De beveiliging van medische dossiers van het Bravis Ziekenhuis in Roosendaal faalde jarenlang terwijl het dit niet in de gaten had. Een secretaresse van het ziekenhuis heeft gedurende tenminste vier jaar onrechtmatig in medisch dossiers van bekenden gekeken. De medewerkster had zonder behandelrelatie vrijwel onbeperkt toegang tot de medische dossiers.
De secretaresse bekeek tussen juni 2014 en juli 2018 in totaal 347 keer de medische dossiers van de ex-vrouw van haar partner. Zij richtte een uitgeverij op die in eigen beheer een boek uitgaf van haar partner. Deze ‘wraakroman’ beschreef de vechtscheiding van haar man met zijn ex-vrouw waarin medische details over de voormalige partner zijn verwerkt.
Het slachtoffer ontdekte in 2018 zelf het datalek toen ze bij het ziekenhuis informeerde wie er inzage in haar dossier had gehad. De secretaresse bleek ook tienmaal noodprocedures te hebben gebruikt om in haar dossier en dat van haar moeder en dochter te kijken. Deze procedures bestaan zodat personeel in spoedgevallen medische dossiers kan inzien. De noodtoegang bij de betrokken dossiers is het Bravis-ziekenhuis nooit opgevallen.
Het slachtoffer heeft het ziekenhuis inmiddels aansprakelijk gesteld vanwege nalatigheid. Het is de eerste keer dat een patiënt een ziekenhuis aanklaagt om een datalek.
Alles bij de bronnen; NRC1 & NRC2
De Nationale Politie heeft een programma ontwikkeld dat het lekken door agenten van vertrouwelijke politie-informatie naar criminelen moet tegengaan. Het gaat om een methode die „opvallend zoekgedrag binnen de politiesystemen in een vroegtijdig stadium moet detecteren”. Alle politiemedewerkers zijn afgelopen vrijdag via het intranet geïnformeerd over de plannen.
Vanaf het voorjaar wordt het computerprogramma geleidelijk in gebruik genomen, eind volgend jaar wordt „het zoekgedrag van alle 65.000 medewerkers gemonitord”. Afgelopen anderhalf jaar heeft bij de politie Amsterdam het controlesysteem ‘Atypische signalen’ al proefgedraaid.
De politie zegt „oneigenlijk gebruik van politie-informatie” op alle niveaus aan te willen pakken. Als voorbeelden worden genoemd: uit voorzorg het nieuwe vriendje van je dochter natrekken, uit nieuwsgierigheid het strafblad van een bekende Nederlander bekijken of tegen betaling informatie lekken over lopende onderzoeken.
Alles bij de bron; NRC
Het 'anonieme' referendum van Forum voor Democratie is helemaal niet zo anoniem. Het systeem dat de stemmen verwerkt weet de volledige namen, e-mail- en internetadressen van alle stemmers....
...Leden van Forum hebben een e-mail ontvangen met daarin een link om te kunnen stemmen via het systeem van Big Pulse, een bedrijf dat online stemmingen verzorgt. Deze link is gekoppeld aan hun volledige naam en e-mailadres, zonder dat Forum-leden dit weten. Door een simpele truc is het mogelijk om onderdelen te zien die door het systeem worden verhuld.
"Dit hele systeem ziet er ontzettend brak uit", zegt een ethisch hacker die anoniem wenst te blijven. "Je zou met geen mogelijkheid in een andere stemming mogen komen, en al helemaal niet door een paar cijfertjes aan te passen."
Nadat je hebt gestemd kun je de stem niet meer aanpassen. Je krijgt dan een stembewijs te zien met daarop je unieke nummer dat gekoppeld is aan je volledige naam en e-mailadres, het ip-adres van je apparaat, een uniek stemnummer en een unieke ontvangstcode van je stem.
Ook de achterkant van het stemsysteem van Big Pulse was voor iedereen toegankelijk. Die had opties om de verkiezing aan te passen, de stemmen te bekijken en stemmen toe te voegen. Het was voor bezoekers niet mogelijk om deze functies te bedienen, maar volgens verschillende ethisch hackers zou het wel mogelijk zijn door in te loggen met het account 'admin' - het belangrijkste account.
Om in te loggen met het account 'admin' is er nog wel een wachtwoord nodig, dat volgens hackers met het nodige graafwerk zou kunnen worden achterhaald. Na publicatie heeft Big Pulse de achterkant verder dichtgetimmerd.
Alles bij de bron; RTL
Nederlandse internetproviders reageren vooralsnog terughoudend op plannen van Stichting BREIN om mensen die vaak zonder toestemming films en series uploaden te waarschuwen.
...Dat uploaden gebeurt vaak tegelijk en na het downloaden van een film of serie via een torrentprogramma. In een e-mail krijgen de uploaders te horen dat er in de toekomst mogelijk wordt gehandhaafd.
BREIN zet speciale software in waarmee relevante Nederlandse IP-adressen gedetecteerd worden. Vervolgens vraagt BREIN de internetproviders of zij een waarschuwingsmail aan hun klanten willen doorsturen.
T-Mobile zegt er niet aan te willen meewerken, KPN en VodafoneZiggo hebben nog geen beslissing genomen.
Alles bij de bron; NU
De ransomewaregroepering Egregor heeft ingebroken bij uitzendbureau en HR-kantoor Randstad. Daarbij kregen de cybercriminelen toegang tot gevoelige data die voornamelijk over de Amerikaanse, Poolse, Italiaanse en Franse werkzaamheden van Randstad zou gaan...
...Hoewel Randstad niet specificeert dat het om een ransomwareaanval ging, lijkt het daar wel sterk op. Egregor is alleen bekend als ransomwaregroepering die sinds september actief is. De ransomware werkt vergelijkbaar met Maze. De malware versleutelt bestanden niet alleen, maar steelt deze ook. De criminelen dreigen weer deze bestanden vrij te geven als een bedrijf het losgeld niet betaalt.
Alles bij de bron; Tweakers
De gemeente Hof van Twente is getroffen door een cyberaanval en sinds dinsdag niet meer bereikbaar, meldt de gemeente op haar website. De gemeente zegt niet om wat voor cyberaanval het gaat, maar het lijkt om ransomware te gaan.
"Onbekende derden hebben toegang gekregen tot al onze systemen en onze servers ontoegankelijk gemaakt. We kunnen veel van deze gegevens als onbruikbaar beschouwen", zegt burgemeester Ellen Nauta.
Volgens de gemeente zijn er bij de aanval ook allerlei persoonsgegevens getroffen. Het gaat om 'soms zeer privacygevoelige informatie', maar de gemeente wil niet zeggen wat daar precies mee gebeurd is. De gemeente zegt dat het mogelijk nog maanden nodig heeft voor het de uitkomsten van het onderzoek naar de aanval kan toelichten.
Ondertussen is er een melding gemaakt bij de Autoriteit Persoonsgegevens, de politie en zelfs het ministerie van Binnenlandse Zaken. De gemeente probeert ondertussen de dienstverlening weer op te starten, al kan het dat sommige aanvragen langer kunnen duren. De gemeente is van plan een compleet nieuwe ict-infrastructuur op te bouwen.
Alles bij de bron; Tweakers
Op verzoek van de commissie Sociale Zaken en Werkgelegenheid onderzocht het Rathenau Instituut de rol die digitale monitoringstechnieken spelen op de werkvloer en hun invloed op de kwaliteit van het werk.
Digitale technieken spelen een steeds grotere rol in het personeelsbeleid van organisaties. Bedrijven zetten ze in bij het aannemen van nieuw personeel, het controleren en aansturen van medewerkers en bij hun ontwikkeling en ondersteuning. Daarbij ontstaan steeds meer mogelijkheden. Gezichtsanalyses en games worden gebruikt bij videosollicitaties, screenshots om thuiswerkers te controleren en er zijn apps om de gezondheid te meten.
Het onderzoek laat zien dat de meeste digitale middelen in beginsel een nobel doel hebben. Maar ondertussen veranderen ze ook de arbeidsverhoudingen en kunnen ze leiden tot een beperkt beeld van wat waardevol werk is. Het rapport laat verder zien dat ze de privacy van werkenden kunnen schaden, tot discriminatie kunnen leiden bij werving- en selectieprocessen en kunnen bijdragen aan een toenemende werkdruk.
Het Rathenau Instituut waarschuwt voor doorgeschoten monitoring op werkvloer. Digitale middelen zijn er om ons te ondersteunen in ons werk en moeten geen robot maken van de werkenden.
Alles bij de bron; Rathenau Instituut
Nu onze offline en online wereld steeds meer met elkaar verweven zijn, neemt ook de invloed van onze online acties op onze fysieke wereld toe. Met name op het gebied van communicatie en het delen van persoonlijke informatie kan dit vervelende gevolgen hebben.
Kaspersky onderzocht twee belangrijke consequenties van het delen van persoonlijke gegevens in het openbaar: ‘doxing’ en de verkoop van persoonlijke gegevens op het dark web. Hierbij kan toegang tot gevoelige gegevens, zoals medische dossiers of identificatie-informatie, al minder kosten dan een kopje koffie...
...Doxing vindt plaats wanneer een persoon privé-informatie over een andere persoon deelt, zonder hun toestemming met als doel diegene in verlegenheid te brengen, te kwetsen of anderszins in gevaar te brengen. Gebruikers verwachten doorgaans niet dat persoonlijke informatie naar het publieke domein lekt, en zelfs als dit het geval is, anticiperen ze niet op de schade die dat zou kunnen aanrichten. Maar de praktijk laat zien dat doxing zo ver kan gaan als het hacken van de accounts van het doelwit - een service die tegenwoordig op het dark web wordt aangeboden.
De gevolgen van misbruik van persoonsgegevens zijn aanzienlijk. Gegevens die op het dark web worden verkocht, kunnen worden gebruikt voor afpersing, uitvoering van oplichting en phishing, en directe diefstal van geld. Bepaalde soorten gegevens, zoals toegang tot persoonlijke accounts of wachtwoorddatabases, kunnen niet alleen worden misbruikt voor financieel gewin, maar ook voor reputatieschade en andere soorten sociale schade, waaronder doxing...
...Lees het volledige rapport ‘Dox, steel, onthul. Waar komen uw persoonsgegevens terecht?’ voor meer informatie over doxing-praktijken en gegevensmisbruik op Securelist.
Alles bij de bron; ExecPeople
De patiëntdossiers van 243 miljoen Brazilianen waren een tijd toegankelijk door een fout van het ministerie van Volksgezondheid. Het aantal getroffen mensen overstijgt de ruim 212 miljoen inwoners van het land. Dat komt volgens de krant doordat er ook gegevens van overleden personen in de database stonden.
De fout zat in een COVID-19-registratiesysteem. Het wachtwoord voor de dossiers was zes maanden lang eenvoudig te vinden in de code van de site. Daarmee zou een onbevoegde toegang kunnen krijgen tot onder meer de volledige namen, adressen en telefoonnummers van de miljoenen Brazilianen.
Onder meer de gegevens van de president Jair Bolsonaro en andere hooggeplaatste medewerkers van de Braziliaanse regering stonden in de database. In sommige gevallen voorkwam een speciale VIP-status dat de gegevens open en bloot op straat lagen.
Alles bij de bron; NU
Bij de nieuwe onafhankelijke toezichtraad van Facebook, die gaat oordelen of berichten terecht zijn verwijderd, zijn sinds de aanvang in oktober zo'n twintigduizend zaken aangedragen. De raad heeft de eerste zes zaken gekozen om een oordeel over te vellen.
Facebook richtte de toezichtraad op nadat het bedrijf herhaaldelijk was geconfronteerd met kritiek op de wijze waarop het omgaat met problematische content. Het nieuwe orgaan heeft nu al de bijnaam 'het hooggerechtshof van Facebook' gekregen en kan bindende uitspraken doen.
Critici hebben weinig vertrouwen in het nieuwe orgaan en hebben hun eigen toezichtraad opgericht. Die noemen ze The Real Facebook Oversight Board (de echte toezichtraad van Facebook).
Alles bij de bron; NU