Antwoord: De AVG verplicht tot adequate maatregelen tot beschikbaar houden van persoonsgegevens zo lang als dat nodig is voor de toegezegde dienstverlening en de rechten van betrokkenen. Er is dus nergens een algemeen lijstje met wat je moet doen of hoe lang, je moet zelf beredeneren (al dan niet in een DPIA) wat er nodig is om aan deze eis te voldoen.

Een partij die een softwaredienst met persoonsgegevens aanbiedt, moet er dus voor zorgen dat die dienst blijft draaien zo lang als nodig. Escrow of een continuïteitsregeling is daarvoor een mogelijk middel. Maar als er andere manieren zijn om de klanten te blijven bedienen, dan is dat ook prima. Een offline back-up die in noodgevallen naar de klanten gestuurd kan worden, zou ook kunnen werken.

Bij faillissement zal de dienstverlening gewoonlijk eindigen, hoewel dat niet wil zeggen dat de betrokkenen dan geen rechten meer hebben. Dus formeel zou ik zeggen dat er dan iets van continuïteit moet zijn, hoewel dat praktisch gezien lastig af te dwingen is want de organisatie is dan nou eenmaal failliet en dan houdt het gewoon op.

Een overname is geen excuus voor welke wijziging in de dienstverlening dan ook. Daar moet de dienst dus gewoon doorlopen en moeten de gegevens gewoon beschikbaar zijn.

Alles bij de bron; Security


 

Spionnen van de AIVD en MIVD moeten niet zeuren over ‘teveel regeltjes’. Integendeel, met de ‘bulkinterceptie’ beschikken ze over te ruime bevoegdheden, die dus aan banden gelegd moeten worden.

Immers, de massale opslag van data door inlichtingendiensten AIVD en MIVD is in strijd met het recht op privacy en het recht op de bescherming van persoonsgegevens. Daarom moet de inlichtingenwet uit 2017 (Wiv 2017) worden aangepast.

Dit bepleitte Jan-Jaap Oerlemans gisteren in oratie aan de Universiteit Utrecht als bijzonder hoogleraar Inlichtingen en Recht, onder de titel ‘Grenzen stellen aan datahonger. De bescherming van de nationale veiligheid in een democratische rechtsstaat’...

...De AIVD en MIVD willen volgens Oerlemans te veel: ‘Ik geloof dat dienstmedewerkers anders in hun honger naar gegevens – ik noem het datahonger - welhaast onbeperkte middelen willen inzetten ten behoeve van hun, overigens zeer belangrijke, taakuitvoering.’...

...nog zijn de bevoegdheden te ruim volgens Oerlemans: ‘De Wiv 2017 moet worden aangepast, omdat de huidige regelingen op basis waarvan bulkdatasets mogen worden verzameld onvoldoende voorzienbaar zijn en de regelingen zelf onvoldoende waarborgen bevatten.’

Vrijwel zeker zal de Commissie Jones-Bos in het evaluatierapport over de Wiv2017, dat begin 2021 uitkomt, tot dezelfde conclusie komen. Verwerking van bulkdata staat op gespannen voet met de rechten op privacy en op bescherming van persoonsgegevens, zo is eerder vastgesteld. Expert Peter Koop heeft dat nauwkeurig beschreven.

Alles bij de bron; Netkwesties


 

In en rond Meppel wordt ene Bianca naar eigen zeggen al acht maanden bedreigd naar aanleiding van een foto van Bianca en haar verloofde op facebook. 

In de tekst daaronder, vol spelfouten, staat dat ze ouderen van hun sieraden en geld beroven, inclusief werkwijze. Degene die het bericht heeft geplaatst vraagt of iedereen het op Facebook wil delen. Inmiddels is de teller al boven de 50.000 delers uitgestegen.

Pogingen om de foto offline te krijgen, mislukten telkens, ondanks pogingen de foto bij facebook te rapporteren. Bij de politie deed ze meerdere keren aangifte maar ‘daar hoor ik niks meer over’. Bianca is ten einde raad. 

Alles bij de bronnen; Cops-in-Cyberspace & SteenwijkerCourant


 

Staatssecretaris Paul Blokhuis (Volksgezondheid, Welzijn en Sport) is bezorgd over de beveiliging van persoonsgegevens in de jeugdzorg. Tot zijn schrik kwam onlangs opnieuw een groot datalek aan het licht bij Kenter. Notabene op vergelijkbare wijze als in april 2019 konden onbevoegden toegang tot persoonsgegevens krijgen. En dat terwijl het datalek gemakkelijk was te voorkomen. Dat maakt deze affaire extra pijnlijk.

Begin oktober bleek uit onderzoek van RTL Nieuws dat buitenstaanders gemakkelijk toegang konden krijgen tot de dossiers van Kenter Jeugdhulp, de nieuwe naam van Jeugdriagg. Voor het grijpen lagen de volledige namen van jonge kinderen met zeer gevoelige details over hun privéleven, zoals psychische aandoeningen, de instabiele thuissituatie, het drugsgebruik en allerlei problemen op school.

Naar aanleiding van het vorige datalek bij SAVE Utrecht heeft het expertisecentrum voor cybersecurity in de zorg (Z-CERT) een domein naam check gedaan. De jeugdhulpaanbieders werden opgeroepen zelf een check te doen op oude domeinnamen. De oude domeinnamen van Kenter waren in 2015 voor 5 jaar afgekocht en verliepen op 1 januari 2020. Ze ontliepen daarmee onder andere de Z-CERT check in 2019. Het niet afsluiten van een oude domein naam had eenvoudig kunnen worden voorkomen, stelt de staatssecretaris in antwoord op Kamervragen. 

Jeugdzorg Nederland had zijn achterban eerder al gewaarschuwd voor het risico van niet goed afgesloten domeinnamen. 

Alles bij de bron; Computable


Met een gemiddelde van 1,45 miljoen euro betalen Nederlandse bedrijven de hoogste dwangsom voor een ransomware-aanval wereldwijd. Van de Nederlandse bedrijven zegt 44 procent het afgelopen jaar slachtoffer te zijn geweest van ransomware. Wereldwijd ligt dit percentage op 57 procent. Van de Nederlandse bedrijven die slachtoffer zijn geweest van ransomware, zegt slechts een vijfde daadwerkelijk een dwangsom betaald te hebben.

Dit blijkt uit het jaarlijkse Global Security Attitude onderzoek uitgevoerd onder 2200 IT-beslissers en cybersecurity professionals wereldwijd. 

Alles bij de bron; DutchIT


 

Het gaat om informatie van personeel en klanten in Japan en Noord-Amerika. Het is onduidelijk hoeveel mensen door het datalek zijn getroffen, maar het zou om 350.000 verschillende gegevens gaan.

Capcom werd afgelopen week getroffen door een cyberaanval waarbij 1 terabyte aan informatie werd gestolen. Inmiddels heeft het bedrijf in kaart gebracht wat voor privacygevoelige informatie op straat ligt.

In Japan zijn de namen, adressen, telefoonnummers en e-mailadressen van iedereen die met de klantenservice contact heeft gehad gelekt. Bij de Amerikanen gaat het om gegevens uit een online winkel en de e-sportsite van het bedrijf.

Alles bij de bron; NU

Update [13/01/2021]

Bij de ransomware-aanval op de Japanse gameontwikkelaar Capcom die vorig jaar november plaatsvond zijn de gegevens van mogelijk 390.000 mensen gestolen, zo laat het bedrijf in een 2e update over het incident weten. 

Bij de vorige update verklaarde Capcom dat van negen mensen was bevestigd dat hun persoonlijke data inderdaad was gestolen. Ook dat aantal is naar boven bijgesteld. Op dit moment staat de teller op meer dan 16.400 getroffen personen. Van deze mensen zijn namen, adresgegevens, telefoonnummers, e-mailadressen en in het geval van huidige en voormalige medewerkers ook HR-informatie buitgemaakt. Verder wisten de aanvallers salesgegevens, partnerinformatie en ontwikkeldocumenten te stelen.

Alles bij de bron; Security


 

Een nieuw beleid voor bestandsopslag in Google's cloud gaat over enkele maanden in. De internetgigant kondigt aan dat het maatregelen gaat nemen voor accounts die inactief zijn of die over hun opslaggrenzen heen zijn gegaan. Google mag dan content van consumenten wissen, geeft Google aan.

Het gaat om consumentenaccounts voor Google-diensten als Gmail, Photos en Drive, waarbij laatstgenoemde dan Google Docs, Sheets, Slides, Drawings, Forms en Jamboard omvat. De nieuwe policies voor bestandsopslag in deze clouddiensten zijn vorige week aangekondigd, en gaan per 1 juni 2021 in.

Het betreft hierbij data-opslag bij de specifieke producten waarin de gebruiker inactief is - of voorbij de opslaggrens is gegaan. Activiteit in of met de ene dienst zorgt dus niet voor 'databescherming' in een andere Google-dienst. Kritische gebruikers merken op dat dit nieuwe beleid geen rekening houdt met data van gebruikers die zelf mogelijk inactief zijn maar waarvan de bestanden nog door anderen wordt gebruikt of geraadpleegd.

Alles bij de bron; AGConnect


 

Apple stopt met het loggen van ip-adressen bij het controleren van de applicaties die de gebruiker wil starten. Eerder opgeslagen ip-adressen zullen worden verwijderd. Dat heeft het techbedrijf in een document bekendgemaakt. MacOS voert verschillende controles uit tijdens het starten van een applicaties. Zo checkt Gatekeeper of een app malware bevat en of het certificaat van de ontwikkelaar is ingetrokken.

Eerder deze week zorgde de Gatekeeper-controle voor problemen. Wanneer gebruikers een gesigneerde applicatie starten stuurt de notary-service informatie over het certificaat waarmee de app is gesigneerd naar de servers van Apple om te controleren dat de digitale handtekening overeenkomt. Wanneer dit het geval is wordt de applicatie gestart. Is er geen internetverbinding, dan is de controle niet mogelijk, maar voert macOS de app gewoon uit. Is er wel verbinding met internet, maar zijn er problemen met Apples server, dan blijven de applicaties 'hangen', wachtend op een antwoord.

De werkwijze zorgde voor felle kritiek. "Apple Users Got Owned", schreef Kyle Rankin, Chief Security Office bij fabrikant Purism. Volgens Rankin hebben Mac-gebruikers geen echte controle over hun computer. "Net als met zoveel Apple-features is security een marketingterm terwijl de echte drijfveer controle is. Code signing gaf Apple al controle of je een app kon installeren of software kon upgraden, deze feature geeft Apple controle of je wel applicaties kunt draaien."

Alles bij de bron; Security


 

Subcategorieën

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha