- Gegevens
- Hoofdcategorie: Internet en Telecom
In september 2021 maakte de HAN bekend dat het was getroffen door een datalek waarbij persoonsgegevens in handen van een aanvaller waren gekomen. De aanvaller eiste losgeld van de onderwijsinstelling, anders zou hij de gestolen data publiceren. Uit het onderzoek dat naar de aanval werd ingesteld bleek dat de aanvaller toegang tot een server had gekregen waarop persoonlijke informatie stond.
Het ging om ruim 530.000 unieke mailadressen, alsmede zo'n 15.000 "meer privacygevoelige gegevens", waaronder politieke voorkeur, BSN-nummer, niet versleutelde wachtwoorden, paspoort- en identiteitskaartnummers en meldingen over functiebeperkingen en studievertragingen.
Van een oud-student is mogelijk een formulier met zeer vertrouwelijke gegevens en medische info rond zijn studievertraging buitgemaakt. Hij eiste een vergoeding van duizend euro voor opgelopen immateriële schade en een schuldbekentenis van de onderwijsinstelling, maar die wilde daar niet in mee gaan. Wel kreeg hij een studentpsycholoog aangeboden. De oud-student vond het aanbod 'misplaatst', omdat hij dan opnieuw gevoelige gegevens met zijn voormalige hogeschool moet delen. Daarop spande hij een rechtszaak aan.
De aanvaller kon de gegevens stelen door middel van SQL-injection, een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren en organisaties hun applicaties niet laten controleren.
De rechter merkt op dat de hogeschool slecht gereageerd heeft op de klacht van de student dat het webformulier verouderd was en er geen sprake van een passende technische maatregel is, zoals de AVG vereist. Hierop stelde de hogeschool dat het formulier sinds 2018 online staat en niet eerder is gecompromitteerd.
De oud-student eiste een vergoeding wegens immateriële schade. Volgens de rechter heeft het lekken van de persoonsgegevens van de oud-student niet tot schade geleid. Het lekken van de bijzondere persoonsgegevens (medische gegevens) wel. Daarbij speelt mee dat de oud-student zelf zeer zorgvuldig met zijn medische gegevens omging. Hij deelde zijn gegevens alleen met de hogeschool, omdat die hem verzekerde dat zijn verhaal veilig was.
Gezien het feit dat het om gevoelige medische gegevens gaat, het verlies aan controle over de gegevens blijvend is, afgezet tegen de omstandigheid dat niet is gebleken dat het datalek tot concrete negatieve gevolgen heeft geleid, komt de kantonrechter op een schadebedrag van driehonderd euro uit.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Bits of Freedom maakt zich zorgen over een wetsvoorstel waardoor het voor de AIVD en MIVD tijdelijk mogelijk wordt om van de Wet op de inlichtingen- en veiligheidsdiensten (Wiv 2017) af te wijken. Daarnaast wordt ook het toezicht aangepast.
Zo zal, in plaats van bindende toetsing vooraf door de Toetsingscommissie Inzet Bevoegdheden (TIB), er tijdens en na de inzet van een bevoegdheid toezicht plaatsvinden door de Commissie van Toezicht op de Inlichtingen- en veiligheidsdiensten (CTIVD).
Verder wordt het mogelijk om tijdens een lopend onderzoek waarbij een aanvaller overstapt naar een nieuwe server of apparaat, deze te blijven volgen zonder dat er eerst toestemmingsaanvraag moet worden ingediend. Normaliter hadden de inlichtingendiensten eerst toestemming moeten vragen aan de minister en moet de TIB deze toestemming toetsen.
Het wetsvoorstel verruimt ook de medewerkingsplicht van derde partijen, zoals telecomproviders en opslagdiensten. De inlichtingendiensten kunnen gegevens opvragen bij aanbieders van telecommunicatie- en opslagdiensten. Het gaat dan meestal om het opvragen van disk-images van servers.
