Selecteer een pagina

Hacker zet persoonsgegevens studenten en personeel hogeschool online

Een hacker die gegevens van studenten en medewerkers van de Hogeschool van Arnhem en Nijmegen (HAN) heeft gestolen, heeft deze op het internet gezet. Dat meldt RTL Nieuws na inzage in de gegevens.

De hacker eiste losgeld, maar de hogeschool meldde eerder dat niet te gaan betalen. Daarop besloot de persoon, die op internet de schuilnaam masterballz gebruikt, de gegevens online te zetten.

Volgens RTL Nieuws worden de gestolen gegevens nu verspreid via een populaire downloaddienst. Het is onduidelijk of de gegevens ook te koop worden aangeboden of dat criminelen ze alleen onderling met elkaar delen.

Het zou gaan om gegevens van honderdduizenden mensen, onder wie veel (oud-)studenten. Onder andere hun volledige namen, e-mailadressen, geboortedatums, telefoonnummers en woonadressen zijn uitgelekt. Ook zouden duizenden wachtwoorden zijn gestolen. Die zijn grotendeels van alumni van de HAN en niet van huidige studenten.

De hogeschool meldt op haar website nog niet te kunnen bevestigen dat de buitgemaakte data zijn gepubliceerd. Wel ligt dat “in de lijn der verwachting”. Volgend de HAN zijn er geen actuele wachtwoorden gestolen.

De school ontdekte het lek vorige week woensdag. De onderwijsinstelling heeft daarop onafhankelijke experts ingeschakeld om de zaak te laten onderzoeken. Ook heeft de HAN aangifte gedaan bij de politie en het lek gemeld bij de Autoriteit Persoonsgegevens (AP).

Kamer van Koophandel moet van Autoriteit Persoonsgegevens (AP) persoonsgegevens ZZP-ers afschermen

De woonadressen van zzp’ers moeten in het Handelsregister van de Kamer van Koophandel (KVK) worden afgeschermd. Daarvoor pleit de Autoriteit Persoonsgegevens (AP) in een advies aan demissionair staatssecretaris Mona Keijzer van Economische Zaken en Klimaat.

Adressen moeten alleen beschikbaar blijven voor bepaalde beroepsgroepen en instanties.

Op dit moment kan iedereen in het (online) register de woonadressen van zzp’ers opzoeken. Dat heeft soms tot gevolg dat mensen worden gestalkt of bedreigd.

“Je zal maar zzp’er zijn in de psychiatrie, en bang zijn dat een cliënt je thuis opzoekt”, zegt AP-voorzitter Aleid Wolfsen. “En het is toch onacceptabel als een journalist of activist denkt: ik publiceer dit artikel niet, want ik word al bedreigd en straks staan ze bij mij voor de deur.”

Ook wijst Wolfsen op het gevaar dat met de persoonsgegevens identiteitsfraude kan worden gepleegd.

De AP ziet geen noodzaak voor het openbaar houden van woonadressen. Het Handelsregister is bedoeld om mensen en bedrijven te kunnen opzoeken en zo zeker te zijn dat iemand bevoegd is namens een bedrijf te spreken of handelen.

Omdat zzp’ers dat altijd doen, gaat dat argument bij hen niet op. Bovendien beschikken bedrijven waarmee wordt samengewerkt via facturen al over de adressen van de zzp’ers.

Het systeem moet worden omgedraaid, stelt de AP aan Keijzer voor. De adressen moeten alleen nog ingezien kunnen worden door bepaalde beroepsgroepen en instanties zoals advocaten, notarissen, deurwaarders en in bepaalde gevallen journalisten.

164 oud-advocaten blijken onrechtmatig toegang te hebben tot database Kamer van Koophandel

164 oud-advocaten blijken tot voor kort onrechtmatig toegang gehad te hebben tot persoonsgegevens van bestuurders van bedrijven en organisaties die staan ingeschreven bij de Kamer van Koophandel (KvK).

92 van deze voormalige advocaten hebben ook daadwerkelijk gegevens opgevraagd nadat zij bij de Orde van Advocaten waren uitgeschreven als advocaat.

Volgens de KvK zijn er ongeveer 1.800 geautoriseerde juristen die over een geldige autorisatie voor het Handelsregister beschikken.

Het grote datalek werd door toeval ontdekt door toedoen van een oud-advocaat die persoonsgegevens van leden van de Tweede Kamer had opgevraagd.

De Kamer van Koophandel (KvK) heeft 1800 bestuurders, waaronder leden van de Tweede Kamer, per brief geïnformeerd dat hun adresgegevens door een voormalig advocaat illegaal over het onrechtmatig zijn verzameld uit de KvK-database.

Het gaat onder meer om de privéadressen van BIJ1-fractievoorzitter Sylvana Simons, van Ama Boahene, de voorzitter van de landelijke studentenvakbond LSVb, van Kamerleden van D66 en GroenLinks en van (oud-)bestuurders van DWARS, de politieke jongerenorganisatie van GroenLinks.

De ex-advocaat vroeg ook het privéadres van een oud-bestuurder van Forum van Democratie op uit de KvK-bestanden.

De advocaat, wiens identiteit de KvK niet bekend mag maken, beweert dat hij de privégegevens niet aan derden heeft doorgespeeld. Hij zou de opgevraagde adressen inmiddels gewist hebben.

De man heeft tegenover de KvK verklaard dat hij de persoonsgegevens nodig had ‘voor onderzoek naar en een beter begrip van maatschappelijke misstanden’.

De Tweede Kamerleden Sylvana Simons (BIJ1), Renske Leijten (SP), Lisa van Ginneken (D66) en Kauthar Bouchallikht (GroenLinks) hebben Kamervragen gesteld en willen een commissiedebat voeren over de gebrekkige beveiliging van het Handelsregister.

De betrapte man werd in januari uit het advocatenregister uitgeschreven, maar heeft nog tot juni afgeschermde persoonsgegevens in het Handelsregister opgevraagd. Dat hij dat deed, ontdekte de KvK na een ‘melding’, zegt een woordvoerder.

Inmiddels heeft de KvK hem de toegang tot die data ontzegd. De KvK heeft de politie op de hoogte gesteld van de inbreuk op de databank en heeft het lek ook gemeld bij de Autoriteit Persoonsgegevens.

Naar aanleiding van dit onbevoegde speurwerk in de databestanden heeft de KvK ook bekeken of alle andere advocaten die toegang hebben tot het Handelsregister nog wel op het advocatentableau staan. Dat bleek niet het geval.

Behalve advocaten hebben ook deurwaarders en notarissen toegang tot afgeschermde persoonsgegevens. Sommigen kunnen zelfs BSN-nummers opvragen.

Ook bij deze twee beroepsgroepen controleerde de KvK niet of hun autorisatie nog wel geldig is. Hun inlogcode bleef, eenmaal toegekend, in principe eeuwig geldig.

De privéadressen van oud-bestuurders van bedrijven, stichtingen en verenigingen blijft in principe voor altijd in het Handelsregister staan. Zo is daar nog steeds terug te vinden wie in de jaren negentig bestuurder was van DWARS, inclusief hun BSN-nummer en (toenmalig) woonadres.

De Kamer van Koophandel gaat nu ook de autorisaties van alle deurwaarders en notarissen natrekken. Vanaf nu zal er ook periodieke controle plaatsvinden om mensen die niet langer notaris, advocaat of deurwaarder zijn eruit te filteren.

Hackers dringen binnen bij provincie Gelderland

Bij een hack van personeelsdossiers van de provincie Gelderland zijn mogelijk gegevens in handen van derden gekomen, meldt de provincie in een persbericht. Het lek is woensdag ontdekt.

Er is aangifte gedaan bij de politie en de Autoriteit Persoonsgegevens (AP) is op de hoogte gebracht.

De provincie huurt een extern ICT-bedrijf in om alle ICT-voorzieningen te onderhouden. Dat bedrijf ontdekte woensdagavond dat er een inbraak had plaatsgevonden bij het actualiseren van personeelsdossiers.

Medewerkers van het ICT-bedrijf hebben daarop het lek inmiddels gedicht, zodat de hackers of cybercriminelen niet langer toegang hadden tot het computernetwerk van de provincie.

Veel details over de aanval ontbreken op dit moment. Zo is het onbekend wie er verantwoordelijk is voor de datadiefstal en hoe de hackers het netwerk hebben weten te infiltreren.

De provincie Gelderland kan op dit moment niet zeggen welke gegevens op straat zijn beland. Wellicht gaat het om persoonlijke gegevens van provinciemedewerkers, zoals namen, adressen, contactgegevens en andere relevante informatie.

Bij de provincie werken zo’n zestienhonderd mensen.

Er wordt nog onderzocht of en welke gegevens in handen van derden zijn gekomen, zegt de provincie. De medewerkers zijn geïnformeerd.

“Vooralsnog heeft de hack geen consequenties voor de veiligheid van andere digitale, provinciale werkzaamheden”, stelt de provincie. Een woordvoerder van de provincie zegt dat het geen aanvullende informatie wil geven over de hack.

Hacker dringt binnen in ICT systemen Gelre ziekenhuizen

Een hacker heeft gedurende drie weken meerdere pogingen gedaan om in te breken bij de computersystemen van Gelre ziekenhuizen in Apeldoorn en Zutphen.

Een van de pogingen was succesvol. Daarbij kregen de cybercriminelen toegang tot de mailbox van een medewerker met een “medisch ondersteunende functie”.

Gelre ziekenhuizen wil “vanuit beveiligingsoptiek” niet zeggen hoe het gelukt is binnen te komen in de mailbox.

Doordat de inbraakpogingen op tijd werden ontdekt, kon de schade worden beperkt, schrijft de ziekenhuisgroep op zijn eigen website.

De aanvalspogingen werden vanuit “verschillende landen” uitgevoerd. Gelre ziekenhuizen weet niet waar de aanvallers naar op zoek waren.

“Vanuit het mailaccount zijn geen gegevens verzonden of gedownload. Maar het is niet met zekerheid uit te sluiten dat de hacker mailberichten met persoonsgegevens heeft ingezien. De kans daarop is echter klein”, aldus Gelre ziekenhuizen.

De organisatie zegt dat het een melding heeft gedaan bij de Autoriteit Persoonsgegevens, maar dat er vooralsnog geen aangifte is gedaan bij de politie.

Vraag eenvoudig je persoonsgegevens op bij Tiktok, Zoom of Palantir

De Stichting SOMI dient de tot nu toe grootste Europese collectieve aanvraag van persoonsgegevens in bij tech-giganten TikTok, Zoom en Palantir. Iedereen die gebruik maakt van een van deze drie diensten kan zich bij de aanvraag aansluiten.

Deelname gaat eenvoudig via de SOMI app die kan worden gedownload in de Apple App Store, via Google Play, of via https://datarequests.somi.nl/.

SOMI heeft een app gemaakt waarmee de opgevraagde persoonsgegevens, volledig volgens privacywetgeving, inzichtelijk worden gemaakt voor consumenten.

SOMI vraagt de persoonsgegevens namens haar deelnemers op als onderdeel van het onderzoek naar de mogelijke schending van de AVG door de internationale bedrijven.

De aangeleverde data wordt volgens een overzichtelijk format gepresenteerd, zodat de consument begrijpt welke data van hem of haar is opgeslagen, hoe hun data door de tech-giganten wordt gebruikt en hoe deze informatie kan worden aangepast of gewist.

De AVG schrijft voor dat Europese bedrijven verplicht zijn op verzoek inzage te geven in opgeslagen persoonsgegevens.

TikTok, Zoom en Palantir moeten – in overeenstemming met AVG-richtlijnen – binnen een maand aan het verzoek om inzage in persoonsgegevens voldoen.

Bovendien moet duidelijk worden aangegeven hoe de persoonsgegevens worden opgeslagen en met wie ze worden gedeeld.

De eerste collectieve aanvraag wordt vandaag namens 65.000 deelnemers ingediend bij TikTok, Zoom en Palantir.

Op woensdag 11 augustus zal een tweede aanvraag worden ingediend namens nieuwe deelnemers.

Wanneer de bedrijven niet meewerken aan het collectieve gegevensverzoek van SOMI of als ze onvolledige gegevens overhandigen, zal SOMI verdere juridische stappen ondernemen. Dat kan een aangifte bij de Autoriteit Persoonsgegevens zijn, of het verzoek om gegevens collectief aan te passen of te wissen.

Gemeenten houden bij smartcity projecten onvoldoende rekening met privacy wetgeving

De Autoriteit Persoonsgegevens (AP) publiceert aanbevelingen voor de ontwikkeling van zogenoemde smart city-toepassingen. De aanbevelingen zijn bedoeld voor gemeenten die met slimme sensoren en meetapparatuur data in de openbare ruimte verzamelen of dat van plan zijn.

De adviezen van de AP zijn nodig omdat gemeenten niet altijd voldoende stilstaan bij de privacywetgeving terwijl dit juist bij smart city-toepassingen waarbij persoonsgegevens van de burgers verwerkt worden essentieel is.

Slecht ontwikkelde toepassingen kunnen ten koste gaan van de vrijheid van inwoners en bezoekers van die gemeente. Bijvoorbeeld wanneer burgers in de openbare ruimte worden gevolgd op een manier die niet nodig is of niet is toegestaan. 

Een gemeente die technologie inzet, kan daarbij persoonsgegevens verwerken. Met sensoren of meetapparatuur worden bijvoorbeeld verkeersstromen en bezoekersaantallen gemeten of uitgaansgebieden gemonitord om de mobiliteit en veiligheid te verbeteren.

De privacywet – de Algemene verordening gegevensbescherming (AVG) – beschermt mensen tegen het onnodig of ongeoorloofd verzamelen of gebruiken van hun persoonsgegevens in de openbare ruimte.

Ongedwongen over straat

Monique Verdier, vicevoorzitter AP: “Het gevaar bestaat dat we naar een surveillancemaatschappij gaan waar je niet meer ongedwongen over straat kunt lopen. De inzet van technologie kan gemeenten weliswaar meer inzicht geven in het gebruik van de openbare ruimte, maar dat mag niet zonder stil te staan bij de prijs die de inwoners en bezoekers van die gemeente hiervoor betalen.

Hoe verhoudt het verzamelen van hun gegevens in de openbare ruimte zich tot hun vrijheid?

Wie kan er allemaal bij die gegevens en waar mogen die voor worden gebruikt?

Welke informatie mag aan elkaar worden gekoppeld?

De technische mogelijkheden zijn oneindig, maar aan wat ethisch en juridisch toelaatbaar is zit een grens.”

Grote verschillen

De AP heeft gekeken naar de mate waarin gemeenten gebruik maken van smart city-toepassingen en hoe ze bij de ontwikkeling en invoering daarvan de persoonsgegevens van inwoners en bezoekers beschermen.

De verschillen bij de inzet van smart city-toepassingen zijn groot.

Sommige gemeenten lopen voorop in de ontwikkeling van smart city-toepassingen en zetten hiervoor nieuwe technologieën in. Maar er zijn ook gemeenten die geen of heel weinig smart city-toepassingen gebruiken.

Dit verschil wordt onder meer bepaald door de omvang van de gemeente en de vraagstukken die er leven. 

Gemeenteraad

Ook de gemeenteraden moeten scherp zijn op digitalisering en de inzet van smart city-toepassingen. Zij moeten voldoende kennis hebben en informatie over smart city-toepassingen krijgen om hun controlerende taak goed uit te kunnen voeren.

Gemeenteraadsleden kunnen bijvoorbeeld bij hun interne privacytoezichthouder – de Functionaris gegevensbescherming (FG) – vragen hoe de privacy is geborgd en welke risico’s er zijn voor mensen die in hun gemeente wonen, werken of er op bezoek zijn. 

Nederland beschikt over veel technologische kennis en innovatiekracht. Gemeenten kunnen dit goed benutten voor het ontwikkelen van privacyvriendelijke smart city-toepassingen.

Tenminste, als die technologie wel echt nodig is om een probleem in de openbare ruimte aan te kunnen pakken. Want waar een probleem zonder inzet van die technologie en data kan worden opgelost, moet een gemeente deze vaak minder ingrijpende optie onderzoeken.

Monique Verdier: “Technologie kan ons helpen om onze problemen op te lossen en de stad leefbaarder en veiliger te maken. Maar we moeten het wel zo inregelen dat ze niet zelf allerlei nieuwe problemen en onveiligheidsgevoelens veroorzaken.

Bestuurders en ambtenaren moeten de rechten en vrijheden van burgers uiterst serieus nemen. Dat betekent dat zij hun privacy ook daadwerkelijk meenemen bij elke stap in de ontwikkeling naar een smart city. Laat privacy het startpunt zijn van innovatie, niet het sluitstuk.” 

Aanbevelingen

Om de privacy van inwoners te borgen, wijst de AP onder andere op de volgende aspecten bij de ontwikkeling van smart city-toepassingen: 

  • Zorg dat de basisbeginselen van de AVGop orde zijn. 
  • Het opstellen van een risicoanalyse, een zogenoemde data protection impact assessment (DPIA), voor smart city-toepassingen is vaak verplicht. Een DPIA helpt om te beoordelen of de gegevensverwerking rechtmatig is en welke mogelijke risico’s er zijn. Overweeg om de DPIA te publiceren, burgers weten dan hoe hun privacy is geborgd.
  • Maak beleid voor de inzet van smart city-toepassingen en vertaal dit naar praktische handvatten voor uitvoering.
  • Wees bij aanschaf van producten en diensten kritisch of deze aan de AVG voldoen. Een leverancier kan dat beweren, maar is het in de context van uw gemeente wel echt zo? 
  • Onderzoek hoe u als gemeente inzicht krijgt in de sensoren die door derden in de openbare ruimte worden geplaatst en deel deze informatie met burgers. 
  • Zorg voor voldoende mensen en middelen voor het organiseren van privacy binnen de gemeente. Let er vooral op dat de interne privacytoezichthouder, de FG, zijn of haar rol goed kan uitoefenen. 
  • Gebruik de kennis van burgers bij het in kaart brengen van de risico’s. Zij kennen hun eigen leefomgeving het best en kunnen meedenken over de gevolgen van een technische toepassing. 

De aanbevelingen zijn tot stand gekomen met dank aan diverse deskundigen en onafhankelijke reflecties van Waag, imec-CiTiP/KU Leuven en imec-SMIT/Vrije Universiteit Brussel (SPECTRE Project/Smart-city Privacy: Enhancing Collaborative Transparency in the Regulatory Ecosystem).

Jacht op misleidende en manipulatieve cookiebanners die niet voldoen aan de AVG

De Europese gegevensbeschermingsorganisatie Noyb is met een grootschalige campagne begonnen tegen irritante misleidende en manipulatieve cookiebanners die niet voldoen aan de Algemene Verordening Gegevensbescherming (AVG).

Maandag 1 augustus 2021 heeft de vereniging ongeveer 560 klachtenbrieven gestuurd naar bedrijven in Europa en de VS die, volgens de beoordeling van Noyb, misleidende cookiebanners gebruiken om toestemming af te dwingen voor het traceren van gegevens.

Met behulp van cookies kunnen gebruikersprofielen worden aangemaakt waaruit vergaande conclusies kunnen worden getrokken over surfgedrag, voorkeuren en leefgewoonten. Deze kennis wordt bijvoorbeeld gebruikt voor gepersonaliseerde reclame.

De vereniging Noyb is opgericht door de Oostenrijkse gegevensbeschermingsactivist Max Schrems. Hij wijst er op dat de Europese Algemene Verordening Gegevensbescherming (GDPR) voorschrijft dat gebruikers een duidelijke “ja of nee”-keuze moet worden voorgelegd. Vaak proberen aanbieders dit met trucs te omzeilen. Vervelende cookiebanners maken het juist uiterst ingewikkeld om op iets anders dan de “Accepteren”-knop te klikken.

Noyb heeft software ontwikkeld die verschillende soorten illegale cookiebanners kan detecteren en automatisch klachten kan genereren. Na te zijn begonnen met ongeveer 560 belangrijke websites – waaronder de Amerikaanse internetbedrijven Facebook, Google en Twitter – is de vereniging van plan om tot 10 000 van de meest bezochte websites in Europa onder de loep te nemen.

Alvorens formele klachten bij de bevoegde gegevensbeschermingsautoriteiten worden ingediend, zal Noyb de betrokken bedrijven elk een maand de tijd geven om hun cookiebanners aan de wettelijke vereisten aan te passen. Als een bedrijf zijn instellingen niet binnen een maand wijzigt, dient Noyb de klacht in bij de bevoegde autoriteit, die een boete van maximaal 20 miljoen euro kan opleggen.

In tegenstelling tot sommige waarschuwingsverenigingen wil Noyb echter zelf geen geld verdienen aan de golf van klachten. “We doen dit pro bono zonder winstoogmerk.”

Het project wordt gefinancierd uit de algemene begroting van de Noyb, die voor een groot deel steunt op ongeveer 4000 leden uit heel Europa.

Amazon moet recordboete van 746 miljoen euro betalen wegens overtreden van AVG

Amazon moet een boete van 746 miljoen euro betalen wegens het overtreden van de Algemene Verordening Gegevensbescherming (AVG). De boete is opgelegd door de Luxemburgse toezichthouder CNPD.

Het Amerikaanse bedrijf zou de Europese regels hebben overtreden bij het verzamelen en gebruiken van persoonlijke gegevens. Volgens de nieuwssite Bloomberg gaat het om de hoogste privacyboete ooit in Europa.

Amazon is in de EU gevestigd in Luxemburg en valt daarom in eerste instantie onder de Luxemburgse toezichthouder CNPD. De zaak loopt al sinds 2019, toen een Franse organisatie voor het beschermen van privacyrechten een klacht indiende.

Er gingen onlangs al geruchten dat het Amerikaanse concern een fikse geldstraf boven het hoofd hing. Het besluit over de boete dateert van 16 juli, maar Amazon treedt er vrijdag pas mee naar buiten.

Volgens Amazon zijn de beschuldigingen ongegrond. Het bedrijf is daarom van plan beroep aan te tekenen. “We zijn het oneens met de beslissing van de CNPD”, zegt het bedrijf. “Er is geen data gestolen en er zijn geen gegevens van klanten bij derden terechtgekomen.”

Datalek bij hengelsportketen maakt nu phishing bij sportvissers mogelijk voor cybercriminelen

Een database met namen, adresgegevens, telefoonnummers en e-mailadressen van ongeveer 200.000 klanten van Raven Hengelsport ligt op straat. De gegevens zijn te koop aangeboden op een forum waar criminelen vaker handelen in gestolen persoonlijke informatie.

Raven is een van de grootste aanbieders voor hengelsportartikelen in Nederland. Het bedrijf heeft in ons land vier vestigingen, maar zegt dat het datalek alleen gegevens bevat van mensen die bij de webshop een account hadden.

De klanten van Raven kunnen volgens woordvoerder Dennis de Jong door het datalek slachtoffer worden van phishingaanvallen door cybercriminelen.

Bij deze vorm van fraude stuurt een oplichter uit naam van een andere partij een bericht, vaak met als doel om het potentiële slachtoffer naar een malafide site te lokken. Hoe meer persoonlijke gegevens een crimineel in handen heeft, hoe overtuigender een e-mail of sms kan overkomen.

Gegevens te koop

Het datalek is ontstaan nadat Raven in november een nieuwe webshop had gekregen. De database met de klantgegevens van rond 2018 bleek daarbij per ongeluk openbaar toegankelijk te zijn.

De hengelsportketen werd er in maart van op de hoogte gebracht dat de gegevens online voor ruim 300 euro te koop stonden.

Google Workspace for Education voldoet niet aan de AVG. Onderwijs mag er geen gebruik van maken

Er kleven privacyrisico’s aan het gebruik van Google G Suite for Education (heet nu: Google Workspace for Education). Dat blijkt uit onderzoek in opdracht van de Rijksuniversiteit Groningen (RUG) en de Hogeschool van Amsterdam (HvA).

De demissionaire onderwijsministers Ingrid van Engelshoven en Arie Slob hebben hierover een brief gestuurd aan de Tweede Kamer.

G Suite for Education heet sinds kort Google Workspace for Education en bevat Classroom, Meet, Gmail, Calendar, Drive, Docs, Sheets, Slides en meer. 

De privacyrisico’s zijn aan het licht gekomen door een zogenoemde Data Protection Impact Assessment (DPIA) naar Google G-suite.

Een DPIA geeft inzicht in hoe gegevens verzameld worden, wat ermee gedaan wordt en wat de privacyrisico’s zijn.

Het Ministerie van Justitie en Veiligheid heeft het DPIA naar de Enterprise versie uit laten voeren, en de RUG en HvA hebben onderzoek laten doen op Google G-suite Education.  

Uit deze DPIA’s blijkt dat er privacyrisico’s zijn bij het gebruik van Google G Suite en G Suite for Education. Een van deze risico’s betreft de omgang met metadata.

Google heeft als standpunt dat zij zichzelf als enige verwerkingsverantwoordelijke ziet voor metadata. Dit betekent dat zij mag bepalen voor welk doel zij metadata verzamelen en op welke manier dat gebeurt.

Ook heeft Google in de privacyovereenkomsten opgenomen dat zij de voorwaarden rondom metadata eenzijdig mag aanpassen, zonder de gebruiker om toestemming te vragen.

Dat betekent dat onderwijsinstellingen die Google G Suite for Education gebruiken, geen of onvoldoende grip houden op wat er met deze gegevens gebeurt”, aldus de onderwijsministers.

De Autoriteit Persoonsgegevens is om nader advies gevraagd in deze zaak. Het kabinet heeft er bovendien contact over opgenomen met de Europese Commissie.

De scholen en onderwijsinstellingen worden in de komende periode via de diverse informatiekanalen die hen ter beschikking staan (websites, nieuwsbrieven) vanuit SURF, SIVON en de sectorraden geïnformeerd en ondersteund.

Onderwijsinstellingen zijn verantwoordelijk voor de keuze van veilige digitale leermiddelen en platforms, voor een zorgvuldige omgang met de persoonsgegevens van leerlingen en docenten, en de naleving van privacywetgeving, waarvan de AVG de belangrijkste is.

Het gaat hierbij onder andere om het opstellen van informatiebeveiligings- en privacybeleid, de aanstelling van een functionaris voor de gegevensbescherming, de inrichting van toegangs- en beheerrechten in ict-systemen, de logging hiervan, de uitvoering van risicoanalyses (zoals DPIA’s) en het afsluiten van verwerkersovereenkomsten met leveranciers (verwerkers).

Links

Het bericht Privacyrisico’s bij gebruik Google verscheen eerst op de website van de Algemene Vereniging Schoolleiders.

H&M moet in Duitsland 35,3 miljoen euro boete betalen voor overtreding privacywet

Modeketen Hennes & Mauritz (H&M) moet in Duitsland een boete van 35,3 miljoen euro betalen voor het overtreden van de privacywet. De straf is opgelegd door de commissaris voor gegevensbescherming van Hamburg.

H&M blijkt honderden medewerkers van het servicecentrum in Neurenberg in de gaten te hebben houden. De opgelegde boete is bedoeld als afschrikking.

“De onderhavige zaak getuigt van een ernstige veronachtzaming van de gegevensbescherming van de werknemers”, zegt de Hamburgse commissaris voor gegevensbescherming, Johannes Caspar. “Het bedrag van de opgelegde boete is dan ook passend en geschikt om bedrijven ervan te weerhouden de privacy van hun werknemers te schenden”, benadrukte hij.

De zaak valt onder de verantwoordelijkheid van de Hamburgse commissaris voor gegevensbescherming, omdat het bedrijf zijn Duitse hoofdkwartier in de Hanzestad heeft.

De gebeurtenissen waren vorig jaar ontdekt. Uit onderzoek van de toezichthouder blijkt dat H&M ten minste sinds 2014 de informatie over de privé-omstandigheden van werknemers uitgebreid heeft geregistreerd en opgeslagen.

Na vakantie en ziekteverzuim hielden superieuren een “Welcome Back Talk” en vervolgens niet alleen concrete vakantie-ervaringen gedocumenteerd, maar ook ziekteverschijnselen en diagnoses in een aantal gevallen.

Sommige supervisors namen ook uitgebreid kennis van het privéleven van hun werknemers. Van vrij onschadelijke details van familieproblemen en godsdienstige geloven, en roddels van de werkvloer.