Digitale Schandpaal

De medische vragenlijsten van verzekeraars respecteren vaak de wet op de privacy niet. In drie van de vier lijsten staan vage en overbodige vragen, zegt Test-Aankoop, dat dreigt met gerechtelijke stappen. Ook respecteren bijna alle maatschappijen de vertrouwelijkheid van de gegevens niet.

Bij het afsluiten van een hypothecair krediet, is vaak een schuldsaldoverzekering verplicht. Om die te kunnen krijgen, moet de cliënt een medische vragenlijst invullen die als doel heeft om het overlijdensrisico van de verzekerde vast te stellen en de premie te bepalen.

De privacywet bepaalt dat de informatie die met de vragenlijst over de consument worden verzameld, adequaat, relevant en niet buitensporig mag zijn. De consumentenorganisatie analyseerde de lijsten van twaalf verzekeraars en kwam tot de vaststelling dat slechts drie van hen voldoen aan de wet op de privacy en de wet op de verzekeringen.

Bijna in alle onderzochte vragenlijsten vond Test-Aankoop vragen terug als "volgt u een behandeling bij een kinesitherapeut, homeopaat of psychotherapeut? ", "lijdt u aan angsten? ", "hebt u al een blaasontsteking gehad? " of zelfs "hebt u al verkoudheden gehad?". "Dat zijn allemaal vage en excessieve vragen en ze hebben geen betrekking op een aandoening die het overlijdensrisico verhoogt", zegt Test-Aankoop. Volgens de consumentenorganisatie schenden ze dan ook het recht op privacy.

Nog erger is het gesteld met de vertrouwelijkheid van de medische gegevens die verzameld worden met de vragenlijsten. Wettelijk mogen de medische gegevens enkel aan een dokter van de verzekeringsmaatschappij worden overgemaakt en niet aan andere werknemers van het bedrijf. Slechts een op de twaalf maatschappijen voldeed aan deze vereiste.

De medische gegevens mogen ook niet overgemaakt worden aan derden, aan mensen van buiten het bedrijf. Op dat vlak bieden slechts drie van de twaalf verzekeraars een afdoende bescherming. De anderen eigenen zich het recht toe om de gegevens door te sturen naar andere takken binnen dezelfde groep, en zelfs naar Datassur, een samenwerkingsverband van de verzekeringsondernemingen waar gegevens worden uitgewisseld om de afhandeling van schaderegelingen te versnellen. 

Alles bij de bron; deRedactie


Door een fout van het bedrijf dat in opdracht van de gemeente de brieven verwerkt hebben 2948 uitkeringsgerechtigden een onjuiste specificatie van hun uitkering over de maand juli ontvangen. Een onbekend deel van deze brieven bevat de persoonsgegevens, het burgerservicenummer en het rekeningnummer van andere Amsterdammers, niet bestemd voor de ontvanger.

De woordvoerder van verantwoordelijk wethouder Vliegenthart laat weten dat kwaadwillenden niet heel veel kunnen uithalen met de gegevens. "Volgens het Expertisecentrum Identiteitsfraude en Documenten (ECID) heb je voor identiteitsfraude meer nodig dan NAW-gegevens, burgerservicenummer en rekeningnummer."

Maar volgens een zegsvrouw van de Autoriteit Persoonsgegevens is met name het burgerservicenummer een 'heel gevoelig gegeven'. "Het risico op identiteitsfraude is groot als dit in verkeerde handen valt", zegt zij. "Niet voor niets wordt gewaarschuwd om heel voorzichtig te zijn met dit nummer om te springen en bijvoorbeeld bij een kopie van het paspoort dit nummer door te strepen."

Alles bij de bron; Parool


Mutuelle Générale de la Police (MGP), de verzekeringsmaatschappij van het Franse politiekorps, bevestigt dat een misnoegde werknemer op 2 juni de persoonlijke details van 112.000 agenten op Google Drive heeft opgeladen. Het gaat om agenten in actieve dienst en gepensioneerde wetsdienaars. Ook de adressen van de agenten werden te grabbel gegooid. Volgens de MGP zijn de files met wachtwoorden beschermd en zijn de gegevens niet gekraakt. 

Alles bij de bron; deMorgen


Wikileaks heeft vrijdag een datadump online gezet die bijna 20.000 e-mails van en naar zeven kopstukken van de Amerikaanse Democratische partij bevat. De organisatie legt daarmee tegelijkertijd de persoonsgegevens van een groep donateurs bloot. Er is op dit moment geen bevestiging dat de gegevens allemaal onvervalst en onaangepast zijn...

...Een zoekopdracht onthult in een oogopslag de details van 111 donaties aan de partij. Deze automatische bevestigingsmails bevatten namen, adressen, telefoonnummers, beroepen en werkgevers, e-mailadressen, bedragen en in sommige gevallen zelfs de nummers van paspoorten of Green cards. In andere soorten mails zijn ook social security numbers en geboortedata te vinden. Naast de persoonsgegevens van derden bevat de dump bijvoorbeeld e-mails die wijzen op geheime tactieken om de reputatie van Republikein Donald Trump te besmetten. 

