Digitale Schandpaal
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een Spaans hotel heeft een boete van 30.000 euro gekregen wegens het illegaal opslaan en verspreiden van pasfoto’s van gasten (pdf). De zaak kwam aan het licht na een klacht van een Nederlandse hotelgast. Gasten van het hotel moesten een scan van hun paspoort laten maken. Volgens het hotel moest het op deze manier van de Spaanse wet bezoekers registreren.
Een Nederlandse gast liet onder protest zijn paspoort scannen. Bij het betalen van een drankje via zijn sleutelkaart zag de gast dat de ober op zijn tablet een scan van de pasfoto van zijn paspoort te zien kreeg, met daarbij zijn naam en andere persoonsgegevens. Het hotel had de gast niet van tevoren om toestemming gevraagd voor het opslaan en verspreiden van de pasfoto op zijn paspoort. Daarnaast was het opslaan en verspreiden van de foto's niet nodig.
De Nederlandse privacytoezichthouder werkte samen met de Spaanse privacytoezichthouder AEPD in dit onderzoek.
Volgens de AEPD was het gebruik van de gescande pasfoto om te controleren of de gast die een bestelling deed, ook daadwerkelijk de gast was, een te zwaar middel. Het vragen naar het kamernummer van de gast, eventueel in combinatie met de naam van de gast, zou ook voldoende zijn geweest. Het hotel had daarom geen recht om hiervoor pasfoto’s te gebruiken. Het Spaanse hotel moet nu de boete betalen én de werkwijze aanpassen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Routermaker TP-Link stuurt gegevens van gebruikers door naar antivirussoftwarebedrijf Avira, ook wanneer klanten aangeven dat niet te willen.
Beide bedrijven werken al jaren samen aan verschillende producten, die ervoor moeten zorgen dat mensen veilig hun routers kunnen gebruiken. Met beschermlagen als HomeCare en HomeShield worden apparaten van gebruikers beschermd tegen cyberaanvallen en andere online bedreigingen. Gebruikers kunnen echter zelf bepalen of ze willen dat TP-Link hun gegevens met partner Avira deelt. Maar nu blijkt dus dat de routermaker alsnog data deelt op het moment dat gebruikers aangeven dat niet te willen.
Dat ontdekte een persoon op Reddit (het grootste internetforum van dit moment). De TP-Link Archer AX3000 verstuurde bakken met data naar de Avira SafeThings-servers. Binnen 24 uur werden er meer dan 80.000 verzoeken gedaan. Avira SafeThings is een platform dat werkt in de cloud en op intelligente wijze bedreigingen analyseert door internetverkeer te monitoren.
Alles bij de bron; CompIdee
- Gegevens
- Hoofdcategorie: Internet en Telecom
De top van de Belgische politie wist vanaf het begin dat twee agenten de software van Clearview AI hadden uitgeprobeerd, maar verzweeg dat voor de minister. Dat blijkt uit een nieuw rapport, waarin ook staat dat de Belgische politie niet 2, maar 78 keer de software heeft geraadpleegd. Geen enkele van die 78 keer leidde de opzoeking tot een bruikbaar resultaat, zo blijkt uit een rapport van het Controleorgaan op de politionele informatie. Dat rapport ligt nu bij de Belgische Kamer.
De top was volledig op de hoogte van het uitproberen van Clearview. "Dit betekent dat de hiërarchie van de federale gerechtelijke politie onmiddellijk na de taskforce bij Europol en dus voor dossiers waarin door leden van de federale gerechtelijke politie werd gewerkt op de hoogte was van het gebruik van de Clearview-gezichtsherkenningstechnologie en dit ook heeft toegestaan. Dit laatste blijkt ook uit de vaststelling dat het betalend gebruik van de Clearview-applicatie door de federale gerechtelijke politie nadien werd onderzocht maar uiteindelijk niet werd uitgevoerd."
Dat de commissaris-generaal het gebruik van Clearview in eerste instantie ontkende, is volgens het rapport 'opmerkelijk'. "Het hoeft weinig betoog dat deze vaststelling op gespannen voet staat met de medewerkingsplicht die wettelijk wordt opgelegd aan de onder toezicht staande politiediensten", aldus het Controleorgaan. Het is schadelijk voor het vertrouwen in de politiediensten, zo meent de toezichthouder.
Minister van Binnenlandse Zaken Annelies Verlinden gaf vorig jaar al toe dat de eerdere ontkenningen niet klopten en dat twee rechercheurs Clearview hadden uitgeprobeerd. Toen dacht de minister nog dat de software alleen was gebruikt bij een evenement in Den Haag in samenspraak met de FBI, maar volgens het Controleorgaan ging het gebruik dus verder.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
Nog altijd heeft de GGD z’n zaken op privacygebied niet goed voor elkaar. Zo kunnen oud-medewerkers van de GGD soms meer dan een maand na hun ontslag vanuit huis nog bij persoonsgegevens van alle Nederlanders. En in de regio Arnhem/Ede werden klassikaal aan nieuwe medewerkers vertrouwelijke gegevens getoond.
Eind vorig jaar bleek dat de persoonsgegevens van Nederlanders die zich laten testen, vaccineren of meewerken aan het bron- en contactonderzoek nog steeds niet voldoende waren beschermd. ‘Wezenlijke risico’s’, zo bestempelde de Autoriteit Persoonsgegevens het.
Dat bleek. In december werden bij een training voor nieuwe medewerkers bij GGD Gelderland-Midden (regio Arnhem/Ede) de persoonsgegevens van een vrouw die die dag in Arnhem gevaccineerd zou worden klassikaal getoond, zo meldt een uitzendkracht van de GGD. Het ging hierbij om onder meer BSN-nummer, mailadres, adres en zelfs ziekte en medicijngebruik.
,,Dit is eenmalig gebeurd’’, reageert een woordvoerder van de landelijke GGD/GHOR. ,,Dit hoort niet en is ook niet onze gebruikelijke gang van zaken. Elke opleiding wordt gegeven vanuit een testomgeving met fictieve personen en gegevens.’’ Tijdens één van deze trainingen was bij de GGD Gelderland-Midden de testomgeving niet beschikbaar en is het systeem geïllustreerd aan de hand van daadwerkelijke persoonsgegevens.’’
En dat is niet het enige incident. Een oud-medewerker, die net als de uitzendkracht anoniem wil blijven, meldt dat hij nog zeker anderhalve maand nadat hij uit dienst was in de coronasystemen van de GGD kon inloggen. Hij kon daarbij alle persoonlijke gegevens inzien die hij maar wilde. ,,Zoals het BSN-nummer en het mailadres, en dat is als je kwaad in de zin hebt toch een gevaarlijke combinatie.’’
De Autoriteit Persoonsgegevens zegt dat het proces rond het tijdig aanpassen of intrekken van de toegang ‘nog niet altijd goed verloopt’. Ook is de privacywaakhond eind vorig jaar gebleken dat er diverse medewerkers zijn die toegang hebben tot persoonsgegevens die zij voor hun werkzaamheden niet of niet langer nodig hebben.
De Autoriteit Persoonsgegevens wil niet ingaan op de huidige situatie bij de GGD’s. In november is een lijst met bevindingen gepresenteerd en in maart wordt bekeken wat daar van terecht is gekomen. ,,Tot die tijd doen we geen mededelingen’’, stelt een woordvoerder, ,,en hebben ze de tijd om dingen te verbeteren.’’
Tweede Kamerlid Attje Kuiken (PvdA) noemt het 'zeer schadelijk’ dat de GGD's hun zaakjes nog niet voor elkaar hebben. ,,Terwijl het over zeer persoonlijke gegevens gaat waar kwaadwillenden veel schade mee kunnen aanrichten. Ondanks de beloftes aan de Tweede Kamer van het kabinet is het dus nog steeds niet op orde.’’
Alles bij de bron; deGelderlander
- Gegevens
- Hoofdcategorie: Internet en Telecom
Budget Energie heeft woensdag enige tijd met een technisch probleem gekampt waardoor persoonsgegevens van honderden klanten bij de verkeerde personen terechtkwamen.
Volgens Budget Energie ging het om 1300 klanten die een verkeerde inloglink in de mail kregen na een IT-update. Daarmee konden die klanten gegevens van derden inzien. Het ging onder andere om strikt persoonlijke informatie zoals telefoonnummers en bankgegevens. Het bedrijf heeft, nadat het de fout had ontdekt, de IT-update direct onklaar gemaakt.
Alles bij de bron; AGConnect
- Gegevens
- Hoofdcategorie: Internet en Telecom
Europese landen hebben het afgelopen jaar bijna 1,1 miljard euro aan privacyboetes uitgedeeld, blijkt uit een inventarisatie van DLA Piper. Het bedrag ligt volgens het advocatenkantoor bijna zeven keer hoger dan een jaar eerder...
...In Nederland deelde de Autoriteit Persoonsgegevens (AP) vorig jaar ook enkele boetes uit aan bedrijven die de privacywet overtraden. Zo werd de website Locatefamily.com, waarmee mensen naar contactgegevens van anderen kunnen zoeken, voor 525.000 euro beboet. Op de site stonden volgens de waakhond namelijk ook gegevens van mensen die daar niet van afwisten.
De AP legde daarnaast ook boetes op aan het UWV (450.000 euro) omdat de persoonsgegevens van vijftienduizend mensen uitlekten, en aan luchtvaartmaatschappij Transavia (400.000 euro), dat persoonsgegevens eveneens niet goed had beveiligd.
Alles bij de bron; NU
- Gegevens
- Hoofdcategorie: Internet en Telecom
Datingplatform Grindr krijgt in Noorwegen een boete van 6,3 miljoen euro opgelegd. Het bedrijf zou op onwettige wijze persoonlijke data van gebruikers hebben gedeeld voor marketingdoeleinden. Het gaat om de hoogste Noorse boete ooit voor een dergelijke overtreding.
Grindr zou onder meer GPS-coördinaten van gebruikers, informatie uit profielen over onder meer leeftijd en geslacht, en het gebruik van de app hebben gedeeld met adverteerders.
De toezichthouder oordeelt dat Grindr gebruikers onvoldoende heeft geïnformeerd over deze datadeling, terwijl hier expliciete toestemming voor nodig is volgens de AVG. De waakhond stelt daarom dat Grindr de AVG heeft overtreden.
Alles bij de bron; DutchIT-channel
- Gegevens
- Hoofdcategorie: Internet en Telecom
Demissionair ministers Grapperhaus en de Jonge zijn de winnaars van de jaarlijkse Big Brother Awards geworden. Dat heeft organisator en digitale burgerrechtenorganisatie Bits of Freedom vandaag bekendgemaakt.
de Jonge won de Publieksprijs, vanwege de slecht doordachte invoering van Coronatoegangsbewijzen. De Expertprijs gaat dit jaar naar minister Grapperhaus.
Wegens een hele rits aan misstappen die het ministerie van Justitie en Veiligheid heeft begaan besloten de experts om de minister een Lifetime achievement award uit te reiken. "Het komt niet vaak voor dat we een lifetime achievement award uitreiken, maar dit ministerie heeft het zo bont gemaakt dat wij en onze vakjury eigenlijk geen andere optie zagen", merkt Austin op.
De expertprijs is persoonlijk aan minister Grapperhaus overhandigd, minister de Jonge heeft de Publieksprijs niet in ontvangst genomen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De overheid voldoet nog altijd niet aan de afspraken voor het beveiligen van e-mail, ook al had dit in 2019 al geregeld moeten zijn. Daardoor kunnen criminelen namens bijna een kwart van de onderzochte overheidsdomeinen vervalste e-mails versturen. Dat meldt het Forum Standaardisatie op basis van eigen onderzoek.
Binnen de overheid zijn afspraken gemaakt om verschillende e-mailbeveiligingsstandaarden uit te rollen, de zogeheten streefbeeldafspraken. Alle overheden moesten in 2019 in ieder geval voor e-mail SPF en DMARC juist hebben ingesteld. Via DMARC kan worden ingesteld wat de mailserver moet doen als die een verdachte e-mail ontvangt.
Een andere standaard die al geïmplementeerd had moeten zijn en dat niet is, is DANE. Het DANE-protocol zorgt ervoor dat STARTTLS wordt afgedwongen. Dit is een uitbreiding voor smtp die een beveiligde verbinding tussen de verzendende en ontvangende mailserver opzet.
"Met de implementatie en juiste strikte configuratie van anti-emailvervalsingstandaarden kan phishing worden bestreden. De OBDO streefbeeldafspraak om dat eind 2019 bij 100 procent van de gemeten e-maildomeinen op orde te hebben is nog niet gehaald", stelt het Forum Standaardisatie. "Bijna een kwart van de overheden voldoet nog niet. Phishingmails namens de achterblijvende organisaties (inclusief bewindspersonen) komen daardoor nog steeds bij burgers en bedrijven aan."
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Twitter heeft per ongeluk accounts van onder meer journalisten en wetenschappers die extremisme onderzoeken geschorst, zegt het platform vrijdag tegen The Washington Post. Dat kwam door valse meldingen van extreemrechtse activisten, die het nieuwe privébeeldbeleid van Twitter misbruikten...
...Een Twitter-woordvoerder zegt in een verklaring aan de krant dat het bedrijf werd overspoeld met een "aanzienlijke hoeveelheid" valse meldingen en dat "de moderatieteams verschillende fouten hebben gemaakt" in de nasleep daarvan.
Hij gaf geen details over hoeveel meldingen er waren gedaan, maar zei dat er "een aantal foutieve schorsingen" hebben plaatsgevonden. Het is niet duidelijk of alle onterechte bans inmiddels zijn opgeheven.
Alles bij de bron; NU