De Geschillenkamer van de Belgische Gegevensbeschermingsautoriteit legt het bedrijf Freedelity 'corrigerende maatregelen' op na inbreuk op de Algemene Verordening Gegevensbescherming. Het bedrijf zou onterecht bepaalde persoonsgegevens van identiteitsbewijzen hebben verzameld.
Volgens de Gegevensbeschermingsautoriteit verzamelde Freedelity teveel niet noodzakelijk informatie van identiteitsbewijzen, waaronder het nummer van het document, de gemeente waar de ID-kaart is uitgegeven en de geldigheidsdatum van de kaart. Daarnaast zou het bedrijf de verkregen gegevens acht jaar bewaren, wat volgens de toezichthouder buitensporig is.
Freedelity is een Belgisch bedrijf dat persoonsgegevens van consumenten verzamelt door middel van de elektronische uitlezing van identiteitskaarten. Klanten van het bedrijf kunnen vervolgens met die gegevens 'gerichte marketing en klantenrelatiebeheer' uitvoeren.
Alles bij de bron; Tweakers
Volgens het FD jaagt de Autoriteit Persoonsgegevens (AP) op de drie grote dataverzamelaars Experian, Focum en EDR vanwege het stelselmatig schenden van de privacy van Nederlandse burgers.
Deze zogenaamde kredietinformatiebureaus creëren profielen van miljoenen consumenten in Nederland en verhandelen de enorme databases die ze daarmee opbouwen.
De kredietinformatiebureaus verkopen de profielen van miljoenen consumenten aan bedrijven die het betaalgedrag willen analyseren. Dit gebeurt zonder medeweten van de consument en kan leiden tot bijvoorbeeld het weigeren van een huurwoning of het afkeuren van aankopen op een webshop, legt Johan Leupen, onderzoeksjournalist bij het FD, uit.
Het is onbekend van hoeveel Nederlanders zulke profielen zijn opgesteld en verkocht. Volgens Leupen heeft de eigenaar van EDR, Guus Franken, gezegd dat 'alle Nederlanders in feite hun betaalgedrag daar opgeslagen hebben'.
Terwijl de AP nu 'duidelijk stelling heeft genomen om deze bedrijven op te rollen', vertelt Leupen dat de waakhond dit niet 'van de daken' kan schreeuwen. De betreffende bedrijven verzetten zich namelijk en proberen boetebesluiten bij de rechter tegen te houden. Ze proberen deze rechtszaken doelbewust 'afgesloten te houden voor buitenstaanders', uit vrees dat klanten zullen weglopen als dit openbaar wordt.
Alles bij de bron; BNR [met podcast]
De fraudeaanpak om te controleren of studenten misbruik maakten van de uitwonendenbeurs van de DUO was discriminerend en onrechtmatig, zegt de Autoriteit Persoonsgegevens.
DUO gebruikte voor de fraudeaanpak een algoritme met drie selectiecriteria: onderwijssoort, afstand en leeftijd. Een mbo-opleiding gaf een hogere risicoscore dan hbo of wo, schrijft de Autoriteit Persoonsgegevens, evenals een kortere afstand tussen het woonadres van de student en dat van de ouders, en een lagere leeftijd van de student.
DUO gebruikte deze risicoscore om, met een handmatige selectie, te bepalen wie een controle en huisbezoek kregen. "Naar schatting van de AP heeft DUO tussen 2013 en 2022 21.500 studenten geselecteerd en gecontroleerd op fraude, mede op basis van de berekeningen van het algoritme", schrijft de toezichthouder.
Om onderscheid te maken tussen mensen, moet er een onderbouwde, objectieve rechtvaardiging zijn, schrijft het AP. DUO had deze niet, stelt het AP. "Daardoor heeft DUO direct gediscrimineerd op basis van onderwijssoort, afstand en leeftijd."
Alles bij de bron; Tweakers
De Kamer van Koophandel gaat vanaf 25 september de telefoonnummers afschermen van alle ondernemers die zijn ingeschreven in het Handelsregister. De wijziging is doorgevoerd doordat ondernemers klaagden over ongewenste benadering door commerciële partijen.
Het afschermen van de telefoonnummers is een onderdeel van de Datavisie Handelsregister, een wijziging van het Handelsregisterbesluit en de Handelsregisterwet. Hiermee wil de KvK wel bepaalde gegevens, zoals vestigingsadressen, openbaar houden en tegelijk ook de privacy van ondernemers waarborgen.
Sinds vorig jaar kunnen zzp'ers ook makkelijker hun adres laten afschermen, maar dan moeten ze wel een alternatief postadres opgeven. Met de verkoop van het Adressenbestand Online, waarin de persoonlijke woonadressen van zzp'ers instonden, is de KvK in 2019 gestopt naar aanleiding van kritiek van de Autoriteit Persoonsgegevens.
Alles bij de bron; Tweakers
Meta heeft AI-modellen getraind met data van Australische Facebook- en Instagram-gebruikers. Het bedrijf heeft enkel publieke posts van meerderjarige gebruikers gescraped en ging hiervoor terug tot in 2007. Er was geen opt-outmogelijkheid omdat dit niet wettelijk verplicht is.
Melinda Claybaugh, de global privacy director van Meta, gaf de praktijk toe tijdens een hoorzitting met Australische politici. Ze vertelde dat Meta heel wat data nodig heeft om zijn AI-modellen te trainen. Dankzij grote hoeveelheden data zouden de AI-modellen naar verluidt veiliger zijn en zouden er minder biases moeten optreden.
Het bedrijf gaat nu verder met publieke gegevens van Britse Facebook- en Instagramgebruikers, zo heeft het laten weten. Gebruikers moeten nog steeds actief bezwaar maken tegen het gebruik van hun gegevens, maar krijgen hier wel langer de tijd voor. Ook zou het proces vereenvoudigd zijn.
De Britse privacytoezichthouder ICO houdt de situatie naar eigen zeggen in de gaten en heeft geen toestemming voor de dataverwerking van Meta gegeven. ICO zegt dat het aan Meta is om aan wetgeving te voldoen.
Alles bij de bronnen; Tweakers & Security
De geestelijke gezondheidszorg is gebaseerd op het vertrouwen tussen patiënt en therapeut. Spreken met een therapeut is moeilijk genoeg, maar nu wil de overheid die privacy doorbreken.
Vanaf de zomer van 2023, 1 juli om precies te zijn, werden behandelaren in de geestelijke gezondheidszorg (ggz) verplicht om de zogenaamde Honos+-vragenlijst, die ze al een tijdje over hun patiënten moesten invullen, ook daadwerkelijk te delen met de Nederlandse Zorgautoriteit (NZa), de overheid, voor een periode van minstens één jaar. Dat betekende dat de intieme, medische gegevens van achthonderdduizend patiënten binnen de ggz – zonder hun toestemming – werden verzameld.
De dataverzameling is onderdeel van het zorgprestatiemodel, een nieuw bekostigingssysteem dat in 2022 in de ggz is ingevoerd, en draait om de manier waarop verzekeraars de behandelingen betalen.
Op de vragenlijsten, waarin de persoonlijke gegevens van patiënten niet geanonimiseerd maar gepseudonimiseerd worden, dus in potentie herleidbaar zijn, wordt vervolgens een algoritme losgelaten. Daar rollen dan verschillende ‘zorgtypes’ uit. Zo hopen zorgverzekeraars te voorspellen hoeveel zorg deze patiënten ongeveer nodig hebben en hoe duur ze zullen zijn.
Het is soms ongemakkelijk om te zien hoe vertegenwoordigers van de NZa fundamenteel anders naar de wereld kijken dan veel behandelaren en patiënten. Het medisch beroepsgeheim, dat de patiënt de garantie biedt dat wat hij in vertrouwen tegen de behandelaar vertelt de spreekkamer niet verlaat, wordt niet langer gezien als het fundament waarop de geestelijke gezondheidszorg is gebouwd, maar als een kleinigheidje dat kan worden opgeofferd om de zorg efficiënter in te richten.
Privacy, het opbouwen van een vertrouwensrelatie, het vragen van toestemming voor het verzamelen van persoonlijke gegevens: het techno-optimisme walst het plat. Om de maatschappij te verbeteren, moet er nu eenmaal een databank worden opgetuigd, informatie worden uitgewisseld. Dus hup, iedereen meedoen, niet zo flauw de hele tijd, jullie willen toch ook dat de wachtlijsten krimpen en zoveel mogelijk mensen worden geholpen?
Alles bij de bron; DeGroene
Uit een studie van de Universiteit van Bazel blijkt dat veel zogeheten intelligent speelgoed gedragsgegevens van kinderen verzamelt.
‘Intelligent’ speelgoed maakt het mogelijk om op een interactieve manier te spelen, dankzij software en internettoegang. ‘Maar het privéleven van kinderen verdient bijzondere aandacht’, zegt Julika Feldbusch, de hoofdauteur van de studie.
Ze geeft het voorbeeld van de Toniebox, een muziekspeler die populair is bij kinderen. Als er poppetjes op de box geplaatst wordt, begint die audioboeken te lezen. Maar uit de studie blijkt dat het toestel ook exact registreert op welk moment het geactiveerd wordt en met welk poppetje, wanneer het kind stopt of wanneer het voortgaat. Het speelgoed stuurt die data door naar de producent.
De wetenschappers stelden ook risico’s vast bij ander speelgoed. Zo is er de ‘Tiptoi’, een populaire speelgoedstift, waarbij dataverkeer niet op een veilige manier versleuteld is. Wel is het zo dat de stift niet registreert wanneer een kind hem gebruikt. De onderzoekers zeggen dat de fabrikanten van speelgoed meer belang moeten hechten aan privacy en aan de veiligheid van hun producten, in functie van hun jonge doelgroep. Ze pleiten voor een privacylabel.
Alles bij de bron; DataNews
Burgerrechtenbeweging EFF heeft toezichthouder FTC opgeroepen tot het doen van onderzoek naar de manier waarop autofabrikanten informatie over het rijgedrag en de locatie van de automobilisten verzamelen, gebruiken en doorverkopen. Aanleiding is een brief van de Amerikaanse senatoren Ron Wyden en Edward Markey waaruit blijkt dat Honda en Hyundai gegevens over het rijgedrag voor een paar cent per automobilist aan datahandelaren doorverkopen.
Volgens de EFF stellen voorstanders dat dergelijke dataverzameling een manier is om premiekortingen te krijgen, maar wordt zelden vermeld dat de premie omhoog kan gaan. De EFF merkt op dat de drie autofabrikanten in de brief van de senatoren (GM wilde geen details over de verkoop van rijgedrag geven) niet de enigen zijn die data zonder echte geldige toestemming verkopen.
"En het is waarschijnlijk dat er andere datahandelaren zijn die met dit soort data werken. De FTC zou deze industrie verder moeten onderzoeken, net zoals het heeft gedaan met andere industrieën die dataprivacy bedreigen", aldus de EFF.
Alles bij de bron; Security
Het ministerie van Financiën heeft in twee internetconsultaties voorgesteld dat de financiële toezichthouders Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) op grote schaal persoonsgegevens van klanten mogen gaan opvragen bij financiële instellingen zoals banken.
Privacy First heeft deelgenomen aan beide consultaties en heeft zware kritiek op de voorstellen, nu beide toezichthouders al op grote schaal persoonsgegevens verwerken zonder dat daar publieke verantwoording over wordt afgelegd.
Privacy First heeft geconstateerd dat internationale financiële samenwerkingsverbanden zoals de Bank for International Settlements (BIS) bepleiten dat financiële toezichthouders gebruikmaken van kunstmatige intelligentie (artificial intelligence, AI). Die kunstmatige intelligentie moet door middel van persoonsgegevens en andere gedetailleerde gegevens van personen en organisaties (‘granulaire data’) getraind worden. Gevolg van deze veronderstelling is dat de toezichthouders proberen aan zoveel mogelijk granulaire data te komen, waartoe de financiële persoonsgegevens van iedere burger behoren.
