Selecteer een pagina

Thuiswerken brengt hoog AVG veiligheidsrisico met zich mee

Door COVID-19 werken mensen massaal thuis. Voor werkgevers brengt dat een hoog AVG veiligheidsrisico met zich mee.

Uit onderzoek blijkt dat veel werknemers het veiligheidsbeleid van hun bedrijf omzeilen om productiever te zijn.

Thuiswerken heeft zowel voor- als nadelen voor de medewerkers zelf. Maar bedrijven zouden hun werknemers in het thuiskantoor nog meer moeten aanzetten tot het naleven van veiligheidsrisico’s, zo blijkt uit een studie.

Veel bedrijven zijn van plan om ook na het mogelijke einde van de pandemie door te gaan met de thuiskantoren.

Thuiskantoor: veiligheidsvoorschriften omzeild

Een onderzoek onder 2.000 thuiswerkers in Duitsland, Frankrijk, Groot-Brittannië en de VS, uitgevoerd door een marktinstituut in opdracht van de beveiligingsspecialist Cyber-Ark, moet bij privacymanagers en ICT-specialisten alle alarmbellen doen afgaan.

59 procent van de ondervraagden zei dat ze de veiligheidsvoorschriften van het bedrijf omzeilen om de productiviteit te verhogen. Zo sturen ze bijvoorbeeld bedrijfsdocumenten naar hun persoonlijke e-mailadressen of geven ze wachtwoorden door aan collega’s.

Gratis veilig Zoom alternatief Jitsi Meet voldoet wel aan de privacywet

De gratis versie van videoconferencingdienst Zoom wordt tijdens de Corona crisis veel gebruikt voor online vergaderingen. Daarmee overtreden organisaties de Algemene Verordening Gegevensbescherming (AVG). Zoom voldoet niet aan de Europese privacywet.

De Amerikaanse startup heeft beterschap beloofd, maar in de praktijk lijkt er weinig te veranderen.

Zoom wil de videochats end-to-end gaan versleutelen en heeft voor dit doel de New York encryptie startup Keybase gekocht. De versleuteling wordt straks echter enkel aangeboden aan betalende Zoom-klanten. Zij moeten 14 Euro per maand gaan betalen.

Maar zelfs dan zijn er nog enkele beperkingen. Deelnemers kunnen bijvoorbeeld niet via een smartphone meedoen aan de vergaderingen. En ook het opnemen van de videoconferentie in de cloud werkt niet.

Jitsi Meet gratis alternatief voor Zoom

Veel organisaties zoeken vanwege de provacyproblemen met Zoom naar alternatieve videochat tools die de zaken wel op orde hebben. Zoals de open source freeware software Jitsi Meet. Deze videochat tool focust juist op privacy en anonimiteit.

Met Jitsi Meet kunt u een vergadering direct in de browser starten zonder dat u een account hoeft aan te maken of software hoeft te installeren.

Face-to-face gesprekken zijn in Jitsi Meet al end-to-end versleuteld, terwijl het gebruikte WebRTC-communicatieprotocol een dergelijke versleuteling voor meerdere deelnemers nog niet toestaat.

Toch is het mogelijk om een aparte server te gebruiken om de gegevens beter te beschermen dan een server die publiekelijk door Jitsi wordt geleverd. Bovendien is de broncode van de tool openbaar toegankelijk en dus transparant.

Twee Amsterdamse cybercriminelen gearresteerd wegens phishingfraude met nep ING site

De politie heeft twee mannen uit Amsterdam aangehouden wegens phishing. De verdachten deden zich voor als ING-medewerkers en wisten op die manier bankgegevens van de slachtoffers te bemachtigen.

De twee cybercriminelen stuurden aan willekeurige personen een mail waarin stond dat ze hun bankpas moesten vervangen. In verband met het COVID-19-virus werd afgeraden om bij een bankfiliaal langs te gaan om de pas te vervangen. Dit was onderdeel van een ‘nieuwe werkwijze’.

In de mail stond een link die leidde naar een neppe website waar de slachtoffers bankgegevens moesten invoeren. Vervolgens werden de slachtoffers door de verdachten gebeld, die zich daarbij voordeden als een medewerker van de ING.

Ze kregen zo beschikking over cruciale bankgegevens, zoals inlognamen en wachtwoorden. Daarmee konden ze vervolgens fraude plegen.

De recherche schat in dat er meer dan tweehonderd mensen de dupe zijn geworden van de oplichtingspraktijken. Bij de politie is bekend is dat er in één geval al meer dan 20.000 euro is buitgemaakt.

ING deed aangifte bij de politie, waarop er een onderzoek werd gestart. Het onderzoek leidde tot de aanhouding van de twee verdachten in een hotelkamer in Amsterdam-Zuidoost.

De politie heeft meerdere gegevensdragers in beslag genomen zoals smartphones en computers. De recherche hoopt hiermee de gegevens van alle overige gedupeerden boven water te krijgen.

De politie sluit meerdere aanhoudingen in het onderzoek niet uit.

Whatsapp voldoet volgens toezichthouders nog altijd niet aan de AVG. Mag niet gebruikt worden

Voldoet Whatsapp aan de eisen van de AVG? De artikelen over Whatsapp op PrivacyZone worden sinds de Europese privacywet in 2018 van kracht werd dagelijks het meest gelezen. Het antwoord is nog altijd: nee!

Barbara Thiel, toezichthouder van de Duitse deelstaat Nedersaksen, heeft onderwijsinstellingen deze week opdracht gegeven te stoppen met Whatsapp. Zij reageerde op een richtlijn van het Nedersaksische ministerie van Onderwijs en Culturele Zaken voor scholen in de Corona-tijd. Volgens deze richtlijn zouden docenten en leerlingen tijdelijk gebruik mogen maken van WhatsApp voor onderlinge communicatie.

Thiel benadrukt dat zij als toezichthouder het gebruik van WhatsApp op scholen niet heeft aanbevolen of goedgekeurd. Hetzelfde geldt voor haar collega toezichthouders in 15 andere Duitse deelstaten. Duitsland telt in totaal 17 toezichthouders.

Omdat de Algemene Verordening Gegevensbescherming een Europese wet is gelden de standpunten van de Duitse toezichthouders ook in de rest van Europa. De Nederlandse Autoriteit Persoonsgegevens (AP) heeft ook regelmatig op Europees niveau overleg met andere toezichthouders.

Veel ondernemers worstelen met het AVG-dilemma Whatsapp op zakelijke telefoons. Wat privé wel mag is zakelijk een overtreding van de privacywet.

De scholen moeten met spoed goedgekeurde alternatieve messengers gaan gebruiken. Die zijn er volgens de toezichthouder voldoende.

“In het verleden ben ik altijd heel duidelijk tegen het gebruik van WhatsApp op scholen geweest,” zegt Thiel. “Dit standpunt is nog steeds geldig en is ook in overeenstemming met het standpunt van andere functionarissen voor gegevensbescherming.”

Whatsapp voldoet dus niet aan de Europese privacywet. Nog steeds niet, zou je kunnen zeggen. Want sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) op 25 juni 2018 heeft moederbedrijf Facebook toch meer dan voldoende tijd gehad om Whatsapp aan te passen.

Een ex-KNO-arts van ziekenhuis Amstelland veroorzaakt een groot datalek door een Whatsappgroep met honderden patiënten aan te maken. Hij overtreedt daarmee de AVG, schendt zijn medisch beroepsgeheim en een concurrentiebeding.

Tijdens de Corona crisis maken veel organisaties gebruik van Messenger applicaties als Whatsapp om te communiceren met medewerkers en klanten. Voor hen geldt hetzelfde als voor de onderwijsinstellingen in Nedersaksen. Zij zijn in overtreding.

Whatsapp voldoet zeker niet aan de AVG”

“Een van deze eisen van de AVG is dat de communicatie zo efficiënt mogelijk moet zijn”, zegt Thiel. “WhatsApp voldoet zeker niet aan deze eis. Al tijdens de registratie worden alle contactgegevens die in de telefoon van de gebruiker zijn opgeslagen, doorgegeven aan de provider.”

Volgens Thiel bestaat hiervoor geen wettelijke basis en kunnen de personen die in de telefoon van de gebruiker zijn opgeslagen niet instemmen met of bezwaar maken tegen de overdracht van gegevens.

“Er zijn aanzienlijk meer databesparende messengers op de markt die dezelfde communicatiemogelijkheden bieden. Ik roep het Ministerie van Onderwijs dan ook op om serieus na te denken over alternatieven voor WhatsApp en om scholen te informeren over de resultaten van dit onderzoek, zodat zij gebruik kunnen maken van privacy-vriendelijke diensten.”

Volgens Thiel had dit al enige tijd geleden moeten gebeuren, want zij heeft in het verleden herhaaldelijk haar bezorgdheid geuit over WhatsApp. “Ik zal het ministerie ook direct informeren over mijn standpunten”, kondigt Thiel aan en voegt eraan toe: “Het is zeer betreurenswaardig dat docenten en studenten nu in eerste instantie geen gebruik kunnen maken van gegevensbeschermingsvriendelijke messengers in tijden van crisis.”

Apple en Google maken voorwaarden voor Corona apps bekend

Apple en Google hebben maandag regels bekendgemaakt waar instanties aan moeten voldoen als ze gebruik willen maken van hun technologie voor corona-apps. Zo krijgen apps die locatiedata van gebruikers verzamelen geen toegang tot de technologie.

Google en Apple slaan de handen ineen om een technologie te ontwikkelen waarmee mensen gewaarschuwd worden als ze in de buurt zijn geweest van iemand die positief is getest op het COVID-19-virus. Daarbij wordt gebruik gemaakt van bluetooth.

Het idee is dat smartphones continu een bluetoothsignaal uitzenden en dat er een logboek ontstaat van andere smartphones die in de buurt zijn geweest. Op de telefoons wordt een uniek nummer opgeslagen. Gebruikers kunnen dit logboek delen met de autoriteiten, zodat de personen achter de opgeslagen nummers gewaarschuwd kunnen worden.

Apps die gebruikmaken van locatiegegevens van gebruikers krijgen geen toegang tot de technologie van Apple en Google, maken de bedrijven nu bekend. Daarnaast mogen de apps alleen worden gebruikt voor de uitbraak van het virus. De apps mogen bijvoorbeeld niet gebruikt worden om advertenties te verspreiden.

Ook moeten gebruikers expliciet toestemming geven voor het delen van een positief testresultaat en moeten de apps de hoeveelheid gegevens die ze verzamelen, minimaliseren.

Slechts één corona-app per regio krijgt toegang

De bedrijven zijn van plan alleen gezondheidsautoriteiten toegang te geven tot de technologie. Ook wordt de technologie slechts aan één app per land of regio toegekend, om versnippering te voorkomen.

Apple en Google hebben vorige week een testversie van de technologie beschikbaar gemaakt voor appontwikkelaars. Daarnaast hebben de techgiganten maandag voorbeelden vrijgegeven van hoe zo’n corona-app eruit zou kunnen zien. De bedrijven zijn van plan om de definitieve versie van hun technologie medio mei uit te brengen.

Zo spelen cybercriminelen in op angst, onzekerheid en twijfel rond Corona

Cybercriminelen spelen in op de angst, onzekerheid en twijfel rond de Corona pandemie om er financieel beter van te worden. We zetten enkele van de huidige cybercrime trends en mogelijke maatregelen om de nieuwste tactieken aan te pakken op een rij.

De toename van COVID-19-gerelateerde domeinen sinds januari is op zich al een bewijs van de mogelijke toename van criminele activiteiten. Dit, in combinatie met de groeiende onzekerheid en de wijdverbreide paniek, creëert de perfecte omgeving voor criminelen om kwetsbare doelwitten uit te buiten.

Escalerende phishing-zwendel

Er is een aanzienlijke toename van phishing-zwendel. Burgers worden gemanipuleerd om via e-mails en sms’jes op kwaadaardige links te klikken die informatie over COVID-19, niet-bestaande vaccins, handreinigers en maskers aanbieden, en worden vervolgens overgehaald om persoonlijke gegevens te overhandigen.

Identiteitsdiefstal

Dit leidt natuurlijk tot identiteitsdiefstal en de toegang tot en het in gevaar brengen van bankrekeningen. Deze e-mails bevatten ook vaak documenten, ingebed in malware die toegang kan krijgen tot bestanden, toetsaanslagen van gebruikers kan controleren en, erger nog, uw hele harde schijf kan versleutelen.

Criminelen slagen er ook in om de website-domeinen van geloofwaardige instellingen zoals de Wereldgezondheidsorganisatie of overheidsdepartementen te vervalsen en de ontvangers van phishing mail zo te overtuigen van de authenticiteit van de COVID-19-gerelateerde inhoud van de e-mail.

Te mooi om waar te zijn

Kortom, als er een gevoel van urgentie is of een “te mooi om waar te zijn”, dan is het waarschijnlijk een hackpoging. Neem de tijd om verzenders en websites te authenticeren, klik niet op verdachte links en verwijder onmiddellijk alle e-mails of sms’jes die ongewoon lijken.

Pas op voor real-time coronavirusinfo

Een van de meest productieve, kwaadaardige apps die de rondes doen, is beweren dat ze real-time coronavirusinfo geven, inclusief statistieken en heat maps. De app bevat echter, onbewust van de gebruiker, geavanceerde malware die nu “CovidLock” wordt genoemd.

Dit omvat een schermvergrendelingsaanval, waarbij gebruikers de toegang tot hun telefoon wordt ontzegd door middel van het vragen van een wachtwoordwijziging. Zodra hackers de volledige controle hebben, worden slachtoffers gevraagd om binnen 48 uur $100 in Bitcoin te betalen voor het verkrijgen van een ontcijferingscode om hun telefoons te ontgrendelen.

Het risico van videovergaderingen

Met de toename van het aantal videovergaderingen op afstand worden hackers zeker creatief.

Als ze zich daar niet aan houden, dreigen ze hun foto’s, contacten en gegevens te laten verwijderen of hun social media-accounts te laten blootleggen.

De beste manier om dit te voorkomen, is om geen apps van onbekende derden te vertrouwen, maar om gekeurde applicaties te downloaden van officiële platforms zoals Google Play of Apple Store.

Misleiden van thuiswerkers

Door de Corona crisis werken veel mensen thuis. Veel van deze thuiswerkers hebben amper verstand van techniek. Ze zijn daardoor bijzonder kwetsbaar. Dat biedt natuurlijk ruime mogelijkheden voor cybercriminelen om daarvan te profiteren.

Een aantal werknemers heeft mails ontvangen (schijnbaar van werkgevers) met valse links naar cloud-opslagplaatsen of e-mailplatforms van het bedrijf, waar hackers gemakkelijk logingegevens kunnen verkrijgen en toegang hebben tot vertrouwelijke bedrijfsinformatie.

Valse bedrijfsinkooporders en facturen

Criminelen creëren ook valse bedrijfsinkooporders en facturen voor ontsmettingsmiddelen of andere benodigdheden, waardoor werknemers worden opgelicht om geld over te maken naar frauduleuze rekeningen.

Bovendien zijn de bedrijfsservers, met zoveel werknemers die vanuit huis toegang hebben tot (vaak onbeveiligde) virtuele privénetwerken, ook vatbaarder voor crypto-malware. Hier versleutelen hackers servers en eisen ze Bitcoin in ruil voor toegang.

Het is ook logisch dat, met de toename van het aantal videovergaderingen op afstand, hackers zeker creatief worden.

Zoombombing

“Zoombombing” komt steeds vaker voor, waarbij hackers “gate-crashende” zoomvergaderingen houden, de controle over de schermen overnemen en pornografische of gewelddadige beelden laten zien. Niet alleen overheidsdiensten en bedrijven zijn kwetsbaar voor deze specifieke tactieken, ze lopen ook het risico dat vertrouwelijke informatie in verkeerde handen valt.

Zorg ervoor dat u geen koppelingen naar vergaderingen, PIN-codes of schermafbeeldingen deelt (met iemand anders dan de deelnemers aan de vergadering) en zeker niet op sociale media; zorg er altijd voor dat er een sterk wachtwoord nodig is om deel te nemen; stel wachtruimtes in om de aanwezigheid te controleren; en zorg ervoor dat alleen de hosts hun schermen kunnen delen.

Ontwikkel passende beveiligingsmaatregelen en protocollen voor werken op afstand

De kwetsbaarheden spreken ook de noodzaak uit voor bedrijven om passende beveiligingsmaatregelen en protocollen voor werken op afstand te ontwikkelen.

Uiteindelijk profiteren cybercriminelen ten volle van de heersende angst, onzekerheid en twijfel. Helaas vechten we niet alleen tegen een verwoestend wereldwijd virus dat het leven van miljarden mensen beïnvloedt, maar ook tegen criminele individuen die financieel voordeel willen behalen.

Neem geen risico

Neem geen risico tijdens de Corona crisis. Wees uiterst kritisch op alles wat u ontvangt rond COVID-19 en raadpleeg de officiële kanalen voor actuele en accurate informatie.

Opmerkelijke toename van cybercriminaliteit tegen vrouwen tijdens Corona crisis

Er is tijdens de Corona crisis een opmerkelijke toename van cybercriminaliteit tegen vrouwen. Het betreft vooral sextortion, zeggen deskundigen.

De deskundigen denken dat de gemelde cyberaanvallen op vrouwen slechts de ,,top van de ijsberg” tonen.

“We hebben van 25 maart tot 25 april in totaal 412 echte klachten over cybermisbruik ontvangen. Daarvan waren maar liefst 396 klachten van vrouwen ernstig, (en deze) varieerden van misbruik, onfatsoenlijke blootstelling, ongevraagde obscene foto’s, bedreigingen, kwaadaardige e-mails die beweren dat hun account gehackt was, losgeldeisen, chantage en meer,” zegt de oprichter van de Akancha Foundation, Akancha Srivastava.

De organisatie werkt aan onderwijs en empowerment van mensen door kennis over cyberveiligheid over te dragen.

Srivastava zei dat ze nu gemiddeld 20-25 van dergelijke klachten per dag krijgt, terwijl het aantal voor de lockdown minder dan 10 per dag was.

Met name de meldingen van ,,sextortion” zijn gestegen.

Sextortion is het afpersen van geld of seksuele gunsten van iemand door te dreigen met het onthullen van bewijs van hun seksuele activiteit door middel van middelen zoals morphed beelden.

Onmiddellijk na de lockdown was er een stijging van het aantal gevallen van verkeerde informatie, nepnieuws en vrouwen die online worden gedupeerd wanneer ze op malware-links klikken die al hun informatie aan de telefoon krijgen, de camera en de microfoon aanzetten en hun intieme momenten vastleggen. Deze worden dan gebruikt voor chantage.

Veel vrouwen willen in deze gevallen geen officiële klachten indienen, omdat ze zich zorgen maken over het sociale stigma dat eraan verbonden is. Daarom denken de deskundigen dat de gemelde cyberaanvallen op vrouwen officiële slechts het topje van de ijsberg tonen.

Vandana Verma, oprichter van InfoSec Girls, zegt dat de mensen thuis werken en veel tijd doorbrengen op het internet en cybercriminelen daar innovatief misbruik van maken.

De cybercriminelen verzenden bijvoorbeeld specifieke phishing e-mails of thema e-mails over COVID-19 en hengelen zo naar vertrouwelijke gegevens zoals adres, telefoonnummers. Deze e-mails lijken afkomstig te zijn van betrouwbare bronnen zoals de overheid, maar zijn in werkelijkheid fake.

Daarnaast creëren de cybercriminelen valse profielen en nemen cyberpesten en online stalking momenteel toe.

De toenemende cyberaanvallen op vrouwen tonen hoe belangrijk het is om regelmatig AVG Awareness trainingen te geven. Juist actuele ontwikkelingen kunnen het besef van het belang van de AVG versterken.

Het veilig gebruiken van de digitale media, het creëren van een sterk wachtwoord en het verspreiden van bewustzijn over phishing-e-mails, nepvideo’s en het veilig delen van inhoud op het internet kan veel helpen bij het beschermen van vrouwen.

Deskundigen adviseren vrouwen om voorzichtig te zijn met sociale media. Vrouwen worden aangeraden om hun persoonlijke foto’s of gegevens niet te delen op sociale media, omdat het niet veilig is.

Mogen werkgevers registreren of werknemers in Corona risicogebied zijn geweest?

Mogen werkgevers informatie verzamelen en verwerken over de vraag of een werknemer zich in een risicogebied bevond of direct contact had met iemand die besmet is met het Corona virus?

Op grond van hun zorgplicht zijn werkgevers verplicht de nodige maatregelen te nemen om de veiligheid en gezondheid van hun werknemers op het werk te waarborgen. Dit omvat ook de plicht van de werkgever om ervoor te zorgen dat andere werknemers worden beschermd tegen besmetting door een ziek persoon.

Voor dit doel is het volgens AVG toegestaan om informatie te verzamelen over de personen met wie de werknemer die ziek is, contact heeft gehad.

Overeenkomstig artikel 6, lid 1, onder c), van de Algemene Verordening Gegevensbescherming (AVG) in samenhang met Artikel 9 lid 1, lid 4 AVG  mag de werkgever de nodige gegevens verwerken met het oog op de bescherming van de gezondheid op het werk.

Negatieve informatie van de werknemer is meestal voldoende. Als er verdere aanwijzingen zijn, kan er indien nodig een nader onderzoek worden ingesteld.

Pas tijdens de Corona crisis op voor e-mail van je leidinggevende! CEO-fraude?

Tijdens de Corona crisis werken veel mensen thuis. Contact met collega’s vindt plaats via telefoon, Whatsapp, videovergaderingen en e-mail. Cybercriminelen hebben het nog nooit zo gemakkelijk gehad om hun slag te slaan.

Je krijgt een belangrijke mail van je leidinggevende met het verzoek om vertrouwelijke documenten door te sturen. Is het echt een opdracht van je chef?

Verzekeringsmaatschappijen en IT-beveiligingsbedrijven waarschuwen voor een toenemend aantal frauduleuze e-mails waarin cybercriminelen zich voordoen als superieuren en geld naar hun eigen rekeningen laten overmaken.

Ongeveer 90% van alle cyberaanvallen begint met een e-mail.

De methode staat onder cyberdeskundigen bekend als “CEO-fraude. De fraudeurs stelen de e-mailadressen en online identiteiten van senior managers en hun medewerkers en laten vervolgens geld overmaken naar hun rekeningen.

Cybercriminelen maken momenteel gretig gebruik van de corona chaos.

AGCS, een industriële verzekeraar van Allianz, waarschuwt dat in sommige landen het aantal pogingen tot cyberaanvallen tussen medio februari en medio maart is vervijfvoudigd.

En de Japanse IT-beveiligingsonderneming Trend Micro schat dat er in het eerste kwartaal meer dan 900.000 aan corona gerelateerde spammails over de hele wereld zijn verstuurd. Trend Micro heeft geanalyseerd dat online fraudeurs in bijna realtime op de verspreiding van de epidemie hebben gereageerd.

IT-beveiligingsstandaarden in het thuiskantoor vaak te laag

De daders bereiden hun aanvallen vaak zeer grondig voor om zo geloofwaardig mogelijk in de virtuele huid van echte bestuurders te kruipen.

CEO-fraude wordt vaak geflankeerd door gerichte phishing-e-mails, telefoontjes of nep-websites. De corona-pandemie doet de economie wankelen, maar voor cybergangsters is de crisis blijkbaar een stimuleringspakket.

Voor een succesvolle cyberaanval moet de hacker de interesse en emoties van de betrokkenen wekken. De Corona crisis leent zich daar uitstekend voor.

De experts van AGCS zijn bezorgd dat sommige bedrijven hun IT-beveiligingsnormen hebben verlaagd, zodat de werknemers van thuis uit kunnen inloggen op het bedrijfsnetwerk. “Alleen omdat we “nonchalant” gekleed zijn in het thuiskantoor betekent niet dat we “nonchalant” mogen zijn met IT-technologie en beveiligingsstandaarden”, zegt AGCS-manager Jens Krickhahn.

Italiaanse regering geeft toestemming voor Corona surveillance app

De Italiaanse regering heeft donderdag groen licht gegeven voor het gebruik van een app om het coronavirus in te dammen.

Het gebruik van de corona-app door Italiaanse burgers is vrijwillig. Dit betekent dat iedereen zelf beslist of hij de app naar zijn smartphone downloadt. De gegevens worden anoniem verwerkt. Er zal geen geo-lokalisatie zijn, zegt de Italiaanse regering.

De regering van premier Giuseppe Conte heeft meermaals benadrukt dat Rome met de Corona-app aan hoge eisen op het gebied van gegevensbescherming wil voldoen.

Critici vrezen dat de verzamelde gegevens ook misbruikt kunnen worden.

De app moet helpen om snel te weten te komen of mensen in de buurt van een coronageïnfecteerde persoon zijn geweest.

Voor een goede werking van dergelijke systemen is het meestal belangrijk dat zoveel mogelijk mensen deelnemen. Als iemand met het virus is geïnfecteerd, kan het systeem gegevens verstrekken over de nauwere contacten in het recente verleden. De infectieketens moeten dus sneller worden doorbroken.

De regering in Rome had van tevoren aangekondigd dat Italië de “Immuni”-app van het Milanese bedrijf Bending Spoons wil gebruiken.

Volgens informatie van dit bedrijf werkt de app met Bluetooth-technologie. De opslag van de gegevens zal nauwlettend in de gaten worden gehouden, zegt de regering.

Italië wordt bijzonder hard getroffen door de longziekte, met bijna 27 700 coronadoden.

Vanaf 4 mei worden de coronabeperkingen in Italië geleidelijk aan versoepeld en wordt de app in deze nieuwe fase gebruikt.

Autoriteit Persoonsgegevens zet met ‘Corona opt-in’ toestemming medisch beroepsgeheim buitenspel

“Een noodsituatie vergt noodmaatregelen. Daar zijn we ons terdege van bewust. Maar ook noodmaatregelen moeten proportioneel, transparant en toetsbaar zijn. En daar lijkt de Autoriteit Persoonsgegevens (AP) nu toch een belangrijke steek te hebben laten vallen”, concluderen Platform Bescherming Burgerrechten, Privacy First, Humanistisch Verbond en Stichting KDVP.

“Omdat die haar goedkeuring heeft gegeven aan een problematische noodmaatregel, de zogenaamde ‘corona opt-in’, waarmee het medisch beroepsgeheim systematisch buitenspel wordt gezet. De medische privacy van alle Nederlandse burgers komt hiermee in gevaar.”

Platform Bescherming Burgerrechten, Privacy First, Humanistisch Verbond en
Stichting KDVP hebben hun gezamenlijke standpunt gepubliceerd op de website van Platform Burgerrechten.

Waar gaat het om?

Ruim de helft van alle Nederlanders heeft nog geen toestemming gegeven om hun medische gegevens via het Landelijk Schakelpunt (LSP) te laten uitwisselen door zorgverleners.

Daardoor is er een groot niemandsland van potentiële corona-patiënten waarvan huisartsenposten en ziekenhuizen niet weten wat hun medische achtergrond is.

Terwijl ze daar wel behoefte aan hebben, als de nood aan de man komt. Vandaar dat ze aan het ministerie van VWS gevraagd hebben om daar iets voor te regelen.

Het ministerie van VWS heeft hiervoor de zogenaamde ‘corona opt-in’ bedacht. Een verwarrende term, omdat er door die maatregel juist géén expliciete toestemming (opt-in) meer vereist is; er wordt uitgegaan van een soort stilzwijgende toestemming dat je gegevens gedeeld mogen worden via het LSP. Tenzij je alsnog bezwaar maakt.

De nieuwe praktijk wordt daarmee: wie zwijgt, stemt toe (opt-out). Wat wettelijk gezien gewoon niet mag.

Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens vindt deze ‘corona opt-in’ niet bezwaarlijk, met dien verstande dat de patiënt nog wel even ter plekke toestemming moet geven.

In haar reactie op het voorstel stelt de AP:
“Artsen op de huisartsenpost of spoedeisende hulp mogen alleen met toestemming van coronapatiënten het medisch dossier bij hun huisarts inzien via een elektronisch uitwisselingssysteem. Wie nog geen toestemming heeft gegeven, kan dat ter plekke doen. Dat mag in dit geval ook mondeling. Alleen als een patiënt niet in staat is om toestemming te geven, is inzage zonder toestemming toegestaan.”

Medisch beroepsgeheim massaal omzeild

Klinkt logisch en redelijk. Vooral ook vanwege de extra voorwaarden die de AP heeft toegevoegd, zoals: dat deze maatregel tijdelijk is, en dat de gegevens alleen ingezien mogen worden door de huisartsenpost of de spoedeisende hulp. Maar toch kleven er aan deze oplossing belangrijke bezwaren. We noemen er vier (maar er zijn er nog meer).

Eerste probleem

Ten eerste is er een technisch probleem. Je kunt als patiënt wel zéggen dat je toestemming geeft, maar dan kan de arts nog steeds niet in je dossier. Degene die je dossier moet ontsluiten is namelijk de huisarts die je medische gegevens heeft vastgelegd in zijn patiëntdossier.

Deze noodmaatregel is nou juist bedoeld om het beroepsgeheim dat daarop rust te omzeilen.

Hoe dit logistiek moet worden gerealiseerd, wordt niet helder uit de brief van de AP. Maar wie is ingewijd in de technische kant van het LSP, weet dat dit alleen maar kan door álle dossiers waarvoor nog geen toestemming voor uitwisseling is gegeven, alsnog te ontsluiten (via een update van huisarts-systemen).

Een volkomen disproportionele maatregel. En ook nog bloedlink, getuige het tweede probleem.

Tweede probleem

Het tweede probleem is ook technisch van aard: de raadpleging van je dossier zou beperkt moeten blijven tot de zorgverleners die direct bij je behandeling zijn betrokken. Maar dat is in het LSP technisch niet mogelijk.

Dit informatiesysteem biedt geen mogelijkheid tot gericht opvragen: het is alles of niets. In dit geval dus alles, oftewel iedere zorgverlener aangesloten op het LSP. Dat zijn tienduizenden potentiële ingangen voor hackers.

De Eerste Kamer, die het LSP in 2011 unaniem verwierp, noemde het systeem daarom destijds “een dossier met duizend deuren aan de achterkant.”

Derde probleem

De ‘corona opt-in’ biedt daarmee slechts een schijnzeggenschap aan de patiënt – het derde bezwaar. Ongeacht of de patiënt toestemming geeft, zal diens dossier namelijk technisch al open staan voor raadpleging vanuit tienduizenden toegangspunten.

De toestemming die patiënten volgens de AP moeten geven, is daarmee niets meer dan een holle formaliteit.

Door in haar brief aan het Ministerie van Volksgezondheid ten onrechte te stellen dat deze toestemming een harde eis is om het dossier raadpleegbaar te maken, gaat de AP voorbij aan de verstrekkende technische implicaties van deze maatregel – en daarmee ook de juridische.

Vierde probleem

Daarmee komen we aan bij het vierde en overkoepelende bezwaar. De AP houdt officieel toezicht op de naleving van privacywetten, maar nergens in haar brief valt te lezen op welke wettelijke basis de ‘corona opt-in’ is gebaseerd.

Evenmin wordt duidelijk waarom de AP van mening is dat de voorgestelde ‘corona opt-in’ een noodzakelijke en proportionele maatregel en dat dit probleem niet op een minder ingrijpende manier kan worden opgelost.

Van een privacytoezichthouder in crisistijd mogen we een transparant en grondiger onderbouwd oordeel verwachten, waarbij bovenstaande gevolgen van de ‘corona opt-in’ expliciet worden meegewogen.

Toezicht op naleving van de privacywetgeving en de principes van het privacyrecht zijn de kerntaken van de AP, juist in crisistijd.

Als iemand nu het hoofd koel moet houden en niet mee moet gaan in overhaaste crisismaatregelen met onoverzienbare gevolgen, is het de nationale toezichthouder op de privacy.

Platform Bescherming Burgerrechten
Privacy First
Humanistisch Verbond
Stichting KDVP

Dit gezamenlijke standpunt is eerder gepubliceerd op https://platformburgerrechten.nl/2020/04/10/ap-sta-ons-bij/ en https://specifieketoestemming.nl/ap-sta-ons-bij/.

Privacy First fel tegen iedere Corona surveillance app

Privacy First schrijft in een opiniestuk in de Telegraaf “fel tegen iedere Corona surveillance-app te zijn en al zeker tegen een die het medisch beroepsgeheim ondermijnt.”

“Een mobiel EPD (elektronisch patiëntendossier) waarin iedere burger een potentiele verdachte is en tevens en masse alle bewegingen worden nagegaan, levert in onze ogen schijnverdenkingen en -zekerheden op, verdachtmakingen, stigmatisering en zelfcensuur”, schrijft Privacy First. “Dit vormt een enorme inbreuk op ieders bewegingsvrijheid, om nog maar niet te spreken van datalekken en hacking.”

Stichting Privacy First is opgericht in 2008. Het statutaire doel van Privacy First luidt als volgt: Het behouden en bevorderen van het recht op privacy, alsmede de persoonlijke vrijheid van leefomgeving, op welke wijze dan ook, onder meer door het in rechte optreden voor alle burgers in Nederland ter bescherming van dit algemene belang; en het verrichten van al hetgeen met voornoemd doel in de ruimste zin verband houdt of daartoe bevorderlijk kan zijn.

Tevens zal het volgens Privacy First niet bij deze app blijven. “Er zijn meer (toekomstige) ziekten en gedrag in kaart te brengen. En waarom dan niet meteen het hele dossier, gekoppeld aan triage? De geschiedenis leert dat dit soort maatregelen nooit worden teruggedraaid en alleen maar worden uitgebreid.”

“In ons rechtssysteem is het heel simpel”, zegt Privacy First. “We gaan uit van legitieme doelbinding, oftewel: wat is het probleem, wat is het doel en hoe kunnen we dit bereiken?”

“De eerste vraag kunnen we al niet beantwoorden; we meten namelijk vrijwel niet. De bevolking wordt dagelijks angst aangejaagd op basis van zeer selectieve cijfers inzake intensivecare-opnames en sterfgevallen. De totale besmette populatie is onbekend en het aantal mensen dat geneest wordt niet gerapporteerd.”

“Wat we hier zien is een crisis aangejaagd door emotie bij gebrek aan cijfers. En dan is een app de oplossing? Waarvoor precies?”

Naast doelbinding zijn volgens de Algemene Verordening Gegevensbescherming (AVG) noodzaak en proportionaliteit (is er een redelijke verhouding tussen het middel en het doel?) cruciaal. “In deze crisis is het grootste probleem een capaciteitsprobleem in de gezondheidszorg. Dan lijkt me duidelijk waar de aandacht naartoe moet gaan: capaciteitsuitbreiding met man en macht”, stelt voorzitter Bas Filippini,
van Privacy First.

“Mensen, ic-bedden, mondkapjes, kleding, beademingsapparatuur et cetera. En natuurlijk testcapaciteit voor de gehele bevolking, zowel op infectie als op antilichamen. Zo komen we tot feiten en het vaststellen van het echte probleem. Volgens de laatste schattingen heeft 95% van onze bevolking helemaal niets en die zou nu continu met een app gecontroleerd moeten worden?”

Een ander vereiste in de AVG is subsidiariteit: wat zijn de alternatieve oplossingen voor een dergelijke horror-app, die alleen maar leidt tot meer angst en wantrouwen? Welke privacyvriendelijke alternatieven zijn er?

“Onze overheid krijgt nu vanuit vertrouwen zes weken de tijd om zijn zaakjes op orde te krijgen en de burger heeft daarom het recht om iets terug te krijgen. Welke behandelmethoden en testmiddelen zijn reeds voorhanden die de burger weer vertrouwen kunnen geven?”, zegt Filippini.

“Alle opties dienen te worden onderbouwd met cijfers. En testen kan gewoon via ons huidige gezondheidssysteem, dus via de huisarts. Niks nieuws onder de zon. Indien iemand besmet getest wordt, kan die in overleg met de huisarts of wellicht de GGD zelf actie ondernemen. Via dezelfde huisarts kan een burger natuurlijk altijd op basis van vrijwilligheid medische gegevens delen (eventueel via een privacyvriendelijke app) om anderen te helpen in het vinden van de beste behandelmethode. Uit onze analyse blijkt echter dat anonieme apps vrijwel onmogelijk zijn.”

De conclusie van de voorzitter van Privacy First: “Dus fix the fundamentals, test en los het echte probleem op in plaats van apps te bouwen. Dan kunnen we op 28 april weer aan het werk en applaudiseren voor alle ondernemende Nederlanders die deze operatie uiteindelijk financieren.”

Gepubliceerd in de zaterdageditie van De Telegraaf, 11 april 2020: https://www.telegraaf.nl/watuzegt/805422902/de-kwestie-zijn-corona-apps-een-zegen-of-een-vloek.