF is bang dat dit apps en apparaten zal aanmoedigen om het e-mailadres van gebruikers te vragen. De burgerrechtenbeweging denkt dat de UID2 voor allerlei "trackerwalls" zal zorgen, waarbij internetgebruikers alleen content kunnen bekijken als ze hun e-mailadres afstaan.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
De gescrapete data van Clubhouse-gebruikers die dit weekeinde op een forum voor hackers verscheen, is voor iedereen toegankelijk via een api.
In de api kan iedereen volgens Clubhouse naast naam en foto ook de gebruikersnaam van die persoon op Instagram en Twitter vinden, naast gegevens over wanneer het account is aangemaakt en het aantal volgers. Met de data uit de api is het mogelijk om Clubhouse-gebruikers te koppelen aan hun andere accounts op sociale media. Daardoor kan iedereen een database opbouwen van Clubhouse-gebruikers al is het onduidelijk hoe waardevol een dergelijke database is.
Bij scrapen is er geen inbraak in het systeem van een bedrijf, maar maken hackers gebruik van openbaar beschikbare informatie op bijvoorbeeld profielpagina's om een database van gebruikers op te bouwen. Het gaat in dit geval om 1,3 miljoen gescrapete accounts, meldt Cybernews.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Databases
Het kan nog jaren duren voordat de overheid alle "vervuilde data" heeft opgeruimd, zo heeft demissionair staatssecretaris Knops van Binnenlandse Zaken in een brief aan de Tweede Kamer laten weten. Naar aanleiding van de toeslagenaffaire kwam de SP met een motie waarin het kabinet werd opgeroepen om met een plan te komen hoe overal binnen overheidsinstellingen vervuilde data, risicomodellen en het gebruik van nationaliteit worden opgeruimd.
Om aan de motie te voldoen presenteert Knops een plan dat uit drie stappen bestaat. Als eerste vindt er een inventarisatie plaats waar afkomst gerelateerde indicatoren een rol spelen. Vervolgens wordt getoetst in hoeverre er sprake is van (on)rechtmatig of (on)eigenlijk gebruik van afkomst gerelateerde variabelen in de risicomodellen. Als laatste stap zullen overheidsinstellingen gegevens rectificeren of wissen wanneer deze gebaseerd zijn op risicomodellen waarin onrechtmatig of oneigenlijk gebruik is gemaakt van afkomst gerelateerde indicatoren.
De personen in kwestie zullen daarnaast worden gewezen op het recht om gegevens te rectificeren of te laten wissen. Knops merkt op dat in bepaalde gevallen vervuilde gegevens enige tijd afgeschermd worden bewaard, zodat betrokken burgers geïnformeerd kunnen worden. Wanneer alle vervuilde gegevens zijn verwijderd kan de staatssecretaris niet zeggen, maar dit zou nog jaren kunnen duren.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
Privacyactivist Max Schrems heeft in Frankrijk met zijn lobbygroep NOYB een klacht ingediend tegen Google, vanwege het schenden van Europese privacyregels bij advertenties. Volgens Schrems vraagt Google geen toestemming om gebruikers te volgen voor het aanbieden van gepersonaliseerde reclames (pdf).
De reclametool die Google op Android-telefoons gebruikt, wordt door NOYB omschreven als een digitale kentekenplaat. "Elke actie die een gebruiker uitvoert, kan aan dit kenteken worden verbonden en worden gebruikt om een gebruikersprofiel op te stellen", schrijft de groep. "Dit kan daarna gebruikt worden bij het voorschotelen van gepersonaliseerde advertenties." Hiervoor is volgens NOYB uitdrukkelijk toestemming van de gebruiker nodig.
De stichting zegt dat het programma niet alleen zonder toestemming geïnstalleerd wordt, maar dat het voor gebruikers ook niet mogelijk is om de tool en het digitale kenteken volledig te wissen.
Alles bij de bron; NU
- Gegevens
- Hoofdcategorie: Databases
Met de volkstelling vijftig jaar geleden ontstond in Nederland voor het eerst maatschappelijke onrust over de centrale opslag van gegevens in een computer. Want wilde de overheid niet wel erg veel weten van haar burgers?
...Volkstellingen werden in Nederland sinds 1829 elke tien jaar gehouden, om te weten waar een school gebouwd moet worden bijvoorbeeld, een kerk of woningen voor ouderen.
Maar bij elke volkstelling wilde de overheid meer van haar burgers weten. Tot aan 1971 dus, toen iedere burger tien ponskaartjes kreeg toegestuurd waarop tot in detail naar ieders leven werd gevraagd. Inclusief naam, adres, geslacht en geboortedatum.
De laatste keer, want de telling mislukte. Om redenen die verrassend hedendaags klinken: zorgen om privacy, niet weten wat er met gegevens gebeurt en geen garantie dat persoonsgegevens veilig worden opgeslagen. Voor het eerst kwam in Nederland een maatschappelijke discussie op gang over privacy. Je zou zelfs kunnen zeggen dat het algemeen gebruik van die term rond de volkstelling vijftig jaar geleden is begonnen.....
...Vakjes moesten worden ingekleurd met potlood (die moesten in allerijl worden bijgemaakt) zodat de computer ze kon lezen. ‘Maar ‘de computer’ was een black box, mensen wisten niet wat er met hun gegevens zou gebeuren. Die computer werd het symbool van het kwaad, van de centrale opslag van gegevens.’...
...De bezwaren van het Comité Waakzaamheid Volkstelling, dat was opgericht door actievoerders die zich verzetten tegen de manier waarop de telling gehouden zou gaan worden, leidden tot een golf van maatschappelijke verontwaardiging, zoals gezegd de eerste keer dat die verontwaardiging over privacy ging. De telling ging uiteindelijk door, maar door al dan niet bewust verkeerd ingevulde ponskaarten kwamen gegevens veel later beschikbaar dan gedacht. 320 duizend mensen gaven niet thuis en 22 duizend weigerden openlijk mee te doen, maar niemand werd daarvoor beboet of vastgezet. Uiteindelijk bleek de telling onbruikbaar.
Daar ging het Holvast niet om, zegt hij nu, hij wilde een brede discussie over privacy. In zekere zin is dat gelukt, na de mislukte telling van 1971 zijn de privacywetten opgesteld zoals we die nu kennen.
Hij ziet dan ook met lede ogen aan hoeveel we tegenwoordig vrijwillig van ons leven openbaren. Terwijl er elke dag wel een datalek lijkt te zijn ergens. In die zin zijn we niets opgeschoten, zegt Holvast. ‘We zijn kennelijk bereid heel veel over onszelf te vertellen als we er iets voor terug krijgen. Kijk bijvoorbeeld naar het succes van kortingskaarten. Toen supermarkten daarmee begonnen, werd wel ergens opgeslagen waar je woonde.’
En altijd, zegt Holvast, is er wel iemand die zegt dat hij of zij niets heeft te verbergen. ‘Maar wat als je een baan wordt geweigerd om iets dat over jou is te vinden? Of een overheid je iets aandoet vanwege een fout in een database? Je hebt misschien de luxe om gelaten te zijn. Tot je iets overkomt.’
Alles bij de bron; Volkskrant
- Gegevens
- Hoofdcategorie: Databases
Ict-bedrijf RDC, waar de gegevens van miljoenen Nederlandse autobezitters werden gestolen, mag getroffen personen naar eigen zeggen niet over het datalek informeren. Volgens de persoon die de gestolen data op internet aanbiedt gaat het om de gegevens van 7,3 miljoen mensen.
Het bedrijf heeft meer informatie over het incident gegeven en op de vraag van autobezitters of hun data is buitgemaakt zegt RDC dat de kans aanwezig is dat dit het geval is. "De verkoper van de voertuig- en persoonsgegevens zegt over 60 procent van door ons verwerkte data te beschikken."
Hoewel de data bij RDC is gestolen mag het bedrijf getroffen consumenten niet over het datalek informeren. "Dat mogen wij niet van de wet. RDC treedt voor de diensten die zij aanbiedt op als verwerker in de zin der wet. Autobedrijven schakelen RDC in om een deel van hun proces uit te voeren. Een autobedrijf heeft overeenkomsten met zijn klanten (de consument) en daarom is het autobedrijf verwerkingsverantwoordelijke in de zin van de AVG. Wij mogen om die reden niet direct in contact treden met de eindklanten", zo stelt het bedrijf.
Hoe de gegevens konden worden buitgemaakt wordt onderzocht en RDC geeft aan de onderzoeksresultaten te zullen delen. Verder is het bedrijf in contact met de politie om aangifte te doen.
Alles bij de bron; Security