Digitale Schandpaal

Nog altijd heeft de GGD z’n zaken op privacygebied niet goed voor elkaar. Zo kunnen oud-medewerkers van de GGD soms meer dan een maand na hun ontslag vanuit huis nog bij persoonsgegevens van alle Nederlanders. En in de regio Arnhem/Ede werden klassikaal aan nieuwe medewerkers vertrouwelijke gegevens getoond. 

Eind vorig jaar bleek dat de persoonsgegevens van Nederlanders die zich laten testen, vaccineren of meewerken aan het bron- en contactonderzoek nog steeds niet voldoende waren beschermd. ‘Wezenlijke risico’s’, zo bestempelde de Autoriteit Persoonsgegevens het.

Dat bleek. In december werden bij een training voor nieuwe medewerkers bij GGD Gelderland-Midden (regio Arnhem/Ede) de persoonsgegevens van een vrouw die die dag in Arnhem gevaccineerd zou worden klassikaal getoond, zo meldt een uitzendkracht van de GGD.  Het ging hierbij om onder meer BSN-nummer, mailadres, adres en zelfs ziekte en medicijngebruik.

,,Dit is eenmalig gebeurd’’, reageert een woordvoerder van de landelijke GGD/GHOR. ,,Dit hoort niet en is ook niet onze gebruikelijke gang van zaken. Elke opleiding wordt gegeven vanuit een testomgeving met fictieve personen en gegevens.’’ Tijdens één van deze trainingen was bij de GGD Gelderland-Midden de testomgeving niet beschikbaar en is het systeem geïllustreerd aan de hand van daadwerkelijke persoonsgegevens.’’

En dat is niet het enige incident. Een oud-medewerker, die net als de uitzendkracht anoniem wil blijven, meldt dat hij nog zeker anderhalve maand nadat hij uit dienst was in de coronasystemen van de GGD kon inloggen. Hij kon daarbij alle persoonlijke gegevens inzien die hij maar wilde. ,,Zoals het BSN-nummer en het mailadres, en dat is als je kwaad in de zin hebt toch een gevaarlijke combinatie.’’

De Autoriteit Persoonsgegevens zegt dat het proces rond het tijdig aanpassen of intrekken van de toegang ‘nog niet altijd goed verloopt’. Ook is de privacywaakhond eind vorig jaar gebleken dat er diverse medewerkers zijn die toegang hebben tot persoonsgegevens die zij voor hun werkzaamheden niet of niet langer nodig hebben.

De Autoriteit Persoonsgegevens wil niet ingaan op de huidige situatie bij de GGD’s. In november is een lijst met bevindingen gepresenteerd en in maart wordt bekeken wat daar van terecht is gekomen. ,,Tot die tijd doen we geen mededelingen’’, stelt een woordvoerder, ,,en hebben ze de tijd om dingen te verbeteren.’’

Tweede Kamerlid Attje Kuiken (PvdA) noemt het 'zeer schadelijk’ dat de GGD's hun zaakjes nog niet voor elkaar hebben.  ,,Terwijl het over zeer persoonlijke gegevens gaat waar kwaadwillenden veel schade mee kunnen aanrichten. Ondanks de beloftes aan de Tweede Kamer van het kabinet is het dus nog steeds niet op orde.’’

Alles bij de bron; deGelderlander


 

Budget Energie heeft woensdag enige tijd met een technisch probleem gekampt waardoor persoonsgegevens van honderden klanten bij de verkeerde personen terechtkwamen. 

Volgens Budget Energie ging het om 1300 klanten die een verkeerde inloglink in de mail kregen na een IT-update. Daarmee konden die klanten gegevens van derden inzien. Het ging onder andere om strikt persoonlijke informatie zoals telefoonnummers en bankgegevens. Het bedrijf heeft, nadat het de fout had ontdekt, de IT-update direct onklaar gemaakt.

Alles bij de bron; AGConnect


 

Europese landen hebben het afgelopen jaar bijna 1,1 miljard euro aan privacyboetes uitgedeeld, blijkt uit een inventarisatie van DLA Piper. Het bedrag ligt volgens het advocatenkantoor bijna zeven keer hoger dan een jaar eerder...

...In Nederland deelde de Autoriteit Persoonsgegevens (AP) vorig jaar ook enkele boetes uit aan bedrijven die de privacywet overtraden. Zo werd de website Locatefamily.com, waarmee mensen naar contactgegevens van anderen kunnen zoeken, voor 525.000 euro beboet. Op de site stonden volgens de waakhond namelijk ook gegevens van mensen die daar niet van afwisten.

De AP legde daarnaast ook boetes op aan het UWV (450.000 euro) omdat de persoonsgegevens van vijftienduizend mensen uitlekten, en aan luchtvaartmaatschappij Transavia (400.000 euro), dat persoonsgegevens eveneens niet goed had beveiligd.

Alles bij de bron; NU


 

Datingplatform Grindr krijgt in Noorwegen een boete van 6,3 miljoen euro opgelegd. Het bedrijf zou op onwettige wijze persoonlijke data van gebruikers hebben gedeeld voor marketingdoeleinden. Het gaat om de hoogste Noorse boete ooit voor een dergelijke overtreding.

Grindr zou onder meer GPS-coördinaten van gebruikers, informatie uit profielen over onder meer leeftijd en geslacht, en het gebruik van de app hebben gedeeld met adverteerders. 

De toezichthouder oordeelt dat Grindr gebruikers onvoldoende heeft geïnformeerd over deze datadeling, terwijl hier expliciete toestemming voor nodig is volgens de AVG. De waakhond stelt daarom dat Grindr de AVG heeft overtreden.

Alles bij de bron; DutchIT-channel


Demissionair ministers Grapperhaus en de Jonge zijn de winnaars van de jaarlijkse Big Brother Awards geworden. Dat heeft organisator en digitale burgerrechtenorganisatie Bits of Freedom vandaag bekendgemaakt.

de Jonge won de Publieksprijs, vanwege de slecht doordachte invoering van Coronatoegangsbewijzen. De Expertprijs gaat dit jaar naar minister Grapperhaus.

Wegens een hele rits aan misstappen die het ministerie van Justitie en Veiligheid heeft begaan besloten de experts om de minister een Lifetime achievement award uit te reiken. "Het komt niet vaak voor dat we een lifetime achievement award uitreiken, maar dit ministerie heeft het zo bont gemaakt dat wij en onze vakjury eigenlijk geen andere optie zagen", merkt Austin op.

De expertprijs is persoonlijk aan minister Grapperhaus overhandigd, minister de Jonge heeft de Publieksprijs niet in ontvangst genomen.

Alles bij de bron; Security


 

De overheid voldoet nog altijd niet aan de afspraken voor het beveiligen van e-mail, ook al had dit in 2019 al geregeld moeten zijn. Daardoor kunnen criminelen namens bijna een kwart van de onderzochte overheidsdomeinen vervalste e-mails versturen. Dat meldt het Forum Standaardisatie op basis van eigen onderzoek.

Binnen de overheid zijn afspraken gemaakt om verschillende e-mailbeveiligingsstandaarden uit te rollen, de zogeheten streefbeeldafspraken. Alle overheden moesten in 2019 in ieder geval voor e-mail SPF en DMARC juist hebben ingesteld. Via DMARC kan worden ingesteld wat de mailserver moet doen als die een verdachte e-mail ontvangt.

Een andere standaard die al geïmplementeerd had moeten zijn en dat niet is, is DANE. Het DANE-protocol zorgt ervoor dat STARTTLS wordt afgedwongen. Dit is een uitbreiding voor smtp die een beveiligde verbinding tussen de verzendende en ontvangende mailserver opzet.

"Met de implementatie en juiste strikte configuratie van anti-emailvervalsingstandaarden kan phishing worden bestreden. De OBDO streefbeeldafspraak om dat eind 2019 bij 100 procent van de gemeten e-maildomeinen op orde te hebben is nog niet gehaald", stelt het Forum Standaardisatie. "Bijna een kwart van de overheden voldoet nog niet. Phishingmails namens de achterblijvende organisaties (inclusief bewindspersonen) komen daardoor nog steeds bij burgers en bedrijven aan."

Alles bij de bron; Security


 

Twitter heeft per ongeluk accounts van onder meer journalisten en wetenschappers die extremisme onderzoeken geschorst, zegt het platform vrijdag tegen The Washington Post. Dat kwam door valse meldingen van extreemrechtse activisten, die het nieuwe privébeeldbeleid van Twitter misbruikten...

...Een Twitter-woordvoerder zegt in een verklaring aan de krant dat het bedrijf werd overspoeld met een "aanzienlijke hoeveelheid" valse meldingen en dat "de moderatieteams verschillende fouten hebben gemaakt" in de nasleep daarvan.

Hij gaf geen details over hoeveel meldingen er waren gedaan, maar zei dat er "een aantal foutieve schorsingen" hebben plaatsgevonden. Het is niet duidelijk of alle onterechte bans inmiddels zijn opgeheven.

Alles bij de bron; NU


 

Zelfs de vaagste kennis herkent Tahir nog op de verspreide camerabeelden. Hij draagt een zeer opvallend zwart Superman-T-shirt met korte mouwen. Daaronder een zwarte trainingsbroek en zwart-witte sneakers. In zijn linkerhand draagt hij een Jumbo-tasje. Nog een kenmerk nodig? De vermoedelijke fraudeur kijkt vol in de camera van een Haagse Jumbo-supermarkt.  

‘Deze man doet dit vaker’, zegt de voice-over van een opsporingsprogramma op een regionale televisiezender. Op 31 augustus worden in opdracht van de politie de beelden van de oplichter op televisie uitgezonden. Ook is de fraudeur op de website van de politie terug te vinden. 

Mohamed ligt die avond rond tien uur in bed als een bekende hem een geblurde foto appt. Dan gaan de foto’s en video’s van de bekende voetbaltrainer van het Haagse TAC’90 al rond op internet, op social media en in WhatsAppgroepen. 

‘Ik ben zelf de dader, maar heb het niet gedaan!’ vertelt hij van schrik tegen de politietiplijn. Twee uur later staan er twee rechercheurs aan zijn voordeur om zijn identiteit te controleren. Na een mail van zijn advocaat Jeffrey Jordan worden de beelden ’s nachts al van internet gehaald. Maar dan zijn de video’s en foto’s al over de wereld verspreid....

....Rechercheurs hebben beelden van de verkeerde Jumbo-supermarkt opgevraagd, blijkt na onderzoek. Het ging niet om twee verdachten, maar alleen om de al eerder opgepakte verdachte. Die lijkt in de verste verte niet op Mohamed. 

,,Het klopt dat beelden waarop deze meneer te zien is, ten onrechte zijn uitgezonden”, zegt een woordvoerder van de politie. ,,Hij bleek niets met de zaak te maken te hebben, vandaar ook onze excuses en een bloemetje.”

,,Het vertrouwen in justitie en politie is weg”, zegt Mohamed. ,,De schade is niet te herstellen. Ik ben vrienden en tientallen klanten van mijn accountantskantoor kwijtgeraakt.” Met een bloemetje is het zeker nog niet klaar. Hij wacht op de sepotbrief van het OM. Daarna is hij van plan een flinke schadeclaim bij de politie neer te leggen. 

Alles bij de bron; AD


 

Het ministerie van Justitie en Veiligheid heeft van 2016 tot en met 2020 in totaal 455 datalekken bij de Autoriteit Persoonsgegevens (AP) gemeld. Het gaat hier niet alleen om het ministerie, maar ook de verschillende instanties die onder het departement vallen, zoals screeningsautoriteit Justis, de Nationaal Coördinator Terrorismebestrijding (NCTV), het Nederlands Forensisch Instituut (NFI) en het Centraal Justitieel Incassobureau (CJIB).

Het aantal datalekken dat Justitie bij de AP meldde kent een stijgende lijn. In 2016 ging het nog om 36 datalekken, gevolgd door 41 datalekken in 2017, 96 datalekken in 2018, 143 datalekken in 2019 en 139 datalekken in 2020. "De rode lijn in deze datalekken zijn fouten van medewerkers in individuele zaken. Het betreft het vermelden van verkeerde adressen voor fysieke post alsmede die bij digitale post, en onvolledig anonimiseren van documenten", aldus demissionair minister Grapperhaus van Justitie en Veiligheid.

De minister merkt op dat het ministerie vorig jaar is begonnen met het project "Weerbaar JenV". Sinds begin van dit jaar volgen medewerkers als onderdeel van dit project jaarlijks een verplichte e-learningcursus over veilig werken met informatie.

Alles bij de bron; Security


 

De Jonge is genomineerd vanwege de invoering van het coronatoegangsbewijs. Die maatregel is volgens Bits of Freedom "onvoldoende gemotiveerd".

De organisatie heeft Grapperhaus voorgedragen vanwege "het stiekem optuigen van een derde geheime dienst in Nederland: de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV)". Die dienst "verzamelde en verspreidde jarenlang in het geheim gevoelige gegevens over burgers, zonder dat hij daar juridisch toe bevoegd was".

Van Huffelen is verantwoordelijk voor het afhandelen van de toeslagenaffaire. "De Belastingdienst discrimineerde jarenlang op grond van afkomst door een hoger frauderisico te koppelen aan een niet-Nederlandse nationaliteit", aldus Bits of Freedom.

Mensen kunnen de komende weken hun stem uitbrengen om te bepalen wie de publieksprijs krijgt. De winnaar wordt op 13 december bekendgemaakt.

Alles bij de bron; NU


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha