Europese privacy-organisaties hebben een slag geslagen tegen de handel in persoonsgegevens.

Het systeem waarbij websitebezoekers toestemming geven voor het delen van hun gegevens met soms honderden bedrijven, is in strijd met de Europese privacyregels, de AVG. Dat bedrijven persoonsgegevens naar elkaar rondsturen en soms profielen opbouwen van nietsvermoedende individuen, is niet in de haak.

Dat blijkt uit een recente uitspraak van de Belgische privacywaakhond, die gesteund wordt door toezichthouders in andere Europese landen. De uitspraak is goed nieuws voor de consument die aan zijn privacy hecht. 

Hoe werken ze ook alweer, die gepersonaliseerde reclames? Je opent de website 9292.nl om de route te bekijken. Cookies accepteren? Vooruit, vanwege de haast.

Op het moment van accepteren geef je 187 internationale bedrijven toestemming om geld te verdienen met je privégegevens. ‘Dit zijn de derde partijen die jouw gegevens verwerken’, schrijft 9292 in een toelichtend venster met alle bedrijfsnamen. Sommige daarvan zijn bekend, zoals Adobe, Booking, Nielsen en Oracle.

Razendsnel krijgen allerlei bedrijven op de digitale advertentiemarkt de vraag toegestuurd of ze een advertentie willen tonen aan deze busreiziger. Zijn locatie wordt meegestuurd en volgens een woordvoerder van 9292 kan die op de paar meters nauwkeurig zijn. Een digitaal veilingbericht bevat informatie over het mobieltje en de telecomaanbieder. Ook biedt het advertentieveilingsysteem, genaamd Open RTB, de mogelijkheid om geslacht, geboortejaar en interesses van de persoon mee te sturen. Dit systeem wordt op 80 procent van de websites gebruikt.

In een flits vindt de veiling plaats. Het winnende bedrijf plaatst een advertentie en de bus vertrekt. Even de krant lezen. Cookies accepteren? Vooruit, vanwege het gemak. Meteen kijken er zo’n 300 bedrijven mee...

...Dit veilingsysteem kent grote risico’s, zegt de Gegevensbeschermingsautoriteit in België, voor de fundamentele rechten en vrijheden van de betrokkenen. ‘Met name gezien de grote hoeveelheid persoonsgegevens die ermee gemoeid is, de profilering, de voorspelling van gedrag en de monitoring die daaruit voortvloeit.’....

Waarom is de datahandel zo schadelijk volgens Bits of Freedom? Evelyn Austin, directeur: “Bedrijven die over persoonlijke profielen beschikken zouden mensen kunnen manipuleren. Denk aan politieke beïnvloeding of het uitbuiten van kwetsbaarheden. Mensen kunnen kwetsbaar zijn door hun leeftijd, door depressies of gevoeligheid voor gokken. Het is niet goed als bedrijven dat uit hun data kunnen aflezen.”

Alles bij de bron; Trouw [lang artikel]


 

Via de website ‘mydata.belgium.be‘ kunnen burgers voortaan een inkijk krijgen in de persoonsdata waarover de federale overheidsdienst beschikt en de manier waarop de overheid die data gebruikt.

De eerste fase van het MyData-project is voorgesteld door staatssecretaris Mathieu Michel (MR), bevoegd voor de bescherming van de persoonlijke levenssfeer. "MyData is het grootste transparantieproject dat ooit door de federale overheid is uitgevoerd. Deze eerste fase bestaat uit een transparantie-instrument waarmee elke overheidsinstelling op een leesbare en nauwkeurige manier kan meedelen hoe zij persoonsgegevens gebruikt".

Volgens de MR-politicus is de site een belangrijk instrument om het vertrouwen tussen de overheid en de burger te versterken en krijgt de burger ook "meer controle over zijn persoonsgegevens". 

Alles bij de bron; HLN


 

Jeugdzorgbedrijf Samen Veilig Midden Nederland heeft opnieuw te maken met een groot datalek. De systeembeheerder van het bedrijf heeft het complete intranet op het openbare internet gezet. Gegevens van de afgelopen tien jaar waren daardoor door iedereen in te zien. Het gaat om 06-nummers en mailadressen van medewerkers, maar ook wachtwoorden voor instructiefilms en gemeenschappelijke websites.

In berichten van het intranet die nu openbaar zijn geworden, zijn diverse vertrouwelijke gegevens te achterhalen. Zo staan er mailadressen en 06-nummers van diverse medewerkers in. Maar er wordt ook verwezen naar personen buiten de eigen organisatie en ook daarvan zijn er persoonlijke contactgegevens te vinden.

Ook wachtwoorden worden gedeeld, zoals het interne wachtwoord voor het wifi-netwerk voor medewerkers. Dat wachtwoord wijzigt elke maand, maar is eenvoudig te herleiden, de uitleg staat er bij. Verder staan er veel persoonlijke verhalen op de site, zoals het verhaal van één van de directieleden die ingaat op het plotselinge overlijden van haar 19-jarige dochter.

Voor zover bekend zijn er geen cliëntgegevens openbaar geworden.

Uit gegevens van de gemeente blijkt dat er de afgelopen drie jaar 218 individuele veiligheidsincidenten met betrekking tot informatiebeveiliging bij Samen Veilig zijn geweest. Daarvan zijn er 47 bij de Autoriteit Persoonsgegevens (AP) gemeld als officieel datalek. 

Alles bij de bron; RTVUtrecht


 

Aareon, dat zichzelf Europa’s grootste softwareleverancier voor vastgoedbedrijven noemt, is het slachtoffer geworden van een cyberaanval. Een van de gedupeerde klanten is een ‘kleindochter’ van Achmea BV.  

Het gaat om het Achmea Dutch Residential Fund, dat investeert in middensegment huurwoningen op locaties in kansrijke woongebieden in Nederland. Namens deze vastgoedeigenaar informeerde Achmea huurders vandaag over de cyberaanval, op 3 februari en de gevolgen ervan. 

‘Dit IT-bedrijf registreert voor ons huurdersgegevens, waaronder ook die van u. Uit forensisch onderzoek is gebleken dat bij de cyberaanval data zoals persoonsgegevens zijn gekopieerd of onttrokken. Nader onderzoek moet uitwijzen om welke gegevens het precies gaat. Maar het is mogelijk dat bijvoorbeeld uw adres- en betaalgegevens in handen van derden zijn gekomen’, luidt het. 

‘De beheerders die voor ons werken en door de aanval zijn geraakt, beheren In totaal circa 20.000 verhuureenheden. Daarbij gaat het zowel om huurwoningen als om commercieel vastgoed, zoals winkels en kantoren.’    

In 2018 kwamen gegevens van duizenden Achmea-klanten op straat te liggen na een hack. In meerdere bestanden stonden de namen, BSN-nummers en adressen van circa 10.000 mensen. In sommige bestanden stonden ook bedragen die cliënten uitgekeerd kregen, soms ook van cliënten die inmiddels waren overleden.

Alles bij de bron; AD


 

Veel datalekken bij Nederlandse ziekenhuizen en andere zorginstellingen zijn het gevolg van een verkeerde adressering. Dat blijkt uit het vandaag verschenen cybersecurity dreigingsbeeld van Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg (pdf).

In totaal lieten 92 zorginstellingen aan Z-CERT weten dat ze met datalekken te maken hadden gekregen en in welke categorieën dit was. Van de ondervraagde zorginstellingen kreeg bijna 99 procent vorig jaar te maken met datalekken door fouten in menselijk handelen. Daarbij geeft 92 procent aan dat dit veel tot zeer veel voorkomt. Het gaat hier met name om fouten in adressering. Er worden per ongeluk twee brieven in een envelop gestopt of een mail wordt naar het verkeerde e-mailadres verstuurd.

Alles bij de bron; Security


 

Bedrijven zoals Google, Amazon, Intel en AT&T doen flinke investeringen in technologie waarmee hun gebruikers nauwkeurig kunnen worden gevolgd. De markt die zich richt op het verkopen van locatiegegevens is namelijk naar schatting 12 miljard dollar waard. 

Veel smartphone-apps verzamelen, zonder dat de gebruiker het weet, de locatiegegevens van gebruikers. Dit gebeurt via gps of door IP-lokalisatie. Aan de hand van deze gegevens kunnen adverteerders meer gerichte reclames verkopen of hun doelgroep beter leren kennen. 

Uit onderzoek van het journalistieke platform The Markup blijkt dat in 2019 veel gevoelige data is verzameld door datahandelaren via apps voor moslims. En in 2021 kwam aan het licht dat de app Life360 een datagoudmijn was voor X-Mode/Outlogic. Met de app kunnen ouders hun kinderen via gps volgen.

Deze gevoelige informatie wordt ook gekocht door overheden. Zo kocht het Amerikaanse leger de locatiegegevens van moslims wereldwijd, die op het eerste gezicht een doodnormale app gebruikten om te kunnen bidden. 

X-Mode was gespecialiseerd in het verzamelen en verkopen van persoonsgegevens, verzameld via smartphone-apps. Later veranderde het zijn naam in Outlogic en breidde het bedrijf zijn database uit naar 1,6 miljard personen in 44 landen. Outlogic zegt zelf dat ze informatie hebben over zeker 25 procent van de volwassen Amerikaanse bevolking.

Vorig jaar nog kwam het nieuws naar buiten dat een homoseksuele Amerikaanse priester zijn ontslag heeft ingediend nadat zijn seksuele voorkeur via de locatiegegevens op zijn telefoon was onthuld. Het toont aan hoe gevoelig de gegevens zijn.

Alles bij de bron; BusinessAM


 

Na de terreuraanslagen in Parijs en Brussel verschenen langs de autosnelwegen tientallen zogenaamde ANPR-camera’s, die nummerplaten kunnen lezen en verbonden zijn met een databank aan geseinde nummerplaten.

Het systeem kostte zo’n 40 miljoen euro en moest alarm slaan als er een verdacht of geseind voertuig voorbij een camera rijdt, waarna de politie de auto zou kunnen onderscheppen. De realiteit leert dat het cameraschild veel minder doortastend werkt dan de theorie laat uitschijnen, aldus een rapport van het Comité P, dat toezicht houdt op de politiediensten.

...Het rapport ziet vele redenen waarom het misloopt. Zo zouden de camera’s tot wel 80 procent vals alarm geven. Er is ook het personeelsgebrek, zowel bij de provinciale meldkamers van de politie, als bij de ploegen op het terrein. Er is zelden capaciteit om daadwerkelijk achter een verdachte auto aan te gaan.

Alles bij de bron; deMorgen


 

Autobezitters moten meer controle over hun autodata krijgen, zo vindt AFCAR NL, een samenwerkingsverband van de ANWB, BOVAG, FOCWA, RAI Aftermarket, RAI Equipment, VACO, Verbond van Verzekeraars en VNA. Volgens het samenwerkingsverband leggen steeds meer auto’s gegevens vast over de staat van de auto en het rijgedrag van de bestuurder. Deze gegevens worden via een dataverbinding doorgestuurd naar de autofabrikant, vaak zonder dat de autobezitter dat weet.

"Er moet daarom wetgeving komen waarmee de toegankelijkheid van autodata wordt geregeld", aldus AFCAR NL

In een brief aan de ministers van Economische Zaken en Infrastructuur en Waterstaat doet AFCAR NL een dringend beroep om te zorgen dat er wetgeving komt voor de autobranche voor het delen van data door voertuigen. Deze maand buigt de Europese Commissie zich over een wetsontwerp waarin de uitgangspunten en algemene regels geformuleerd worden over het delen van autodata tussen private partijen.


Alles bij de bron; Security


 

Een Duitse rechtbank heeft een Duitse website veroordeeld voor het zonder toestemming doorgeven van het ip-adres van een bezoeker aan Google door middel van Google Fonts.

Google biedt via Google Fonts allerlei fonts aan waar websites gebruik van kunnen maken. Er is een statische variant van Google Fonts, waarbij websites de betreffende fonts zelf hosten, en een dynamische versie, waarbij fonts vanaf Google-servers worden gedownload. Bij het bezoeken van een website zal bij de dynamische versie het ip-adres van de gebruiker naar Google worden gestuurd.

Een ip-adres is onder de GDPR persoonlijke identificeerbare informatie. Websites mogen dergelijke informatie niet zonder toestemming van bezoekers bijvoorbeeld doorgeven aan Google. De Duitse website in kwestie maakte gebruik van Google Fonts, zonder de toestemming van bezoekers te vragen.

Het Landgericht München stelt dat de website hiermee de Duitse implementatie van de GDPR heeft overtreden. Volgens de rechter heeft de website geen gerechtvaardigd belang, aangezien Google Fonts ook lokaal is te gebruiken waarbij er geen ip-adres van bezoekers naar Google wordt gestuurd.

Verschillende Duitse advocatenkantoren hebben op het vonnis gereageerd. Zo stelt advocatenkantoor Plutte dat de uitspraak geen gevolgen heeft voor websites die de dynamische versie van Google Fonts gebruiken, zolang ze maar via een correct functionerende banner om toestemming aan bezoekers vragen.

Alles bij de bron; Security


 

Google Analytics is mogelijk illegaal en websites doen er verstandig aan om alternatieven te verkennen, zo stelt de Noorse privacytoezichthouder Datatilsynet. De uitspraak van de Noorse gegevensbeschermingsautoriteit volgt op een uitspraak van de Oostenrijkse privacytoezichthouder die het gebruik van Googles statistiekenprogramma in strijd met de AVG verklaarde.

De uitspraak van de Oostenrijkse privacytoezichthouder volgde op een klacht van privacyorganisatie noyb. De organisatie, opgericht door privacyactivist Max Schrems, heeft bij privacytoezichthouders in heel de Europese Unie klachten over onder andere Google Analytics ingediend. Ook de Noorse toezichthouder ontving meerdere klachten over Google Analytics.

In het licht van de Schrems II-uitspraak van het Europese Hof van Justitie stelde de Oostenrijkse privacytoezichthouder dat de doorgifte van persoonlijke informatie via Google Analytics onrechtmatig was. Judin merkt op dat het niet per se verboden is om persoonlijke informatie naar de Verenigde Staten te sturen, maar dat er meestal wel maatregelen moeten worden genomen om dit legaal te laten zijn.

Hoewel dit specifieke geval betrekking had op Google Analytics, is het volgens de Noorse privacytoezichthouder belangrijk om op te merken dat andere websitetools ook persoonlijke informatie naar de Verenigde Staten kunnen sturen. Meer tools sturen veel meer data dan Google Analytics doet.

Eerder liet ook de Autoriteit Persoonsgegevens weten dat Google Analytics mogelijk verboden wordt in Nederland.

Alles bij de bron; Security


 

Subcategorieën

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha