Digitale Schandpaal

De Autoriteit Persoonsgegevens (AP) legt een boete van 440.000 euro op aan het Amsterdamse ziekenhuis OLVG. Het ziekenhuis had tussen 2018 en 2020 te weinig maatregelen genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen. Dat kwam door onvoldoende controle op wie welk dossier bekeek en ontoereikende beveiliging van de computersystemen. Naar aanleiding van het onderzoek van de AP heeft het OLVG de vereiste verbeteringen doorgevoerd.

'Patiënten moeten ervan uit kunnen gaan dat medewerkers alleen medische dossiers inzien als dat nodig is voor hun behandeling. Het OLVG nam te weinig beveiligingsmaatregelen om dit te waarborgen. Dat is ernstig en daarom legt de AP het OLVG nu deze boete op.’ aldus AP-vicevoorzitter Monique Verdier.

Alles bij de bron; AutoriteitPersoonsgegevens


 

Het datalek bij de GGD is schadelijk voor het vertrouwen in het bron- en contactonderzoek en het testbeleid. Om dat vertrouwen terug te winnen is ferm ingrijpen noodzakelijk. Eerder gebeurde zo ongeveer hetzelfde namelijk al op veel kleinere schaal bij het HagaZiekenhuis. ..

...Het is kwalijk dat de GGD en het verantwoordelijke ministerie geen lering hebben getrokken uit eerdere fouten. Maar erger is misschien nog wel de nonchalante reactie. Hugo de Jonge stelde in het Kamerdebat dat tegen 'dit type misdaad natuurlijk geen kruid gewassen is' en dat alles gedaan was om de systemen zo veilig mogelijk te maken. De GGD legt ondertussen de schuld deels elders door op zijn site te stellen dat er 'verzinsels, onjuistheden en onvolledigheden' worden opgeschreven over het datalek, zonder deze beschuldigingen concreet te onderbouwen.

Dat moet anders. Allereerst moeten de verantwoordelijken volmondig erkennen wat er fout is gegaan en volledig openheid van zaken geven. Vervolgens moeten de procedures en software zo snel en transparant mogelijk verbeterd worden.

Met de halfslachtige onderkenning van de problemen wordt het vertrouwen niet teruggewonnen. Dat is schadelijk. Juist een goede bescherming van gegevens is noodzakelijk voor het vertrouwen en daarmee de kwaliteit van het onderzoek.

Alles bij de bron; FinancieelDagblad [gratis registratie noodzakelijk]


De GGD’s willen zo snel mogelijk stoppen met het omstreden softwaresysteem HPzone, dat gebruikt wordt voor het bron- en contactonderzoek.

Dat zegt Ellis Jeurissen, portefeuillehouder bron- en contactonderzoek bij de GGD’s. Volgens Jeurissen werkten de GGD’s al ‘aan de fundering’ van het systeem, maar komt er nu een nieuw systeem vanwege onthullingen deze week van RTL Nieuws. Dat meldde maandag dat privacygevoelige informatie uit zowel HPzone als een ander GGD-systeem wordt verhandeld.

Duidelijk is inmiddels dat gegevens van burgers die werden gestolen bij de GGD mogelijk vorig jaar al werden gebruikt door oplichters. De Fraudehelpdesk kan ongeveer veertig meldingen koppelen aan het datalek, meldt de NOS.

De Autoriteit Persoonsgegevens heeft de GGD onder ‘verscherpt toezicht’ gezet vanwege de affaire. De koepelorganisatie GGD GHOR stelt tegen de NOS echter hiervan niet op de hoogte te zijn gebracht.

Bron; Beveiliging


 

GGD-medewerkers met toegang tot CoronIT, het registratiesysteem voor coronatesten, hebben ook toegang tot paspoort- of identiteitsnummers en gezondheidsverklaringen van gevaccineerde personen. Dat blijkt uit een GGD-werkinstructie die is ingezien door de Volkskrant. 

Vele duizenden testmedewerkers hebben toegang tot dat systeem, dat inmiddels ook wordt gebruikt voor vaccinregistraties. Anders dan bij het testen slaan de GGD’s ook het ID-type (paspoort, ID-kaart of rijbewijs) én het bijbehorende ID-nummer op, blijkt uit de werkinstructie. 

Om bij deze informatie te kunnen, zijn wel aanvullende gegevens (bijvoorbeeld de priklocatie) van de gevaccineerden nodig. De GGD heeft deze week stappen genomen om deze toegang te bemoeilijken, vertellen GGD-medewerkers aan de Volkskrant. De Tweede Kamer wil volgende week in debat over de gebrekkige databeveiliging bij de GGD’en...

...Uit gesprekken met betrokkenen bij het ministerie van Volksgezondheid blijkt dat er al vanaf het voorjaar 2020 zorgen waren over de privacy en veiligheid van de GGD-systemen. Onder anderen medewerkers van labs die de testuitslagen verwerkten, uitten hun zorgen. Zij konden allerlei persoonlijke data inzien, inclusief burger servicenummers, terwijl dat niet nodig was. 

Ook was vanaf het begin duidelijk dat GGD-medewerkers bij álle data konden, ook al meldde de GGD-website dat medewerkers alleen de gegevens zagen van de persoon die ze moesten bellen. Volgens één betrokkene heeft het ministerie al in augustus hulp aangeboden om de privacyproblemen op te lossen, maar heeft de GGD dat categorisch geweigerd.  

Alles bij de bron; Volkskrant


 

Minister Hugo de Jonge zei het deze week tijdens het vragenuurtje nog maar eens, en nog eens en nog eens: de systemen waarmee de GGD’s werken voldoen aan de laatste normen wat betreft beveiliging: ‘Uiteindelijk is tegen dit type misdaad natuurlijk geen kruid gewassen.’

Een dag eerder wierp André Rouvoet, voorzitter van de GGD-koepel GHOR, een vergelijkbare verdedigingslinie op: ‘Dat er dan mensen zijn die over de rug van al deze mensen geld willen verdienen is ongehoord.’

Zowel Rouvoet als De Jonge gaan voorbij aan het feit dat ze juist níét alles hebben gedaan om deze gigantische privacyramp te voorkomen.

Deze ramp is geen incident, maar een direct en logisch gevolg van de rammelende systemen waarmee de GGD’s werken, die nooit zijn ontworpen met het idee de privacy van Nederlanders te beschermen. De aanwijzingen dat het fout kon gaan waren levensgroot aanwezig. Al in augustus vroeg een redacteur van Nieuwsuur aan de GGD of er een analyse van de risico’s van dataverwerking was gemaakt. Neuh, niet echt, was het antwoord. In alle hectiek was dat erbij ingeschoten. Maar privacy is echt heel belangrijk, hoor.

En toch wijzen zowel Rouvoet als De Jonge naar de criminelen: zíj zijn de echte schuldigen. Die criminelen doen hun werk in ieder geval beter dan de minister en de voorzitter van de GGD-koepel, die bewust moeten zijn geweest van de privacyrisico’s van de gare GGD-systemen.

De overheid wijst de laatste jaren vaak naar de grijpgrage handjes van Big Tech, maar vergeet de data van haar eigen burgers te beschermen. Van Big Tech kun je zeggen dat die weet wat ze doet, van de overheid in dit geval niet.

Alles bij de bron; Volkskrant


 

Hugo de Jonge moest gistermiddag in de Tweede Kamer verklaren hoe het in vredesnaam mogelijk is dat persoonlijke gegevens van miljoenen Nederlanders toegankelijk zijn via het ict-systeem voor de coronatests. Volgens deskundigen, geraadpleegd door de Volkskrant, hebben minister en GGD geen flauw benul van informatiebeveiliging...

...Jaap-Henk Hoepman, universitair hoofddocent privacy aan de Radboud Universiteit en Rijksuniversiteit Groningen: “Er wordt kennelijk niet bijgehouden wie welke gegevens opvraagt. Dat is voor een systeem met zulke gevoelige gegevens echt waanzin.”  Ook moet je kijken naar wie er toegang krijgt. Hoepman: “Maar GGD-medewerkers hebben via CoronIT toegang tot alle gegevens. Dat is volstrekt onacceptabel en onvoldoende. Je kunt het anders inrichten en duidelijker rollen definiëren.”

Ook blijkt dat alle testmedewerkers bij bijvoorbeeld bsn-nummers kunnen. Hoepman: “Dat is bizar. Waarom wordt een bsn-nummer überhaupt opgeslagen? Net zoals het heel vreemd is dat gegevens bewaard blijven ook nadat mensen hun uitslag hebben opgevraagd of doorgebeld gekregen.” Verder bleek het tot deze week mogelijk om data te exporteren uit het systeem. “Die exportfunctie bedenk je niet. Dat kan gewoon niet,” aldus Hoepman.

Mathieu Paapst, universitair docent IT-recht aan de Rijksuniversiteit Groningen, zegt dat er niet nagedacht is over de ‘basishygiëne’. “Het zijn simpele dingen: welke informatie sla je op en hoe lang? ”

Paapst: “Het woord knullig is nog veel te aardig uitgedrukt. Dit is gewoon een club die geen flauw idee heeft hoe ze met informatiebeveiliging omgaat.” 

Alles bij de bron; WelingelichteKringen


 

Datingapp Grindr hangt een boete boven het hoofd van omgerekend 9,6 miljoen euro van de Noorse privacywaakhond. Volgens de autoriteit heeft Grindr AVG-regels geschonden door gebruikersgegevens met reclamediensten te delen.

De datingapp heeft volgens de autoriteit gebruikersgegevens gedeeld met een aantal verschillende derde partijen, terwijl ze hiervoor geen instemming hebben van gebruikers. Data van onder meer de gps-locatie, gebruikersprofielen en het feit dat iemand op Grindr actief is, werd door de app gedeeld met derden voor marketingdoeleinden. Data werd gedeeld met marketingpartijen MoPub, onderdeel van Twitter, Xandr, OpenX Software, AdColony en Smaato. Tegen hen heeft de data-autoriteit ook een klacht ingediend.

De Noorse Datatilsynet heeft Grindr op de hoogte gebracht van de boete, maar geeft het bedrijf nog kans om te reageren voor het de boete definitief oplegt. 

Alles bij de bron; Tweakers


 

Een medewerker van beveiligingsbedrijf ADT heeft zo'n tweehonderd klanten jarenlang via hun eigen beveiligingscamera's bespioneerd. Hij keek meer dan 9600 keer mee met de camera's van klanten, onder andere tijdens intieme momenten. Dat heeft de inmiddels ontslagen werknemer bekend, zo meldt het Amerikaanse ministerie van Justitie.

Tijdens onderhoudswerkzaamheden bij klanten voegde de man geregeld zijn e-mailadres aan de "ADT Pulse" accounts van klanten toe, zonder hen dit te laten weten. Zo kreeg hij real-time toegang tot de camera's in de woningen van klanten. 

Eerder liet ADT zelf al weten dat de man over een periode van zeven jaar bij zo'n 220 klanten in de omgeving van Dallas had gespioneerd. Daarop werd er een massaclaim tegen het beveiligingsbedrijf aangespannen. De ex-medewerker kan een gevangenisstraf van maximaal vijf jaar krijgen.

Alles bij de bron; Security


 

Het zal je maar gebeuren. Guilhermina, die al haar hele leven keihard werkt en nooit in aanraking kwam met justitie, zag zichzelf ineens terug bij Opsporing Verzocht. Op de nationale televisie werd ze onterecht beschuldigd van diefstal en babbeltrucs. Guilhermina was onschuldig en had niets met de zaak te maken...

...In de uitzending van 8 januari 2019 wordt er bij Opsporing Verzocht aandacht besteed aan een babbeltruc. Op beelden is te zien hoe twee mannen eerst de pincode, en daarna de pinpas van een oudere man afhandig maken. En even later worden er beelden getoond van Guilhermina, die geld opneemt bij een pinautomaat...

De voice-over van het programma zegt: "Kijk alstublieft even of u deze vrouw herkent, of wellicht vaker heeft gezien."

En dat is precies wat er gebeurt: Guilhermina wordt herkend. Gelukkig door haar stiefdochter, die ook meteen alarm slaat bij de politie en meldt dat het om een grove fout gaat. Maar ook anderen herkennen Guilhermina. "We kregen heel veel telefoontjes van mensen die ons gezien hadden, of die getipt waren door anderen die mij gezien hadden bij Opsporing Verzocht."

Uiteindelijk besluit het stel om hun vakantie af te breken, en terug te komen naar Nederland. "Ik wilde zo snel mogelijk naar de politie om uit te leggen dat ik onschuldig was en dat ik niets met die zaak te maken had", vertelt Guilhermina. Guilhermina kan al snel aantonen dat ze onschuldig is. 

De politie ziet in dat ze een grote fout heeft gemaakt en biedt direct excuses aan. Maar daar stopt de ellende niet. Een week later is Guilhermina opnieuw in Opsporing Verzocht te zien. In de uitzending wordt gezegd dat ze zeven tips hebben binnengekregen over 'deze vrouwelijke verdachte' en dat ze op basis daarvan is herkend. 

Dat was het moment dat ze advocaat Gert Poot in de arm heeft genomen, die de familie sindsdien bijstaat. 

Voor Guilhermina zijn de gevolgen van haar ongewenste landelijke bekendheid niet te overzien. Bij haar werk wordt haar de toegang tot het gebouw ontzegd. "Mijn toegangspasje is geblokkeerd. Ik zei natuurlijk dat ik onschuldig was en er niets mee te maken had, maar mijn baas zei: laten we de zaak afwachten. Tot die tijd mocht ik niet meer komen werken." 

Twee weken na de eerste uitzending komt er een rectificatie in de uitzending van Opsporing Verzocht. "Daarmee kon ik in ieder geval bij mijn werkgever aantonen dat ik onschuldig was", vertelt ze. "Maar voor de rest was het kwaad al geschied. Veel mensen hebben die rectificatie niet gezien. Voor hen bleef ik verdacht."

Sinds de gewraakte uitzendingen is Guilhermina's leven flink veranderd. Haar contract werd niet verlengd. Dit deed hen mede besluiten om terug te gaan naar Portugal, waar ze op dit moment nog steeds wonen. Het liefst zou Guilhermina weer terug naar Nederland gaan, vertelt ze "maar ik ben ook bang dat we daar nog steeds met de nek worden aangekeken."

Alles bij de bron; RTLNieuws


 

Persoonlijke en medische informatie van ten minste tienduizenden mensen die zich op corona lieten testen bij een commercieel bedrijf zijn niet goed beveiligd, blijkt uit onderzoek van Nieuwsuur.

Het gaat om gevoelige persoonsgegevens en medische gegevens, die zijn gedeeld in een WhatsApp-groep met 300 leden en toegankelijk waren in een slecht beveiligde database. Volgens experts is er sprake van een datalek en wordt de privacywetgeving hiermee overtreden.

Het gaat om bijvoorbeeld toeristen die via TUI of Corendon een vakantie boekten, werknemers van voedingsmiddelenconcern Ahold, spelers van FC Utrecht, huisartsenpraktijken en zorginstellingen. Ook het ministerie van Defensie laat militairen die uitgezonden worden testen bij het bedrijf.

Alles bij de bron; NOS


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha