Digitale Schandpaal
- Gegevens
- Hoofdcategorie: Internet en Telecom
Als gevolg van het datalek bij de gezondheidsdiensten, waarbij persoonlijke gegevens van burgers werden doorgestuurd naar derden, hebben veel mensen gevraagd hun gegevens uit de systemen te laten verwijderen. In Limburg staat de teller inmiddels op 344.
Wie zijn gegevens wil laten verwijderen, blijkt echter een probleem te kunnen krijgen met de vaccinatie. Om uitgenodigd te worden voor een prik bij de GGD, moeten persoonlijke gegevens in de systemen kunnen worden gezet. Ook bestaande prikafspraken komen dan te vervallen.
Een brief of mail die een aantal GGD’en naar mensen stuurt om daarop te wijzen, valt niet bij iedereen in goede aarde. Een 70-jarige inwoner van Schinnen is woedend over de mail die hij van de GGD Zuid-Limburg kreeg toen hij verzocht zijn gegevens te laten verwijderen. „In één zin stond vermeld dat uitschrijven gevolgen kan hebben voor vaccinatie. Zonder verdere uitleg. Ik voelde dat als chantage, als drukmiddel om er toch maar vanaf te zien.”
De GGD'en zeggen dat ze persoonsgegevens verwijderen als deze niet langer noodzakelijk zijn, met een maximale bewaartermijn van vijf jaar. "We bewaren persoonsgegevens in ieder geval voor de gehele duur van de pandemie." Vaccinatiegegevens worden minimaal twintig jaar bewaard als mensen hier toestemming voor geven.
Allesbij de bron; Telegraaf & Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Klantenaccounts van de betaalservice Klarna kunnen worden overgenomen en misbruikt door derden. Dat blijkt uit onderzoek van de Consumentenbond die Klarna oproept zijn beveiligingssysteem aan te passen.
Bij het afrekenen met Klarna vraagt deze betaalservice niet om een wachtwoord. Het invullen van enkele persoonsgegevens is voldoende. Ook is er geen (zichtbare) tweestapsverificatie vereist bij de betaling.
De Consumentenbond ontdekte in september 2020 bij toeval dat het mogelijk is om een bestelling te plaatsen op naam en rekening van een ander. En om vervolgens het product naar zichzelf op laten sturen.
In een reactie liet Klarna weten dat het een incident betrof en dat de beveiliging van het betaalsysteem op orde is. Gaat het toch mis, dan kunnen gedupeerden hun geld terug krijgen.
Alles bij de bron; ConsBond
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Consumentenbond onderwierp 5 populaire voedingsapps aan een privacytest en gaf tekortkomingen door aan de appmakers. Mijn Eetmeter en Lifesum verbeterden vervolgens de privacy. FatSecret en MyFitnesspal voerden geen verbeteringen door. De app SamenGezond (Menzis) had bij de eerste meting al een goede privacyscore.
....De app Mijn Eetmeter (Voedingscentrum) bleek geen beveiliging te hebben tegen het door hackers geautomatiseerd raden van gebruikersnamen en wachtwoorden. Bij Lifesum gold het zelfde voor de gebruikersnamen. Toen de Consumentenbond hierover aan de bel trok, werden beide kwetsbaarheden snel verholpen.
Bij FatSecret zijn de gebruikersnamen nog steeds te achterhalen. Daarnaast verschijnt er op FatSecret.nl een cookiemelding zonder de keuze die wel of niet te accepteren. Zo krijgen gebruikers ongevraagd advertentiecookies. Ook in de privacyverklaring van de app is het een en ander mis.
Ook MyFitnessPal laat steken vallen. Vanuit de app is er internetverkeer met een advertentiebedrijf, voordat gebruikers hierover geïnformeerd zijn en toestemming hebben kunnen geven. En op de homepage kunnen consumenten aangepaste instellingen in het cookiemenu niet opslaan en advertentiecookies dus niet afwijzen.
Alles bij de bron; ConsBond
- Gegevens
- Hoofdcategorie: Internet en Telecom
De directeur van de Limburgse omroep L1 wilde zijn eigen personeel kunnen volgen met verborgen camera’s. Ook wilde hij in bepaalde gevallen inzage in hun mail- en internetverkeer. Met zijn voornemens zette directeur Peter Elbers de verhoudingen met zijn werknemers, die al beroerd waren, nog verder op scherp.
‘Een collega vroeg of deze plannen uit Noord-Korea kwamen’, zegt Marcel Ermers, voorzitter van de ondernemingsraad. De OR moest de plannen van Elbers, die staan in een conceptversie van een privacyreglement, nog goedkeuren. Ermers: ‘Dat gaan we natuurlijk nooit doen. Je mag niet zomaar journalisten, die bronnen moeten beschermen, bespioneren. Ik snap niet dat de directeur dat niet zelf kan bedenken.’ Ook de hoofdredactie nam ‘met verbijstering kennisgenomen’ van de plannen, zo stond in een e-mail van dinsdag 2 februari aan de OR.
Directeur Peter Elbers heeft de omstreden plan voor camerabewaking van de redactie op 6 februari ingetrokken.
Alles bij de bronnen; Volkskrant & L1
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Autoriteit Persoonsgegevens (AP) legt een boete van 440.000 euro op aan het Amsterdamse ziekenhuis OLVG. Het ziekenhuis had tussen 2018 en 2020 te weinig maatregelen genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen. Dat kwam door onvoldoende controle op wie welk dossier bekeek en ontoereikende beveiliging van de computersystemen. Naar aanleiding van het onderzoek van de AP heeft het OLVG de vereiste verbeteringen doorgevoerd.
'Patiënten moeten ervan uit kunnen gaan dat medewerkers alleen medische dossiers inzien als dat nodig is voor hun behandeling. Het OLVG nam te weinig beveiligingsmaatregelen om dit te waarborgen. Dat is ernstig en daarom legt de AP het OLVG nu deze boete op.’ aldus AP-vicevoorzitter Monique Verdier.
Alles bij de bron; AutoriteitPersoonsgegevens
- Gegevens
- Hoofdcategorie: Internet en Telecom
Het datalek bij de GGD is schadelijk voor het vertrouwen in het bron- en contactonderzoek en het testbeleid. Om dat vertrouwen terug te winnen is ferm ingrijpen noodzakelijk. Eerder gebeurde zo ongeveer hetzelfde namelijk al op veel kleinere schaal bij het HagaZiekenhuis. ..
...Het is kwalijk dat de GGD en het verantwoordelijke ministerie geen lering hebben getrokken uit eerdere fouten. Maar erger is misschien nog wel de nonchalante reactie. Hugo de Jonge stelde in het Kamerdebat dat tegen 'dit type misdaad natuurlijk geen kruid gewassen is' en dat alles gedaan was om de systemen zo veilig mogelijk te maken. De GGD legt ondertussen de schuld deels elders door op zijn site te stellen dat er 'verzinsels, onjuistheden en onvolledigheden' worden opgeschreven over het datalek, zonder deze beschuldigingen concreet te onderbouwen.
Dat moet anders. Allereerst moeten de verantwoordelijken volmondig erkennen wat er fout is gegaan en volledig openheid van zaken geven. Vervolgens moeten de procedures en software zo snel en transparant mogelijk verbeterd worden.
Met de halfslachtige onderkenning van de problemen wordt het vertrouwen niet teruggewonnen. Dat is schadelijk. Juist een goede bescherming van gegevens is noodzakelijk voor het vertrouwen en daarmee de kwaliteit van het onderzoek.
Alles bij de bron; FinancieelDagblad [gratis registratie noodzakelijk]
- Gegevens
- Hoofdcategorie: Internet en Telecom
De GGD’s willen zo snel mogelijk stoppen met het omstreden softwaresysteem HPzone, dat gebruikt wordt voor het bron- en contactonderzoek.
Dat zegt Ellis Jeurissen, portefeuillehouder bron- en contactonderzoek bij de GGD’s. Volgens Jeurissen werkten de GGD’s al ‘aan de fundering’ van het systeem, maar komt er nu een nieuw systeem vanwege onthullingen deze week van RTL Nieuws. Dat meldde maandag dat privacygevoelige informatie uit zowel HPzone als een ander GGD-systeem wordt verhandeld.
Duidelijk is inmiddels dat gegevens van burgers die werden gestolen bij de GGD mogelijk vorig jaar al werden gebruikt door oplichters. De Fraudehelpdesk kan ongeveer veertig meldingen koppelen aan het datalek, meldt de NOS.
De Autoriteit Persoonsgegevens heeft de GGD onder ‘verscherpt toezicht’ gezet vanwege de affaire. De koepelorganisatie GGD GHOR stelt tegen de NOS echter hiervan niet op de hoogte te zijn gebracht.
Bron; Beveiliging
- Gegevens
- Hoofdcategorie: Internet en Telecom
GGD-medewerkers met toegang tot CoronIT, het registratiesysteem voor coronatesten, hebben ook toegang tot paspoort- of identiteitsnummers en gezondheidsverklaringen van gevaccineerde personen. Dat blijkt uit een GGD-werkinstructie die is ingezien door de Volkskrant.
Vele duizenden testmedewerkers hebben toegang tot dat systeem, dat inmiddels ook wordt gebruikt voor vaccinregistraties. Anders dan bij het testen slaan de GGD’s ook het ID-type (paspoort, ID-kaart of rijbewijs) én het bijbehorende ID-nummer op, blijkt uit de werkinstructie.
Om bij deze informatie te kunnen, zijn wel aanvullende gegevens (bijvoorbeeld de priklocatie) van de gevaccineerden nodig. De GGD heeft deze week stappen genomen om deze toegang te bemoeilijken, vertellen GGD-medewerkers aan de Volkskrant. De Tweede Kamer wil volgende week in debat over de gebrekkige databeveiliging bij de GGD’en...
...Uit gesprekken met betrokkenen bij het ministerie van Volksgezondheid blijkt dat er al vanaf het voorjaar 2020 zorgen waren over de privacy en veiligheid van de GGD-systemen. Onder anderen medewerkers van labs die de testuitslagen verwerkten, uitten hun zorgen. Zij konden allerlei persoonlijke data inzien, inclusief burger servicenummers, terwijl dat niet nodig was.
Ook was vanaf het begin duidelijk dat GGD-medewerkers bij álle data konden, ook al meldde de GGD-website dat medewerkers alleen de gegevens zagen van de persoon die ze moesten bellen. Volgens één betrokkene heeft het ministerie al in augustus hulp aangeboden om de privacyproblemen op te lossen, maar heeft de GGD dat categorisch geweigerd.
Alles bij de bron; Volkskrant
- Gegevens
- Hoofdcategorie: Internet en Telecom
Minister Hugo de Jonge zei het deze week tijdens het vragenuurtje nog maar eens, en nog eens en nog eens: de systemen waarmee de GGD’s werken voldoen aan de laatste normen wat betreft beveiliging: ‘Uiteindelijk is tegen dit type misdaad natuurlijk geen kruid gewassen.’
Een dag eerder wierp André Rouvoet, voorzitter van de GGD-koepel GHOR, een vergelijkbare verdedigingslinie op: ‘Dat er dan mensen zijn die over de rug van al deze mensen geld willen verdienen is ongehoord.’
Zowel Rouvoet als De Jonge gaan voorbij aan het feit dat ze juist níét alles hebben gedaan om deze gigantische privacyramp te voorkomen.
Deze ramp is geen incident, maar een direct en logisch gevolg van de rammelende systemen waarmee de GGD’s werken, die nooit zijn ontworpen met het idee de privacy van Nederlanders te beschermen. De aanwijzingen dat het fout kon gaan waren levensgroot aanwezig. Al in augustus vroeg een redacteur van Nieuwsuur aan de GGD of er een analyse van de risico’s van dataverwerking was gemaakt. Neuh, niet echt, was het antwoord. In alle hectiek was dat erbij ingeschoten. Maar privacy is echt heel belangrijk, hoor.
En toch wijzen zowel Rouvoet als De Jonge naar de criminelen: zíj zijn de echte schuldigen. Die criminelen doen hun werk in ieder geval beter dan de minister en de voorzitter van de GGD-koepel, die bewust moeten zijn geweest van de privacyrisico’s van de gare GGD-systemen.
De overheid wijst de laatste jaren vaak naar de grijpgrage handjes van Big Tech, maar vergeet de data van haar eigen burgers te beschermen. Van Big Tech kun je zeggen dat die weet wat ze doet, van de overheid in dit geval niet.
Alles bij de bron; Volkskrant
- Gegevens
- Hoofdcategorie: Internet en Telecom
Hugo de Jonge moest gistermiddag in de Tweede Kamer verklaren hoe het in vredesnaam mogelijk is dat persoonlijke gegevens van miljoenen Nederlanders toegankelijk zijn via het ict-systeem voor de coronatests. Volgens deskundigen, geraadpleegd door de Volkskrant, hebben minister en GGD geen flauw benul van informatiebeveiliging...
...Jaap-Henk Hoepman, universitair hoofddocent privacy aan de Radboud Universiteit en Rijksuniversiteit Groningen: “Er wordt kennelijk niet bijgehouden wie welke gegevens opvraagt. Dat is voor een systeem met zulke gevoelige gegevens echt waanzin.” Ook moet je kijken naar wie er toegang krijgt. Hoepman: “Maar GGD-medewerkers hebben via CoronIT toegang tot alle gegevens. Dat is volstrekt onacceptabel en onvoldoende. Je kunt het anders inrichten en duidelijker rollen definiëren.”
Ook blijkt dat alle testmedewerkers bij bijvoorbeeld bsn-nummers kunnen. Hoepman: “Dat is bizar. Waarom wordt een bsn-nummer überhaupt opgeslagen? Net zoals het heel vreemd is dat gegevens bewaard blijven ook nadat mensen hun uitslag hebben opgevraagd of doorgebeld gekregen.” Verder bleek het tot deze week mogelijk om data te exporteren uit het systeem. “Die exportfunctie bedenk je niet. Dat kan gewoon niet,” aldus Hoepman.
Mathieu Paapst, universitair docent IT-recht aan de Rijksuniversiteit Groningen, zegt dat er niet nagedacht is over de ‘basishygiëne’. “Het zijn simpele dingen: welke informatie sla je op en hoe lang? ”
Paapst: “Het woord knullig is nog veel te aardig uitgedrukt. Dit is gewoon een club die geen flauw idee heeft hoe ze met informatiebeveiliging omgaat.”
Alles bij de bron; WelingelichteKringen