De Zweedse online bank Avanza heeft wegens een datalek door een verkeerd ingestelde Meta-pixel op de eigen website en binnen de eigen app een AVG-boete van omgerekend 1,3 miljoen euro gekregen.
Via de pixel werden allerlei gevoelige financiële gegevens van een miljoen Avanza-klanten naar Meta doorgestuurd, aldus de Zweedse privacytoezichthouder IMY.
De bank meldde zelf aan de toezichthouder dat door een verkeerde instelling van de Meta-pixel tussen 15 november 2019 en 2 juni 2021 gegevens van een miljoen klanten onbedoeld naar Meta gingen. Het datalek werd veroorzaakt doordat de bank een aantal 'subfuncties' van de Meta-pixel per ongeluk inschakelde, aldus de Zweedse privacytoezichthouder.
De bank zegt dat het na ontdekking van het datalek de pixel heeft uitgeschakeld en dat Meta heeft bevestigd dat de verzamelde persoonlijke data is vernietigd.
Alles bij de bron; Security
Begin juni schaarde een meerderheid van de Tweede Kamer zich achter een motie die de regering opdraagt een einde te maken aan de indringende dataverzameling binnen de geestelijke gezondheidszorg (ggz).
Deze dataverzameling is opgezet door de Nederlandse Zorgautoriteit (NZa), een onafhankelijk bestuursorgaan dat toezicht houdt op de ‘zorgmarkt’. Om de zorg efficiënter in te richten, wil de toezichthouder voorspellen hoeveel zorg patiënten nodig hebben, zodat zorgverzekeraars vervolgens met meer precisie zorg kunnen inkopen.
Het gevolg: de intieme, medische gegevens van 800.000 ggz-patiënten worden gepseudonimiseerd (maar niet geanonimiseerd, dus potentieel herleidbaar ) opgevraagd via de zogeheten Honos+-vragenlijst, waarin vragen staan als: heeft de patiënt weleens last van suïcidale gedachten of depressieve stemmingen? Gebruikt hij te veel drugs of alcohol, heeft hij last van waanvoorstellingen? Heeft hij seksuele- of gedragsproblemen? Is hij een gevaar voor zijn omgeving, bijvoorbeeld voor zijn kinderen?
Extra pervers is dat patiënten door de NZa niet om toestemming wordt gevraagd voor het delen van hun gegevens. Het merendeel verkeert zelfs in zalige onwetendheid: uit een peiling van patiëntenorganisatie Mind bleek dat driekwart van de patiënten een half jaar na de start van de dataverzameling nog steeds van niets wist.
De aangenomen motie is daarom goed nieuws. Maar in het grotere geheel nog altijd vrij onbeduidend.
Want ook als de dataverzameling door het nieuwe kabinet zou worden stopgezet, blijft de mentaliteit waaruit die is voortgekomen, gewoon in leven. Precies dat zou ons als maatschappij zorgen moeten baren: het gemak waarmee de overheid, en specifiek de NZa, dit soort dataverzamelingen opzet zonder goed na te denken over de consequenties ervan.
De laatste jaren hebben we kunnen zien dat wanneer de ene dataverzameling wordt tegengehouden, de volgende alweer uit de grond schiet. Het is nog maar vijf jaar geleden dat de vorige databank met gegevens van ggz-patiënten op last van de Autoriteit Persoonsgegevens (AP) moest worden vernietigd (ook toen werd patiënten geen toestemming gevraagd). Intussen is de NZa - naast de huidige uitvraag - alweer druk bezig met het optuigen van een vergelijkbare dataverzameling binnen de jeugdzorg....
....De overheid en de NZa hebben het nagelaten om te onderzoeken en verwoorden wat deze dataverzameling in de praktijk betekent voor patiënten, met name voor degenen met complexe, zware problematiek, de doelgroep die ze juist zeggen te willen helpen, de doelgroep ook die wij als maatschappij koste wat kost zouden moeten beschermen.
Alles bij de bron; NRC
Eén van de grootste datalekken in de Australische geschiedenis is ontstaan doordat criminelen het gesynchroniseerde wachtwoord van een helpdeskmedewerker wisten te stelen, nadat zijn persoonlijke computer met malware besmet was geraakt. Bij de Australische zorgverzekeraar Medibank wist een ransomwaregroep de gegevens van 9,7 miljoen klanten buit te maken en publiceerde die vervolgens nadat het bedrijf had aangegeven geen losgeld te betalen.
Zo werden allerlei medische dossiers gepubliceerd. Daarin stond onder andere dat mensen waren gediagnosticeerd of behandeld voor alcoholmisbruik, drugsverslaving en hiv-status. Ook werden dossiers online gezet met informatie over psychische klachten, alsmede andere aandoeningen, zoals hartklachten, diabetes, astma, kanker en dementie. Tevens werden dossiers openbaar gemaakt van vrouwen die een abortus hadden laten plegen.
Alles bij de bron; Security
De gemeente Amsterdam heeft een geheime namenlijst gelekt met daarop 22 personen die in de radicaliseringsaanpak zaten. Volgens het Parool worden namen van personen op deze lijst meestal angstvallig geheim gehouden en gelden als uiterst privacygevoelig.
De gemeente Amsterdam deelde de lijst onbedoeld met activist Frank van der Linde, die zelf ook in de radicaliseringsaanpak zat. Van der Linde deed een inzageverzoek bij de gemeente om informatie te verstrekken die de gemeente over hem heeft.
Tussen de gegevens die de gemeente aan Van der Linde verstrekte stond ook een namenlijst met adressen, geboortedata en bsn-nummers, plus een summiere melding van de redenen waarom de 22 Amsterdammers zijn uitgestroomd uit de radicaliseringsaanpak. De gemeente heeft het datalek tegenover Het Parool bevestigd en melding gedaan bij de Autoriteit Persoonsgegevens.
Alles bij de bron; Security
De Eerste Kamer heeft ingestemd met de Wet gegevensverwerking door samenwerkingsverbanden (WGS), die gegevensuitwisseling tussen overheidsdiensten en onder meer banken en woningbouwcorporaties legaliseert.
De nieuwe datadeelwet heeft betrekking op samenwerkingsverbanden op het gebied van zorg en veiligheid, in de strijd tegen de georganiseerde criminaliteit en in de aanpak van witwassen en crimineel vermogen. Zo kunnen bijvoorbeeld gemeenten informatie uitwisselen met de Belastingdienst, het Openbaar Ministerie en de Immigratie- en Naturalisatiedienst, maar ook met banken, woningbouwcorporaties en met de voedsel- en warenautoriteit en arbeidsinspectie.
Tegenstanders vrezen voor nieuwe Toeslagenaffaires, omdat mensen op verkeerde lijstjes terecht kunnen komen zonder dat ze zich daartegen kunnen verweren.
In de Eerste Kamer stemden de fracties van VVD, CDA, D66 en ChristenUnie, PVV, BBB, JA21, SGP, 50Plus en OPNL voor het wetsvoorstel.
De fracties van GroenLinks-PvdA, PvdD, SP, FVD en Volt stemden tegen.
Alles bij de bron; NRC [inloggen noodzakelijk] Thnx-2-Niek
Sonos is in de Verenigde Staten onder vuur komen te liggen omdat het een opmerking over het niet verkopen van gebruikersgegevens uit het privacybeleid heeft verwijderd. In de Amerikaanse versie van het beleid van vorig jaar stond vermeld dat Sonos informatie over gebruikers niet verkoopt en dit ook niet zal doen.
Deze regel is in de versie van dit jaar verwijderd. Iets wat voor ophef onder gebruikers zorgt, die zich zorgen maken over wat er met hun gegevens zal gebeuren. AppleInsider meldt dat het voor Amerikaanse gebruikers niet mogelijk is om zich voor de nieuwe gebruikersovereenkomst af te melden, zonder de producten te retourneren.
Ook het Nederlandse privacybeleid is ten opzichte van vorig jaar aangepast. In de versie van vorig jaar stond nog met dikgedrukte letters: "Wij verkopen je persoonsgegevens niet aan derden en zullen dat ook in de toekomst niet doen." In de versie van juni dit jaar is deze regel verdwenen. Er staat nu in dikgedrukt: "Bij Sonos verkopen we geen persoonsgegevens van onze klanten." De opmerking dat het dit in de toekomst niet zal doen is nu verdwenen.
