Onlangs werd bekend dat verschillende mediabedrijven gaan samenwerken voor de ontwikkeling van een zogenoemde ‘persoonlijke datakluis’ voor de gegevens van hun klanten en gebruikers. Ik vind het toe te juichen dat publieke en private partijen een Nederlands perspectief gaan inbrengen in een zo belangrijk onderdeel van onze digitale infrastructuur: namelijk de opslag van data.
Zo'n kluis voor alle gegevens over jezelf en je online gedrag veronderstelt rationele wezens, en dat zijn we niet, aldus
....In de praktijk bestaat zo’n rationeel handelende mens niet. Als we een Fitbit of smartwatch dragen, delen we nu al met verbijsterend gemak onze meest private data over onze slaapgewoonten, hartslag, inspanningen met Google of Apple. Stel je de goudmijn voor die een persoonlijke datakluis is voor de datarovers die we kennen uit Silicon Valley...
...Om nog maar te zwijgen over de situaties waarin dwang kan worden uitgeoefend. Je komt de VS, of China, voortaan alleen maar in als je de kluisdeuren wagenwijd open zet.
Hoe dan ook moeten we af van het idee dat de datakluis een persoonlijk bezit kan zijn. Dat is een te simpele voorstelling van zaken. Als het consortium van publieke en private media dit onder ogen ziet, kunnen we misschien een écht feestje gaan organiseren.
Alles bij de bron; NRC
Wetenschappers van de KU Leuven zijn erin geslaagd om privacygevoelige locaties in de endpoint privacy zones van de Strava-app te achterhalen. Ze hebben dit voor elkaar gekregen door openbaar gedeelde gegevens te analyseren.
De onderzoekers hebben naar verluidt 1,4 miljoen activiteiten op het platform van Strava geanalyseerd. In 85 procent van de gevallen konden ze de verborgen locaties achterhalen die gebruikers verbergen via de zogenaamde endpoint privacy zones. Via deze endpoint privacy zones worden de eerste en laatste 200 meter van een afgelegde route automatisch verborgen voor andere gebruikers. Hierdoor zouden er geen privacygevoelige locaties, zoals het huisadres of een werkplek, worden gedeeld.
Maar aan de hand van metadata konden de onderzoekers deze privacygevoelige locaties wel achterhalen. De metadata omvat onder andere de afgelegde afstand van een Strava-gebruiker, de gevolgde route en de locatie waarop een Strava-gebruiker de endpoint privacy zone binnenkomt of buitengaat. In combinatie met een stratenplan kan deze gegevens volgens onderzoekers je vertrek- of aankomstpunt zelfs vrijgeven.
“De endpoint privacy zones geven een vals gevoel van veiligheid”, zegt Karel Dhondt, een van de onderzoekers van de KU Leuven, aan de VRT. "Gebruikers moeten zich ervan bewust zijn dat hun locatiegegevens nooit echt privé zijn", klinkt het.
Alles bij de bron; Tweakers
Zonder dat twitteraars het weten, verzamelt de overheid hun berichten om reacties te peilen op het beleid. Onder meer het ministerie van sociale zaken, de Belastingdienst en de Nederlandse Voedsel- en Warenautoriteit (NVWA) gaan op die manier te werk.
Overheden gebruiken voor het verzamelen en analyseren van (kritische) tweets tools van commerciële bedrijven als Coosto, Obi4wan en Twittertap. Deze tools ‘tappen’ Twitter, verzamelen op grote schaal (anonieme) berichten en maken deze geschikt voor data-analyse. Het gaat om vragen van twitteraars, berichten waar de betreffende overheid in wordt genoemd door bijvoorbeeld opiniemakers, of nieuwsartikelen en reacties daarop.
Volgens deskundigen is deze werkwijze problematisch, omdat gebruikers ten onrechte niet worden geïnformeerd.
Dat overheden Twitterberichten analyseren heeft vaak een pragmatische reden. Het is volgens hen het enige platform dat zonder toestemming van de gebruiker toestaat berichten op te slaan. Verschillende experts plaatsen daar grote vraagtekens bij. Burgers hebben het recht om te weten wat er met hun gegevens gebeurt en waarvoor ze worden gebruikt.
“Ze moeten de betrokkenen mijn inziens op de hoogte brengen indien ze tweets en accountgegevens opslaan", zegt internetrecht-jurist en rechtswetenschapper Mathieu Paapst. “Eigenlijk is het opmerkelijk dat de overheid als betalende opdrachtgever dit niet gewoon eist van Coosto.”
Alles bij de bron; Trouw
De computersystemen van de Belastingdienst kunnen zoekopdrachten van medewerkers niet terughalen. Dat maakt onderzoek naar corruptie heel ingewikkeld. Ook bij andere overheidsdiensten is dat soms complex.
‘Voor plan C:”, schrijft Ridouan Taghi in een kladblok terwijl zijn advocaat en neef Youssef achter de glazen wand van de spreekkamer in de Extra Beveiligde Inrichting (EBI) in Vught toekijkt. „Moedir heeft contact bij de belastingdienst”, schrijft Taghi vervolgens. „Check alvast alles perfect. Geen domme jongens.”...
....Als NRC in januari van dit jaar publiceert over het contact van Moedir, gaan bij de Belastingdienst de alarmbellen af. De computersystemen van de dienst bevatten namelijk gedetailleerde persoonsgegevens over alle Nederlanders die belasting betalen of toeslagen ontvangen, inclusief partners en kinderen. Die informatie gaat niet alleen over inkomen, aftrekposten en vermogen. Ook adresgegevens zitten in dat systeem: van de woning tot de werkplek.
Aan het systeem van de Belastingdienst zijn ook gegevens van andere overheidsdiensten gekoppeld, zoals de database van de Rijksdienst voor het Wegverkeer, die alle geregistreerde autokentekens koppelt aan een burger. Dat betekent dat een belastingambtenaar met zekere bevoegdheden aan één kenteken genoeg heeft om de doopceel van een burger te lichten. „Als het om dit soort gegevens gaat, kun je beter een corrupt contact hebben binnen de Belastingdienst dan binnen de politie,” vertelt een goed ingevoerde bron binnen de opsporing.
Alles bij de bron; NRC
Streamingdiensten zijn inmiddels al heel wat jaar in ons leven. Als je er vanaf het begin bij was, heb je dus zomaar honderden afleveringen of films gekeken via Netflix en andere aanbieders.
Het kan handig zijn om die gegevens in te zien en kan dienen als wake-upcall: dat diensten al die data over jouw gedrag bewaren, zegt natuurlijk wel wat over je privacy.
Netflix blijkt letterlijk al je kijkgeschiedenis te bewaren, zonder dat die ooit verjaart. Als je al jarenlang abonnee bent, kun je dus terugzien wat je vanaf het begin allemaal hebt gestreamd.
Log in en ga naar je kijkgeschiedenis. Hier zie je de laatste dingen die je hebt bekeken. Dat kan lijst zijn verspreid over meerdere pagina's. Helemaal onderaan vind je de knop 'Downloaden'. Als je hierop klikt, krijg je direct een Excel-bestand met je gehele geschiedenis.
Bij andere diensten is het jammer genoeg vaak niet mogelijk om zo'n totaaloverzicht te krijgen. Bij bijvoorbeeld Disney+, Videoland en HBO Max zie je alleen de films en series die je het recentst hebt bekeken. Na een tijdje verdwijnen die ook weer uit je feed.
Amazon Prime Video heeft wel een uitgebreide lijst voor je beschikbaar. Log in via de site en klik rechtsboven op je profiel. Daar kies je voor 'Account en instellingen' en navigeer je naar het tabblad 'Kijkgeschiedenis'.
Hier vind je alles wat je ooit hebt gekeken, en je kan een flink eind naar beneden scrollen. Helaas kun je geen bestand downloaden, waardoor de lijst niet makkelijk doorzoekbaar is.
Alles bij de bron; NU
Het Europese Hof van Justitie moet een antwoord geven op een belangrijke vraag rondom de privacywet: mag je geld verdienen met het verkopen van persoonlijke gegevens? Het lijkt zo simpel, maar het is aan de hoogste Europese rechter om dat echt te bepalen.
De bestuursrechter in Amsterdam heeft enkele belangrijke vragen over wat het 'gerechtvaardigd belang' precies inhoudt, doorverwezen naar het Europese Hof van Justitie. Voordat we die wat droge juridische term uitleggen, is het goed om de achtergrond van de zaak te kennen.
Die ligt bij een boete voor de Koninklijke Nederlandse Lawn Tennisbond. In maart 2020 kreeg die sportvereniging een hoge boete van de Autoriteit Persoonsgegevens. Die had meer dan een jaar eerder klachten ontvangen van leden van de bond die waren benaderd door sponsors van de Knltb. Hoe waren die sponsors aan de gegevens van de leden gekomen? Al snel bleek de Knltb die zelf aan de sponsors te hebben gegeven.
Op het eerste gezicht is dat vreemd. Is de hele privacywet niet juist opgezet om burgers te beschermen tegen dit soort dataverkoop? Dat is lang geen uitgemaakte zaak; het is zelfs iets waarover juristen al lange tijd discussiëren. Het draait specifiek om het gerechtvaardigd belang en wat daar wel en niet onder kan en mag vallen.
Alles bij de bron; Tweakers [+artikel, inloggen noodzakelijk]
Minister Kuipers van Volksgezondheid laat een privacyonderzoek uitvoeren of de vaccinatiedata van het RIVM voor onderzoek naar de oversterfte in Nederland kan worden gedeeld. Daarnaast kijkt de minister naar een wetswijziging om de regels voor het delen van gezondheidsgegevens voor wetenschappelijk onderzoek te verduidelijken. Dat schrijft Kuipers in een brief aan de Tweede Kamer.
Onlangs werd bekend dat onderzoekers een motie van de Tweede Kamer naar de oversterfte in Nederland niet kunnen uitvoeren omdat het RIVM en de GGD'en gegevens hierover niet vrijgeven. De instanties claimen dat ze de cijfers vanwege de AVG niet mogen delen.
"Dit gaat om bijzondere persoonsgegevens die ik wil delen met het CBS. Met deze gegevens moet met de grootst mogelijke zorgvuldigheid worden omgegaan. Dit betekent ook dat de datatoegang moet passen binnen de wettelijke kaders, onder andere ten aanzien van het borgen van privacy", legt Kuipers uit. De bewindsman voegt toe dat de uitkomsten van onderzoeken niet herleidbaar mogen zijn tot individuen. Een mogelijke optie die de minister voorstelt is het gebruik van de remote access-omgeving van het Centraal Bureau voor de Statistiek (CBS). Onderzoekers krijgen binnen deze omgeving toegang tot onderzoeksbestanden die ontdaan zijn van persoonlijke gegevens.
Het is echter de vraag of de vaccinatiegegevens van het RIVM mogen worden gedeeld. Volgens Kuipers staat dit mogelijk op gespannen voet met de toestemming die mensen aan GGD’en, huisartsen en instellingsartsen hebben gegeven voor het verstrekken van hun gegevens aan het RIVM en voor welke doeleinden het RIVM die gegevens vervolgens mag gebruiken. Er moet dan ook worden uitgezocht of de toestemming die mensen hebben gegeven voor het delen van hun gegevens met het RIVM het mogelijk maakt om die data vervolgens voor het onderzoek naar oversterfte te gebruiken.
Hiervoor laat de minister een gegevensbeschermingseffectbeoordeling, ook wel een Data Privacy Impact Assessment (DPIA), uitvoeren. Het privacyonderzoek moet over zes weken zijn afgerond, waarna de Tweede Kamer over de resultaten en verdere aanpak wordt geïnformeerd.
