Gemeente Oisterwijk heeft persoonlijke gegevens openbaar gemaakt van betrokkenen bij geplande milieucontroles.
Het document bevat een overzicht van locaties, met daarin namen en adressen van personen, en ook persoonlijke informatie. Het werd afgelopen week door onze redactie openbaar op de website van de gemeente aangetroffen. Het document betreft locaties waar reguliere controles uitgevoerd moeten worden. Bij een van de personen stond ook vermeld dat de persoon ziek is.
Na een melding en vragen hierover van onze redactie is het voorval door de gemeente aangemerkt als datalek en gemeld bij de Autoriteit Persoonsgegevens. Een dag na de melding stond het overzicht nog op de website; enkele dagen later bleek de lijst van de website verwijderd.
Dergelijke onzorgvuldigheid is op de website van de gemeente eerder voorgekomen. Zo werden bijvoorbeeld (bedrijfs)namen genoemd in een verslag met klachten van inwoners en werden mails van raadsleden met daarin namen van inwoners integraal op de website gepubliceerd. Een andere situatie is dat er namen van ambtenaren op de gemeentesite worden vermeld in diverse documenten, waarvan de gemeente juist aan de media vraagt die namen vanwege privacy uit de te publiceren artikelen weg te laten.
De woordvoerder van het college (burgemeester en wethouders) laat in reactie op onze vragen weten: ''Wij hebben de publicatie aangemerkt als een datalek. Hiervan is melding gemaakt bij de Autoriteit Persoonsgegevens. Het document is van de raadspagina verwijderd."
Alles bij de bron; Oisterwijknieuws
Als je burgerservicenummer (bsn) op straat ligt, moet je je zorgen maken. Het nummer, dat in zijn huidige opzet sinds 2007 bestaat, is bedoeld om het de overheid makkelijk te maken om burgers te identificeren en om eenvoudig gegevens van verschillende overheidsorganen te kunnen koppelen. Tal van organisaties maken er gebruik van: van gemeenten tot het UWV, de Dienst Uitvoering Onderwijs (Duo), banken, scholen, ziekenhuizen en dus de GGD.
De vraag of we van het bsn af moeten, is er een die Corien Prins, hoogleraar recht en informatisering in Tilburg en voorzitter van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR), doet twijfelen. “Hoe meer systemen, hoe meer opslag van data, hoe belangrijker het wordt om daar met een breinaald doorheen te kunnen. Het bsn is daar heel geschikt voor. Zeker omdat je fouten wilt voorkomen en het dus belangrijk is dat de juiste gegevens aan de juiste personen worden gekoppeld.”
Tegelijk ziet zij het risico van een bsn dat op veel plekken rondslingert. Strikt gebruik was de norm, maar dat is verwaterd. “In de praktijk wordt je bsn op veel meer plekken geregistreerd dan de bedoeling is."
Dat mensen amper een idee hebben in welke bestanden hun bsn allemaal staat, was niet de bedoeling toen het nummersysteem werd ingevoerd. Destijds werd afgesproken dat er een zogenoemde Landkaart zou komen: een website waarop iedereen zou kunnen vinden welke informatie er wordt uitgewisseld tussen overheidsorganen. Het moest het vertrouwen van burgers in het systeem vergroten. Die Landkaart, of iets vergelijkbaars, is nooit van de grond gekomen, aldus de Auditdienst Rijk, die afgelopen zomer een onderzoek naar het bsn publiceerde.
Dat gebrek aan transparantie ervaart een groep slachtoffers van de toeslagenaffaire ook. Zij stappen naar de rechter voor een nieuw bsn. De gedupeerden zeggen in de problemen te komen, omdat de Belastingdienst ze heeft aangemerkt als fraudeur. Zou een nieuw bsn ook de oplossing kunnen zijn voor een grotere groep, zoals de gedupeerden van het GGD-datalek?...
...Niet zozeer het bsn is hier het probleem, zegt André Koot, specialist in identificatie- en autorisatiesystemen. Hij vindt dat we veel te krampachtig met dat nummer omgaan. “Je kunt je bsn zonder problemen op je voorhoofd tatoeëren. Het nummer op zich is betekenisloos, het is alleen een manier voor de overheid om jou te identificeren. Als het wachtwoord van je email op straat ligt, is dat vele malen erger.”
Het probleem van het GGD-lek is dat het bsn onderdeel was van een groter pakket aan gegevens, zegt Koot. Iemand die kwaad wil, kan al die kennis bij elkaar gebruiken om je te misleiden.
Om identiteitsfraude tegen te gaan, meent Andé Koot, moet dus niet zozeer het bsn-systeem veranderen, maar moeten bedrijven die een kopie van het paspoort accepteren als bewijs van iemands identiteit worden aangepakt. “Een makelaar die op basis van een kopie een huurcontract tekent, moet maar bewijzen dat hij het huis echt aan jou heeft verhuurd. In plaats van, zoals nu vaak het geval is, dat jij moet bewijzen dat je identiteit is misbruikt.”
Ook Corien Prins van de WRR vindt dat het bsn niet zozeer de kern van het probleem is. De vraag is meer, zegt zij, waarom overheden en organisaties zoveel data, waaronder het bsn, over mensen verzamelen. “Die vragen zich te weinig af: hebben we die gegevens echt nodig? En waarom? Ook gooien ze nooit iets weg. Waar we het in de supermarkt heel normaal vinden dat producten een datum hebben tot wanneer de kwaliteit gegarandeerd is, staat er nergens zo’n datum op de datahuishouding van de overheid en andere organisaties.”
Alles bij de bron; Trouw
Op de servers van het vorige week ontmantelde malware-botnet Emotet zijn de wachtwoorden en gebruiksnamen van 4,2 miljoen emailaccounts gevonden. Bedrijven die willen controleren of gegevens van hun medewerkers zijn aangetroffen, zullen per adres een afzonderlijke controle moeten uitvoeren. De politie mag geen bulklijsten met gestolen accounts verstrekken.
Via de Emotet-checker, een website van de politie, kunnen consumenten en bedrijven controleren of hun inloggegevens in handen zijn geweest van criminelen. Marijn Schuurbiers van het Team High Tech Crime van de politie vertelt dat via het Nationaal Cyber Security Centrum (NCSC) alleen partijen bij de Rijksoverheid en bedrijven in de vitale sector over de datasets kunnen beschikken. ‘We overwegen om alle accounts die we aantreffen op de servers een email te sturen om te laten weten dat hun gegevens zijn aangetroffen.’ De politie ziet in dat in zo’n algemene mail ook het gevaar huist dat deze door de ontvanger voor een phishing-mail wordt aangezien. Het is dus nog niet zeker of dat gaat gebeuren.
Via de Emotet-checker van de politie kunt u op basis van uw emailadres checken of uw account is aangetroffen of de servers van Emotet.
Alles bij de bron; Computable
Allekabels.nl heeft zo'n vijfduizend klanten via e-mail gewaarschuwd dat hun gegevens zijn gelekt. Volgens het bedrijf heeft een medewerker "vermoedelijk vanuit een thuiswerksituatie" excessief klantgegevens opgehaald. Daarop heeft Allekabels.nl besloten om de interne systemen strenger te beveiligen zodat medewerkers dit niet meer kunnen.
Daarnaast geeft de webwinkel aan dat het vanaf maart de e-mailadressen alleen nog versleuteld met partners zal delen. "Op deze manier willen we een mogelijk datalek buiten onze eigen systemen ook voorkomen", zo stelt het bedrijf in de e-mail aan gedupeerde klanten. De webwinkel heeft het datalek gemeld bij de Autoriteit Persoonsgegevens.
Alles bij de bron; Security
Volgens de Rekenkamer is het moment aangebroken dat de politiek verantwoordelijkheid moet gaan dragen voor haar eigen algoritmebeleid.
Ook op nationaal niveau wordt er een algoritmebeleid gevoerd dat weinig rekening houdt met de burger, blijkt uit een onderzoek van de Rekenkamer naar algoritmes binnen de rijksoverheid dat vorige week dinsdag verscheen. Het onderzoeksorgaan schetst een Rijksoverheid wier ambtenaren vaak gebrekkige kennis hebben van de algoritmes die ze inzetten, waardoor ze vaak niet weten hoe ze discriminatie en privacyschendingen kunnen voorkomen.
Een van de belangrijkste doelen van de Rekenkamer was het openen van de black box van het algoritme, in de hoop de schimmigheid rond de IT-systemen van de overheid op te klaren. Vooralsnog bewaarden verschillende instanties hun systemen, en vooral de werking van hun algoritmes, achter slot en grendel. En wanneer men de digitale poorten wel opende, konden pottenkijkers rekenen op hevig verzet: zo werd de Autoriteit Persoonsgegevens stevig tegengewerkt toen het de Belastingdienst doorlichtte op onder andere discriminerende algoritmes. Pas na dreiging met een dwangsom werd er openheid van zaken gegeven.
Alles bij de bron; deGroeneAmsterdammer
Door een beveiligingslek bij cloudprovider Accellion zijn de gegevens van 1,6 miljoen inwoners van de Amerikaanse staat Washington gestolen. Eerder werden ook de centrale bank van Nieuw-Zeeland en de Australian Securities and Investments Commission (ASIC) slachtoffer van de aanval.
Accellion biedt een oplossing voor het uitwisselen van bestanden. Een kwetsbaarheid in deze dienst maakte het eind december voor een aanvaller mogelijk om toegang te krijgen tot bestanden van klanten. Hoewel de aanval eind december plaatsvond werd de rekenkamer van de staat Washington vorige week pas door Accellion ingelicht dat het ook slachtoffer van de aanval was geworden.
De aanvaller kreeg daarbij toegang tot databestanden van lokale overheden en staatsinstanties, waaronder het ministerie van sociale zaken en werkgelegenheid van Washington. Het gaat dan onder andere om informatie over mensen die een werkloosheidscompensatie aanvroegen, zoals naam, socialsecuritynummer, rijbewijs- of staatsidentificatienummer, bankrekeningnummer en werkgever.
Accellion heeft in een verklaring laten weten dat de bestandsuitwisselingsdienst door een "geraffineerde aanval" is getroffen. Details waaruit blijkt dat het om een complexe aanval gaat zijn echter niet gegeven.
Alles bij de bron; Security
De verkrijgbaarheid van anonieme simkaarten hindert de aanpak van WhatsAppfraude, aldus de politie, die stelt dat een verbod zou helpen. Daarnaast ziet de politie graag dat WhatsApp het overnemen van accounts lastiger maakt. Bij WhatsAppfraude doen oplichters zich via WhatsApp voor als een bekende, familielid of vriend van het slachtoffer. Vervolgens wordt er om geld gevraagd, bijvoorbeeld om een zogenaamde rekening te betalen.
Alle aangiftes van WhatsAppfraude gaan in een systeem dat zoekt naar overeenkomsten. Er wordt gekeken naar patronen om zo netwerken in kaart te brengen en te verstoren, waarbij de politie de nadruk legt op katvangers. Dit moet het lastiger voor criminelen maken om het geld weg te sluizen. Daarnaast kunnen de katvangers, die eenvoudig via hun bankrekening en telefoonnummer zijn te identificeren, politie naar de verantwoordelijke criminelen leiden.
Bij onderzoek naar WhatsAppfraude en de daders loopt de politie naar eigen zeggen vaak tegen anonieme simkaarten aan. "’Het zou ons als politie wel helpen als het gebruik van anonieme simkaarten afneemt en dergelijke kaarten niet meer worden aangeboden, zoals in de ons omliggende landen het geval is. Die simkaarten worden vaak gewisseld. Op het moment dat een slachtoffer bij ons aangifte doet, is dat telefoonnummer al niet meer in gebruik.", zegt Yoanne Spoormans van het cybercrimeteam van de politie Oost-Nederland.
In België en Duitsland is de verkoop van anonieme simkaarten verboden. Wie een simkaart in deze landen koopt moet zich verplicht legitimeren en wordt geregistreerd. Volgens de Belgische en Duitse autoriteiten moet de maatregel helpen bij de bestrijding van terrorisme. Er gingen ook stemmen op voor een dergelijk verbod in Nederland. Minister Grapperhaus stelde in 2019 dat een verbod op anonieme simkaarten weinig meerwaarde heeft voor opsporings- en veiligheidsdiensten. Daarnaast is een dergelijk verbod eenvoudig te omzeilen, aldus de minister.
Alles bij de bron; Security
Zeker 25 gemeenten maken gebruik van voorspellende systemen en algoritmes om bijvoorbeeld bijstandsfraude op te sporen, te voorspellen waar mogelijk ondermijnende criminaliteit plaatsvindt en om burgers met schulden op tijd te kunnen helpen.
"Dit nieuws is reden tot zorg", zegt advocaat Anton Ekker, die succesvol tegen het SyRI-systeem procedeerde. "Het kabinet heeft plechtig beloofd dat er geen nieuwe toeslagenaffaire zal komen, maar er is geen goed beeld van wat gemeentes allemaal doen."
Specifiek bij deze 25 gemeenten worden burgers en gebieden ingedeeld op profielen, soms om ze sneller te kunnen helpen, maar ook om bijvoorbeeld de kans dat ze fraude plegen te bepalen.
Vaak bestaat onduidelijkheid over de precieze werking van algoritmes en risicoprofilering. De gemeente Nissewaard wil bijvoorbeeld niet vrijgeven hoe er wordt bepaald of iemand mogelijk een fraudeur is, om zo fraudeurs niet wijzer te maken. Dat schreef de gemeente eerder aan de raad, die vragen had gesteld over het systeem.
Dat niet precies duidelijk is hoe veel systemen werken, is een probleem, zegt Marlies van Eck van de Radboud Universiteit. Zij is gespecialiseerd in de juridische wereld achter kunstmatige intelligentie. "Als je in de echte wereld wordt gediscrimineerd, kun je dat instinctief aanvoelen. Maar als een algoritme dat doet, merk je dat misschien wel nooit."
Advocaat Ekker is er niet gerust op. "Ik vraag me af of lokale overheden genoeg kennis in huis hebben om dit op een goede manier te doen. Vaak zijn ze sterk afhankelijk van externe ICT-leveranciers."
De coalitie van organisaties achter de SyRI-zaak houdt de lokale ontwikkelingen in de gaten, benadrukt hij. "En als het opnieuw mis dreigt te gaan, sluiten we een nieuwe gang naar de rechter niet uit."
Alles bij de bron; NOS
Het datalek bij de GGD is schadelijk voor het vertrouwen in het bron- en contactonderzoek en het testbeleid. Om dat vertrouwen terug te winnen is ferm ingrijpen noodzakelijk. Eerder gebeurde zo ongeveer hetzelfde namelijk al op veel kleinere schaal bij het HagaZiekenhuis. ..
...Het is kwalijk dat de GGD en het verantwoordelijke ministerie geen lering hebben getrokken uit eerdere fouten. Maar erger is misschien nog wel de nonchalante reactie. Hugo de Jonge stelde in het Kamerdebat dat tegen 'dit type misdaad natuurlijk geen kruid gewassen is' en dat alles gedaan was om de systemen zo veilig mogelijk te maken. De GGD legt ondertussen de schuld deels elders door op zijn site te stellen dat er 'verzinsels, onjuistheden en onvolledigheden' worden opgeschreven over het datalek, zonder deze beschuldigingen concreet te onderbouwen.
Dat moet anders. Allereerst moeten de verantwoordelijken volmondig erkennen wat er fout is gegaan en volledig openheid van zaken geven. Vervolgens moeten de procedures en software zo snel en transparant mogelijk verbeterd worden.
Met de halfslachtige onderkenning van de problemen wordt het vertrouwen niet teruggewonnen. Dat is schadelijk. Juist een goede bescherming van gegevens is noodzakelijk voor het vertrouwen en daarmee de kwaliteit van het onderzoek.
Alles bij de bron; FinancieelDagblad [gratis registratie noodzakelijk]
Het is zeker dat het RIVM voorlopig geen beschikking krijgt over locatiegegevens van mobiele telefoons in de strijd tegen corona. De Tweede Kamer heeft het onderwerp controversieel verklaard, waardoor het parlement er niet over stemt en het demissionaire kabinet de tijdelijke wet niet mag doorzetten.
Er was in de Tweede Kamer sowieso weinig steun voor de tijdelijke wet die het mogelijk maakt telecombedrijven te verplichten om locatiegegevens te delen met de autoriteiten.
Het plan om telecomaanbieders te verplichten locatiegegevens beschikbaar te stellen aan de autoriteiten stuit al langere tijd op verzet, zelfs na verschillende aanpassingen. En niet alleen in de Tweede Kamer. Ook de Autoriteit Persoonsgegevens (AP) en privacy-organisaties lieten zich er meermaals negatief over uit. Daarnaast staan de telecombedrijven niet te springen om gegevens van hun klanten te delen met de autoriteiten. De Raad van State kwam wel met een positief advies.
In het voorjaar van 2020 stelde minister De Jonge voor geanonimiseerde locatiegegevens van alle mobiele telefoons maximaal een jaar door te geven aan het Rijksinstituut voor Volksgezondheid en Milieu (RIVM).
Voor de tellingen moeten telecomaanbieders de zendmastgegevens ontdoen van persoonlijke informatie, zoals telefoonnummer, en daarna optellen. Per gemeente ontstaat zo een lijst die per uur toont hoeveel mobiele telefoons vanuit welke gemeente aanwezig zijn, met een minimum van vijftien telefoons. Het idee is dat het RIVM bij besmettingen lokale ggd’s sneller kan waarschuwen.
Alles bij de bron; Computable