Alles bij de bron; Security
De Britse en Canadese privacytoezichthouders zijn een gezamenlijk onderzoek gestart naar dna-testbedrijf 23andMe, dat vorig jaar de gevoelige gegevens van miljoenen gebruikers lekte.
Via 23andMe kunnen gebruikers hun dna laten testen om te zien waar hun voorouders vandaan komen en in contact te komen met andere familieleden op het platform. Daarnaast kan er ook worden getest op gezondheidsgerelateerde zaken. Het bedrijf heeft wereldwijd miljoenen gebruikers, waaronder in Nederland.
Ze biedt gebruikers de feature 'DNA Relatives', waarmee het mogelijk is om andere familieleden op het platform te vinden en meer over de eigen afstamming te weten te komen. Het gaat hier om een optionele feature. Veel gebruikers hebben deze feature echter ingeschakeld, omdat ze juist verwanten via 23andMe willen vinden.
Vorig jaar wisten aanvallers op de accounts van veertienduizend gebruikers in te breken. Nadat de aanvallers toegang tot de accounts hadden gekregen wisten ze vervolgens de afstammingsgegevens van 6,9 miljoen gebruikers te stelen, die gebruik hadden gemaakt van de DNA Relatives-feature.
Tevens werden ook gezondheidsrapporten over gebruikers buitgemaakt, die waren gebaseerd op het verwerken van hun genetische informatie. Het gaat onder andere om rapporten over erfelijke aandoeningen. Tevens hebben de aanvallers 'raw genotype data' in handen kregen, alsmede woonplaats, postcode en geboortejaar als gebruikers die zelf hadden gedeeld.
De twee privacytoezichthouders gaan nu de omvang van de gelekte informatie onderzoeken en of het bedrijf getroffen gebruikers en de twee toezichthouders voldoende heeft ingelicht, zoals het onder de privacywetgeving verplicht is.
Alles bij de bron; Security
LinkedIn heeft targeting van advertenties op basis van persoonlijke gevoelige gegevens van gebruikers op haar platform afgeschaft.
Dit is een reactie op een klacht die European Digital Rights (EDRi), Gesellschaft für Freiheitsrechte (GFF), Global Witness en Bits of Freedom in februari 2024 onder de Digital Services Act (DSA) indienden bij de Europese Commissie.
Volgens deze organisaties was dit soort targeting in strijd met een nieuw verbod van de DSA.
LinkedIn zal niet langer toestaan dat adverteerders wereldwijd gebruikers in de Europese Economische Ruimte (EER) targeten met advertenties op basis van LinkedIn groepsnamen, die gevoelige categorieën van persoonsgegevens kunnen bevatten of onthullen.
Helaas zijn de nieuwe beperkingen alleen van toepassing op advertenties die gericht zijn op mensen in de EER. Mensen in andere delen van de wereld zullen nog steeds worden onderworpen aan deze invasieve vormen van profilering en targeting.
Adverteerders op LinkedIn blijven wel in staat om gebruikers te targeten op basis van andere categorieën van persoonsgegevens, aangezien de reikwijdte van het verbod op advertentietargeting van de DSA beperkt is tot gevoelige categorieën van persoonsgegevens zoals gedefinieerd in artikel 9 GDPR.
Alles bij de bron; Bits-of-Freedom
Vandaag stuurt Bits of Freedom de gemeente Amsterdam nog een laatste keer een brief waarin ze oproepen te stoppen met de Top400: een omstreden surveillance aanpak met als doel criminaliteit onder jongeren te voorkomen. Als daar geen gehoor aan wordt gegeven, stappen de organisatie naar de rechter.
De Top400 aanpak werd ontwikkeld na de Top600, waarmee “high impact crimes” teruggedrongen moesten worden en de afgelopen jaren is er veel kritiek geweest op de uitvoering van beide programma’s.
Dat weerhield de gemeente Amsterdam er niet van het programma voort te zetten. Nog steeds zitten kinderen en hun families vast in een systeem waarin ze worden omringd door de gemeente, politie en instanties die allemaal denken te weten hoe de toekomst van een kind eruit zal zien, nog voordat een kind de kans krijgt daar zelf over te dromen.
...De gemeente Amsterdam heeft samen met de politie een algoritme gebruikt, genaamd Prokid+, waarmee op basis van politiegegevens het risico bepaald werd of een kind in de toekomst het criminele pad op zou kunnen gaan. Maar liefst 125 jongeren zijn in 2016 door dit algoritme in de Top400 beland, zonder dat zij of hun ouders mochten weten hoe en waarom ze voor dit surveillanceproject waren geselecteerd.
Uit onderzoek van PILP en Fieke Jansen bleek dat kinderen al geselecteerd konden worden als ze in aanraking waren gekomen met de politie of als verdachte waren aangehouden tussen de 12 en 14 jaar. Dat betekent dus dat er nog geen sprake hoefde te zijn van een veroordeling van een delict. In sommige gevallen konden kinderen zelfs geselecteerd worden als ze vaker hadden gewisseld van basisschool of als ze slachtoffer of getuige waren van huiselijk geweld. Inmiddels zijn de criteria om geselecteerd te worden strenger en is het gebruik van dit algoritme stopgezet.
Vanaf het moment dat je in de Top400 komt, word je constant in de gaten gehouden. Met wie ga je om, hoe vaak verslaap je je wanneer je naar school moet, hoe vaak zijn je ouders thuis, wie zijn je broertjes en zusjes en moeten die ook in de gaten worden gehouden… Wat doet dat met kinderen?
Kinderen hebben ruimte nodig om te ontdekken wie ze zijn en wie ze willen worden. Ze horen fouten te maken, zodat ze in oplossingen leren denken. Met vallen en opstaan leren ze welke dingen ze zelf kunnen, en wanneer ze hulp moeten vragen. Ze leren herkennen wie ze kunnen vertrouwen en bij wie ze beter uit de buurt kunnen blijven.
Wie kunnen de kinderen die in de Top400 beland zijn nog vertrouwen? Wat leren ze als ze overal gevolgd worden nergens meer veilig zijn voor de doordringende en veroordelende blikken van al die volwassen professionals? Allerlei partijen gaan om tafel om het over een kind te hebben, maar het kind en zijn ouders mogen niet weten wat er over hem wordt gezegd.
En wat doet het met een maatschappij als een gemeente op de stoel van de politie gaat zitten? Wat doet het met gemeenschappen als ze steeds weer uit risicoprofileringsalgoritmen komen rollen als ‘verdacht’ en ze vervolgens worden bestraft alsof ze zijn veroordeeld, maar daar nooit een eerlijk proces voor hebben gekregen?
Een fundamenteel uitgangspunt in onze rechtsstaat is dat iemand onschuldig is tot het tegendeel bewezen is. Maar in de Top400 worden kinderen zelfs niet met rust gelaten nadat ze zijn vrijgesproken van beschuldigingen, want de overtuiging is dat ze op een dag érgens schuldig aan zullen zijn.
Vertegenwoordigd door PILP en in samenspraak met geraakte gemeenschappen gaat Bits of Freedom graag nog een keer in gesprek met de gemeente Amsterdam. Maar als de gemeente Amsterdam zich niet bereid toont de jongeren die voor de rest van hun leven getekend zijn tegemoet te komen: dan zien ze zich genoodzaakt tot het zetten van verdere juridische stappen.
Alles bij de bron; Bits-of-Freedom
Aan datalekzoekmachine Have I Been Pwned (HIBP) zijn 361 miljoen e-mailadressen van gekaapte accounts toegevoegd, die werden verhandeld via Telegram. Dat laat onderzoeker en HIBP-oprichter Troy Hunt weten. Een beveiligingsonderzoeker wist onlangs van allerlei Telegram-kanalen miljoenen gecompromitteerde inloggegevens te scrapen en deelde vervolgens de e-mailadressen met Hunt. Het ging bij elkaar om 122 gigabyte aan data.
Van de 361 miljoen unieke miljoen e-mailadressen waren er 151 miljoen niet eerder in HIBP gezien. De gecompromitteerde inloggegevens zijn van allerlei diensten, zoals Netflix, Disney Plus, Amazon, Hotmail, Gmail en Yahoo alsmede op landen gebaseerde 'combolists'. Volgens Hunt zijn de inloggegevens afkomstig van met malware besmette computers. De infostealer-malware op deze machine steelt alle ingevoerde inloggegevens en in de browser opgeslagen wachtwoorden.
Alles bij de bron; Security