Dankzij de meldplicht datalekken (onderdeel van de AVG, de Algemene Verordening Gegevensbescherming) weten we dat de wereld uitpuilt van slordige en slome organisaties die niet in staat zijn de data van hun gebruikers te beschermen. Dat is iets om in het achterhoofd te houden als straks het registratieseizoen weer begint en cafés en bioscopen naar je naam en telefoonnummer gaan vragen.
Ondanks alle missers van databewaarders, het eerste datalek ben je zelf. Verstrek daarom niet meer persoonlijke gegevens dan nodig. Ook al vraagt het inschrijfformulier daarom en al vult de browser dat formulier zo compleet mogelijk in.
Ik laat geen 06-nummer, adres of geboortedatum achter als dat niet hoeft. Liefst maak ik helemaal geen accounts aan. Ook deins ik er niet voor terug mijn naam verkeerd te spellen. Regelmatig vergeet ik daarom mijn huisnummer of vergis me in mijn verjaardag. Het idee: een dataset vol fouten maakt het voor criminelen lastiger om identiteitsfraude te plegen.
Liegen over je echte mailadres is sowieso een aanrader. Veel mensen gebruiken aparte mailaccounts voor commerciële diensten, om het kaf van het koren te scheiden. Maar je kunt ook kiezen voor geanonimiseerde wegwerpadressen van GuerillaMail of e4ward.com.
Als webdiensten je laten inloggen via Apple, kun je zo je mailadres verbergen. Gmail-gebruikers hebben de optie een extra woord toe te voegen aan hun mailadres, gescheiden met een plusteken.
Kunnen bewuste formulierfoutjes dan wel door de beugel? Ik leg mijn dilemma voor aan Arnoud Engelfriet, de algemeen directeur van ICTrecht. Zijn blog is al jarenlang het juridisch geweten van online Nederland.
„Een leugentje om bestwil is prima”, zegt Engelfriet: „De AVG eist sowieso dat bedrijven niet meer vragen dan strikt noodzakelijk. Vanuit dat perspectief help je ze alleen maar de wet na te komen als je niet-noodzakelijke informatie alvast anonimiseert.”
Dat is een mooie gedachte. Bescherm bedrijven en instellingen tegen hun eigen zwakheden door zo weinig mogelijk van jezelf bloot te geven. Want je digitale identiteit is zo kostbaar als je maagdelijkheid. Ook die kun je maar één keer verliezen.
Alles bij de bron; NRC
Na de database van meer dan 500 miljoen Facebook-gebruikers die dit weekend online verscheen, is er ook eentje gevonden met 500 miljoen LinkedIn-gebruikers. Dat meldt de site CyberNews. Waarschuwingen voor de gebruikers in kwestie zijn dan ook gelijkaardig: wees alert op phishing-aanvallen.
Het gaat om een grote hoeveelheid gegevens van LinkedIn-accounts, waaronder mailadressen, telefoonnummers, links naar andere sociale media en - typisch voor LinkedIn - professionele gegevens. Er zouden geen creditcardinformatie of andere meer administratieve en financiële gegevens bij zitten.
Het bestand werd gevonden op een hackersforum, waar het te koop is aangeboden. De aanbieders zeggen dat het gegevens van 500 miljoen gebruikers bevat. Als 'sample' heeft de groep erachter 2 miljoen van deze gegevens gelekt...
...de aanbieders zeggen dat het om geschraapte data gaat. Daarbij wordt er niet zozeer ingebroken op een server, maar maken de aanvallers gebruik van ingebouwde (zeer onveilige) tools van de dienst om informatie te verzamelen en samen te brengen.
Dat is ook hoe het bestand van gelekte Facebook-gegevens is samengesteld. En een bestand als dit brengt ongeveer dezelfde gevaren met zich mee als de eerder gelekte gegevens van Facebook.
Alles bij de bron; DutchIT-Channel
Inzage in de mail van werknemers en cameratoezicht instellen: dat was het plan van Peter Elbers, directeur van de Limburgse omroep L1. Het leidde tot verzet van werknemers, en zelfs een rechtszaak. Mag een bedrijf dit doen? En gebeurt het vaker dat werknemers zo in de gaten worden gehouden?...
...Ja, zo blijkt uit de enquête die Getapp recentelijk uitvoerde onder ruim 1.200 werknemers, onder wie 200 leidinggevenden. Bijna 40 procent van de respondenten geeft aan via software te worden gemonitord. De leidinggevenden gaven aan dat zij onder meer de aanwezigheid en in- en uitlogtijden bijhouden (42 procent), video-opnames van de werkplek en/of screenshots maken (31 procent) en de digitale communicatie bijhouden (31 procent).
Dat is – zoals te verwachten – niet naar ieders zin: 53 procent geeft aan niet gemonitord te willen worden. 38 procent ervaart stress door de monitoring en 51 procent vindt dat het meegluren het vertrouwen schaadt.
Heb je sinds je thuiswerkt een rapportage van Office 365 binnengekregen? Grote kans dat je door je werkgever werd gemonitord. Met Workplace Analytics kunnen er per werknemer gedetailleerde productiviteitsscores in kaart worden gebracht. De monitoringssoftware gebruikt hiervoor bijvoorbeeld data uit mails en chats.
Daarnaast vergroot de toenemende communicatie via chatprogramma’s als Slack de mogelijkheden voor controle. Zonder veel moeite kan iedere chef of werkgever daarin koekeloeren hoe het zit met de response en intensiteit van deelname aan conversaties. In Slack bestaat een Compliance Exports-mogelijkheid, waarmee werkgevers ook de directe communicatie tussen werknemers kunnen bekijken.
Een werkgever kan ook analysetools zoals TrustSphere inzetten voor observatie van inhoud en metadata (wie communiceert met wie, wanneer en hoelang?) van mail en chat. Soms kunnen telefoongesprekken zelfs worden gemonitord, bijvoorbeeld met Ambit Analytics, dat kunstmatige intelligentie inzet voor gespreksanalyse en vooral wordt gebruikt op klantenserviceafdelingen.
Monitoring gebeurt dus veelvuldig, op verschillende manieren, maar mag het ook? Helaas is er in de Europese privacywet AVG – hoe streng die ook is – voor werknemers vrijwel niets geregeld. Europese lidstaten mogen hun arbeidswetten zelf invullen. Maar wil je als werkgever je werknemers monitoren, dan is zorgvuldigheid belangrijk, zegt Menno Weij, juridisch adviseur voor bedrijven bij BDO.
Alles bij de bron; Intermediair
Persoonlijke gegevens van 533 miljoen Facebookgebruikers zijn gestolen en online gelekt op een hackersforum. De hackers konden telefoonnummers, volledige namen, locatiegegevens, emailadressen en andere persoonsinformatie buitmaken.
De data die online zijn gezet, bevatten gegevens van meer dan 533 miljoen Facebookgebruikers uit 106 landen, waaronder 32 miljoen uit de VS, 11 miljoen uit het Verenigd Koninkrijk en 6 miljoen uit India, schrijft Business Insider. De website voerde bij een steekproef ook controles uit op de juistheid van de data en waarschuwt dat de gegevens waardevolle informatie kunnen opleveren voor cybercriminelen of oplichters.
Het vermoeden is dat ook de gegevens van meer dan 6 miljoen Nederlanders zijn gelekt.
Volgens Alon Gal, een van de oprichters van het in cybercrime gespecialiseerde Hudson Rock, die het lekken van de informatie vandaag ontdekte ‘adverteerde’ iemand op het hackersforum al in januari met een automatische zoekmachine die de telefoonnummers van honderden Facebookgebruikers kon leveren. Die persoon vroeg daar toen nog geld voor, maar vandaag lijken de gegevens voor niks op het forum te zijn gedumpt.
Alles bij de bron; AD
Google gaat de mogelijkheid voor Android-apps om te bekijken welke andere apps er ook op een toestel geïnstalleerd staan, beperken. De nieuwe regels gaan in vanaf 5 mei, meldt de techgigant.
