Een zorgverlener van het Flevoziekenhuis in Almere heeft de gegevens van meer dan 4300 patiënten meegenomen, het ziekenhuis uit. De data werden op een USB-stick gezet, maar de medewerker verloor die buiten op het parkeerterrein.
Iemand anders vond de USB-stick, nam er thuis een kijkje op en gaf die daarna terug aan het ziekenhuis. Op de USB-stick stonden namen, geboortedata, patiëntnummers en aantekeningen over botbreuken en behandelingen. Het bestand bevatte volgens het ziekenhuis geen adresgegevens, burgerservicenummers en andere medische informatie.
Alles bij de bron; RTLZ
Tesco gaat meer dan 600.000 klantenkaarten vervangen nadat aanvallers hebben geprobeerd om op de accounts van klanten in te loggen. Volgens het bedrijf probeerden aanvallers met gestolen inloggegevens van andere sites om op 620.000 Clubcard-accounts in te loggen.
Vervolgens werd er met de kortingsbonnen die klanten via de klantenkaart hadden gespaard gefraudeerd. Getroffen klanten is gevraagd om hun wachtwoord te resetten. Daarnaast krijgen gedupeerde klanten nieuwe kortingsbonnen en worden uit voorzorg nieuwe Clubcards uitgegeven. De BBC meldt dat zo'n 19 miljoen mensen een Tesco-klantenkaart hebben.
Alles bij de bron; Security
AP waarschuwt voor de mogelijkheden van zowel nieuwe auto’s, als ook motoren, scooters en fietsen. De voertuigen verzamelen data, zoals waar de eigenaar is geweest en de rijstijl. Die data worden anoniem gemaakt, toch is volgens AP te herleiden over wie die gegevens gaan. Een handleiding van AP maakt consumenten wegwijs.
Autoverkopers en leasemaatschappijen zijn bij wet verplicht om duidelijk te zijn over die datadeling. In de praktijk gebeurt dat niet altijd, concludeerde onlangs het Financieele Dagblad onlangs. Sommige leasemaatschappijen koppelen de datadeling van slimme auto's standaard aan de fabrikant.
Alles bij de bron; RTLZ
Volgens Dimitri van den Meerssche moet het gerechtelijk verbod op de inzet van monitoringssysteem SyRI leiden tot een maatschappelijk debat over de grenzen van de digitale controlestaat...
...Het is een monumentale uitspraak die door experts in internationaal recht als globaal precedent wordt aanzien. SyRI is immers slechts een van vele overheidssystemen (binnen en buiten Nederland) die algoritmische risicomodellen, artificiële intelligentie en big data gebruiken in beslissingen. Beslissingen die een directe impact kunnen hebben op (vaak de meest kwetsbare) burgers.
De uitspraak moet daarom niet alleen worden toegejuicht maar ook als aanleiding worden gezien voor een kritisch maatschappelijk debat over de grenzen van de digitale controlestaat.
Systemen die zoals SyRI gebruik maken van algoritmen en datakoppeling voor het opstellen van risicomeldingen en het sturen van beslissingen, zijn fundamenteel onverenigbaar met verschillende democratische waarden... Deze verregaande digitale inspectie is dus proactief: er gaat geen onderzoek vooraf aan het koppelen en interpreteren van privé-informatie die niet voor dit doel werd verschaft. Dit zet het vermoeden van onschuld op zijn kop en schaadt de vertrouwensrelatie tussen de staat en zijn burgers...
...Ten tweede zijn de algoritmen en risicomodellen die systemen zoals SyRI hanteren duidelijk onverenigbaar met het principe dat de staat op een transparante manier beslissingen moet nemen en daar ook verantwoording voor moet afleggen.
Dat het risicomodel gebruikt door SyRI geheim werd gehouden is uiteraard een flagrante schending van dit principe. Het probleem gaat echter veel dieper. Bepaalde types van artificiële intelligentie (waar de SyRIwet volgens de rechtbank ruimte voor biedt) zijn immers inherent ondoorgrondelijk. Het gebruik van deep learning, bijvoorbeeld, impliceert dat de logica en de factoren van besluitvorming constant evolueren op basis van algoritmische associaties die ook voor de ontwerpers van het systeem ondoorzichtig zijn...
....In Davos was premier Mark Rutte onlangs optimistisch over de eindeloze mogelijkheden van artificiële intelligentie. De neveneffecten kunnen worden ingeperkt, stelde hij, door goed onderwijs, nieuwe ‘standaarden’ en het ‘onafhankelijke denken van burgers’. Als de uitspraak van de rechtbank in Den Haag ons iets leert is het echter dat we ons niet redden met zulke vage politieke beloftes en perspectieven. Het kader voor politiek handelen is de rechtsstaat. Voor systemen als SyRI is daarin geen plaats.
Alles bij de bron; Parool
Het marketingbedrijf Straffic heeft per abuis 49 miljoen persoonlijke gegevens inzichtelijk gemaakt. De inloggegevens voor een database van het bedrijf waren online vindbaar, waardoor onder andere e-mailadressen, adressen, telefoonnummers en andere gegevens inzichtelijk waren.
Straffic zelf heeft in een statement te kennen gegeven dat er een beveiligingslek is gevonden op een van de servers die het bedrijf gebruikt. Het statement bevat echter verder geen details over wat er precies is misgegaan.
Meer informatie komt van iemand die zich op Twitter uitgeeft onder de naam 0m3n. Hij werd namelijk een tijdlang blootgesteld aan spamberichten en besloot op zoek te gaan naar de bron. Zijn zoektocht leidde hem naar een webserver waarop een bestand stond met de inloggegevens voor een Elasticsearch-database waarvan Straffic de eigenaar is, zo vertelde hij tegenover Data Breach Today.
Met de inloggegevens die 0m3n vond, kreeg hij toegang tot de database, waardoor hij 140GB aan bestanden kon doorzoeken. Hij vond allerlei persoonlijke gegevens, zoals namen, adressen en telefoonnummers van mensen. Ook e-mailadressen en het geslacht van de in de database opgenomen mensen was vindbaar. Het is echter niet duidelijk wie er toegang hebben gehad tot de gegevens en wie ze momenteel nog in handen heeft.
Alles bij de bron; Tweakers
De Belastingdienst heeft donderdagavond een groot fraudesysteem uit de lucht gehaald omdat dat volstrekt niet aan de regels bleek te voldoen. Er stonden zo’n 180.000 mensen in vermeld als (mogelijke) fraudeur, maar de bewijzen voor die fraude waren onbetrouwbaar en niet controleerbaar.
Al meer dan twintig jaar gebruikte de dienst het geheime registratiesysteem om alle ‘vermoedens’ en ‘signalen’ van fraude op te slaan. Burgers die op deze interne zwarte lijst werden opgenomen wisten daar niets van en konden zich er niet tegen verweren.
Het systeem, de zogeheten Fraude Signalering Voorziening (FSV), bevat gegevens van burgers sinds 2001 en werd gebruikt voor selectie en profilering van groepen burgers die extra controle en toezicht krijgen. In januari vorig jaar werd al gewaarschuwd voor grote risico’s. Het onderzoek spreekt van een ‘zwarte-lijst-effect’ en ‘stigmatisering’ van grote groepen burgers.
Belangrijkste gebrek in FSV was dat ambtenaren vaak geen idee hebben waarom burgers erin staan. Een verzoek om informatie van bijvoorbeeld het Openbaar Ministerie leidt tot registratie, maar ook een klikmelding van een andere burger of een daadwerkelijke veroordeling vanwege bijvoorbeeld het opstellen van valse facturen. In het systeem staat vaak niet om wat voor melding het gaat, alleen dát er sprake is van registratie.
Ambtenaren konden niet alleen gegevens raadplegen, maar ook aanpassen, exporteren en zelfs van een andere datum voorzien, zonder dat dit geregistreerd werd. Zodoende is onduidelijk wat de waarde van een melding is, concludeert de Belastingdienst zelf.
Het interne onderzoek (zie hieronder) concludeert dat FSV volledig in strijd is met wetten op het gebied van privacy en gebruik van persoonlijke gegevens. Privacy-experts reageren geschrokken op het feit dat de Belastingdienst het systeem vervolgens nog meer dan een jaar in de lucht hield.
“Dat is echt een probleem”, stelt Joris van Hoboken, hoogleraar in de rechten aan de Vrije Universiteit Brussel en senior onderzoeker aan het Instituut voor Informatierecht van de Universiteit van Amsterdam. “Het roept bovendien de vraag op: speelt er nog meer? Wat heeft de Belastingdienst de afgelopen jaren met dit systeem gedaan?”
Alles bij de bron; Trouw
Gegevens van klanten zijn door United Consumers per abuis naar duizenden andere klanten gestuurd. Onder meer e-mailadressen, woonadressen en namen van andere klanten zijn te vinden in de e-mail. De mail is verstuurd naar 2.865 klanten.
United Consumers erkent het lek; getroffen klanten zijn per sms-bericht op de hoogte gesteld. Het lek ontstond bij het versturen van een update over het energieverbruik van klanten. Hierbij werd het e-mailadres van de vorige geadresseerden niet verwijderd, waardoor steeds nieuwe e-mailadressen werden toegevoegd. Sommige klanten ontvingen hierdoor in korte tijd duizenden e-mails, waarin ook gegevens van andere klanten zichtbaar waren.
"De storing in ons mailsysteem is het gevolg van een update die we uitgevoerd hebben. Na een klein kwartier bleek er een fout te zitten in het mailsysteem. Waar klant 1 netjes zijn of haar verbruiksoverzicht kreeg, bleek deze klant ook het verbruiksoverzicht te ontvangen van klant 2, 3, 4 etc. Bij elke nieuwe mail die het systeem aanmaakte, bleef het e-mailadres van de vorige ontvanger staan."
De fout werd tijdig ontdekt, waardoor de mailing kon worden stopgezet en het aantal getroffen klanten kon worden beperkt. De energieleverancier gaat melding maken bij de Autoriteit Persoonsgegevens.
Alles bij de bron; DutchIT
Polishouders van CZ, Zilveren Kruis, Menzis en VGZ van wie de kinderen niet naar de tandarts gaan, kunnen een brief van hun verzekeraar verwachten. Hierin worden ouders erop gewezen dat mondzorg bij minderjarigen kosteloos is. Zo moeten gebitsproblemen en hoge kosten op latere leeftijd voorkomen worden.
Minister Bruno Bruins (Medische Zorg) plaatste eerder vraagtekens bij de maatregel. "Als je verzekeraar gaat kijken welke zorg je hebt gehad, en je gaat bellen als je iets niet hebt geconsumeerd, daar ben ik niet zo erg voor." maar de Autoriteit Persoonsgegevens liet daarop weten dat hij de privacyregels in dit geval 'te streng' interpreteerde.
In principe mag volgens de privacywet alles worden gedaan wat nodig is om dat contract netjes uit te voeren, meldt de woordvoerder. "Bij het contract hoort ook dat er een goed en open contact is tussen de contractpartners.
De Autoriteit Persoonsgegevens (AP) gaf zorgverzekeraars eerder deze maand de definitieve toestemming om op basis van declaratiegegevens gericht te informeren.
Alles bij de bron; NU
De gegevens van bijna tienduizend Nederlanders zijn buitgemaakt bij de hack op de Amerikaanse hotelketen MGM Resorts, meldt de NOS die inzage had in de database met gelekte gegevens.
Op basis van adresgegevens en e-mailadressen die eindigen op .nl, constateert de NOS dat 9.800 Nederlanders slachtoffer zijn geworden van het datalek. Een aantal slachtoffers laat aan de NOS weten dat zij in hotels of casino's van MGM zijn geweest.
Alles bij de bron; NU
De privacy van Europese burgers loopt gevaar als gadgetfabrikant Fitbit wordt overgenomen door Google-moederbedrijf Alphabet. Daarvoor waarschuwt de Europese privacywaakhond EDPB.
Fitbit is een van de bekendste merken op het vlak van zogeheten wearables, die allerlei gegevens over je gezondheid bijhouden. Alphabet zou daarmee een enorme berg gegevens over de gezondheid van mensen binnenhalen. Dat is zorgwekkend, aldus de European Data Protection Board. "Het mogelijke verdere combineren en verzamelen van gevoelige persoonlijke gegevens van mensen in Europa door een groot techbedrijf kan een groot risico voor de privacy en gegevensbescherming zijn", aldus de organisatie.
De Europese toezichthouder vraagt Alphabet en Fitbit om goed na te denken over hun privacyvoorwaarden voordat ze toestemming van Brussel vragen voor de overname. Ook het Amerikaanse ministerie van Justitie onderzoekt de gepland Fitbit-overname.
Alles bij de bron; RTLZ