In de Wiv 2017 is geregeld dat wanneer de bronbescherming op het spel staat, voordat het systeem van een journalist mag worden binnengedrongen, de rechtbank eerst toestemming moet geven. Door de nieuwe wet mogen de inlichtingendiensten op het systeem van een journalist inbreken als dat door aanvallers wordt gebruikt. Bits of Freedom maakt zich zorgen dat met de nieuwe regels de bronbescherming, en daarmee het werk van journalisten, op het spel komt te staan, zo liet de burgerrechtenbeweging tegenover het radioprogramma Argos weten.
Ook hekelt Bits of Freedom de genoemde noodzaak van de wet en hoe die behandeld wordt.
"De "spoedwet" die de huidige wet zal wijzigen is inmiddels al 2,5 jaar in de maak. Je zou je kunnen afvragen of hier wel echt sprake is van hoge urgentie. Bovendien is dit de zóveelste (tijdelijke) wijziging van de Wet op de inlichtingen- en veiligheidsdiensten", zegt directeur Evelyn Austin.
Volgens Austin is er inmiddels een complete studie vereist om goed te kunnen begrijpen wat de geheime diensten mogen en wat daarvan de gevolgen zijn. "Het lijkt wel alsof de democratische controle opzettelijk wordt verward en uitgeput. Op maandag 16 oktober wordt de wet in de Tweede Kamer behandeld. Aan Kamerleden de haast onmogelijke taak goed beslagen ten ijs te komen. Wij zijn benieuwd."
Eerder uitte ook voormalig TIB-lid Bert Hubert felle kritiek. "Het voorstel pakt geen cybertuig aan, het voorstel maakt het met name makkelijker onschuldige Nederlanders af te luisteren en te hacken, en de opbrengst te delen met het buitenland. Voor ons ligt een wet waarmee niet alleen hele wijken afgeluisterd kunnen worden, het hele land mag er mee afgeluisterd worden. En de diensten menen dat dat geen afluisteren is, want het is slechts ter verkenning."
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Nieuws uit NL
De Belastingdienst voldoet nog altijd niet aan de meest basale aspecten van de privacywet, ruim vijf jaar na de invoering ervan. Met de huidige aanpak lukt het ook niet om, zoals gepland, vanaf 2027 aan die wetgeving te voldoen. Dat constateert een intern onderzoeksteam van de Belastingdienst in een evaluatie.
In de evaluatie, die dateert van afgelopen juli, concludeert een team medewerkers na zes maanden onderzoek dat de Belastingdienst nog altijd veel te weinig grip heeft op de gegevens die hij van burgers gebruikt. Zo is voor de meeste werkprocessen niet bekend welke persoonsgegevens precies verwerkt worden, waardoor „de basis voor compliantie” [voldoen aan de privacywetgeving] ontbreekt. Er is geen beleid om fouten in de gebruikte persoonsdata te herkennen en te corrigeren. Verouderde gegevens worden vaak niet op tijd gearchiveerd of vernietigd.
De dienst houdt ook niet bij welke medewerkers precies toegang hebben tot bepaalde applicaties. Hierdoor overtreedt de dienst het ‘need to know-principe’ uit de privacywet, staat in de interne evaluatie. Duizenden medewerkers kunnen bij persoonsgegevens die ze voor hun werk niet nodig hebben – het woonadres van bekende Nederlanders, bijvoorbeeld. Meerdere bronnen binnen de dienst bevestigen dit.
Bovendien wordt er volgens het interne stuk te weinig rekening gehouden met de privacyrechten van burgers, waaronder het recht op inzage, correctie en verwijdering van data. Ook worden nieuwe applicaties niet zo gebouwd dat ze voldoen aan de privacyregels, hoewel Van Rij dit wel zo aan de Tweede Kamer heeft gemeld.
„Het is schokkende informatie, en dat woord gebruik ik zelden”, zegt José van Dijck, universiteitshoogleraar media en digitale samenleving in Utrecht, in reactie op de interne stukken. De Belastingdienst heeft blijkbaar, zegt ze, „de meest elementaire zaken” niet op orde. „Een beeld van welke data je hebt, wie daar bij kan, en hoe je dat goed regelt.”