Naast de data van het RIVM zijn er ook nog de coronatestgegevens die de GGD'en hebben verzameld. Of deze data mag worden gedeeld voor het oversterfte-onderzoek is onduidelijk. "De wil om de data te delen is er ook hier bij alle partijen, maar er moet worden uitgewerkt hoe dit binnen de huidige wetgeving ingeregeld kan worden. Ik blijf hierover met de GGD’en in gesprek, waarbij onze inzet is om ook voor de testdata te komen tot een gedegen risicoafweging met inachtneming van de vereisten van de AVG", merkt Kuipers op.
Om dit soort situaties in de toekomst te voorkomen wil de minister kijken naar mogelijkheden om een wetswijziging of andere middelen in te zetten om de wettelijke basis en het kader voor deling van gezondheidsgegevens voor wetenschappelijk onderzoek, binnen de regels van de AVG, te verduidelijken.
Alles bij de bron; Security
Online petities van politieke partijen lijken op het eerste gezicht onschuldig.
Maar die vele petities over 'het recht op abortus' of 'goedkoper tanken' dienen eigenlijk zelden om ergens een verschil te maken. Meer nog, ze worden niet eens aanvaard in het federaal of Vlaams parlement.
De politieke partijen willen enkel uw gegevens en als gebruiker weet je amper waar die voor worden gebruikt en hoe lang ze worden bijgehouden, blijkt uit steekproef van VRT NWS en het Radio1-programma 'Het Uur van de Waarheid'. Privacyregels vragen nochtans dat dat allemaal helder wordt aangegeven én uitgelegd...
...Sofie Royer is onderzoeksexpert strafrecht en technologie aan de KU Leuven en kan niet duidelijker zijn: “Het is alleszins een slinkse manier om data van mensen te verzamelen, zeker omdat je als politieke partij wetsvoorstellen kan indienen via het parlement en daarvoor geen petities of handtekeningen van burgers nodig hebt. Al is dat wel vooral een moreel bezwaar tegen die petities.”
Alles bij de bron; VRTNieuws [thnx-2-Niek]
De Amerikaanse toezichthouder FTC heeft datahandelaar Kochava aangeklaagd voor de verkoop van locatiegegevens van honderden miljoenen telefoons, waardoor mensen gevaar zouden lopen. Met de data van Kochava is het mogelijk om te zien dat personen "gevoelige locaties" hebben bezocht, zoals afkickklinieken of daklozen- en crisiopvang, aldus de FTC.
Door de verkoop van deze locatiegegevens heeft Kochava het mogelijk gemaakt voor anderen om personen te identificeren waardoor die aan allerlei risico's konden worden blootgesteld, zo stelt de toezichthouder.
Alles bij de bron; Security
Dr. Johnny Ryan, senior fellow van de Ierse Raad voor Burgerlijke Vrijheden, beschuldigt samen met twee Amerikaanse privacy-activisten Oracle ervan op grote schaal dossiers over burgers te verkopen. Daarin zou informatie staan over onder meer hun politieke denkbeelden en online aankopen. Oracle zou ook externe ‘makelaars in data’ toestaan allerlei persoonlijke informatie die zonder toestemming van betrokken burgers is verkregen, via de Oracle Data Marketplace te verhandelen.
De privacy-activisten wijzen op claims van Oracle in het verleden. Al in 2016 zei Oracle-topman Larry Ellison dat over vijf miljard burgers gedetailleerde dossiers zijn vergaard. En momenteel claimt Oracle van 115 miljoen huishoudens precies te weten hoe ze leven.
Oracle’s dossiers over mensen bevatten namen, thuisadressen, e-mails, online aankopen en in de fysieke wereld bewegingspatronen, inkomensgegevens, politieke standpunten en gedetailleerde overzichten van iemands online activiteiten.
TechCrunch kwam er achter dat Oracle zelfs wist dat een Duitser met een prepaid debit card op een bepaalde datum tien euro inzette op een site voor esports-weddenschappen. Volgens Johnny Ryan schendt Oracle de privacy van miljarden wereldburgers. Hij zegt dat Oracle op een gevaarlijke missie zit om precies te volgen hoe mensen bewegen en wat ze doen en wil Oracle’s wereldwijde surveillance-machine tot staan brengen.
Alles bij de bron; Computable