Selecteer een pagina

1,5 miljoen klanten Nederlandse Loterij moeten hun wachtwoord wijzigen

Ruim 1,5 miljoen klanten van de Nederlandse Loterij hebben via e-mail het verzoek gekregen om hun wachtwoord te wijzigen. Het gaat om klanten die online onder meer meespelen in de Staatsloterij, Lotto, Toto en EuroLoterij.

Recent hebben er volgens de Nederlandse Loterij verdachte inlogpogingen plaatsgevonden op bijna 12.000 accounts van spelers. Nederlandse Loterij heeft de accounts direct geblokkeerd en de desbetreffende klanten hierover geïnformeerd met het verzoek om een nieuw, uniek en sterk wachtwoord aan te maken.

De cyberaanvallen zijn door Nederlandse Loterij gemeld bij de Autoriteit Persoonsgegevens en de Kansspelautoriteit. Daarnaast doet Nederlandse Loterij aangifte bij de politie en vraagt haar spelers dat laatste ook te overwegen.

Sinds de coronamaatregelen van kracht zijn, zegt de Nederlandse Loterij een toename van verdachte inlogpogingen op accounts van klanten te zien.

Bij de inlogpogingen wordt gebruikt gemaakt van credential stuffing. Hierbij misbruiken internetcriminelen elders gestolen inloggegevens en proberen daarmee in te loggen.

Een uniek en sterk wachtwoord helpt om te voorkomen dat internetcriminelen slagen in hun pogingen. De Nederlandse Loterij verzoekt klanten daarom om hun wachtwoord te wijzigen.

Internetcriminelen hebben geen toegang gehad tot de persoonlijke Wallet en er is geen (prijzen)geld buitgemaakt. Wel hebben internetcriminelen persoonlijke gegevens kunnen inzien.

“We doen er alles aan om de persoonlijke gegevens van onze klanten zo goed mogelijk te beschermen”, meldt woordvoerder Sander van de Voore van de Nederlandse Loterij. “Klanten spelen hierin zelf ook een belangrijke rol. Bijvoorbeeld door het gebruik van unieke en sterke wachtwoorden voor online account.”

Gratis veilig Zoom alternatief Jitsi Meet voldoet wel aan de privacywet

De gratis versie van videoconferencingdienst Zoom wordt tijdens de Corona crisis veel gebruikt voor online vergaderingen. Daarmee overtreden organisaties de Algemene Verordening Gegevensbescherming (AVG). Zoom voldoet niet aan de Europese privacywet.

De Amerikaanse startup heeft beterschap beloofd, maar in de praktijk lijkt er weinig te veranderen.

Zoom wil de videochats end-to-end gaan versleutelen en heeft voor dit doel de New York encryptie startup Keybase gekocht. De versleuteling wordt straks echter enkel aangeboden aan betalende Zoom-klanten. Zij moeten 14 Euro per maand gaan betalen.

Maar zelfs dan zijn er nog enkele beperkingen. Deelnemers kunnen bijvoorbeeld niet via een smartphone meedoen aan de vergaderingen. En ook het opnemen van de videoconferentie in de cloud werkt niet.

Jitsi Meet gratis alternatief voor Zoom

Veel organisaties zoeken vanwege de provacyproblemen met Zoom naar alternatieve videochat tools die de zaken wel op orde hebben. Zoals de open source freeware software Jitsi Meet. Deze videochat tool focust juist op privacy en anonimiteit.

Met Jitsi Meet kunt u een vergadering direct in de browser starten zonder dat u een account hoeft aan te maken of software hoeft te installeren.

Face-to-face gesprekken zijn in Jitsi Meet al end-to-end versleuteld, terwijl het gebruikte WebRTC-communicatieprotocol een dergelijke versleuteling voor meerdere deelnemers nog niet toestaat.

Toch is het mogelijk om een aparte server te gebruiken om de gegevens beter te beschermen dan een server die publiekelijk door Jitsi wordt geleverd. Bovendien is de broncode van de tool openbaar toegankelijk en dus transparant.

Ontkennen helpt niet. Facebook en Google weten zelfs wie anoniem pornosites bezoekt

De kans dat u de sites Xhamster, Redtube, Pornhub en Youporn bezoekt is redelijk groot. En als dat het geval is zijn Facebook en Google op de hoogte. Zelfs als u anoniem denkt te surfen.

Volgens het online magazine “Vice” is een op de acht websites die worden bezocht een pornosite. Deze sites verdienen goud geld met de persoonlijke gegevens van hun ‘anonieme’ bezoekers.

Veel bezoekers proberen zichzelf te beschermen door de incognitomodus in de browser te gebruiken, maar dat heeft geen enkel beschermend effect. Volgens blogger Brett Thomas is het voor marketingbedrijven schrikbarend eenvoudig om de identiteit van pornokijkers en de video’s die ze bekijken te achterhalen.

Thomas denkt dat de porno-industrie aan de vooravond van het volgende grote schandaal op het gebied van gegevensbescherming zou kunnen zorgen.

Hoe pornosites hun gebruikers bespioneren

De meeste porno- en internetsites maken gebruik van zogenaamde “tracking tools” die een individuele, digitale voetafdruk van de gebruiker creëren. Bijvoorbeeld om te weten welke zoekopdrachten de gebruiker invoert of naar welke films hij of zij kijkt.

Deze trackingtools zijn bijvoorbeeld gekoppeld aan de “share”-buttons voor Facebook of Twitter en de talrijke reclamebanners op pornosites, die de gegevens doorgeven aan de adverteerders en, op de achtergrond, aan de social media-platforms en Google.

Maar hoe kunnen de gegevens aan een persoon worden toegewezen? Volgens het magazine Vice werkt dat als volgt: De browser op de computer heeft individuele instellingen, zoals geïnstalleerde plug-ins, lettertypes of taal, die worden geregistreerd door de tracking tools. Met deze individuele informatie en het aan elke internetgebruiker toegewezen IP-adres is een zeer nauwkeurige identificatie mogelijk.

“Als je porno op het net bekijkt, mag je verwachten dat je surfgedrag en de titels van de video’s die je consumeert vroeg of laat openbaar worden en ook met je naam geassocieerd kunnen worden”, vat Brett Thomas in zijn blog samen.

Hackers zijn ook geïnteresseerd

Pornosite Xnxx stuurt gegevens over het bezoekgedrag van zijn klanten naar Google, naar een analysebedrijf “Addthis” en naar een advertentienetwerk met de naam “Pornvertising” – zelfs wanneer u in privémodus surft.

Het surfgedrag van bezoekers van pornosites wordt dus her en der op het web geregistreerd. Als deze gegevens in verkeerde handen vallen kunnen grote problemen ontstaan voor de pornokijkers.

Volgens Thomas is de publicatie van pornovoorkeuren door amateur-hackers een steeds groter wordend gevaar, omdat de gegevens over verschillende platformen worden verspreid. Hackers zouden het kunnen verkopen of gebruikers ermee kunnen chanteren.

Sommige mensen denken nu dat de consequenties wel mee zullen vallen. Dat uitlekken van gegevens over het bezoek aan pornosites hooguit pijnlijk is. Beschamend. Dat is in het vrije Westen misschien zo, maar elders in de wereld kunnen er heel andere consequenties aan kleven. In sommige landen worden mensen met bepaalde seksuele voorkeuren onderdrukt en vervolgd.

Thuisbezorgd klanten slachtoffer van hacker die op hun kosten bestellingen plaatst

Een aantal Thuisbezorgd-klanten is slachtoffer geworden van fraude met bestellingen. Een hacker heeft toegang gekregen tot hun accounts en op hun kosten bestellingen geplaatst, meldt Tweakers.

Het is niet duidelijk hoeveel klanten precies getroffen zijn. Volgens een woordvoerder van het platform gaat het om een “zeer beperkt aantal gevallen”.

De woordvoerder benadrukt dat er geen sprake is van een datalek bij Thuisbezorgd zelf, maar dat cybercriminelen wachtwoorden hebben gebruikt die al eerder zijn buitgemaakt bij een hack op een andere website.

De bestellingen zijn met het PayPal-account van de klanten afgerekend. Anders dan bij iDEAL of bij creditcards wordt bij betalingen via PayPal niet altijd om een verificatiecode gevraagd.

Volgens Thuisbezorgd werden gebruikers die ooit toestemming hebben gegeven voor zogenoemde Recurring Payments (herhaaldelijke betalingen) niet om een dubbele bevestiging gevraagd. Ook al hadden de gebruikers wel tweestapsverificatie ingeschakeld voor hun PayPal-account.

Overigens is dit voor alle geautoriseerde sites bij PayPal zo en is dit niet iets wat specifiek alleen op Thuisbezorgd.nl van toepassing is.

Thuisbezorgd heeft de functie inmiddels voor alle gebruikers uitgeschakeld. “Dit leidt helaas wel tot een vermindering van het gebruiksgemak. We zullen de optie weer activeren zodra we deze vorm van fraude kunnen tegengaan.”

Ook vertelt de woordvoerder dat Thuisbezorgd de opgelopen schade zal vergoeden, al raadt hij gedupeerden wel aan om eerst bij PayPal aan te kloppen. Thuisbezorgd roept ze daarnaast op om aangifte te doen.

Thuisbezorgd werkt aan tweestapsverificatie

Thuisbezorgd werkt aan een extra beveiligingsslag om dit soort incidenten te voorkomen. Het bedrijf wil zo snel mogelijk tweestapsverificatie invoeren.

91 procent van mensen weet dat hergebruik van wachtwoorden onveilig is, maar doet het toch

91 procent van de mensen weet dat het hergebruik van wachtwoorden onveilig is, maar tweederde doet het toch. LogMeIn’s LastPass heeft de resultaten gepubliceerd van zijn derde wereldwijde onderzoek, “The Psychology of Passwords”.

Mensen blijken zich nog altijd niet te beschermen tegen cyberveiligheidsrisico’s, ook al weten ze dat ze dat wel moeten doen.

Veilige logins zijn belangrijker dan ooit in het thuiskantoor. Het wachtwoordgedrag van de gebruikers is de afgelopen jaren echter niet verbeterd. Integendeel, het is eerder slechter geworden.

Het derde globale onderzoek “Psychology of Passwords” toont dat cognitieve dissonantie overheerst: veiligheidsbewust denken blijkt niet te worden vertaald in actie door gebruikers.

Ongewijzigd gedrag creëert nieuwe online beveiligingsproblemen

Het bewustzijn van hackeraanvallen en privacyschendingen neemt jaar na jaar toe, maar het consumentengedrag met betrekking tot wachtwoorden blijft grotendeels ongewijzigd.

91 procent van de ondervraagden weet dat het gebruik van hetzelfde wachtwoord voor meerdere accounts een veiligheidsrisico is. Echter, 66 procent gebruikt nog steeds hetzelfde wachtwoord.

Naarmate mensen meer tijd online doorbrengen, is de evolutie van cyberveiligheidsbedreigingen en ongewijzigde wachtwoordhygiëne een zorg voor de accountbeveiliging.

Het derde wereldwijde rapport, “The Psychology of Passwords”, werd gepubliceerd voor de World Password Day op 7 mei 2020.

LastPass heeft voor het onderzoek in maart 2020 wereldwijd 3.250 volwassenen van 18 tot 60 jaar met meerdere online accounts ondervraagd.

De belangrijkste resultaten in detail:

  • Wereldwijde cyberdreigingen blijven omhoogschieten, maar het wachtwoordgedrag blijft onveranderd
  • Wachtwoordgedrag is grotendeels ongewijzigd gebleven ten opzichte van dezelfde studie uit 2018 – wat tot uiting komt in enig risicovol gedrag.
  • 53 procent van de respondenten heeft de afgelopen 12 maanden hun wachtwoord niet gewijzigd, ook al zijn de gegevensinbreuken openbaar gemaakt.
  • De meerderheid van de mensen is zich er ook van bewust dat het gebruik van hetzelfde wachtwoord voor meerdere accounts een veiligheidsrisico. Toch gebruikt 66 procent van de mensen meestal of zelfs altijd hetzelfde wachtwoord op verschillende platforms.

Veiligheidsbewust denken kan niet worden vertaald in actie

De resultaten laten ook tegenstrijdigheden zien, waarbij de respondenten één ding zeggen en er iets anders voor terugdoen.

  • 77 procent voelt zich geïnformeerd over de beste wachtwoordpraktijken, maar toch probeert meer dan de helft (54 procent) de wachtwoorden te onthouden.
  • Bijna een op de drie (27 procent) schrijft ze zelfs ergens op.
  • Evenzo is 80 procent bezorgd dat hun wachtwoorden kunnen worden gecompromitteerd, maar 48 procent verandert nooit hun wachtwoord tenzij het wordt opgevraagd.

Angst voor vergetelheid is de belangrijkste reden voor het hergebruik van wachtwoorden

De meeste respondenten (66 procent) gebruiken hetzelfde wachtwoord voor meerdere accounts, een stijging van 8 procent ten opzichte van de resultaten van 2018. Waarom?

De angst om inloggegevens te vergeten blijft de belangrijkste reden voor het hergebruik van wachtwoorden (60 procent), gevolgd door de wens om alle wachtwoorden te kennen en te controleren (52 procent).

Een echte paradox: gebruikers willen het overzicht houden over hun wachtwoorden, maar met het herhaalde gebruik van hetzelfde wachtwoord ontlopen accounts hun controle op het gebied van beveiliging tegen hackers.

Bewustwording en gebruik van Multifactor Authenticatie (MFA) neemt toe

Het goede nieuws is dat Multifactor Authenticatie (MFA) alom bekend is en gebruikt wordt. Gelukkig zegt 54 procent dat ze MFA gebruiken voor hun persoonlijke accounts. Slechts 19 procent van de respondenten wist niet wat MFB was. Een belangrijke stap in de richting van goede wachtwoordbeveiliging.

Respondenten zijn ook zeer tevreden over de biometrische authenticatie met behulp van vingerafdrukken of gezichtsherkenning om in te loggen op apparaten of accounts. 65 procent zegt meer vertrouwen te hebben in vingerafdrukken of gezichtsherkenning dan in traditionele tekstpassages. Deze kunnen immers slechts in beperkte mate worden nagebootst en de toegang tot het individu echt op maat maken. Een op tekst gebaseerd wachtwoord kan daarentegen snel worden ontcijferd.

“In een tijd waarin de COVID 19-pandemie ervoor zorgt dat een groot deel van de wereldwijde beroepsbevolking thuis werkt en mensen meer tijd online doorbrengen, zijn de cyberdreigingen waarmee consumenten te maken krijgen op een historisch hoog niveau. Individuen lijken niet te reageren op de bedreigingen die uitgaan van zwakke wachtwoorden en blijven gedrag vertonen dat hun informatie in gevaar brengt”, zegt John Bennett van LogMeIn, het bedrijf dat eigenaar is van LastPass. “Met een paar eenvoudige stappen kunt u het wachtwoordgedrag verbeteren en de veiligheid van online accounts verhogen, of het nu gaat om persoonlijke of professionele accounts. Maak van World Password Day 2020 het keerpunt voor het veranderen van uw wachtwoordgedrag.”

Enquêtemethodologie:

Het onderzoek naar “Password Psychology” werd door het onafhankelijke panelonderzoeksbureau L#ab42 in opdracht van LastPass uitgevoerd tussen 5 en 15 maart 2020.

In totaal zijn er wereldwijd 3.250 volwassenen in de leeftijd van 18 tot 60 jaar met meerdere online accounts ondervraagd.

De deelnemers kwamen uit de Verenigde Staten, Duitsland, Brazilië, Australië, Singapore en het Verenigd Koninkrijk. De resultaten werden, voor zover mogelijk, vergeleken met de in 2018 in opdracht van LastPass uitgevoerde enquête “Psychology of Passwords”.

Datalek bij Tadaah. Identiteitsbewijzen en VOG-verklaringen honderden zorgmedewerkers op straat

Door een datalek bij bemiddelingsplatform Tadaah zijn identiteitsbewijzen van honderden medewerkers uit de zorg en kinderopvang vrij toegankelijk geweest. Dat blijkt uit onderzoek van RTL Nieuws.

Tadaah is een organisatie die zelfstandigen in de zorg en kinderopvang in verbinding brengt met opdrachtgevers

Het gaat om de identiteitsbewijzen van achthonderd mensen, die een kopie van de voor- en achterkant van hun ID, paspoort of rijbewijs naar Tadaah hebben gestuurd.

Naast identiteitsbewijzen waren VOG’s (Verklaring Omtrent Gedrag), verzekeringen en diploma’s voor iedereen in te zien.

In totaal gaat het volgens RTL-nieuws om duizenden gelekte gevoelige documenten. Deze documenten stonden op een onbeveiligde en publiekelijk toegankelijke server en waren daardoor voor iedereen te vinden.

RTL Nieuws heeft het datalek gemeld bij Tadaah, het lek is inmiddels gedicht. “Het is een menselijke fout”, zegt Eike Dehling, één van de oprichters van Tadaah tegen het tv-programma. “Dit mag gewoon niet gebeuren.”

Tadaah heeft het lek gemeld bij de Autoriteit Persoonsgegevens.

Microsoft en Interpol waarschuwen zorgsector voor dreigende ransomware aanvallen

Cybercriminelen richten hun pijlen tijdens de Corona crisis volgens Microsoft en Interpol nadrukkelijk op de zorgsector. Microsoft heeft in april tientallen ziekenhuizen gewaarschuwd voor dreigende ransomware-aanvallen. De hackers proberen binnen te komen in de ict-cystemen via kwetsbare gateway- en VPN-software.

“Meerdere ransomware-groepen die zich gedurende enkele maanden toegang tot de doelnetwerken hebben verzameld en deze hebben onderhouden, hebben in de eerste twee weken van april 2020 tientallen ransomware-implementaties geactiveerd”, staat in een rapport van het Microsoft’s Threat Protection Intelligence Team.

Getroffen partijen zijn onder meer hulporganisaties, aanbieders van educatieve software, overheidsinstellingen, productiebedrijven, medische factureringsbedrijven, transport en daarnaast tal van niet-kritische bedrijven en organisaties.

Hoewel Microsoft geen extra commentaar gaf op de vraag of de aanvallen die in de eerste twee weken van april werden waargenomen al dan niet succesvol waren, vroeg SearchSecurity het bedrijf of de exfiltratie van gegevens de reden is voor de vertraagde inzet van ransomware.

Verschillende ransomwarebendes, zoals Maze, zijn begonnen met het stelen van de gegevens van de slachtoffers alvorens deze te versleutelen en dreigden vervolgens gevoelige gegevens op het internet te publiceren om de slachtoffers te dwingen het losgeld te betalen.

“Gegevensexfiltratie is een zeer gangbare praktijk voor ransomware-groepen, maar de belangrijkste reden voor het uitstellen van ransomware is dat aanvallers vaak wachten op momenten dat ze weten dat ze het lastigst zijn voor de doelwitten en dat ze dus waarschijnlijker losgeld zullen betalen”, meldt SearchSecurity.

Microsoft raadt organisaties in de zorg verschillende stappen aan om hun kwetsbaarheid voor ransomwarebedreigingen te verkleinen, waaronder het implementeren van multifactorauthenticatie voor RDP- en virtuele desktopaccounts, het randomiseren van beheerderswachtwoorden en het patchen van netwerkapparaten of -diensten die aan het openbare internet zijn blootgesteld.

Wereld Wachtwoord Dag 2020: 8 tips om wachtwoorden sterk en hackers weg te houden

Het is 7 mei 2020 World Password Day. Uit diverse onderzoeken blijkt dat deze dag belangrijk is. Veel mensen beseffen dat ze verkeerd bezig zijn, maar weten niet hoe ze hun wachtwoord gedrag kunnen verbeteren. We hebben 9 tips voor u. Het toverwoord is ‘Layer Up’.

Wat betekent ‘Layer Up’? De term betekent in principe het toevoegen van een andere beveiligingslaag aan je wachtwoorden.

Je kunt een 2FA-laag of een dynamische IP-laag toevoegen aan je wachtwoord om het veel veiliger te maken.

Het eerste wat je echter moet doen is een sterk wachtwoord maken. Sommige mensen hebben de neiging om hun naam, de naam van hun vriendje, de naam van hun ouders, in feite de naam van hun huisdier, een paar keer als wachtwoord te hebben. Dat is duidelijk niet de manier waarop een wachtwoord moet worden gegeven hoe makkelijk ze te raden zijn.

Een wachtwoord moet bijvoorbeeld een mix zijn van heel veel speciale tekens: Bp}H;eF:{*@y(D2I8?2d|G~yf8`8.

Een sterk wachtwoord zou een combinatie moeten zijn van tekens zoals komma’s, procenttekens, haakjes, hoofdletters, kleine letters en cijfers.

8 tips voor een veilig wachtwoord

  1. Een sterk wachtwoord zou een combinatie moeten zijn van tekens zoals komma’s, procenttekens, haakjes, hoofdletters, kleine letters en cijfers.
  2. Maak uw wachtwoord zo lang mogelijk, om het extreem vervelend te maken voor een brute kracht aanvaller om uw wachtwoord te kraken. (Let op, wachtwoorden van ongeveer drie letters kunnen in minder dan een seconde worden gekraakt.)
  3. Gebruik geen woord dat in het woordenboek staat of letters die opeenvolgend op een toetsenbord staan.
  4. Schrijf eerst een willekeurige zin op en voeg dan letter voor letter een hoofdletter, een cijfer of een symbool toe.
  5. Gebruik geen voor de hand liggende gegevens zoals uw naam, geboortedatum, plaats waar u woont in het wachtwoord. Dat alles kan gemakkelijk online worden ontdekt.
  6. Om uw online identiteit veilig te bewaren, moet u uw wachtwoorden regelmatig wijzigen. En gebruik nooit meer hetzelfde wachtwoord.
  7. Enable two-factor authenticatie. Dit zal u helpen, zelfs als uw wachtwoord wordt gecompromitteerd. De hacker heeft namelijk de OTP nodig die u op uw smartphone ontvangt.
  8. Bewaar niet één wachtwoord voor al uw accounts, want dat wordt de hoofdsleutel van uw leven, die bij verlies ernstige gevolgen zal hebben.

Whatsapp voldoet volgens toezichthouders nog altijd niet aan de AVG. Mag niet gebruikt worden

Voldoet Whatsapp aan de eisen van de AVG? De artikelen over Whatsapp op PrivacyZone worden sinds de Europese privacywet in 2018 van kracht werd dagelijks het meest gelezen. Het antwoord is nog altijd: nee!

Barbara Thiel, toezichthouder van de Duitse deelstaat Nedersaksen, heeft onderwijsinstellingen deze week opdracht gegeven te stoppen met Whatsapp. Zij reageerde op een richtlijn van het Nedersaksische ministerie van Onderwijs en Culturele Zaken voor scholen in de Corona-tijd. Volgens deze richtlijn zouden docenten en leerlingen tijdelijk gebruik mogen maken van WhatsApp voor onderlinge communicatie.

Thiel benadrukt dat zij als toezichthouder het gebruik van WhatsApp op scholen niet heeft aanbevolen of goedgekeurd. Hetzelfde geldt voor haar collega toezichthouders in 15 andere Duitse deelstaten. Duitsland telt in totaal 17 toezichthouders.

Omdat de Algemene Verordening Gegevensbescherming een Europese wet is gelden de standpunten van de Duitse toezichthouders ook in de rest van Europa. De Nederlandse Autoriteit Persoonsgegevens (AP) heeft ook regelmatig op Europees niveau overleg met andere toezichthouders.

Veel ondernemers worstelen met het AVG-dilemma Whatsapp op zakelijke telefoons. Wat privé wel mag is zakelijk een overtreding van de privacywet.

De scholen moeten met spoed goedgekeurde alternatieve messengers gaan gebruiken. Die zijn er volgens de toezichthouder voldoende.

“In het verleden ben ik altijd heel duidelijk tegen het gebruik van WhatsApp op scholen geweest,” zegt Thiel. “Dit standpunt is nog steeds geldig en is ook in overeenstemming met het standpunt van andere functionarissen voor gegevensbescherming.”

Whatsapp voldoet dus niet aan de Europese privacywet. Nog steeds niet, zou je kunnen zeggen. Want sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) op 25 juni 2018 heeft moederbedrijf Facebook toch meer dan voldoende tijd gehad om Whatsapp aan te passen.

Een ex-KNO-arts van ziekenhuis Amstelland veroorzaakt een groot datalek door een Whatsappgroep met honderden patiënten aan te maken. Hij overtreedt daarmee de AVG, schendt zijn medisch beroepsgeheim en een concurrentiebeding.

Tijdens de Corona crisis maken veel organisaties gebruik van Messenger applicaties als Whatsapp om te communiceren met medewerkers en klanten. Voor hen geldt hetzelfde als voor de onderwijsinstellingen in Nedersaksen. Zij zijn in overtreding.

Whatsapp voldoet zeker niet aan de AVG”

“Een van deze eisen van de AVG is dat de communicatie zo efficiënt mogelijk moet zijn”, zegt Thiel. “WhatsApp voldoet zeker niet aan deze eis. Al tijdens de registratie worden alle contactgegevens die in de telefoon van de gebruiker zijn opgeslagen, doorgegeven aan de provider.”

Volgens Thiel bestaat hiervoor geen wettelijke basis en kunnen de personen die in de telefoon van de gebruiker zijn opgeslagen niet instemmen met of bezwaar maken tegen de overdracht van gegevens.

“Er zijn aanzienlijk meer databesparende messengers op de markt die dezelfde communicatiemogelijkheden bieden. Ik roep het Ministerie van Onderwijs dan ook op om serieus na te denken over alternatieven voor WhatsApp en om scholen te informeren over de resultaten van dit onderzoek, zodat zij gebruik kunnen maken van privacy-vriendelijke diensten.”

Volgens Thiel had dit al enige tijd geleden moeten gebeuren, want zij heeft in het verleden herhaaldelijk haar bezorgdheid geuit over WhatsApp. “Ik zal het ministerie ook direct informeren over mijn standpunten”, kondigt Thiel aan en voegt eraan toe: “Het is zeer betreurenswaardig dat docenten en studenten nu in eerste instantie geen gebruik kunnen maken van gegevensbeschermingsvriendelijke messengers in tijden van crisis.”

Veel cookiebanners van mediasites voldoen niet aan de AVG. Richtlijnen zijn aangescherpt

Op 5 mei 2020 heeft het Europees Comité voor gegevensbescherming (EDSA) de richtlijnen voor toestemming voor het gebruik van cookies geactualiseerd.

De EDSA stelt dat deze actualisering bedoeld is om juridische duidelijkheid te verschaffen over met name twee fenomenen:

  • De geldigheid van de door de betrokkene gegeven toestemming bij interactie met zogenaamde “cookie-walls”.
  • De veronderstelde toestemming die wordt gegeven door het scrollen op een website.

Internetgebruikers zullen waarschijnlijk merken dat de voorheen gebruikelijke, smalle cookie-meldingen op websites, die meestal met een “Ok” konden worden weggeklikt, geleidelijk aan plaats maken voor zogenaamde “cookie-inhoudsbanners”.

Deze paradigmaverschuiving is waarschijnlijk te wijten aan de interpretatie van de Algemene Verordening Gegevensbescherming (AVG) door de toezichthoudende autoriteiten van de jurisprudentie van het Europese Hof van Justitie (arrest Planet49).

Veel websitebeheerders vragen nu nog via een cookiebannee aan bezoekers of zij akkoord gaan met cookietracking om “de gebruikerservaring te verbeteren” met enkel een “Ja”-knop en niet met een “Nee/Weigeren”-knop.

In plaats daarvan kan de onwillige gebruiker slechts op een “Instellingen” knop klikken, waarachter uitgebreide tekst – die hem vaak niet zal interesseren – en aankruisvakjes verborgen zijn.

De meeste websites voldeden tot dusver gewoon niet aan de AVG. Terwijl artikel 7, lid 3, zin 3 AVG, op zich toch heel duidelijk is:

“Intrekking van de toestemming moet net zo eenvoudig zijn als het geven van toestemming.”

Bij het doornemen van de EDSA-richtlijnen wordt al snel duidelijk dat die een samenvatting en verduidelijking zijn van reeds bekende vanzelfsprekende feiten, die door veel website-exploitanten niet worden gevolgd.

Internetgebruikers worden steeds vaker geconfronteerd worden met dubbelzinnige, onbegrijpelijke, verwarrende of gewoonweg vervelende cookiebanners, zoals de variant die beschreven wordt met “instellingen opslaan” in plaats van “afwijzen”.

De gepubliceerde richtlijnen moet daarom worden gezien als een poging om duidelijkheid te brengen in het ontwerp van de cookie banners en om een einde te maken aan bijzonder fantasierijke omzeilingen van de DSGVO-eisen.

Met name de zogenaamde “cookie-muren” en “toestemming door gebruik” of “toestemming door scrolling” die in de richtlijn worden behandeld, vertegenwoordigen slechts vaak voorkomende ontwerpen waarin de website-exploitanten een vermeende “toestemming” van de gebruiker krijgen om het volgen van de gebruiker te “rechtvaardigen”.

Het is dan ook niet verwonderlijk dat de richtlijnen van de EDSA inhoudelijk nauwelijks vernieuwingen bevatten.

De bijgewerkte richtlijnen maken nogmaals duidelijk dat toestemming niet kan worden afgedwongen.

Weg met de koekjesmuren

De grootste verandering is de expliciete verklaring dat “cookie walls” regelmatig voorkomen dat effectieve toestemming wordt verkregen. De EDSA stelt dat de toegang tot een webservice niet afhankelijk mag worden gemaakt van toestemming voor het plaatsen van zogenaamde cookies.

Met name veel mediasites blokkeren de toegang tot artikelen door een paginagrote banner voor de neus van de lezer te plaatsen, met de mogelijkheid om ofwel tracking te accepteren (“Lees meer met reclame”) of een abonnement te nemen. Deze gang van zaken is echter in strijd met de AVG.

Geen impliciete toestemming door scrollen

Met betrekking tot de vermeende toestemming door het gebruik van de website of het scrollen, zoals vaak te vinden in oudere cookiewetgevingen, stelt de EDSA in het kort:

“Acties zoals scrollen of vegen door een website of soortgelijke gebruikersactiviteiten voldoen in geen geval aan de eis van een duidelijke en positieve actie”.

Ook dit is eigenlijk een vanzelfsprekendheid, die uit overweging 32 van de AVG zou moeten blijken: “Toestemming moet worden gegeven door middel van een duidelijk bevestigend besluit…”

Of de herziene EDSA-richtlijn zal leiden tot meer juridisch conforme toestemming op het internet is nog maar de vraag. Veel organisaties houden zich weloverwogen niet aan de wet, omdat zij weten dat er amper gecontroleerd wordt en de kans op boetes klein is.

Veel op WordPress gebaseerde populaire online leerplatformen zijn zo lek als een mandje

Check Point® Software Technologies Ltd. waarschuwt leraren, leerlingen en studenten wereldwijd voor beveiligingslekken in online leeromgevingen die gebruik maken van de populaire WordPress plug-ins LearnPress, LearnDash en LifterLMS.

De plugins worden gebruikt door vele gerenommeerde universiteiten en worden ingezet op meer dan 100.000 leerplatforms.

In verband met de Corona crisis ontwikkelen momenteel veel organisaties eigen online leeromgevingen waarbij uit kostenbesparingen vaak gebruik gemaakt wordt van het gratis cms WordPress en gratis plug-ins als LearnPress, LearnDash en LifterLMS.

Zowel gebruikers als cybercriminelen kunnen de kwetsbaarheden uitbuiten om persoonlijke informatie te stelen, geld te incasseren en de toegangsrechten van een lerarenaccount te misbruiken.

Dit laatste zou het mogelijk maken om de eigen cijfers en die van anderen te veranderen, certificaten te vervalsen en antwoorden op vragenlijsten op te vragen. Deze kwetsbaarheid is zelfs al enige tijd bekend en is geregistreerd als CVE-2020-11511.

Pluigins voor elke WordPress-website

De kwetsbaarheden zijn gevonden in de WordPress plug-ins LearnPress, LearnDash en LifterLMS. Elk van deze plugins kan van elke WordPress-website een volledig functioneel en eenvoudig te gebruiken Learning Management System (LMS) maken.

LearnPress

Plugin die cursussen met quizzen en lessen maakt terwijl de studenten zich door het curriculum bewegen. Het wordt alleen al in de VS in meer dan 21.000 scholen gebruikt en heeft meer dan 80.000 installaties.

LearnDash

Plugin die tools biedt voor het distribueren van content, het verkopen van cursussen, het belonen van leerlingen en het activeren van triggers op basis van acties. Meer dan 33.000 websites gebruiken LearnDash, waaronder veel van de Fortune 500-bedrijven, evenals de Universiteit van Florida, de Universiteit van Michigan en de Universiteit van Washington.

LifterLMS

Plugin die voorbeeldcursussen, voorbeeldvragen, certificaten en een volledig geconfigureerde website biedt. Meer dan 17.000 websites maken gebruik van deze plugin, waaronder WordPress-agentschappen en -opvoeders, evenals verschillende scholen en onderwijsinstellingen.

“Studenten en leerlingen die zich inschrijven op e-learning sites weten misschien niet hoe gevaarlijk dit kan zijn”, zegt Christine Schönig, Regional Director Security Engineering CER van Check Point Software Technologies.

“Onze veiligheidsonderzoekers hebben aangetoond dat hackers het hele platform gemakkelijk kunnen overnemen. Hoge onderwijsinstellingen en veel online academies vertrouwen op de door ons onderzochte systemen om hun online cursussen en trainingen uit te voeren. We dringen er bij de relevante onderwijsinstellingen op aan om overal de nieuwe versies van de platforms en plug-ins te installeren om de veiligheidsgaten te dichten. We raden alle gebruikers ook aan om voorzichtig te zijn bij het gebruik van de programma’s.”

Voldoet digitaal thuisonderwijs wel aan de Algemene Verordening Gegevensbescherming?

Veel ouders, docenten, leerlingen en studenten maken zich zorgen over persoonsgegevens die worden verzameld bij digitaal thuisonderwijs tijdens de coronacrisis.

Dit blijkt uit de grote hoeveelheid signalen die de Autoriteit Persoonsgegevens (AP) hierover ontvangt. De AP deelt deze zorgen en gaat daarom bij onderwijsinstellingen na of zij de privacy wel goed op orde hebben.

Ouders en studenten vragen zich bijvoorbeeld af of de systemen die scholen gebruiken om te videobellen wel veilig zijn, of gegevens niet in verkeerde handen kunnen vallen en wat er precies met al die gegevens gebeurt.

Thuisonderwijs tijdens corona

Nederland heeft ongeveer 2 miljoen leerlingen en studenten. Een groot deel van hen krijgt op dit moment thuis les via beeldbellen. Of maakt thuis tentamens of toetsen onder toezicht van een webcam.

Onderwijsinstellingen hebben hiervoor onder grote druk technische maatregelen moeten nemen. Zodat leerlingen en studenten ook tijdens de coronacrisis goed onderwijs krijgen.

Wat zeggen de gegevens?

Er is veel informatie te halen uit de beelden die bij beeldbellen en proctoring (digitaal surveilleren) worden verzonden naar onderwijsinstellingen of medestudenten.

Allereerst over hoe leerlingen of studenten presteren, hoe zij zich gedragen en hoe het is gesteld met hun concentratie. Maar bijvoorbeeld ook over religieuze uitingen of wat gezinsleden doen die in de achtergrond zichtbaar zijn.

In tegenstelling tot in de normale lespraktijk, kunnen deze observaties nu makkelijk worden opgeslagen en verspreid.

Let op bij digitaal surveilleren

Sommige onderwijsinstellingen maken gebruik van proctoring. Hierbij monitoren zij online leerlingen of studenten tijdens een toets of tentamen.

De leerlingen of studenten moeten bijvoorbeeld foto’s maken van de ruimte waar zij zijn.

Verder kijkt de onderwijsinstelling mee op hun scherm, registreert deze toetsaanslagen en houdt deze via een of meerdere webcams hun gedrag in de gaten. Soms moet een leerling of student hier aparte software voor installeren.

Met een dergelijk systeem kan volgens veel en gevoelige informatie worden verzameld en verwerkt. Daarom moeten onderwijsinstellingen zich afvragen of al deze gegevens daadwerkelijk noodzakelijk zijn. En of er geen andere manier is om examenfraude te bestrijden, die minder impact heeft op leerlingen en studenten.

Onderwijsinstelling verantwoordelijk

Als onderwijsinstellingen beeldbellen en/of proctoring gebruiken, zijn zij verantwoordelijk zijn voor de verwerking van persoonsgegevens. Dat bepaalt de privacywetgeving. Daarom moeten onderwijsinstellingen hoge eisen stellen aan de leveranciers van deze systemen.

Het systeem mag niet meer gegevens verwerken dan noodzakelijk en deze gegevens mogen niet langer worden bewaard dan noodzakelijk.

Verder moeten onderwijsinstellingen hun leerlingen, studenten, docenten en de ouders van minderjarige kinderen informeren over hoe hun persoonsgegevens worden beschermd.

De AP heeft dit onderstreept richting de onderwijskoepels. Daarnaast gaat de AP bij onderwijsinstellingen na of zij voldoende werk maken van het beschermen van de privacy van hun leerlingen of studenten. Zij moeten aantonen hoe zij dit doen. Daarna bekijkt de AP of vervolgstappen nodig zijn.

Het is belangrijk deze check te doen. Leerlingen en studenten moeten er namelijk op kunnen vertrouwen dat hun onderwijsinstelling zorgvuldig met hun (gevoelige) informatie omspringt.

‘Geen ondergeschoven kind’

“Alle leerlingen moeten zonder stempel kunnen opgroeien”, zegt bestuurslid Katja Mur van de Autoriteit Persoonsgegevens. “Hun privacy is van groot belang en wordt extra beschermd in de privacywetgeving. Onveilige oplossingen kunnen risico’s opleveren voor de toekomst van leerlingen. Deze dataverwerking mag geen ondergeschoven kind van de coronacrisis worden. Wij wijzen onderwijsinstellingen er daarom op zorgvuldige keuzes te maken en ondersteunen hen hierin met een aantal tips.”