Digitale Schandpaal
- Gegevens
- Hoofdcategorie: Internet en Telecom
Enkele weken geleden nam een klokkenluider, die werkt voor een callcenter, contact op met het Ministry of Privacy, verklaart privacyjurist Matthias Dobbelaere-Welvaert. De klokkenluider meldde dat telefoongesprekken heimelijk worden opgenomen, zonder voorafgaandelijke kennisgeving aan de bellers. Bedoeling daarvan was om de contacttracers en de kwaliteit van hun gesprekken te kunnen beoordelen.
Uit interne gesprekken die het Ministry of Privacy kon inkijken, blijkt dat er een 'grote nonchalance' is voor 'de individuele privacy van mensen'. Volgens het callcenter is het niet nodig om toestemming te vragen om het gesprek op te nemen omdat de opnames op een later moment worden verwijderd. 'Maar zo werkt privacy natuurlijk niet', aldus Dobbelaere-Welvaert, die de praktijken heeft onderzocht.
Of het juridisch kan, is een complexe vraag. Volgens de GDPR of AVG (Algemene verordening gegevensbescherming) moeten bedrijven minstens verplicht een voorafgaande kennisgeving geven en de burger informeren dat het gesprek kan opgenomen worden en volgens Artikel 9 van de AVG is het verwerken van gevoelige medische informatie in principe niet toegestaan, maar bestaan er wel verschillende uitzonderingen. 'Contacttracers kunnen uiteraard van die uitzonderingen gebruikmaken, maar helemaal niet om stiekem telefoongesprekken op te nemen', aldus Dobbelaere-Welvaert.
Hij wijst wel op een andere wet, de Wet betreffende de Elektronische communicatie van 13 juni 2005. In een artikel daarvan staat dat werkgevers in callcenters gesprekken mogen opnemen, om de kwaliteit van de dienstverlening te controleren. Dobbelaere-Welvaert noemt dat een 'loophole', mazen in de wet. Hij verwijst opnieuw daar de gevoelige medische informatie die bellers doorgeven.
Naast het juridische aspect is er ook het ethische aspect. 'De boodschap was altijd dat mensen de contacttracers zouden kunnen vertrouwen', zegt de privacyjurist. 'Het minste dat men dan kan doen, is mensen informeren dat het gesprek kan worden opgenomen en hierover transparant communiceren.' Zo is het momenteel bijvoorbeeld niet duidelijk hoelang die gesprekken bewaard blijven.
Alles bij de bron; Knack
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) heeft in strijd met de wet jarenlang privacygevoelige informatie over burgers verzameld en verspreid. Ook volgen medewerkers met nepaccounts op sociale media in het geheim honderden politieke campagneleiders, religieuze voormannen en linkse en rechtse activisten. Dit blijkt uit onderzoek van NRC, gebaseerd op gesprekken met tientallen betrokkenen en interne documenten....
...In vertrouwelijke analyses staat beschreven met wie personen die de NCTV in beeld brengt zijn getrouwd, hoeveel kinderen ze hebben, met wie ze omgaan, soms vergezeld van foto’s. Sommige personen, zoals een prediker uit Almere, zijn in korte tijd meerdere keren onderwerp geweest van een ‘weekbericht’ van de NCTV. Weekberichten worden verstuurd aan gemeenten, politie, AIVD en buitenlandse veiligheidsdiensten.
Anders dan de politie of een geheime dienst heeft de coördinator geen bevoegdheden om personen nauwgezet online te volgen. Bovendien hebben veiligheidsdiensten toezichthouders en moeten zij hun stappen verantwoorden, de NCTV hoeft dat niet....
....De baas van de NCTV, Pieter-Jaap Aalbersberg, erkent dat er problemen zijn met de „juridische grondslag”. Dit betreft het „in beeld brengen van personen” op verzoek van gemeenten en een overheidstaskforce, iets wat de coördinator jarenlang deed. De NCTV is hier recent mee gestopt. Een nepaccount waarmee de NCTV op Twitter, Facebook en Instagram honderden burgers en organisaties volgde, is twee dagen voor publicatie van dit artikel verdwenen.
Ook voor het opslaan van gevoelige persoonsgegevens ontbreken richtlijnen. Rapportages met die gegevens belanden in een centrale database. Hoe lang die gegevens bewaard worden, is onbekend.
Op de analyse-afdeling van de NCTV, waar het monitoren plaatsvindt, rommelt het al jaren, blijkt ook uit onderzoek van NRC. Enkele analisten negeren kritiek van collega’s en de leiding beschermt hen. Heldere regels voor het opstellen van reguliere analyses ontbreken. Het brengt de kwaliteit van rapporten in het geding.
Alles bij de bron; NRC
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Autoriteit Persoonsgegevens (AP) legt Booking.com een boete op van 475.000 euro omdat het een datalek te laat meldde bij de AP. Bij het datalek maakten criminelen persoonsgegevens van meer dan 4.000 klanten buit. Zij konden daarbij ook de hand leggen op creditcardgegevens van bijna 300 slachtoffers...