Er wordt nog wel een uitzondering gemaakt voor bijvoorbeeld browsers en antivirussoftware, meldt Google. Ook voor financiële apps gelden de nieuwe regels niet vanwege veiligheidsredenen.
De maatregelen gelden voor alle apps die voor Android 11 of hoger zijn bedoeld. Apps die de regels negeren, kunnen door Google uit de Play Store worden verwijderd.
Alles bij de bron; NU
De afgelopen week herinnerde ons er weer eens aan dat iedereen online wél iets te verbergen heeft. Dit alles kwam in beweging door de onbedoeld openbaar gemaakte documenten van de verkenners Jorritsma en Ollongren, die de Kamer na de verkiezingen had aangesteld. Hun verslagen van gesprekken, scenario’s of voorstellen gaven een inkijkje in een doorgaans bewust vertrouwelijk gehouden proces...
...Ik hoop dat – nu de gevoeligheid van informatie zo zichtbaar is geworden – misschien ook in andere gevallen wat bewuster met gegevens zal worden omgegaan. Ik hoop ook dat de Kamer hierin de regie neemt. En dat er op het hoogste politieke niveau meer verontwaardiging komt over het feit dat informatie(systemen) in de praktijk zwaar onvoldoende beschermd worden. Er moet een oplossing komen voor de ongekende kwetsbaarheid van data van burgers in ons land...
...Onbedoeld varen hier containerschepen aan data het land uit. Informatie die elders een functie heeft – criminelen rijk maken bijvoorbeeld of buitenlandse overheden inzicht geven in onze samenleving – kan onze veiligheid of stabiliteit ondermijnen. Ook ziekenhuizen en laboratoria vormen een populair doelwit voor cyberaanvallen en digitale inbraken. Groepen of landen azen op de ingrediënten en productieprocessen van Covid-vaccins om ze zelf na te kunnen maken.
Ik kijk niet alleen uit naar een serieus debat in de Tweede Kamer over de kwetsbaarheid van data in ons land, maar vooral ook naar concrete oplossingen. Die kunnen er alleen komen als het probleem wordt gevoeld en tastbaar wordt gemaakt. Tot dan blijven datalekken duizelingwekkend en onduidelijk tegelijk, en krijgen ze te weinig politieke prioriteit.
Alles bij de bron; NRC
Het zorgvuldig en technisch kunnen uitwisselen van medische gegevens wordt van steeds groter belang, maar het ontbreekt zorgorganisaties op dit gebied vaak aan kennis en ervaring....
...In de praktijk merken wij dat het zorgorganisaties niet ontbreekt aan wilskracht – het medisch beroepsgeheim is onderdeel van het zorgverlener-DNA en zo oud als de hippocratische eed – maar aan kennis en ervaring over hoe het wettelijk kader zich moet manifesteren op de werkvloer.
De rechten van patiënten in relatie tot (de bescherming van) hun medische gegevens zijn vastgelegd in een complex geheel van zorg- en privacywetten, waaronder het medisch beroepsgeheim in de Wet op de geneeskundige behandelovereenkomst (“WGBO”). In aanvulling hierop zijn relevante richtsnoeren vastgesteld en geldt bijzondere wetgeving voor gegevensgebruik in het kader van medisch-wetenschappelijk onderzoek. Deze wetten zijn niet nieuw, maar de Algemene Verordening Gegevensbescherming (“AVG”) legt zorgaanbieders aanvullende verplichtingen op die in de context van voornoemde specifieke zorgwetten moeten worden vormgegeven.
In deze juridisch-technische complexiteit ligt de uitdaging voor het veld. Hoe kunnen we zorgen voor een duurzaam data- en privacy beleid in zorgorganisaties waarbij zowel de zorg als de patiënt centraal staan?....
...De eerste stap van zorgorganisaties is wat ons betreft goed te onderzoeken wat wél kan binnen het huidige wettelijke stramien en de huidige technologische oplossingen, bijvoorbeeld op het gebied van logging of authenticatie. Goed gegevensgebruik in de zorg is ten slotte een zeer belangrijke randvoorwaarde voor het verlenen van verantwoorde (digitale) zorg. Daarover kan geen discussie bestaan.
Alles bij de bron; ZorgVisie
Na te zijn gevaccineerd ontvangen Amerikanen een papieren "COVID-19 Vaccination Record Card". Daarop staat de volledige naam, geboortedatum, vaccinatielocatie en de data waarop de vaccinaties zijn ontvangen. "Wanneer je het plaatst op Facebook, Instagram of andere socialmediaplatforms, kun je waardevolle informatie geven aan iemand die het voor identiteitsdiefstal kan gebruiken", aldus de Federal Trade Commission (FTC).
De FTC stelt dat identiteitsdiefstal als een puzzel werkt, waarbij de fraudeur allerlei stukjes persoonlijke informatie probeert te bemachtigen om de puzzel af te maken. Eén van die puzzelstukjes is de geboortedatum. De FBI adviseert dan ook geen foto's van het vaccinatiebewijs te maken en te delen via social media. "Je persoonlijke informatie kan worden gestolen om fraude mee te plegen."
Alles bij de bron; Security
De Autoriteit Persoonsgegevens (AP) legt Booking.com een boete op van 475.000 euro omdat het een datalek te laat meldde bij de AP. Bij het datalek maakten criminelen persoonsgegevens van meer dan 4.000 klanten buit. Zij konden daarbij ook de hand leggen op creditcardgegevens van bijna 300 slachtoffers...
...Booking.com werd op 13 januari 2019 op de hoogte gebracht van het datalek, maar meldde het pas op 7 februari bij de AP. Dat is 22 dagen te laat. Het is namelijk verplicht een datalek binnen 72 uur te melden.
‘Dit is een ernstige overtreding’, zegt AP-vicevoorzitter Monique Verdier. ‘Een datalek kan helaas overal gebeuren, ook al heb je goede voorzorgsmaatregelen getroffen. Maar om schade voor je klanten en herhaling van zo’n datalek te voorkomen, moet je dit op tijd melden. Om zo te voorkomen dat criminelen bijvoorbeeld weken de tijd krijgen om door te gaan met pogingen klanten op te lichten.’
Alles bij de bron; AutoriteitPersoonsgegevens
Ziekenhuizen, biotechbedrijven en farmabedrijven hebben de taak gevoelige informatie te beschermen - van persoonlijke patiëntgegevens tot waardevol eigen onderzoek - van bekwame tegenstanders die gevoelige gegevens willen stelen, verkopen of afpersen van slachtofferorganisaties.
Zoals het gezegde luidt, hoeven hackers maar één keer gelijk te hebben. Een succesvolle phishing-e-mail kan een kettingreactie van ransomware veroorzaken die elk bestand dat het aanraakt, versleutelt. Een enkele insider met onbeperkte toegang tot bestandsshares kan duizenden of zelfs miljoenen documenten kopiëren, wijzigen of verwijderen.
Om een licht te werpen op gegevensbeveiliging in de life sciences-ruimte, heeft Varonis het Healthcare Data Risk Report 2021 ontwikkeld. Het bedrijf onderzocht daarbij de staat van gegevensbeveiliging - on-premise, cloud en hybride omgevingen - voor zorginstellingen, waaronder ziekenhuizen, biotech- en farmaceutische bedrijven.
Enkele belangrijke bevindingen uit het onderzoek: Bijna 20% van alle bestanden staat open voor elke medewerker. De gemiddelde zorgorganisatie heeft 31.000 gevoelige bestanden die voor iedereen toegankelijk zijn. Gemiddeld staat meer dan 1 op de 10 gevoelige dossiers open voor iedere medewerker. 77% van de bedrijven die we hebben ondervraagd, heeft 500 of meer accounts met wachtwoorden die nooit verlopen.
Alles bij de bron; DutchIT