Privacy First vindt dat ongewenst en wijst op het advies van de Raad voor het Openbaar Bestuur (ROB) van mei 2021, bekendgemaakt via het nieuwsbericht ‘Politiek moet in actie komen om burgers te beschermen tegen uitdijende datahonger‘. De ROB bepleit een volwassen afweging van de noodzaak om persoonsgegevens aan de overheid te verschaffen, een afweging die in de voorstellen van het ministerie van Financiën ontbreekt.
Daar komt nog bij dat zowel AFM als DNB al op grote schaal granulaire data verwerken. Voorbeeld zijn de persoonsgegevens die AFM verwerkt op grond van Mifid 2: weinig beleggers zijn ervan op de hoogte dat de AFM bij iedere aandelenkoop of -verkoop paspoortnummers en/of fiscale nummers en geboortedata van de betrokken belegger ontvangt. Verder ontvangt AFM van pensioenfondsen op grote schaal persoonsgegevens van burgers.
DNB ontvangt persoonsgegevens bij uitvoering van het depositogarantiestelsel, onder meer adressen en telefoonnummers, en verwerkt op grote schaal persoonsgegevens in het kader van het witwasbestrijdingstoezicht. Beide toezichthouders ontvangen op grote schaal persoonsgegevens van het Centraal Bureau voor de Statistiek.
Privacy First stelt voor dat eerst verantwoording wordt afgelegd van de huidige verwerking van granulaire gegevens door DNB en AFM en dat vervolgens door middel van een adequate grondrechtentoetsing wordt vastgesteld of er wel redenen zijn om financiële instellingen te verplichten extra gegevens te leveren.
Verder achten wij het ongewenst dat de uitwerking van het type persoonsgegevens dat financiële instellingen moeten verschaffen niet plaatsvindt in een wet, maar in een algemene maatregel van bestuur. Voorts is niet transparant hoe de toezichthouders de van financiële instellingen verkregen gegevens gaan koppelen aan andere datasets waarover zij beschikken en dient daar helderheid over te komen. Verschaffing van granulaire data aan internationale organisaties hoort naar de mening van Privacy First niet plaats te vinden.
Tot slot is gewenst dat er onafhankelijk gegevensverwerkingstoezicht op AFM en DNB wordt gecreëerd en dat wordt gezorgd voor andere waarborgen om te voorkomen dat de financiële toezichthouders verkeerd omgaan met persoonsgegevens en andere granulaire data.
Alles bij de bron; PrivacyFirst
De Eerste Kamer heeft ingestemd met de Wet gegevensverwerking door samenwerkingsverbanden (WGS), die gegevensuitwisseling tussen overheidsdiensten en onder meer banken en woningbouwcorporaties legaliseert.
De nieuwe datadeelwet heeft betrekking op samenwerkingsverbanden op het gebied van zorg en veiligheid, in de strijd tegen de georganiseerde criminaliteit en in de aanpak van witwassen en crimineel vermogen. Zo kunnen bijvoorbeeld gemeenten informatie uitwisselen met de Belastingdienst, het Openbaar Ministerie en de Immigratie- en Naturalisatiedienst, maar ook met banken, woningbouwcorporaties en met de voedsel- en warenautoriteit en arbeidsinspectie.
Tegenstanders vrezen voor nieuwe Toeslagenaffaires, omdat mensen op verkeerde lijstjes terecht kunnen komen zonder dat ze zich daartegen kunnen verweren.
In de Eerste Kamer stemden de fracties van VVD, CDA, D66 en ChristenUnie, PVV, BBB, JA21, SGP, 50Plus en OPNL voor het wetsvoorstel.
De fracties van GroenLinks-PvdA, PvdD, SP, FVD en Volt stemden tegen.
Alles bij de bron; NRC [inloggen noodzakelijk] Thnx-2-Niek