...Booking.com werd op 13 januari 2019 op de hoogte gebracht van het datalek, maar meldde het pas op 7 februari bij de AP. Dat is 22 dagen te laat. Het is namelijk verplicht een datalek binnen 72 uur te melden.
‘Dit is een ernstige overtreding’, zegt AP-vicevoorzitter Monique Verdier. ‘Een datalek kan helaas overal gebeuren, ook al heb je goede voorzorgsmaatregelen getroffen. Maar om schade voor je klanten en herhaling van zo’n datalek te voorkomen, moet je dit op tijd melden. Om zo te voorkomen dat criminelen bijvoorbeeld weken de tijd krijgen om door te gaan met pogingen klanten op te lichten.’
Alles bij de bron; AutoriteitPersoonsgegevens
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een Britse kledingwinkel is onder vuur komen te liggen vanwege een datalekmelding die het gisteren naar klanten stuurde waarin de slachtoffers worden opgeroepen om de e-mail over het datalek privé en vertrouwelijk te houden.
In een e-mail die het bedrijf naar getroffen klanten stuurde meldt het bedrijf dat het op 17 januari van dit jaar verdachte activiteit op de eigen systemen ontdekte. Verder onderzoek wees uit dat een aanvaller eerder die maand al toegang had gekregen. Op de systemen stonden klantgegevens zoals voornaam, achternaam, e-mailadres, adresgegevens en gedeeltelijk creditcardgegevens, waaronder de laatste vier cijfers van het creditcardnummer en verloopdatum.
Verdere details over het incident, zoals hoe de aanvaller toegang wist te krijgen, zijn niet gegeven. De datalekmelding werd alleen naar klanten gemaild en is niet op de website van de kledingketen te vinden. Niet alleen deze oproep zorgde voor kritiek, ook het feit dat de melding ruim twee maanden na ontdekking van het datalek komt zorgde voor boze reacties.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Door een datalek bij de Belastingsamenwerking West-Brabant (BWB) waren de gegevens van een onbekend aantal belastingplichtigen tot voor kort makkelijk in te zien. Dat bevestigt de dienst vrijdag na berichtgeving van dagblad BN DeStem. Het is de tweede keer in vier jaar tijd dat er een datalek bij de lokale belastingdienst is.
Onder meer namen, adressen en WOZ-beschikkingen van inwoners uit West-Brabant konden gemakkelijk gevonden worden. Ook gerechtelijke vonnissen in schuldhulpsaneringszaken waarin personen met naam en toenaam worden genoemd, konden door derden worden ingezien.
De fout kwam aan het licht toen een IT-specialist onlangs een mail stuurde waarin hij informatie vroeg over zijn WOZ-aanslag. Hij kreeg een mail met daarin een link naar zijn gegevens. Door het wijzigen van een getal in de link kreeg hij inzage in de gegevens van andere belastingplichtigen. De regionale belastingdienst heeft het lek inmiddels gedicht.
Alles bij de bron; NRC
- Gegevens
- Hoofdcategorie: Internet en Telecom
Drie jaar na invoering van de AVG blijken veel websites zich nog altijd niet aan de privacyregels te houden. Dat concludeert de Consumentenbond na een uitgebreide steekproef. Meer dan de helft van de bezochte sites plaatst volgcookies zonder daar toestemming voor te vragen of dwingt die toestemming af.
De Consumentenbond onderzocht 100 populaire websites. 53 daarvan gaat in in de fout. Een kwart (24) van de websites plaatst al volgcookies voordat ze überhaupt om toestemming hebben gevraagd. Bunq plaatst de meeste: 9. En 20 websites, waaronder Coolblue, NLZiet en OKCupid, plaatsen tóch volgcookies ondanks dat de bezoeker ze geweigerd heeft.
De cookiemuren, die de onderzoekers in 2018 en 2019 nog veel aantroffen, blijken grotendeels verdwenen. Alleen Tweakers gebruikt deze techniek nog, ondanks dat die niet is toegestaan.
Wel vonden de onderzoekers meer ingewikkelde en sturende menu’s. Op 41 sites moeten bezoekers allerlei menu’s doorworstelen om reclamecookies uit te schakelen, terwijl het accepteren van alle cookies op diezelfde sites juist heel simpel is. En wie wil controleren of alle cookie-instellingen goed staan, moet pagina’s lang scrollen om 20 cookieschuifjes te controleren.
Sandra Molenaar, directeur Consumentenbond, is teleurgesteld over de resultaten: ‘Het is treurig om te moeten constateren dat bedrijven zo hardnekkig de fout in blijven gaan. Hoe ingewikkeld is het nu helemaal om netjes om toestemming te vragen? In de wet staat dat je je vrijelijk, ondubbelzinnig, geïnformeerd en specifiek toestemming moet geven voor cookies. Daar is absoluut geen sprake van als het keuzemenu meer lijkt op een hindernisbaan of je bezoeker zich eerst door een 170 pagina’s tellende verklaring moet worstelen.’