Terwijl de Belastingdienst volgens haar juist een voorbeeldfunctie heeft: „Hij heeft toegang tot de meeste en meest vertrouwelijke informatie van praktisch de hele bevolking. Dat geeft een maatschappelijke plicht om extra voorzichtig te zijn.”
Alles bij de bron; NRC
- Gegevens
- Hoofdcategorie: Nieuws uit NL
Minister Kuipers van Volksgezondheid wil dat gegevens uit de medische dossiers van burgers sneller en completer in hun persoonlijke gezondheidsomgeving (PGO) beschikbaar worden. Hiervoor is de ontwikkeling van een publieke generieke inzagefunctie, een vorm van basis PGO, noodzakelijk, zo laat de bewindsman in een brief aan de Tweede Kamer weten.
Kuipers liet vorig jaar weten dat hij vol op de persoonlijke gezondheidsomgeving wil inzetten. Het aantal Nederlanders met een PGO is echter laag. Voor heel 2022 waren dat er negentigduizend. Eerder dit jaar kondigde de minister aan dat hij wil komen tot een versnelling in de PGO-aanpak.
"In de zomer is gewerkt aan de uitwerking van scenario’s om de knelpunten op te lossen en te komen tot meer regie en betere inzage van gegevens", aldus de minister. Eén van de oplossingen die Kuipers wil invoeren is de ontwikkeling van een generieke inzagefunctie. Daarmee wordt de data voor alle burgers op dezelfde manier toegankelijk gemaakt, maar niet centraal opgeslagen, legt de bewindsman uit.
De inzagefunctie moet het ervoor zorgen dat in de toekomst er beter kan worden aangesloten op oplossingen die voor andere vormen van gegevensuitwisseling en databeschikbaarheid in de zorg worden ontwikkeld.
Het gaat dan bijvoorbeeld om digitale zorgtoepassingen of het secundair gebruik van medische data van burgers.
Hoe de inzagefunctie er precies komt uit te zien wordt nog onderzocht. Wel is al duidelijk dat voor een publieke generieke inzagefunctie, het mogen verwerken van gezondheidsgegevens en het mogen gebruiken van het Burgerservicenummer in een inzagefunctie een wettelijke basis nodig is. Dde minister op, dat het juridische traject om zorggegevens wettelijk te mogen ontsluiten via een inzagefunctie waarschijnlijk enkele jaren in beslag zal nemen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
De Britse overheid gaat de nationale paspoortdatabase gebruiken voor het opsporen van verdachten van winkeldiefstal, inbraken en andere misdrijven. Beelden van beveiligingscamera's en deurbelcamera's zullen worden vergeleken met de pasfoto's van 45 miljoen mensen die in de database staan.
Ook de biometrische systemen gebruikt voor immigratie en asiel zullen beschikbaar worden gemaakt voor het zoeken naar buitenlandse personen die niet in de paspoortdatabase staan.
De Britse minister voor misdaadbestrijding Chris Philp wil meerdere databases aan elkaar gaan koppelen, zodat politie 'met een druk op de knop' matches kan vinden. Totdat het platform is ontwikkeld zal politie de databases apart moeten doorzoeken.
"Philps plan om Britse paspoortfoto's te veranderen in een grote politiedatabase is Orwelliaans en een grote schending van Britse privacyprincipes. Het houdt in dat meer dan 45 miljoen van ons met paspoorten die onze foto's reisdoeleinden gaven, zonder enige toestemming of mogelijkheid bezwaar te maken, onderdeel van een geheime politie-opstellingen", zegt Silkie Carlo van Big Brother Watch.
Carlo noemt het scannen van de pasfoto's van de Britse bevolking met zeer onnauwkeurige gezichtsherkenningstechnologie, om burgers vervolgens als verdachten te behandelen, een schandalige aanval op de privacy van burgers die totaal geen rekening houdt met de werkelijke redenen waarom mensen tot winkeldiefstal overgaan. "Philp zou zich moeten richten op het repareren van een kapot politiesysteem, in plaats van het ontwikkelen van een geautomatiseerde surveillancestaat." De directeur van Big Brother Watch zegt er alles aan te doen om deze 'Orwelliaanse nachtmerrie' tegen te gaan.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Lichamelijke Integriteit
Journalist Kashmir Hill ontdekte dat bijna iedere westerse burger nu al in de database van AI-bedrijf Clearview zit. Ze schreef er een boek over.
U wilt weten wie die interessante persoon is aan de andere kant van de bar? Maak op een onbewaakt moment een foto met uw smartphone. Een vage foto is voldoende. Upload het kiekje en speciale AI-software onthult de identiteit van de persoon die u fotografeerde.
Die techniek is er en zo’n beetje iedere westerse burger zit al in de database van Clearview, het bekendste bedrijf dat dit soort diensten aanbiedt. Logisch dat politiekorpsen over de hele wereld er dol op zijn.
CleasView schraapt sociale media af en legt een database aan van miljarden foto’s met bijbehorende namen. Niet van criminelen, maar van gewone burgers die hun kiekjes nietsvermoedend op Facebook of Instagram zetten.
Toen Hill haar artikel begin 2020 publiceerde, bleken verschillende Amerikaanse politiekorpsen er al gebruik van te maken. Zij konden beelden van beveiligingscamera’s vergelijken met de foto’s van Clearview. Het artikel sloeg in als een bom.
Toen ik de Nederlandse politie twee jaar geleden vroeg of ze Clearview gebruikte, kreeg ik een ontwijkend antwoord: ‘We zijn niet centraal benaderd door Clearview, maar het kan natuurlijk altijd dat individuele politiemensen het gebruiken.’
‘Dit is precies het antwoord dat ik altijd kreeg, zo werkt Clearview, door zijn software aan individuele rechercheurs aan te bieden. Zo kan de politie altijd zeggen: wij weten van niets. Maar het is kraakhelder dat de software institutioneel wordt gebruikt.’
Het begon met een tip die u kreeg. Sloeg u er gelijk op aan? ‘Ja, ik schrijf al meer dan tien jaar over technologie en privacy en het gaat al lang over gezichtsherkenning. Ik was in 2011 in Washington bij een conferentie over dat onderwerp. Google was er, Facebook, ambtenaren, privacymensen. En iedereen, echt iedereen was het erover eens: dit mag nooit gebeuren. We moeten geen gigantische database met foto’s willen waarmee iedere vreemdeling kan worden geïdentificeerd, met alle risico’s die daarbij horen. Toen ik dan ook de tip over Clearview kreeg, dacht ik onmiddellijk: wacht even, dit gebeurt dus al! Niet in China, maar onder mijn neus in New York.’
Alles bij de bron; Volkskrant [lekker-lang-lezen-artikel]
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
Om de verspreiding van het Covid-19-virus tegen te gaan grepen heel wat Europese landen een tijdlang naar ingrijpende beperkingen op buitenlandse reizen. Daarnaast werd ook het PLF ingevoerd voor wie de grens overstak of naar ons land kwam: zij moesten daarop de details van hun reis aangeven.
Dergelijke maatregelen waren al tijdens het hoogtepunt van de coronacrisis erg omstreden. Het nut van een PLF was niet altijd duidelijk, en bovendien botsten die ingrepen op de grenzen van de privacy en de vrijheid van beweging in Europa.
Toch zette de Kamer deze week het licht op groen om reisbeperkingen en een PLF in te kunnen voeren zonder dat er sprake is van een pandemie. Niet iedere uitbraak van een gevaarlijk virus wordt immers meteen als een pandemie bestempeld. Maar als ergens opnieuw ebola uitbreekt, is het belangrijk om reizen uit die landen enigszins in handen te houden, klinkt het.
