Privacygevoelige informatie van chauffeurs is door Uber gedeeld met opsporingsinstanties buiten de Europese Unie (EU). Het gaat onder meer om namen, foto's en gegevens over inkomsten van Europese chauffeurs.
Uit uitgelekte data die in handen is van een internationaal journalistencollectief blijkt dat Uber in 2019 gehoor heeft gegeven aan een verzoek van de Colombiaanse overheid, die gegevens opvroeg over een chauffeur. Uber zou hierop een lijst met alle ritten, de persoonsgegevens en de inkomsten van deze persoon aan de Colombiaanse autoriteiten hebben overhandigd.
Ook zou uit de uitgelekte data blijken dat Uber zich actief inzet om mee te werken met buitenlandse autoriteiten, met als doel de banden met deze overheden aan te halen.
Het taxibedrijf benadrukt zich aan de Europese wet te houden. Zo meldt het alle verzoeken te beoordelen en daarbij alle regelgeving, de rechten en de vrijheden van gebruikers in acht te nemen. Dat is opvallend, aangezien Europese bedrijven niet zo maar gegevens mogen delen met buitenlandse opsporingsdiensten; dat loopt normaliter altijd via politiediensten.
Vorige week kreeg Uber van de Autoriteit Persoonsgegevens nog een boete van 290 miljoen euro opgelegd vanwege het doorgegeven van gegevens van Europese taxichauffeurs naar de Verenigde Staten.
Het ging toen onder meer om foto's, betaalgegevens, identiteitsbewijzen en locatiegegevens van Europese chauffeurs. In sommige gevallen zouden ook medische informatie en strafrechtelijke gegevens zijn gedeeld.
Alles bij de bron; Dutch-IT-Channel
De Zweedse privacytoezichthouder IMY heeft twee apotheken een AVG-boete opgelegd voor het gebruiken van de Meta-pixel op hun website om hun marketing op Facebook en Instagram te verbeteren. Beide apotheken schakelden een nieuwe subfunctie van de Meta-pixel in, waardoor onbedoeld gedurende een lange tijd de privacygevoelige gegevens van een groot aantal klanten naar het Amerikaanse techbedrijf werden doorgestuurd, aldus IMY.
De doorgestuurde data ging onder andere over medicijnen voor de behandeling van allerlei gezondheidsproblemen, zelftests en behandelingen voor geslachtsziektes en seksspeeltjes. Volgens de Zweedse privacytoezichthouder hadden de apotheken vanwege de gevoelige aard van de data maatregelen moeten nemen om die te beschermen.
De hoogste boete was omgerekend 3,3 miljoen euro opgelegd de ander moet een bedrag van omgerekend 706.000 euro betalen.
Alles bij de bron; Security
Privacyorganisatie noyb heeft de Zweedse privacytoezichthouder IMY voor de rechter gesleept wegens het doorsturen van privacyklachten, zonder die daarna verder te behandelen. Volgens noyb komt het geregeld voor dat IMY klachten van burgers over een organisatie of bedrijf ontvangt dat onrechtmatig persoonsgegevens verwerkt. De Zweedse privacytoezichthouder stuurt vervolgens de klacht door naar de vermeende overtreder en sluit daarna meteen de klacht, zonder te controleren of de situatie echt is verholpen of verder onderzoek te doen.
Volgens noyb-oprichter Max Schrems is er zes jaar na de introductie van de AVG een situatie ontstaan waarbij toezichthouders zich gedragen alsof ze kunnen kiezen om de rechten van burgers te handhaven.
"EU-wetgeving vereist dat elke klacht wordt onderzocht en elke AVG-overtreding opgelost. De IMY lijkt te vergeten dat het een handhavende autoriteit is", merkt Schrems op.
"De IMY lijkt zijn eigen rol te verwarren met die van de post. Voor alleen het doorsturen van documenten hebben we niet nog een kostbare en onafhankelijke toezichthouder nodig", stelt Schrems. "Er is geen reden waarom mensen in Zweden niet dezelfde rechten zouden hebben als de rest van de EU."
Alles bij de bron; Security
Er ging van alles mis toen de gemeente Eindhoven een paar jaar geleden een nieuwe sportpas voor inwoners introduceerde. Privacychecks werden overgeslagen en waarschuwingen genegeerd. Dit blijkt uit onderzoek dat de gemeente liet uitvoeren.
De nieuwe sportpas werd in 2021 ingevoerd voor vaste bezoekers van gemeentelijke zwembaden, voordat er een wettelijke privacytoets was uitgevoerd. De sportpas moest de stadspas opvolgen die juist afgeschaft werd vanwege problemen met de privacy van Eindhovenaren.
De gemeente liet het onderzoek uitvoeren, toen een ethisch hacker de gemeente vorig jaar wees op de problemen, onder meer met de QR-code.
Toen de hacker contact opnam met de gemeente, werden de digitale poortjes van twee zwembaden direct gesloten. De hack en het datalek zijn een dag later gemeld bij privacywaakhond Autoriteit Persoonsgegevens.
Alles bij de bron; Studi040
Vinted heeft verschillende aspecten van de AVG overtreden. Dat concludeert de SDPI, de privacytoezichthouder in Vinted-thuisland Litouwen. De toezichthouder begon een onderzoek naar het kledingplatform na privacyklachten uit verschillende EU-landen.
De privacytoezichthouder stelt onder meer dat het platform niet transparant genoeg is naar gebruikers over de verwerking van hun persoonsgegevens. Daarnaast doet het bedrijf aan 'shadowbanning', waarbij gebruikers zonder kennisgeving worden uitgesloten van het platform.
De manier waarop dergelijke shadowbans worden toegepast, is volgens de SDPI onwettig. Het belemmert gebruikers bijvoorbeeld bij het gebruikmaken van hun privacyrechten onder de AVG.
Ook vraagt Vinted ten onrechte om specifieke redenen wanneer gebruikers verzoeken voor het verwijderen van hun persoonsgegevens indienden bij het platform. Als dergelijke verzoeken worden geweigerd, geeft het platform daar ook onvoldoende uitleg voor.
De SDPI heeft besloten het kledingplatform hierom een boete van 2,385 miljoen euro op te leggen. Vinted gaat in beroep tegen het besluit.
Alles bij de bron; Tweakers
Bunq-bank heeft een kort geding aangespannen tegen NRC Handelsblad dat berichtte over medewerkers van de bank die zonder beletsel stiekem kunnen gluren op de rekeningen van klanten.
In het stuk wordt ingegaan op de privacy van zowel klanten als medewerkers van Bunq. Wie bij Bunq werkt kan zonder problemen de rekeningen inzien die er lopen, ook van collega’s.
In een brief aan NRC neem media-advocaat Christiaan Alberdingk Thijm alle ruimte om de ‘kwaadaardige bedoelingen’ van NRC te benoemen, maar in de sommatie komt het uiteindelijk neer op twee punten.
Een eerste is dat NRC de 'feitelijke onjuistheden' verwijdert en aangehaalde teksten uit de Slack-discussie verwijdert. Deze is vertrouwelijk volgens Bunq en ‘buiten de juiste context gepubliceerd’. Daarnaast wil Bunq dat de namen van medewerkers die deelnamen aan een interne Slack-discussie uit het stuk worden gehaald, omdat hun privacy daarmee is geschonden.
NRC heeft aan deze eis inmiddels gevolg gegeven. Volgens adjunct-hoofdredacteur Melle Garschagen gaat het overigens niet om namen van medewerkers, maar om gebruikersnamen op Slack.
Alles bij de bron; Adformatie
Na berichtgeving over structurele misstanden bij NOS Sport werd een Volkskrant-journalist uit het niets door juicekanalen gebrandmerkt als de ‘minnares’ van Tom Egbers. Ze zou bovendien werken aan een ‘tell-all’ boek over de affaire.
Dat daarvan niets waar was, bleek niet van belang.
Alles bij de bron; Volkskrant [of hier]
De Autoriteit Persoonsgegevens (AP) heeft een recruitmentbureau een boete opgelegd wegens het negeren van verzoeken van personen die hadden gevraagd om hun gegevens te verwijderen.
Werkzoekenden kunnen zich bij het recruitmentbureau inschrijven als ze het bedrijf voor hen willen laten bemiddelen. Ingeschreven personen kunnen ook verzoeken om hun persoonsgegevens te laten verwijderen als ze geen bemiddeling meer wensen.
Bij verschillende personen die een verwijderverzoek hadden ingediend werden de gegevens echter niet verwijderd. Namen, woonadressen, e-mailadressen, telefoonnummers, geboortedata en cv’s met daarin informatie over opleiding en werkervaring bleven in de database van het recruitmentbureau staan nadat de personen hadden gevraagd om verwijdering.
Deze personen werden ook nog eens door het recruitmentbureau over vacatures benaderd.
"Mensen hebben recht op vergetelheid. Dat betekent dat een organisatie iemands gegevens in veel gevallen moet verwijderen als diegene dat vraagt. Zodat de privacy van mensen wordt beschermd", aldus de Autoriteit Persoonsgegevens. "Organisaties moeten bovendien zelf hun best doen om niet meer persoonsgegevens te verzamelen en bewaren dan nodig is."
Uit onderzoek van de privacytoezichthouder bleek dat het recruitmentbureau wel een werkwijze had voor verwijderverzoeken. Toch ging het in de praktijk een aantal keer mis. Het recruitmentbureau heeft inmiddels het interne beleid op een aantal punten aangepast.
Alles bij de bron; Security
Politie en justitie hebben een grote blunder begaan door online en op tv opsporingsbeelden van een man te tonen die volledig onschuldig was. Hierdoor werd de man wekenlang onterecht als verdachte bestempeld van oplichting en diefstal. De beelden gingen viraal, met daaronder ontelbare haatreacties en racistische opmerkingen.
De politie besteedde op 18 maart uitgebreid aandacht aan de oplichting van een 84-jarige vrouw. Zij gaf in december vorig jaar haar bankpas, pincode en andere waardevolle spullen af aan een man die zich voordeed als bankmedewerker. Daarna kwam een andere vermeende verdachte duidelijk herkenbaar in beeld, terwijl hij bij de Mediamarkt een iPhone afrekende met de bankpas van diezelfde vrouw.
Dat was geheel onterecht. De onschuldige man rekende toevallig rond hetzelfde moment een telefoon af, met zijn eigen geld én zijn eigen pinpas.
De beelden werden op tv’s in talloze woonkamers bekeken, werden op YouTube, Facebook, Instagram, Twitter en TikTok geplaatst en gingen enkele weken later viraal.
Dat had grote gevolgen voor de man. Alsof de blunder niet groot genoeg was, duurde het ook enige tijd tot de beelden offline werden gehaald. Een rectificatie liet nog langer op zich wachten.
Het OM erkent dat zij fout zat met het onterecht in beeld brengen van de man. Politie en justitie gingen de mist in bij het uitkijken van de Mediamarkt-camerabeelden en merkten de man aan als verdachte terwijl hij dat niet is.
Waar heeft het slachtoffer nu recht op? Volgens zijn advocaat vooral op een schadevergoeding met betrekking tot de immateriële schade door het psychisch leed dat hem is aangedaan.
Hij is zomaar op tv geslingerd, terwijl ‘hij te goeder trouw een mobiel kocht met zijn eigen geld. Daar komt bij dat het gaat om een misdrijf met een oudere vrouw. De maatschappij krijgt daar toch een bepaald sentiment bij.
Alles bij de bron; AD
Google Cloud heeft vorige week enkele fouten gemaakt bij het account van UniSuper: een Australisch pensioenfonds voor academici. Hierdoor werd alle data van de organisatie bij Google Cloud gewist en verloren honderdduizenden klanten toegang tot hun financiële gegevens.
Thomas Kurian, de ceo van Google Cloud, schrijft in een gezamenlijk statement dat er zich een misconfiguratie bij het account van UniSuper heeft voorgedaan en dat heeft volgens de man tot de verwijdering van het profiel geleid. De klanten van het Australische pensioenfonds hadden daardoor geen toegang meer tot hun gegevens.
UniSuper kon bij Google Cloud op twee duplicaten van zijn gegevens rekenen, maar deze kopieën werden volgens Kurian allebei gewist. Het pensioenfonds had echter nog een back-up bij een andere clouddienst achter de hand en hiermee kon Google Cloud de gegevens van UniSuper alsnog herstellen. Er zou dan ook sprake zijn van minimaal dataverlies.
Alles bij de bron; Tweakers