Alles bij de bron; ConsBond
- Gegevens
- Hoofdcategorie: Internet en Telecom
De gemeente West Betuwe heeft met een datalek te maken gekregen nadat honderden stempassen naar de verkeerde adressen werden gestuurd. Bij het afdrukken van de stempassen gebruikte de gemeente een verkeerde peildatum. Daardoor zijn alle verhuizingen en overlijdens van het laatste kwartaal van vorig jaar niet meegenomen. Hierdoor werden zo'n 850 stempassen naar het verkeerde adres en 157 overleden personen gestuurd.
De burgemeester zal in een brief excuses maken naar de nabestaanden. Tevens onderzoekt de gemeente waar het fout is gegaan, om herhaling te voorkomen. De stempassen die naar een overleden inwoner zijn gegaan, zijn ongeldig verklaard. Het datalek is inmiddels bij de Autoriteit Persoonsgegevens gemeld.
Bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Wachtwoordmanager LastPass bevat zeven trackers in de Android-app, waaronder vier van Google en drie van marketingbureaus, die mogelijk data verzamelen over gebruikers. Het is niet duidelijk welke data precies verzameld en gedeeld wordt met derden.
De trackers werden opgemerkt door de Duitse beveiligingsonderzoeker Mike Kuketz in een analyse van non-profit hacktivistenorganistie Exodus. Volgens de Exodus-rapportage gaat het om trackers van Google Analytics, Google CrashLytics, Google Firebase Analytics en Google Tag Manager en trackers van marketingdiensten MixPanel, AppFlyers en Segment. "Voor een app die zulke extreem gevoelige gegevens, namelijk wachtwoorden, verwerkt, is dit een zwaktebod", zegt Kuketz in een blogpost. De trackers zitten in de Android-versie van LastPass, versie 4.11.18.6150...
...Gebruikers kunnen datadelen uitzetten maar niet in de Android-app, daarvoor moeten gebruikers de kluis openen in de desktopbrowser.
Onlangs was er nog veel te doen om LastPass omdat het bedrijf het gebruik van de gratis wachtwoordmanager gaat beperken tot één apparaat. Gebruikers van de gratis versie van LastPass moeten voor 16 maart bepalen op welk apparaat ze LastPass willen blijven gebruiken.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
Als gevolg van het datalek bij de gezondheidsdiensten, waarbij persoonlijke gegevens van burgers werden doorgestuurd naar derden, hebben veel mensen gevraagd hun gegevens uit de systemen te laten verwijderen. In Limburg staat de teller inmiddels op 344.
Wie zijn gegevens wil laten verwijderen, blijkt echter een probleem te kunnen krijgen met de vaccinatie. Om uitgenodigd te worden voor een prik bij de GGD, moeten persoonlijke gegevens in de systemen kunnen worden gezet. Ook bestaande prikafspraken komen dan te vervallen.
Een brief of mail die een aantal GGD’en naar mensen stuurt om daarop te wijzen, valt niet bij iedereen in goede aarde. Een 70-jarige inwoner van Schinnen is woedend over de mail die hij van de GGD Zuid-Limburg kreeg toen hij verzocht zijn gegevens te laten verwijderen. „In één zin stond vermeld dat uitschrijven gevolgen kan hebben voor vaccinatie. Zonder verdere uitleg. Ik voelde dat als chantage, als drukmiddel om er toch maar vanaf te zien.”
De GGD'en zeggen dat ze persoonsgegevens verwijderen als deze niet langer noodzakelijk zijn, met een maximale bewaartermijn van vijf jaar. "We bewaren persoonsgegevens in ieder geval voor de gehele duur van de pandemie." Vaccinatiegegevens worden minimaal twintig jaar bewaard als mensen hier toestemming voor geven.
Allesbij de bron; Telegraaf & Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Klantenaccounts van de betaalservice Klarna kunnen worden overgenomen en misbruikt door derden. Dat blijkt uit onderzoek van de Consumentenbond die Klarna oproept zijn beveiligingssysteem aan te passen.
Bij het afrekenen met Klarna vraagt deze betaalservice niet om een wachtwoord. Het invullen van enkele persoonsgegevens is voldoende. Ook is er geen (zichtbare) tweestapsverificatie vereist bij de betaling.
De Consumentenbond ontdekte in september 2020 bij toeval dat het mogelijk is om een bestelling te plaatsen op naam en rekening van een ander. En om vervolgens het product naar zichzelf op laten sturen.
In een reactie liet Klarna weten dat het een incident betrof en dat de beveiliging van het betaalsysteem op orde is. Gaat het toch mis, dan kunnen gedupeerden hun geld terug krijgen.
Alles bij de bron; ConsBond