Selecteer een pagina

1,5 miljoen klanten Nederlandse Loterij moeten hun wachtwoord wijzigen

Ruim 1,5 miljoen klanten van de Nederlandse Loterij hebben via e-mail het verzoek gekregen om hun wachtwoord te wijzigen. Het gaat om klanten die online onder meer meespelen in de Staatsloterij, Lotto, Toto en EuroLoterij.

Recent hebben er volgens de Nederlandse Loterij verdachte inlogpogingen plaatsgevonden op bijna 12.000 accounts van spelers. Nederlandse Loterij heeft de accounts direct geblokkeerd en de desbetreffende klanten hierover geïnformeerd met het verzoek om een nieuw, uniek en sterk wachtwoord aan te maken.

De cyberaanvallen zijn door Nederlandse Loterij gemeld bij de Autoriteit Persoonsgegevens en de Kansspelautoriteit. Daarnaast doet Nederlandse Loterij aangifte bij de politie en vraagt haar spelers dat laatste ook te overwegen.

Sinds de coronamaatregelen van kracht zijn, zegt de Nederlandse Loterij een toename van verdachte inlogpogingen op accounts van klanten te zien.

Bij de inlogpogingen wordt gebruikt gemaakt van credential stuffing. Hierbij misbruiken internetcriminelen elders gestolen inloggegevens en proberen daarmee in te loggen.

Een uniek en sterk wachtwoord helpt om te voorkomen dat internetcriminelen slagen in hun pogingen. De Nederlandse Loterij verzoekt klanten daarom om hun wachtwoord te wijzigen.

Internetcriminelen hebben geen toegang gehad tot de persoonlijke Wallet en er is geen (prijzen)geld buitgemaakt. Wel hebben internetcriminelen persoonlijke gegevens kunnen inzien.

“We doen er alles aan om de persoonlijke gegevens van onze klanten zo goed mogelijk te beschermen”, meldt woordvoerder Sander van de Voore van de Nederlandse Loterij. “Klanten spelen hierin zelf ook een belangrijke rol. Bijvoorbeeld door het gebruik van unieke en sterke wachtwoorden voor online account.”

200 beroemde artiesten slachtoffer van hack bij advocatenkantoor Grubman Shire Meiselas & Sacks

Cybercriminelen hebben de privégegevens van U2, Drake, Barbra Streisand, Madonna, Lady Gaga, Elton John en Robert De Niro in handen. Ze hebben advocatenkantoor Grubman Shire Meiselas & Sacks gehackt en eisen nu losgeld, meldt BBC News.

“We hebben onze cliënten en het personeel inmiddels ingelicht”, zegt een woordvoerder van het Amerikaanse advocatenkantoor. Er zijn inmiddels experts ingeschakeld om de juristen bij te staan.

De hackers zouden ruim 750 gigabyte aan data hebben bemachtigd, waaronder contracten en privémails. Online deelden ze enkele screenshots van het contract voor Madonna’s recentste wereldtournee.

Het kantoor Grubman Shire Meiselas & Sacks vertegenwoordigt meer dan tweehonderd beroemdheden.

De website van Grubman Shire Meiselas & Sacks is momenteel niet bereikbaar.

Autoriteit Persoonsgegevens onderzoekt of TikTok aan de privacywet voldoet

De Autoriteit Persoonsgegevens (AP) onderzoekt of de privacy van Nederlandse kinderen voldoende gewaarborgd is in de populaire muziekapp TikTok. Dat meldt de toezichthouder op zijn website.

Volgens de Autoriteit Persoonsgegevens worden kinderen beschouwd als extra kwetsbare groep omdat zij zich juist ook bij bij de verwerking van hun persoonsgegevens door sociale media minder bewust zijn van de gevolgen van hun handelen.

“We zien dat ontzettend veel Nederlandse kinderen met veel plezier gebruikmaken van TikTok”, schrijft voorzitter Monique Verdier van de Autoriteit Persoonsgegevens. “We doen onderzoek naar de vraag of deze app privacyvriendelijk is ontworpen en ingericht.”

De AP gaat kijken of de informatie die de app geeft over het installeren en gebruiken van de app goed te begrijpen is en of TikTok voldoende uitleg geeft over de verzameling, verwerking en het verdere gebruik van persoonsgegevens.

Ook onderzoekt de Nederlandse toezichthouder of toestemming van ouders vereist is wanneer TikTok persoonsgegevens van kinderen verzamelt, opslaat en verder gebruikt.

Whatsapp voldoet volgens toezichthouders nog altijd niet aan de AVG. Mag niet gebruikt worden

Voldoet Whatsapp aan de eisen van de AVG? De artikelen over Whatsapp op PrivacyZone worden sinds de Europese privacywet in 2018 van kracht werd dagelijks het meest gelezen. Het antwoord is nog altijd: nee!

Barbara Thiel, toezichthouder van de Duitse deelstaat Nedersaksen, heeft onderwijsinstellingen deze week opdracht gegeven te stoppen met Whatsapp. Zij reageerde op een richtlijn van het Nedersaksische ministerie van Onderwijs en Culturele Zaken voor scholen in de Corona-tijd. Volgens deze richtlijn zouden docenten en leerlingen tijdelijk gebruik mogen maken van WhatsApp voor onderlinge communicatie.

Thiel benadrukt dat zij als toezichthouder het gebruik van WhatsApp op scholen niet heeft aanbevolen of goedgekeurd. Hetzelfde geldt voor haar collega toezichthouders in 15 andere Duitse deelstaten. Duitsland telt in totaal 17 toezichthouders.

Omdat de Algemene Verordening Gegevensbescherming een Europese wet is gelden de standpunten van de Duitse toezichthouders ook in de rest van Europa. De Nederlandse Autoriteit Persoonsgegevens (AP) heeft ook regelmatig op Europees niveau overleg met andere toezichthouders.

Veel ondernemers worstelen met het AVG-dilemma Whatsapp op zakelijke telefoons. Wat privé wel mag is zakelijk een overtreding van de privacywet.

De scholen moeten met spoed goedgekeurde alternatieve messengers gaan gebruiken. Die zijn er volgens de toezichthouder voldoende.

“In het verleden ben ik altijd heel duidelijk tegen het gebruik van WhatsApp op scholen geweest,” zegt Thiel. “Dit standpunt is nog steeds geldig en is ook in overeenstemming met het standpunt van andere functionarissen voor gegevensbescherming.”

Whatsapp voldoet dus niet aan de Europese privacywet. Nog steeds niet, zou je kunnen zeggen. Want sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) op 25 juni 2018 heeft moederbedrijf Facebook toch meer dan voldoende tijd gehad om Whatsapp aan te passen.

Een ex-KNO-arts van ziekenhuis Amstelland veroorzaakt een groot datalek door een Whatsappgroep met honderden patiënten aan te maken. Hij overtreedt daarmee de AVG, schendt zijn medisch beroepsgeheim en een concurrentiebeding.

Tijdens de Corona crisis maken veel organisaties gebruik van Messenger applicaties als Whatsapp om te communiceren met medewerkers en klanten. Voor hen geldt hetzelfde als voor de onderwijsinstellingen in Nedersaksen. Zij zijn in overtreding.

Whatsapp voldoet zeker niet aan de AVG”

“Een van deze eisen van de AVG is dat de communicatie zo efficiënt mogelijk moet zijn”, zegt Thiel. “WhatsApp voldoet zeker niet aan deze eis. Al tijdens de registratie worden alle contactgegevens die in de telefoon van de gebruiker zijn opgeslagen, doorgegeven aan de provider.”

Volgens Thiel bestaat hiervoor geen wettelijke basis en kunnen de personen die in de telefoon van de gebruiker zijn opgeslagen niet instemmen met of bezwaar maken tegen de overdracht van gegevens.

“Er zijn aanzienlijk meer databesparende messengers op de markt die dezelfde communicatiemogelijkheden bieden. Ik roep het Ministerie van Onderwijs dan ook op om serieus na te denken over alternatieven voor WhatsApp en om scholen te informeren over de resultaten van dit onderzoek, zodat zij gebruik kunnen maken van privacy-vriendelijke diensten.”

Volgens Thiel had dit al enige tijd geleden moeten gebeuren, want zij heeft in het verleden herhaaldelijk haar bezorgdheid geuit over WhatsApp. “Ik zal het ministerie ook direct informeren over mijn standpunten”, kondigt Thiel aan en voegt eraan toe: “Het is zeer betreurenswaardig dat docenten en studenten nu in eerste instantie geen gebruik kunnen maken van gegevensbeschermingsvriendelijke messengers in tijden van crisis.”

Waarom beboeten Europese toezichthouders wel ziekenhuizen en geen multinationals als Facebook, Google en Amazon?

Om te voorkomen dat de Algemene Verordening Gegevensbescherming (AVG) een tandeloze tijger is, zijn gretige toezichthouders nodig die niet terugdeinzen voor handhaving van de Europese privacywetgeving. Maar helaas laten vrijwel alle Europese toezichthouders het afweten, concludeert Brave Software Inc.

Brave Software Inc. is het bedrijf dat verantwoordelijk is voor de privacyvriendelijke browser Brave. Deze browser helpt gebruikers pro actief te voorkomen dat internetbedrijven als Google, Facebook, Amazon en Microsoft, en internetcriminelen, ongewenst privacygevoelige informatie kunnen verzamelen.

Brave doet wat sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) eigenlijk iedere browser standaard zou moeten doen. Gebruikers beschermen. Maar de meest gebruikte browser – Google Chrome – heeft bijvoorbeeld andere commerciële belangen. En Google komt daarmee vooralsnog weg.

Eigenlijk zou nu iedere organisatie die de AVG overtreedt door de Autoriteit Persoonsgegevens (AP) moeten worden bestraft. Zoals horecabedrijven en jongeren die zich niet houden aan de Corona voorschriften. Zoals automobilisten die te hard rijden of fout parkeren ook genadeloos worden gestraft. Genadeloos lik op stuk. Maar dat gebeurt niet.

Volgens Brave Software Inc. doen de Europese toezichthouders zelfs nauwelijks iets. Ze zijn tandeloze tijgers. Fout parkeren en te hard rijden loont bij grote Internationals.

Waarom moeten ziekenhuizen wel torenhoge boetes betalen?

De toezichthouders hebben ondertussen wel snel en genadeloos gereageerd op overtredingen in de zorg. Ziekenhuizen in Duitsland, Portugal en Nederland moesten honderdduizenden Euro boete betalen omdat ziekenhuispersoneel zich niet aan de privacyregels had gehouden.

Waarom zijn kwetsbare zorginstellingen meteen keihard aangepakt, terwijl steenrijke multinationals die doelbewust de privacywet overtreden nog steeds vrijuit gaan?

Bijna alle toezichthouders in de EU beschikken volgens Brave Software Inc. niet over de dringend noodzakelijke middelen – zowel financieel, als personeel – om goed te kunnen functioneren. Waarom? Staatsfalen.

Om de Europese Commissie tot actie aan te zetten, heeft Brave Software Inc. onlangs een klacht ingediend en een helder onderzoek vol onderbouwde aantijgingen gepubliceerd.

Het rapport is een grote aanval op de lidstaten die het toezicht op de gegevensbescherming verwaarlozen.

Dr. Johnny Ryan, Chief Policy & Industry Relations Officer van Brave, gebruikt in zijn onderzoek veel grafieken om te illustreren dat de EU-lidstaten hun regelgevende instanties niet voorzien van voldoende financiële en personele middelen. De enige uitzondering: Duitsland.

Op 27 april 2020 diende Ryan een klacht in bij de Europese Commissie, waarin hij eiste dat zij een inbreukprocedure zou inleiden tegen 26 lidstaten die zich niet houden aan de afspraken die zijn vastgelegd in de Europese privacywetgeving.

Waarom pakken toezichthouders van Ierland en Luxemburgs Facebook en Amazon niet aan?

Terwijl kleine bedrijven in de hele EU nauwgezet worden gecontroleerd op de naleving van de wetgeving inzake gegevensbescherming, sluiten de Ierse en Luxemburgse toezichthouders volgens Brave Software Inc. de ogen voor de gegevenshooligans Facebook, Google en Amazon die op grote schaal de AVG overtreden en daar twee jaar na invoering van de wet nog altijd niet voor zijn aangepakt.

Brave heeft inmiddels een klacht tegen concurrent Google ingediend. Dat is opmerkelijk en logisch tegelijk, want Brave maakt gebruik van de techniek van de browser Google Chrome. Als Brave daarmee een goede en veilige browser kan bouwen, waarom doet Google dat dan niet ook?

Ierse Autoriteit Persoonsgegevens

De Ierse commissaris voor gegevensbescherming Helen Dixon ziet de zaken heel anders. Ze zegt in de Iris Times dat er nog een beslissing moet worden genomen over Twitter, Facebook, en Co. Raar dat haar Italiaanse collega wel al een boete van 10 miljoen euro heeft opgelegd aan Facebook.

Het kantoor van de Ierse toezichthouder zou sinds 2018 overbelast zijn door meer dan 12.000 klachten over gegevensbescherming, die allemaal moeten worden behandeld. Er zou geen twijfel over bestaan dat er boetes zouden worden opgelegd. Maar de vraag is: Wanneer?

Vrijwel alle Europese toezichthouders moeten bezuinigen

Volgens Brave Software Inc. zou het wel eens tot Sint Juttemis kunnen duren voor de internet multinationals worden aangepakt. De nu al overbelaste toezichthouders moeten namelijk in vrijwel heel Europa bezuinigen op het budget en het personeel!

De Ierse toezichthouder Helen Dixon wijst op de succesvolle interventie ten opzichte van Facebook toen deze zijn eigen dating-app wilde introduceren. Ze benadrukt:

“Er zijn veel verschillende manieren om een positief effect te creëren… Niet iedereen heeft het over boetes en het oppervlakkig commentaar dat we soms zien.”

“AVG is een fantasie“

Dat kan zo zijn. Maar een flinke boete voor de multinationals die al jarenlang parasiteren op de samenleving door illegaal privacy data te verwerken en belasting ontduiken toch ook een goed signaal afgeven.

“Als je geen sterke, robuuste handhaving en investering hebt, is deze wet een fantasie”, zegt Ryan. “Tot nu toe hebben we het potentieel van de AVG niet gerealiseerd.”

Ryan legt de verantwoordelijkheid niet neer bij de regelgevende instanties.

“Als de AVG dreigt te mislukken, ligt de schuld bij de nationale regeringen, niet bij de gegevensbeschermingsautoriteiten.”

Duidelijke woorden

Ryan heeft gelijk, want de AVG definieert duidelijk en ondubbelzinnig wat er aan de hand is. Artikel 52, lid 4, van de AVG luidt als volgt:

“Elke lidstaat zorgt ervoor dat elke toezichthoudende autoriteit beschikt over de personele, technische en financiële middelen, en de bedrijfsruimten en infrastructuur die nodig zijn voor het effectief uitvoeren van haar taken en uitoefenen van haar bevoegdheden, waaronder die in het kader van wederzijdse bijstand, samenwerking en deelname aan het Comité.”

Het is slechts één kant van de medaille om een toezichthoudende autoriteit op te richten – zonder voldoende middelen kan er geen controle plaatsvinden. Reden genoeg om de tekortkomingen waar Brave voor waarschuwde nader te bekijken.

Geen geld, geen actie

Volgens Ryan is het een schending van artikel 52, lid 4, van de AVG dat de toezichthoudende autoriteiten in 26 EU-lidstaten ondergefinancierd zijn.

Dit kan het best worden geïllustreerd aan de hand van het voorbeeld van Luxemburg. Het is de verantwoordelijkheid van de Luxemburgse toezichthoudende autoriteit om toe te zien op de tenuitvoerlegging van de wetgeving inzake gegevensbescherming bij Amazon EU S.à.r.l.

Amazon verdient iedere 10 minuten evenveel als begroting Luxemburgse toezichthouder

De begroting van de Luxemburgse gegevensbeschermingsautoriteit bedroeg in 2019 ongeveer 5,7 miljoen euro. Voor Amazon moet dit bedrag ronduit belachelijk lijken – dit is immers ongeveer het bedrag dat Amazon elke tien minuten aan de verkoop verdient!

De gegevensbeschermingsautoriteiten van de helft van alle lidstaten moeten het redden met minder dan vijf miljoen euro per jaar. Slechts drie staten (Duitsland, Italië, Verenigd Koninkrijk) hebben meer dan 25 miljoen euro budget per jaar. Ter vergelijking: volgens het Brave-rapport ontvangen de Duitse toezichthouders tussen 80 en 90 miljoen euro per jaar!

Besparing op personeel

Volgens Ryan is er ook een tekort aan personeel, vooral aan personeel met de nodige IT-expertise.

Om gecompliceerde IT-vragen op het gebied van gegevensbescherming te kunnen beantwoorden en om grote technische bedrijven te kunnen auditeren, zijn gespecialiseerde medewerkers nodig.

Gegevensbescherming en IT gaan hand in hand. Het is niet voldoende om de gegevensbescherming alleen van de juridische kant te bekijken!

Tekort aan IT-specialisten bij toezichthouders

Er is een tekort aan IT-specialisten bij de toezichthoudende autoriteiten van de EU-lidstaten. In slechts vijf lidstaten (zes als je het Verenigd Koninkrijk meetelt) zijn meer dan tien IT-specialisten in dienst van de gegevensbeschermingsautoriteiten.

Meer dan de helft van alle lidstaten heeft slechts maximaal vijf daarvan in hun toezichthoudende autoriteiten. Zeven landen hebben slechts één of twee IT-specialisten in dienst.

De cijfers voor Oostenrijk (0) en België (5), alsook voor Cyprus (2) en Letland (1) zijn zo laag omdat deze landen gebruik maken van externe IT-consultants.

De cijfers uit Duitsland zijn verbazingwekkend: op federaal en deelstaatniveau is in totaal 29 procent van het in de hele EU beschikbare personeel van de IT-toezichthouder in dienst (meer dan 100). Geen wonder dat Ryan Duitsland heeft uitgesloten van zijn klacht.

De nationale gegevensbeschermingsautoriteiten binnen de EU hebben 3520 mensen in dienst. Slechts 8,6 procent daarvan zijn IT-specialisten. Volgens Dr. Ryan vertraagt dit het onderzoek, waardoor het soms wordt verhinderd.

Als het gaat om digitalisering lijkt de EU niet alleen achter te lopen op de particuliere sector, maar is ze momenteel realistisch beschouwd ook kansloos.

Multinationals hebben alle troeven in handen

Uiteindelijk hebben de gecontroleerde, vaak multinationale ondernemingen gewoon de betere kaarten – de strijd tegen de grote dataslurpers is als de David tegen Goliath met een omgekeerde uitkomst.

Facebook, Google en Co. hebben legioenen advocaten in dienst. Het is begrijpelijk dat de eenzame strijder bij de autoriteiten nauwelijks succes heeft. Hoe dan, financieel ongewapend?

In veel gevallen durven de regelgevende instanties niet eens de grote technische bedrijven te benaderen uit angst dat hun maatregelen worden aangevochten. Eeuwige correspondentie, lange juridische procedures. De multinationale dataslurpers lachen er om. Ze hebben geld zat. Miljarden euro’s. Bij hen gaat het om ingecalculeerd risico. Ook als ze verliezen en een torenhoge boete zouden moeten betalen maken ze nog steeds winst. En ze weten ook nog eens dat de toezichthouders amper geld hebben om tegen hen te kunnen procederen.

Bovendien behoren de administratieve juristen die voor de toezichthoudende instanties voor gegevensbescherming werken niet bepaald tot de topverdieners in de juridische wereld – de wereldwijde spelers kunnen alleen maar lachen om hun salaris. Goed personeel is niet goedkoop.

Waar leidt het allemaal naartoe?

Als de meerderheid van de toezichthoudende autoriteiten in de EU-lidstaten door een gebrek aan financiële en personele middelen wegzakken in het moeras van duizenden en duizenden klachten, is de AVG gedoemd te mislukken. Als de autoriteiten inactief blijven, hebben dataslurpers als Amazon, Facebook en Google de vrije hand. De Algemene Verordening Gegevensbescherming is dan niet meer waard dan het papier waarop ze is geschreven.

Autoriteit Persoonsgegevens (AP) legt boete van 725.000 Euro op voor gebruik van vingerscans

De Autoriteit Persoonsgegevens (AP) heeft een boete van 725.000 euro opgelegd aan een bedrijf voor het onrechtmatig afnemen van vingerafdrukken van haar medewerkers en het gebruik van vingerscans. Het is de hoogste boete die de AP tot dusver heeft opgelegd.

Het HagaZiekenhuis in Den Haag kreeg op 16 juli 2019 als eerste organisatie in Nederland een forse boete van 460.000 euro opgelegd.

Het Haagse ziekenhuis kwam in opspraak toen bleek dat 85 medewerkers het patiëntendossier hadden ingezien van Samantha de Jong, bekend als realityster Barbie.

Tijdregistratie met vingerafdruk

Op 5 juli 2018 ontving de AP een melding dat een bedrijf werknemers verplicht had om hun vingerafdruk te laten scannen. Uit de melding bleek dat werknemers met behulp van een vingerafdruk in- en uit moesten klokken.

Naar aanleiding van dit signaal is de AP eind oktober 2018 een onderzoek gestart naar de naleving door van artikel 9 van de Algemene verordening gegevensbescherming (AVG). Dit artikel gaat onder meer over het verbod op de verwerking van biometrische gegevens, zoals een vingerafdruk.

De AP heeft daarom onder meer een onderzoek ter plaatse bij het bedrijf verricht.

Gebruik biometrische gegevens is verboden

Het waarborgen van de privacy van een individu is van groot belang bij de inzet van biometrie. Biometrische gegevens, zoals een vingerafdruk, zijn namelijk bijzondere persoonsgegevens in de zin van artikel 9 AVG. Dit zijn persoonsgegevens die door hun aard bijzonder gevoelig zijn omdat de verwerking ervan significante risico’s kan meebrengen voor de grondrechten en de fundamentele vrijheden van mensen.

Unieke lichaamskenmerken zoals een vingerafdruk zijn bovendien te herleiden naar één individu. Ook bevatten biometrische gegevens vaak meer informatie dan strikt noodzakelijk is voor bijvoorbeeld identificatie.

Het verwerken van biometrische persoonsgegevens verdient volgens de AP specifieke bescherming. Op grond van artikel 9 AVG is de verwerking van biometrische gegevens daarom verboden, tenzij een van de limitatief opgesomde uitzonderingen van artikel 9, lid 2, AVG zich voordoet.

Privacy First fel tegen iedere Corona surveillance app

Privacy First schrijft in een opiniestuk in de Telegraaf “fel tegen iedere Corona surveillance-app te zijn en al zeker tegen een die het medisch beroepsgeheim ondermijnt.”

“Een mobiel EPD (elektronisch patiëntendossier) waarin iedere burger een potentiele verdachte is en tevens en masse alle bewegingen worden nagegaan, levert in onze ogen schijnverdenkingen en -zekerheden op, verdachtmakingen, stigmatisering en zelfcensuur”, schrijft Privacy First. “Dit vormt een enorme inbreuk op ieders bewegingsvrijheid, om nog maar niet te spreken van datalekken en hacking.”

Stichting Privacy First is opgericht in 2008. Het statutaire doel van Privacy First luidt als volgt: Het behouden en bevorderen van het recht op privacy, alsmede de persoonlijke vrijheid van leefomgeving, op welke wijze dan ook, onder meer door het in rechte optreden voor alle burgers in Nederland ter bescherming van dit algemene belang; en het verrichten van al hetgeen met voornoemd doel in de ruimste zin verband houdt of daartoe bevorderlijk kan zijn.

Tevens zal het volgens Privacy First niet bij deze app blijven. “Er zijn meer (toekomstige) ziekten en gedrag in kaart te brengen. En waarom dan niet meteen het hele dossier, gekoppeld aan triage? De geschiedenis leert dat dit soort maatregelen nooit worden teruggedraaid en alleen maar worden uitgebreid.”

“In ons rechtssysteem is het heel simpel”, zegt Privacy First. “We gaan uit van legitieme doelbinding, oftewel: wat is het probleem, wat is het doel en hoe kunnen we dit bereiken?”

“De eerste vraag kunnen we al niet beantwoorden; we meten namelijk vrijwel niet. De bevolking wordt dagelijks angst aangejaagd op basis van zeer selectieve cijfers inzake intensivecare-opnames en sterfgevallen. De totale besmette populatie is onbekend en het aantal mensen dat geneest wordt niet gerapporteerd.”

“Wat we hier zien is een crisis aangejaagd door emotie bij gebrek aan cijfers. En dan is een app de oplossing? Waarvoor precies?”

Naast doelbinding zijn volgens de Algemene Verordening Gegevensbescherming (AVG) noodzaak en proportionaliteit (is er een redelijke verhouding tussen het middel en het doel?) cruciaal. “In deze crisis is het grootste probleem een capaciteitsprobleem in de gezondheidszorg. Dan lijkt me duidelijk waar de aandacht naartoe moet gaan: capaciteitsuitbreiding met man en macht”, stelt voorzitter Bas Filippini,
van Privacy First.

“Mensen, ic-bedden, mondkapjes, kleding, beademingsapparatuur et cetera. En natuurlijk testcapaciteit voor de gehele bevolking, zowel op infectie als op antilichamen. Zo komen we tot feiten en het vaststellen van het echte probleem. Volgens de laatste schattingen heeft 95% van onze bevolking helemaal niets en die zou nu continu met een app gecontroleerd moeten worden?”

Een ander vereiste in de AVG is subsidiariteit: wat zijn de alternatieve oplossingen voor een dergelijke horror-app, die alleen maar leidt tot meer angst en wantrouwen? Welke privacyvriendelijke alternatieven zijn er?

“Onze overheid krijgt nu vanuit vertrouwen zes weken de tijd om zijn zaakjes op orde te krijgen en de burger heeft daarom het recht om iets terug te krijgen. Welke behandelmethoden en testmiddelen zijn reeds voorhanden die de burger weer vertrouwen kunnen geven?”, zegt Filippini.

“Alle opties dienen te worden onderbouwd met cijfers. En testen kan gewoon via ons huidige gezondheidssysteem, dus via de huisarts. Niks nieuws onder de zon. Indien iemand besmet getest wordt, kan die in overleg met de huisarts of wellicht de GGD zelf actie ondernemen. Via dezelfde huisarts kan een burger natuurlijk altijd op basis van vrijwilligheid medische gegevens delen (eventueel via een privacyvriendelijke app) om anderen te helpen in het vinden van de beste behandelmethode. Uit onze analyse blijkt echter dat anonieme apps vrijwel onmogelijk zijn.”

De conclusie van de voorzitter van Privacy First: “Dus fix the fundamentals, test en los het echte probleem op in plaats van apps te bouwen. Dan kunnen we op 28 april weer aan het werk en applaudiseren voor alle ondernemende Nederlanders die deze operatie uiteindelijk financieren.”

Gepubliceerd in de zaterdageditie van De Telegraaf, 11 april 2020: https://www.telegraaf.nl/watuzegt/805422902/de-kwestie-zijn-corona-apps-een-zegen-of-een-vloek.

Inzage medisch dossier mag alleen met toestemming patiënt

Artsen op de huisartsenpost of spoedeisende hulp mogen alleen met toestemming van coronapatiënten het medisch dossier bij hun huisarts inzien via een elektronisch uitwisselingssysteem. Wie nog geen toestemming heeft gegeven, kan dat ter plekke doen. Dat mag in dit geval ook mondeling. Alleen als een patiënt niet in staat is om toestemming te geven, is inzage zonder toestemming toegestaan.

De Autoriteit Persoonsgegevens (AP) heeft dit laten weten in een brief aan de minister van Medische Zorg. De minister is bezig met een regeling voor tijdens de coronacrisis.

Dit plan moet het mogelijk maken om zonder expliciete toestemming van patiënten medische dossiers te raadplegen via elektronische uitwisselingssystemen, zoals het Landelijk Schakelpunt (LSP).

Aanleiding: beoordeling patiënten

Patiënten komen tijdens de coronacrisis vaak bij een andere arts terecht dan hun eigen huisarts. Bijvoorbeeld op de huisartsenpost of de spoedeisende hulp.

Die arts moet vervolgens beoordelen welke behandeling de patiënt nodig heeft. Hiervoor moet de arts weten of de patiënt een verhoogd risico loopt door bijvoorbeeld hartproblemen. Deze medische informatie staat in het dossier van de huisarts.

Die beoordeling gaat nu te langzaam, stelt de minister. Dat komt omdat artsen het medisch dossier van een deel van de patiënten niet via een elektronisch uitwisselingssysteem kunnen bekijken.

Dit mag namelijk alleen als een patiënt hiervoor vooraf schriftelijk toestemming heeft gegeven. Er is een groep patiënten die nooit een keuze heeft gemaakt. En dus geen toestemming heeft gegeven of geweigerd.

Privacy patiënten respecteren

De AP begrijpt de wens om de regels te versoepelen. Tegelijkertijd wijst de AP erop dat óók tijdens crisistijd de privacy van patiënten wel moet worden gerespecteerd.

Medische gegevens zijn gevoelige, zeer persoonlijke informatie. Op die gegevens rust het medisch beroepsgeheim van de arts. Patiënten moeten erop kunnen vertrouwen dat zorgaanbieders uiterst zorgvuldig met hun medische gegevens omgaan.

Gevolgen voor patiënten

Door het plan van de minister verandert er niets voor mensen die al toestemming hebben gegeven of juist toestemming hebben geweigerd. In beide gevallen blijft die keuze gerespecteerd.

Daarnaast is er een grote groep mensen die nog geen keuze heeft doorgegeven. Het voorstel van de minister maakt het mogelijk dat hun medische gegevens kunnen worden uitgewisseld zonder dat zij daarvoor toestemming hebben gegeven. Het gaat daarbij niet om hun hele medische dossier, maar alleen om de professionele samenvatting.

De AP vindt dat acceptabel. Maar wel vindt de AP dat die patiënten in plaats daarvan ter plekke, op de huisartsenpost of spoedeisende hulp, toestemming moeten kunnen geven om daadwerkelijk hun medisch dossier bij de huisarts te raadplegen. Dit kan ook mondeling.

Is iemand niet in staat om ter plekke toestemming te geven? Bijvoorbeeld omdat diegene bewusteloos is? Dan mag de arts zonder toestemming van deze patiënt het medisch dossier bekijken.

Nadenken over keuze

De AP raadt mensen aan om nu goed na te denken over hun keuze, voordat zij mogelijk ziek worden. Hebben mensen eerder toestemming geweigerd? Dan moeten zij zich realiseren dat zorgaanbieders hierdoor mogelijk cruciale informatie missen, mochten zij op de spoedeisende hulp terechtkomen.

Wie eerder toestemming heeft geweigerd, kan dat namelijk niet ter plekke ongedaan maken. Het is dan onmogelijk om het medisch dossier te bekijken, omdat dit niet is opgenomen in het elektronische uitwisselingssysteem.

Dus mensen die hun keuze willen wijzigen, moeten dat vooraf doen. Dit kan via de huisarts of de website Volgjezorg.

Autoriteit Persoonsgegevens is even minder streng tijdens Corona crisis

De Autoriteit Persoonsgegevens (AP) geeft overheden en bedrijven tijdens de coronacrisis ruimte om zich te concentreren op de bestrijding van corona. Zo krijgen organisaties waar nodig meer tijd om te reageren op vragen van de AP en geeft de AP initiatieven om de volksgezondheid te beschermen ruim baan. Maar de toezichthouder blijft ingrijpen waar privacy echt in gevaar is.

‘Privacy is heel belangrijk. Maar in deze crisis is de bestrijding van het virus en het redden van levens de topprioriteit’, zegt AP-voorzitter Aleid Wolfsen.

‘En op nummer twee staat het voorkomen van grote schade aan economie en maatschappij. Overheden en ziekenhuizen zijn dag en nacht in touw om te zorgen dat burgers en patiënten veilig zijn. Bedrijven zijn bezig te overleven en te zorgen dat zij banen kunnen behouden voor al hun mensen.

Daar gaan wij niet bij staan met onze vinger omhoog en de privacywetgeving onder de arm. Nederland zet de schouders eronder en wij werken en denken mee.’

Ruimte voor bestrijden crisis

De AP zal organisaties nu ruimte geven om hun volledige aandacht te besteden aan het bestrijden van de gevolgen van de coronacrisis.

Deadlines voor het aanleveren van informatie aan de toezichthouder worden opgerekt waar nodig en de AP zal de komende tijd per geval goed kijken wat passend is en wat niet.

‘Verder geven wij ruim baan aan de broodnodige initiatieven om de capaciteit van de zorg op niveau te krijgen’, zegt Wolfsen. ‘Zo klopte een zorgorganisatie bij ons aan met een plan om mensen die tot een paar jaar geleden in de zorg werkten, te benaderen om hen tijdelijk weer als arts of verpleegkundige in te zetten.

Dat lieten ze door een tussenpersoon doen en ze vroegen zich af of dit wel mag. Wij hebben meegedacht over een goede oplossing. Privacy moet goede zorg nooit in de weg zitten, zeker nu niet.’

Dat geldt ook voor het contact tussen artsen en patiënten. Wolfsen: ‘Wij krijgen vragen van huisartsen die noodzakelijke gesprekken moeten voeren met hun patiënten, maar die patiënten komen nu liever niet langs.

Veel zorgorganisaties hebben een manier om beveiligd te beeldbellen, maar sommige niet. Wij zeggen: gebruik als het echt niet anders kan consumentenapps als FaceTime of Skype. Maar wees daarbij voorzichtig: doe het alleen bij hoge uitzondering en deel via die apps zo min mogelijk gevoelige gegevens.’

‘Geen big brother-maatschappij’

Privacy blijft heel belangrijk, vindt de AP. ‘We moeten blijven opletten’, zegt Wolfsen. ‘De coronacrisis mag geen excuus worden om de privacy helemaal overboord te gooien. De crisis mag geen opmaat worden naar een big brother-maatschappij.

Het zou doodzonde zijn als we over een jaar terugkijken en zien dat we alles ongedaan hebben gemaakt wat wij op het gebied van privacy in tientallen jaren hebben opgebouwd.

De AP is er als hoeder van het grondrecht op privacy en zal ook in deze tijden ingrijpen wanneer de privacy echt in gevaar is. Daar heeft de burger recht op. Zodat iedereen straks als vrij burger in een vrij land weer vrij kan leven.’

Duits ziekenhuis moet 105.000 euro boete betalen wegens overtreding AVG

Een ziekenhuis in de Duitse deelstaat Rijnland-Palts heeft een boete van 105.000 euro geaccepteerd die is opgelegd voor verschillende overtredingen van de privacywet.

De commissaris voor gegevensbescherming van Rijnland-Palts, Dieter Kugelmann, wil met de boete het signaal af geven “dat de toezichthoudende autoriteiten voor gegevensbescherming bijzonder waakzaam zijn op het gebied van de omgang met gegevens in de gezondheidszorg”.

De schendingen van de Algemene Verordening Gegevensbescherming (AVG) kwamen aan het licht na een “verwisseling van patiënten tijdens de opname”. Als gevolg daarvan had het ziekenhuis een onjuiste factuur opgesteld, die “structurele technische en organisatorische tekortkomingen in het patiëntenbeheer” aan het licht bracht.

Kugelmann is tevreden over de inspanningen van het ziekenhuis om het beheer van de gegevensbescherming te ontwikkelen en te verbeteren. “Het is voor mij belangrijk dat er aanzienlijke vooruitgang wordt geboekt op het gebied van de bescherming van gezondheidsgegevens, gezien de bijzondere gevoeligheid van gegevens”, aldus Kugelmann.

Wie controleert of anderen mailberichten openen overtreedt mogelijk de privacywet

Wie via mailsoftware automatisch controleert of verstuurde mail door ontvangers wordt geopend overtreedt de Algemene Verordening Gegevensbescherming (AVG). Dat blijkt uit een uitspraak van de Autoriteit Persoonsgegevens (AP) naar aanleiding van een onderzoek bij de Dienst Uitvoering Onderwijs (DUO).

DUO heeft volgens de AP de Europese privacywet overtreden door met speciale software bij te houden of studenten e-mails hadden geopend.

Door in de gaten te houden of studenten e-mails hebben geopend, wist DUO zeker dat een bericht goed ontvangen en gelezen was. Het ging daarbij om mails over wijzigingen in persoonlijke situaties van scholieren.

De trackingsoftware zou gebruikt kunnen worden als bewijs in rechtszaken, als iemand beweerde nooit bericht te hebben gehad over een wijziging. Bij het openen van een mail werd een onzichtbare afbeelding geopend, waar DUO vervolgens over werd geïnformeerd.

Omdat de software herleidbare privégegevens vastlegt, is deze volgens de Autoriteit Persoonsgegevens in strijd met de Algemene Verordening Gegevensbescherming (AVG). DUO hield bijvoorbeeld het ip-adres van een mailontvanger bij, wat niet zomaar mag. Bovendien werden mailontvangers niet geïnformeerd over dat ze werden gevolgd.

Inmiddels is DUO gestopt met het gebruik van de trackingtechniek.

“Medewerkers Apple luisteren via Siri op iPhone mee tijdens seks en medische gesprekken”

De Autoriteit Persoonsgegevens (AP) in Ierland onderzoekt of de spraakassistent Siri van Apple wel conform de privacywet ingezet wordt. Dit naar aanleiding van berichtgeving in de Britse krant The Guardian.

Apple-medewerkers luisteren volgens The Guardian via de spraakassistent Siri ook mee naar persoonlijke gesprekken als er geen luisteropdracht is gegeven. Siri is via talloze apparaten van Apple, zoals ook via de speaker en Apple Watch, te benaderen.

The Guardian citeert een anonieme klokkenluider die zegt dat het gaat om gevallen waarin Siri per ongeluk wordt geactiveerd. Normaal gebeurt dat alleen als het commando ’Hey Siri’ gegeven wordt.

Apple-medewerkers luisteren volgens de l klokkenluider doorlopend mee naar zeer persoonlijke informatie van gebruikers. Seks, drugsdeals en medische gesprekken worden zo afgeluisterd.

Medewerkers maken analyses van de gesprekken en informatie om Siri beter te laten werken.

In de gebruiksvoorwaarden van Apple staat niet dat medewerkers kunnen meeluisteren naar de gesprekken die de spraakassistent met mensen heeft.

In een reactie tegen de Guardian meldt Apple dat enkele medewerkers meeluisteren en gesprekken doorsturen om de Siri-dienst nog beter te laten werken.