Tijdens de coronacrisis was er grote kritiek dat de regering via de pandemiewet al te veel macht naar zich toe trok. Volgens oppositiepartij N-VA is dat probleem nog altijd niet van de baan. “Er wordt op geen enkele manier voorzien in enige parlementaire controle. Dat kan voor ons niet in een moderne democratie”, aldus fractieleider Peter De Roover.
Ook hij vindt de wet te hypothetisch opgesteld. De tekst heeft het over infectieziekten met grensoverschrijdende risico’s voor de Belgische volksgezondheid. Daar kan heel veel onder vallen. “In welke omstandigheden zou dit wettelijk kader kunnen worden geactiveerd? En hoe zullen toekomstige besmettelijk ziektes zich manifesteren? Dat weet niemand. Met Europese reisbeperkingen mag toch niet lichtzinnig worden omgesprongen.”
Alles bij de bron; deMorgen
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
Daar is plots het ‘passagier lokalisatie formulier’ weer. U weet wel: het PLF, dat reizigers in volle pandemie dienden in te vullen als ze België wilden binnenkomen.
Nu heeft de Kamer een wet goedgekeurd die het mogelijk maakt om het PLF en zelfs een inreisverbod tijdelijk in te voeren buiten een epidemische noodtoestand. Dat gebeurde afgelopen donderdag vrij geruisloos, met een gewone stemming van meerderheid tegen minderheid. De meerderheid kraaide er geen victorie over, de oppositie sloeg geen alarm.
Die stille terugkeer van het PLF verwondert. De bijdrage van het formulier, en zelfs van inreisverboden in het algemeen, aan de strijd tegen de pandemie mag sterk genuanceerd worden. Bovendien vielen er wel wat vragen te stellen bij de privacyrisico’s bij het registreren, stockeren en analyseren van private reisinformatie. Alleszins ontbreekt een evaluatie die glashelder aantoont dat de baten van het PLF de inperking van de privacy rechtvaardigen.
Wat nog meer verwondert, is dat de nieuwe wet expliciet bedoeld is voor andere situaties dan de zogenaamde “epidemiologische noodsituatie”. Voor die laatste is er immers een pandemiewet, die noodmaatregelen mogelijk maakt. Nu heet het dat er ook andere omstandigheden mogelijk zijn waarbij het mogelijk kan zijn om “reisbeperkende maatregelen” tijdelijk in te voeren om de volksgezondheid en het gezondheidssysteem te beschermen. Het is niet duidelijk welke omstandigheden dat zijn.
Dit zou alarmbellen mogen doen afgaan, de tendens wijst ontegensprekelijk naar steeds verdere opoffering van de individuele vrijheid op het altaar van de volledige veiligheid en risicoloze samenleving. Die trend voltrekt zich niet in schokken, maar schuift millimeter per millimeter op.
Natuurlijk kan je ook nu weer zeggen dat het weinig uitmaakt om een reisverbodwet te hebben voor uitzonderlijke omstandigheden. Tot een regering, bijvoorbeeld, op het idee komt om asiel of migratie uit sommige landen te verbieden omwille van het risico op besmettelijke ziekte. Klinkt dat absurd? Niet veel absurder dan de politie die beelden van alomtegenwoordige veiligheidscamera’s dreigt te misbruiken voor chantage of revanche. Het overkwam onlangs minister van Justitie Vincent Van Quickenborne (Open Vld).
In volle coronapandemie heeft de Belg vrij probleemloos ingestemd met drastische, tijdelijke inperkingen van zijn vrijheid, en de deal was dat al die uitzonderingsmaatregelen na de pandemie weer voorgoed zouden verdwijnen. “Na deze crisis moet de coronapas in een schuif, de schuif gaat op slot, en de sleutel gooien we weg”, zwoer premier Alexander De Croo begin vorig jaar. Voor het PLF geldt hetzelfde. Regeringsbronnen noemen de reisverbodwet een formaliteit. Ik noem het woordbreuk.
Alles bij de bron; deMorgen