De vrijgegeven mails geven ook een beeld van hoe hardbevochten de strijd tegen senator Bernie Sanders was tijdens de voorverkiezingen. Zo omschrijft Debbie Wasserman Schultz, een van de leiders van de Democratische partij, een vertegenwoordiger van Sanders als "een verdomde leugenaar". Andere mails tonen aan hoe geldschieters worden beloond met toegang tot feestjes en gratis tickets.

Alles bij de bronnen; Tweakers & deMorgen


Het Deense Statens Serum Institut heeft per ongeluk twee cd's met daarop medische info van vrijwel alle inwoners van Denemarken per ongeluk laten bezorgen bij een Chinees bedrijf in Kopenhagen. De cd-roms bevatten onversleutelde data met de 'burgerservicenummers' en bijbehorende medische informatie van meer dan vijf miljoen inwoners van het in totaal 5,5 miljoen inwoners tellende Denemarken. Er stonden geen namen en adressen bij. Het gaat om mensen die tussen 2010 en 2012 in Denemarken woonden. 

Het pakketje bleek geopend, maar of medewerkers van het Chinese bedrijf de data hebben ingezien en eraf hebben gehaald, is onbekend. Het Chinese bedrijf zegt dat een medewerkster per ongeluk het pakketje had geopend, maar het direct weer heeft gesloten en heeft doorgestuurd naar het juiste adres. De privacy-autoriteit vindt het kwalijk dat het instituut de data onversleuteld heeft verstuurd.

Alles bij de bron; Tweakers


 

Een beveiligingsbedrijf heeft een aantal kwetsbaarheden gevonden in de SonicWall-apparatuur van Dell. Deze kwetsbaarheden kunnen misbruikt worden en aanvallers rootrechten geven. De grootste kwetsbaarheid is echter de achterdeur in de vorm van een verborgen standaard account. 

Het gevonden standaard account heeft een makkelijk te raden wachtwoord en kan worden misbruikt door gebruikers aan te maken zonder administratieve rechten en deze vervolgens te laten inloggen in de webinterface om daar het wachtwoord van de administrator te wijzigen. De aanvaller zou met dit gewijzigde admin-wachtwoord als administrator in kunnen loggen en zo volledige controle hebben op de GMS-interface en verbonden SonicWall-apparatuur.

De andere kwetsbaarheden kunnen ook misbruikt worden om aanvallers rootrechten geven. Er is inmiddels een patch voorhanden en Dell adviseert dan ook om de SonicWall-producten zo snel mogelijk te patchen.

Alles bij de bron; WebWereld


Onderzoekers van het Poolse beveiligingsbedrijf Exatel en Fidelis Cybersecurity uit de VS hebben ontdekt dat de in China ontwikkelde Maxthon-browser geregeld gevoelige informatie naar een server in de Chinese hoofstad Beijing stuurt, ook als gebruikers dat niet willen.

De informatie in het ueipdata.zip-bestand bevat een versleuteld bestand dat.txt. De onderzoekers vonden de beveiligingssleutel van het bestand en ontdekten dat het bestand informatie opslaat over het besturingssysteem, de cpu, de status van een eventuele adblocker, de adressen van alle bezochte websites, inclusief alle online zoekopdrachten en de geïnstalleerde applicaties met versienummers.

De data die wordt verzameld in het ueipdata.zip-bestand wordt niet per se zonder medeweten van de gebruiker opgeslagen. Tijdens het installeren van de Maxthon-browser vraagt de software of de gebruiker mee wil doen aan het User Experience Improvement Program of UEIP. Bij het niet aanvinken van het gebruikerservaringsverbeteringsprogramma blijkt de browser toch gewoon het ueipdata.zip-bestand aan te maken. Op het forum van Maxthon stelt een moderator van de browserbouwer dat als het hokje van UEIP niet aangevinkt wordt, er alleen 'basic information' verzameld wordt. Dit is niet het geval, ontdekten de onderzoekers.

De informatie die wordt teruggestuurd, is volgens cso Justin Harvey van Fidelis Cybersecurity voldoende om een gerichte aanval uit te voeren. Het onderzoek staat bij Exatel.

Alles bij de bron; Tweakers


Burgers kunnen niet vertrouwen op veiligheid van websites en e-mails van Zeeuwse overheden, zo blijkt uit een test op internet.nl. Websites en e-mails van Zeeuwse gemeenten en de provincie zijn slecht beveiligd.

Internetcriminelen kunnen daarom gemakkelijk toegang krijgen tot persoonlijke gegevens van burgers, of andere computers infecteren. Dat blijkt uit een test op de website internet.nl , opgezet door het Platform Internetstandaarden. In dit platform zijn onder meer de Rijksoverheid en het Nationaal Cyber Security Centrum vertegenwoordigd. Geen enkele Zeeuwse gemeente voldoet aan de standaarden. Zeven van de dertien gemeentelijke websites scoren minder dan de helft van de honderd te behalen punten. Zeven van de dertien algemene gemeentelijke e-mailadressen halen minder dan vijftig punten.

"Er zijn weinig excuses om dit als professionele organisatie niet op orde te hebben. Gemeenten werken met zeer gevoelige data van burgers. Dan mag je verwachten dat ze er zorgvuldig mee omgaan", zegt Michiel Leenaars, strategisch directeur van stichting NLNet. Gemeenten zijn op de hoogte van de gebrekkige veiligheid van hun website. Ze melden dat ze bezig zijn om de problemen op te lossen. 

Alles bij de bron; PZC


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha