De gemeente Bergen heeft door een misser twee brieven met afzonderlijke gegevens op één papier afgedrukt. Zo is de brief aan de ene persoon op de achterkant van de brief aan de andere persoon terechtgekomen.

Het ging bij de brieven om een ontvangstbevestiging van een aanvraagformulier voor de mantelzorgwaardering 2022. Op deze manier kwamen privégegevens van aanvragers uit Schoorldam en Egmond-Binnen bij elkaar binnen.

Voor zover de gemeente kan vaststellen is dit een eenmalig incident geweest. Van de misser is een melding gemaakt bij de afdeling privacy en informatiebeveiliging van de gemeente en bij de Autoriteit Persoonsgegevens. De betrokkenen zullen nog worden ingelicht door de gemeente.

Alles bij de bron; NHD


 

Een ransomwaregroep die vorige maand wist in te breken op systemen van it-bedrijf ID-ware heeft daarbij ook privégegevens van duizenden rijksambtenaren buitgemaakt en inmiddels online gezet, waaronder ook Tweede Kamerleden.

Het bedrijf levert toegangssystemen aan bedrijven en overheden, inclusief de Eerste en Tweede Kamer. Het gaat om de Rijkspas, die leden van de Eerste en Tweede Kamer, de staf van die organisaties, en rijksambtenaren toegang verschaft tot de Kamergebouwen en rijkspanden.

Dat laat staatssecretaris Van Huffelen vandaag in een brief aan de Tweede Kamer weten

Alles bij de bron; Security


 

Zooplus is het slachtoffer geworden van een cyberaanval, laat de online dierenwinkel in een e-mail aan zijn klanten weten. Daarbij zijn persoonsgegevens buitgemaakt.

"Een onbekende aanvaller of groep aanvallers is het gelukt om met behulp van een set inloggegevens illegaal Zooplus-accounts binnen te dringen", schrijft het bedrijf in de e-mail.

Hoeveel klanten zijn gedupeerd, is onduidelijk. Ook is niet bekend welke persoonsgegevens precies zijn buitgemaakt. Zooplus wil niet reageren op vragen van NU.nl, maar meldt in de e-mail dat er geen betaalgegevens zijn gestolen.

Alles bij de bron; NU


 

Bij de aanval op de Australische telco Optus, vorige maand, zijn naast persoonlijke gegevens van 9,8 miljoen klanten ook identiteitsnummers buitgemaakt. Het gaat om 2,1 miljoen ID-nummers die door de overheid worden gebruikt.

"Na grondige analyse in samenwerking met overheidsinstanties van de gegevens die Optus heeft over zijn 9,8 miljoen klanten, kan het bedrijf bevestigen dat de informatie die van 7,7 miljoen klanten werd gelekt, geen recente of geldige documentnummers voor identiteitsbewijzen bevat", schrijft Optus in een mededeling.

Van 2 miljoen dus wel, voor alle duidelijkheid. Ook staat het ondertussen vast dat persoonlijke gegevens zoals e-mailadressen, geboortedata en telefoonnummers van alle 9,8 miljoen klanten werden gelekt.

Alles bij de bron; ExecutivePeople


 

De Amerikaanse bank Morgan Stanley krijgt een boete van 35 miljoen dollar opgelegd door de Amerikaanse beurstoezichthouder Security and Exchange Commission (SEC). Aanleiding hiervoor is een datalek. Op harde schijven die op een veilingwebsites zijn aangeboden waren gegevens van 15 miljoen klanten van de bank opgeslagen.

De SEC stelt dat Morgan Stanley gedurende een periode van vijf jaar gegevens van klanten onvoldoende heeft beveiligd. Het bedrijf zou in diverse gevallen een verhuis- en opslagbedrijf zonder ervaring met datavernietiging hebben ingeschakeld voor het uitfaseren van duizenden harde schijven en servers waarop soms nog persoonlijke gegevens van miljoenen klanten stonden opgeslagen. 

De hardware is uiteindelijk doorverkocht via een veilingwebsite, zonder dat de persoonsgegevens zijn verwijderd. Een deel van de apparaten is door Morgan Stanley teruggehaald, maar bij het merendeel van de hardware zou dat niet zijn gelukt.

Opvallend is ook dat de harde schijven in kwestie de mogelijkheid boden tot het versleutelen van data, maar encryptiesoftware door Morgen Stanley niet zou zijn ingeschakeld. Data van klanten was hierdoor onversleuteld opgeslagen en vrij toegankelijk voor wie de harde schijven of servers in handen kreeg. Meer informatie is hier beschikbaar.

Alles bij de bron; DutchIT


 

Het Europese Hof van Justitie moet een antwoord geven op een belangrijke vraag rondom de privacywet: mag je geld verdienen met het verkopen van persoonlijke gegevens? Het lijkt zo simpel, maar het is aan de hoogste Europese rechter om dat echt te bepalen.

De bestuursrechter in Amsterdam heeft enkele belangrijke vragen over wat het 'gerechtvaardigd belang' precies inhoudt, doorverwezen naar het Europese Hof van Justitie. Voordat we die wat droge juridische term uitleggen, is het goed om de achtergrond van de zaak te kennen.

Die ligt bij een boete voor de Koninklijke Nederlandse Lawn Tennisbond. In maart 2020 kreeg die sportvereniging een hoge boete van de Autoriteit Persoonsgegevens. Die had meer dan een jaar eerder klachten ontvangen van leden van de bond die waren benaderd door sponsors van de Knltb. Hoe waren die sponsors aan de gegevens van de leden gekomen? Al snel bleek de Knltb die zelf aan de sponsors te hebben gegeven.

Op het eerste gezicht is dat vreemd. Is de hele privacywet niet juist opgezet om burgers te beschermen tegen dit soort dataverkoop? Dat is lang geen uitgemaakte zaak; het is zelfs iets waarover juristen al lange tijd discussiëren. Het draait specifiek om het gerechtvaardigd belang en wat daar wel en niet onder kan en mag vallen.

Alles bij de bron; Tweakers [+artikel, inloggen noodzakelijk]


 

Minister Kuipers van Volksgezondheid laat een privacyonderzoek uitvoeren of de vaccinatiedata van het RIVM voor onderzoek naar de oversterfte in Nederland kan worden gedeeld. Daarnaast kijkt de minister naar een wetswijziging om de regels voor het delen van gezondheidsgegevens voor wetenschappelijk onderzoek te verduidelijken. Dat schrijft Kuipers in een brief aan de Tweede Kamer.

Onlangs werd bekend dat onderzoekers een motie van de Tweede Kamer naar de oversterfte in Nederland niet kunnen uitvoeren omdat het RIVM en de GGD'en gegevens hierover niet vrijgeven. De instanties claimen dat ze de cijfers vanwege de AVG niet mogen delen. 

"Dit gaat om bijzondere persoonsgegevens die ik wil delen met het CBS. Met deze gegevens moet met de grootst mogelijke zorgvuldigheid worden omgegaan. Dit betekent ook dat de datatoegang moet passen binnen de wettelijke kaders, onder andere ten aanzien van het borgen van privacy", legt Kuipers uit. De bewindsman voegt toe dat de uitkomsten van onderzoeken niet herleidbaar mogen zijn tot individuen. Een mogelijke optie die de minister voorstelt is het gebruik van de remote access-omgeving van het Centraal Bureau voor de Statistiek (CBS). Onderzoekers krijgen binnen deze omgeving toegang tot onderzoeksbestanden die ontdaan zijn van persoonlijke gegevens.

Het is echter de vraag of de vaccinatiegegevens van het RIVM mogen worden gedeeld. Volgens Kuipers staat dit mogelijk op gespannen voet met de toestemming die mensen aan GGD’en, huisartsen en instellingsartsen hebben gegeven voor het verstrekken van hun gegevens aan het RIVM en voor welke doeleinden het RIVM die gegevens vervolgens mag gebruiken. Er moet dan ook worden uitgezocht of de toestemming die mensen hebben gegeven voor het delen van hun gegevens met het RIVM het mogelijk maakt om die data vervolgens voor het onderzoek naar oversterfte te gebruiken.

Hiervoor laat de minister een gegevensbeschermingseffectbeoordeling, ook wel een Data Privacy Impact Assessment (DPIA), uitvoeren. Het privacyonderzoek moet over zes weken zijn afgerond, waarna de Tweede Kamer over de resultaten en verdere aanpak wordt geïnformeerd.

Naast de data van het RIVM zijn er ook nog de coronatestgegevens die de GGD'en hebben verzameld. Of deze data mag worden gedeeld voor het oversterfte-onderzoek is onduidelijk. "De wil om de data te delen is er ook hier bij alle partijen, maar er moet worden uitgewerkt hoe dit binnen de huidige wetgeving ingeregeld kan worden. Ik blijf hierover met de GGD’en in gesprek, waarbij onze inzet is om ook voor de testdata te komen tot een gedegen risicoafweging met inachtneming van de vereisten van de AVG", merkt Kuipers op.

Om dit soort situaties in de toekomst te voorkomen wil de minister kijken naar mogelijkheden om een wetswijziging of andere middelen in te zetten om de wettelijke basis en het kader voor deling van gezondheidsgegevens voor wetenschappelijk onderzoek, binnen de regels van de AVG, te verduidelijken.

Alles bij de bron; Security


 

Automatische nummerplaatherkenning bij parkeergarages? Dat is praktisch, ‘maar een ramp voor onze privacy’, zegt beveiligingsonderzoeker Inti De Ceukelaire.

Hij onderzocht mobiele apps van onder meer EasyPark, Q-Park en Interparking en vond dat meer dan een kwart van alle auto’s eenvoudig te traceren is.

Parkeersessies zijn ‘een onschatbare bron van informatie’. Parkeerduur, locatie en tijd zijn indicaties voor het doel: werken, winkelen, concertbezoek, sport, casino of ziekenhuisbezoek. Iedereen met een nummerplaat is op deze manier te traceren in parkeergarages met nummerplaatherkenning, zegt De Ceukelaire die in samenwerking met privacyjuristen de website Notmyplate.com ontwikkelde, waar gebruikers een AVG-verzoek kunnen indienen bij de parkeerbedrijven om hun nummerplaat niet langer te verwerken.

Het onderzoek van De Ceukelaire legt in totaal drie verschillende technieken bloot die kwaadwillenden kunnen gebruiken om de locatie van voertuigen te achterhalen op basis van hun nummerplaat. Door de snelle implementatie van zogeheten B2C ANPR camera’s is het haast onmogelijk ‘om je vrij te verplaatsen zonder het risico te lopen getracked te worden’.

Alles bij de bron; Cops-in-Cyberspace


 

Privacy First laakt de houding van belangenorganisaties in de zorg. Volgens de stichting lobbyen zorgkoepels, verzekeraars en de Patiëntenfederatie voor een terugkeer van het elektronisch patiëntendossier (epd), dat in 2011 nog unaniem verworpen werd door de Eerste Kamer.

De stichting verwijt de belangenorganisaties dwars te liggen bij de invoering van de nieuwe wet voor zorgcommunicatie, de Wet Elektronische Gegevensuitwisseling in de Zorg (WEGIZ). ‘Hun houding schaadt zowel de privacy van patiënten als de zorgcommunicatie', aldus Privacy First.

Volgens Privacy First zijn sinds 2011 tevergeefs meerdere pogingen gedaan om nieuwe wetgeving te maken voor zo’n systeem. De nieuwe zorgcommunicatie-wet die er nu ligt, is de derde poging in elf jaar.

De stichting verwijt de zorgsector een hardnekkige tunnelvisie. Ook na het verwerpen van het epd in 2011 bleven partijen vasthouden aan het systeem dat daarvoor was bedacht, het Landelijk Schakelpunt (LSP). De wijze waarop het LSP is ingericht, leidt tot verschillende problemen die een effectieve en veilige uitwisseling van medische gegevens zouden belemmeren.

Inmiddels bestaan er nieuwe systemen die specifiek ontworpen zijn om behandelinformatie één-op-één te delen tussen zorgverleners, zoals bij een doorverwijzing van de huisarts naar een specialist. De nieuwe WEGIZ maakt het mogelijk om deze verschillende systemen naast elkaar te laten functioneren. 

Volgens Privacy First laten de grote belangenorganisaties deze wet links liggen. Ook het recent gelekte Integraal Zorgakkoord, waarin de lijnen van het toekomstig zorgbeleid worden uitgezet, spreekt uitsluitend over uitwisselingen zoals die volgens de inrichting van het LSP verlopen. ‘De recente ontwikkeling van het toestemmingsportaal Mitz wordt gepresenteerd als iets nieuws, maar verandert niets aan deze situatie, omdat op de achtergrond nog steeds gebruik wordt gemaakt van het LSP, met al zijn beperkingen en tekortkomingen', aldus de privacystichting.

Alles bij de bron; Computable


 

Online petities van politieke partijen lijken op het eerste gezicht onschuldig.

Maar die vele petities over 'het recht op abortus' of 'goedkoper tanken'  dienen eigenlijk zelden om ergens een verschil te maken. Meer nog, ze worden niet eens aanvaard in het federaal of Vlaams parlement.

De politieke partijen willen enkel uw gegevens en als gebruiker weet je amper waar die voor worden gebruikt en hoe lang ze worden bijgehouden, blijkt uit steekproef van VRT NWS en het Radio1-programma 'Het Uur van de Waarheid'. Privacyregels vragen nochtans dat dat allemaal helder wordt aangegeven én uitgelegd...

...Sofie Royer is onderzoeksexpert strafrecht en technologie aan de KU Leuven en kan niet duidelijker zijn: “Het is alleszins een slinkse manier om data van mensen te verzamelen, zeker omdat je als politieke partij wetsvoorstellen kan indienen via het parlement en daarvoor geen petities of handtekeningen van burgers nodig hebt. Al is dat wel vooral een moreel bezwaar tegen die petities.”

Alles bij de bron; VRTNieuws [thnx-2-Niek]


 

Subcategorieën

Schrijf je in op onze wekelijkse nieuwsbrief!